关于进一步加强电信和互联网行业通信网络安全防护管理工作的通知
甘通网安函〔2024〕6号
各基础电信运营企业、增值电信企业、域名注册服务机构、相关互联网企业、工业互联网企业:
为进一步加强我省电信和互联网行业通信网络单元的安全管理,提升行业网络安全整体防护水平,保障公共互联网网络安全、稳定运行,根据《网络安全法》《通信网络安全防护管理办法》(工业和信息化部令第11号,以下简称11号令)《公共互联网网络安全威胁监测与处置办法》《网络产品安全漏洞管理规定》等有关法律法规和政策性文件要求,结合甘肃省实际,现就将进一步加强我省电信和互联网行业通信网络安全防护管理工作通知如下:
一、建立健全通信网络安全防护管理机制
各单位要夯实网络安全主体责任,按照11号令要求,完善本单位信息系统和网络单元(包括但不限于通信网、接入网、传送网、IP承载网、支撑网、信息服务业务、在线数据业务、网络托管业务、互联网接入服务业务和互联网数据中心业务、呼叫中心等业务相关系统或单元)定级备案动态监管机制,建立健全定级备案、符合性测评、风险评估、信息通报、远程检测等安全防护管理体系。
二、积极开展通信网络单元定级备案工作
各单位要做好本单位信息系统和网络单元的划分,按照11号令规定积极开展定级备案,并在工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送各单元的定级信息。各单位应当根据业务实际情况及时调整各通信网络单元的划分和级别,并按照规定重新进行定级评审和备案。甘肃省通信管理局(以下简称省局)组织专家对各单位通信网络单元的定级备案报送情况进行评审,并将评审结果进行通报(包括但不限于备案率、准确率、及时率等指标)。
三、加强通信网络单元符合性评测工作
通信网络单元在定级评审通过后,应当落实与定级级别相适应的安全防护措施,并按照以下规定进行符合性评测:
(一)三级及以上通信网络单元应当每年进行一次符合性评测;
(二)二级通信网络单元应当每两年进行一次符合性评测;
(三)通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测;一级通信网络单元有符合性评测题目的也需进行符合性评测。
各单位应当在评测结束后三十日内,将通信网络单元的符合性评测结果和整改情况或者整改计划报省局。
四、强化通信网络单元安全风险评估工作
通信网络单元在定级评审通过后,应当按照以下规定进行安全风险评估,及时消除重大网络安全隐患:
(一)三级及以上通信网络单元应当每年进行一次安全风险评估;
(二)二级通信网络单元应当每两年进行一次安全风险评估;
(三)国家重大活动举办前,通信网络单元应当按照省局要求进行安全风险评估。
各单位应当在安全风险评估结束后三十日内,将安全风险评估结果、整改情况或者整改计划向省局报送。
五、加强专业机构服务能力的监督和指导
各单位可以委托专业机构开展通信网络单元定级备案、符合性测评和风险评估等工作,鼓励和支持各位单位邀请专业机构,在本单位内开展通信网络安全防护培训。省局视情依托专业机构面向省内通信网络运行单位开展政策宣贯和评估指导,督导各单位合理合规开展定级备案、风险评估和符合性评测工作,有效提高网络安全防护能力,保障企业网络安全畅通。
六、工作要求
(一)加强组织领导、强化责任落实。各单位要加强对定级备案工作的组织领导,明确责任部门、责任人,制定通信网络单元台账,进一步规范重要信息系统和关键信息系统认定,落实网络安全主体责任,扎实推进定级备案工作有序开展,有效提升网络安全防护水平。
(二)建立制度机制,加强监督检查。各单位按照网络安全防护工作要求,建立通信网络单元动态管理机制,及时开展新系统网络单位定级和旧系统网络单元符合性测评、风险评估更新工作。省局对各单位的定级备案、符合性评测、安全风险评估工作落实情况通过远程检查和现场检查等方式进行监督检查,对发现未按要求落实定级备案、符合性评测、安全风险评估等行为予以通报,对拒不整改的行为予以处罚。
甘肃省通信管理局
2024年5月31日
(联系人及电话:许苗苗 8788696)
