【智慧城市網 政策法規】近日,湖北省通信管理局網絡安全管理處印發《湖北省信息通信行業2024年網絡和數據安全“荊楚護航”專項行動方案》。
關于印發《湖北省信息通信行業2024年網絡和數據安全“荊楚護航”專項行動方案》的通知
鄂通信局發〔2024〕36號
省內各基礎電信企業、互聯網企業、工業互聯網平臺企業、工業互聯網標識解析企業、車聯網服務平臺運營企業,有關單位:
現將《湖北省信息通信行業2024年網絡和數據安全“荊楚護航”專項行動方案》印發給你們,請結合實際抓好落實。
聯系方式:027-66990332
郵箱:hbwanganchu@126.com
湖北省通信管理局
2024年6月14日
湖北省信息通信行業2024年網絡和數據安全“荊楚護航”專項行動方案
為提升我省信息通信行業網絡和數據安全防護水平,筑牢行業網絡和數據安全防線,以高水平安全護航我省信息通信行業高質量發展,部署開展湖北省信息通信行業2024年網絡和數據安全“荊楚護航”專項行動,特制定本方案。
一、總體要求
以習近平新時代中國特色社會主義思想為指導,全面貫徹黨的二十大和二十屆二中全會精神,認真學習貫徹習近平總書記關于網絡強國的重要思想、關于推進新型工業化的重要指示精神,堅持總體國家安全觀,以《網絡安全法》《數據安全法》《關鍵信息基礎設施保護條例》等法律法規為遵循,統籌行業高質量發展和高水平安全,督促企業落實網絡和數據安全主體責任,增強行業關鍵信息基礎設施風險防御能力,推動適應新型工業化特點的網絡和數據安全體系和能力現代化,創新監管和服務提升企業安全水平,保障我省基礎電信網、公共互聯網、工業互聯網、車聯網的持續安全穩定運行,推動我省網絡和數據安全工作再上新臺階,為我省加快“數化湖北”建設,推進新型工業化和中國式現代化湖北實踐提供網絡和數據安全保障。
二、重點任務
(一)摸清行業網絡和數據資產底數
1.扎實做好通信網絡安全防護定級備案工作。各基礎電信企業、互聯網企業要按照《通信網絡安全防護管理辦法》規定,對已正式投入運行的各類網絡和系統開展定級備案工作,并通過“工信部通信網絡安全防護管理系統”(https://mii-aqfh.cn)提交定級備案信息。備案信息發生變化的,應當在30日內變更備案。各基礎電信企業相關系統應當實現“應備盡備”。我局將重點組織省內不少于100家互聯網企業開展定級備案相關工作,對沒有依法開展定級備案的企業,將予以通報并督促整改。
2.深入推進工業互聯網企業網絡安全分類分級管理。各工業互聯網平臺和標識解析企業,要按照《工業互聯網企業網絡安全分類分級管理辦法》規定開展自主定級,并通過“國家工業互聯網企業網絡安全分類分級管理公共服務平臺”(https://103.118.52.157:18080)提交定級備案信息。企業定級要素發生較大變化的,應當在三個月內重新定級。我局將重點組織省內不少于10家工業互聯網平臺和標識解析企業開展定級備案相關工作,對沒有依法開展定級備案的企業,將予以通報并督促整改。
3.加強車聯網網絡安全定級備案。各車聯網服務平臺運營企業,要按照《車聯網網絡安全防護定級備案實施指南》等安全防護標準,對所屬網絡設施和系統開展網絡安全防護定級工作,并通過“全國車聯網網絡安全防護管理系統”(https://www.iovsec.org.cn)提交備案信息。我局將重點組織省內不少于5家車聯網服務平臺運營企業開展定級備案相關工作,對沒有依法開展定級備案的企業,將予以通報并督促整改。
4.強化重要數據和核心數據識別與目錄備案。各企業要嚴格落實《工業和信息化領域數據安全管理辦法(試行)》,進一步規范數據處理活動,實施數據分類分級管理。各基礎電信企業和重點互聯網企業要開展重要數據和核心數據識別認定,形成本單位重要數據和核心數據目錄,于2024年8月30日前報送我局;對數據目錄實施動態管理,目錄發生變化的,應當及時上報更新。
5.認定行業關鍵信息基礎設施資產清單。各關鍵信息基礎設施(以下簡稱關基)運營者,根據工業和信息化部關基保護規范,梳理本企業關基資產清單,確定安全管理主體、關鍵崗位人員,于2024年8月15日前將資產清單報我局。我局將加大對屬地關基運營者的監督管理,指導關基運營者全面開展一次資產盤點和風險評估。
(二)提升網絡和數據安全防護水平
6.扎實開展網絡安全風險評估。對審核通過的每個三級網絡和系統或工業互聯網企業,相關企業應自行或委托符合要求的第三方安全機構,每年按照有關標準至少開展一次符合性評測和風險評估,對審核通過的每個二級網絡和系統或工業互聯網企業,每兩年按照有關標準至少開展一次符合性評測和風險評估。各基礎電信企業和互聯網企業應當將評估報告上傳定級備案系統,各工業互聯網平臺和標識解析企業、車聯網服務平臺運營企業應當將評測評估報告于10月底前報送我局。
7.認真開展數據安全風險評估。各重要數據和核心數據處理者要按照有關標準,自行或委托符合要求的第三方評估機構,至少開展一次數據安全風險評估,并于10月底前將評估報告報送我局。各基礎電信企業、數據中心和云服務企業、車聯網服務平臺企業、“人工智能+”大模型企業,要聚焦數據非法收集、數據非法利用、防護措施不到位、人員違規操作等突出問題引發的數據安全風險開展風險排查,于7月15日前向我局提交自查報告。我局將組織專業力量對相關企業開展遠程檢測、現場診斷等工作。
8.保障5G行業應用安全。各基礎電信企業在深化“5G+工業互聯網”“5G+車聯網”等重點領域的融合應用的同時,應當同步配套5G應用安全保障能力,并明確本單位和客戶的網絡和數據安全責任邊界。各基礎電信企業要對5G行業應用業務基礎安全、業務平臺安全、業務合作安全、數據安全、安全保障能力、重點技術安全等各項要素開展風險評估,并于10月底前將風險評估報告報送我局。5G應用安全創新推廣中心(湖北)要加強技術攻關、供需對接、綜合案例研判,11月底前向我局報送年度工作情況報告。
9.加強網絡和數據安全技術手段建設。各企業要加大安全投入,不斷完善技防體系,切實提升網絡和數據安全防護水平。各基礎電信企業要切實做好信安系統能力優化工作,升級指令協同、資源管理、系統交互、運維等系統基礎管理功能,深化網絡安全融合分析功能模塊,完善數據安全風險監測及管理功能,提升精準研判分析能力。我局將組織專業力量對基礎電信企業的網絡和數據安全相關系統開展成效評估。
10.強化供應鏈安全。各企業采購的納入目錄的網絡關鍵設備和網絡安全專用產品,應當依法通過相關認證或檢測。在開展業務合作或業務委托時,要以簽訂合同或協議等方式明確業務合作方的網絡和數據安全責任。各關基運營者要圍繞產品和服務供應商的人員背景、產品質量、運維服務、履約信用等,制定供應商管理制度,從源頭側強化關基安全保障。關基運營者采購網絡產品和服務可能影響國家安全的,應當按照《網絡安全審查辦法》申報審查。各關基運營者在每季度結束后的次月15日前將產品和服務采購信息報送我局。
11.積極開展商用密碼應用。各企業應當認真學習《商用密碼管理條例》,結合實際開展商用密碼應用,以商用密碼應用提升網絡和數據安全防護水平。各關基運營者要按照2027年行業關基商用密碼體系化應用的總體目標,制定2024年商用密碼應用工作計劃。各基礎電信企業針對信息系統類行業關基,進一步擴大應用范圍,至少選取2個網絡系統開展商用密碼應用。各關基運營者要總結商用密碼應用情況,于11月底前報我局。
(三)加強網絡和數據安全監測處置
12.健全網絡和數據安全監測處置機制。我局制定并印發我省公共互聯網網絡和數據安全威脅監測與處置辦法實施細則。我局與相關省直部門建立我省工業和信息化領域網絡和數據安全風險信息共享通報與防范處置工作機制。各基礎電信企業應當參照我局印發的實施細則,制定本單位網絡和數據安全監測預警、信息報送和處置機制。
13.加強安全威脅監測預警和通報處置。各企業要充分發揮自有系統能力,主動監測發現各類安全威脅、風險隱患,屬于自身問題的,應當立即采取措施及時完成整改;涉及其他單位的,應當按要求及時報送我局,不得隨意對外發布漏洞細節情況,我局將通報督促相關單位及時防范整改。我局將依托工信部網絡安全威脅信息共享平臺、省級工業互聯網安全態勢感知平臺等,常態化開展網絡和數據安全威脅監測處置。
(四)增強網絡和數據安全應急響應能力
14.健全突發事件應急保障體系。各企業要完善本單位網絡和數據安全突發事件應急預案,建立應急隊伍,不斷提升應急響應能力。針對勒索攻擊、DDOS攻擊等典型場景,應當制定專項應急預案或應對手冊。各基礎電信企業和重點互聯網企業應當于9月底前將應急預案報我局備案。對于關基運營者,要按照“一關基一預案”的要求,分別制定網絡安全突發事件應急預案,明確責任人、應急處置流程措施和重大風險直報機制,在發生重大網絡和數據安全事件時,第一時間報我局。
15.開展攻防演練或應急演練。各企業要結合自身情況,通過實戰攻防、推演等方式,年底前至少開展一次網絡和數據安全應急演練或攻防演練,有效磨合重大風險應急處置機制,提升應對能力。我局將分科目、分賽道,牽頭組織開展“荊楚護航-鑄網2024”網絡安全實網攻防演練,檢驗提升企業網絡安全實戰化應對能力和應急響應能力。
(五)凝聚網絡和數據安全合力
16.舉辦工業互聯網安全大會。聚焦工業互聯網安全,面向湖北省內工業互聯網企業,我局指導相關單位舉辦2024年湖北省工業互聯網安全大會,增強交流互鑒,提升工業企業網絡安全意識,促進市場提供更好更符合工業企業的網絡安全產品和服務。
17.開展工信領域網絡安全應用試點示范。鼓勵各企業圍繞監測賦能、服務創新、技術應用、人才培育等方面,探索可復制可推廣的網絡和數據安全等典型案例。鼓勵各基礎電信企業、網絡安全企業聯合保險公司,面向工業互聯網企業和車聯網企業提供針對性的優秀網絡安全保險服務。我局將遴選并推薦優秀方案申報工業和信息化部網絡安全技術、工業互聯網安全、車聯安全網、網絡安全保險典型服務方案,并加大宣傳推廣。
18.加強宣貫培訓力度。各企業要制定年度網絡和數據安全培訓計劃,對管理層、網絡和數據安全專職人員、全體員工分別開展針對性的教育和培訓。各關基運營者要在單位內部傳達學習關基保護相關法律法規、政策標準,確保關鍵崗位人員等年度培訓時間不少于30個學時。我局面向湖北省內行業關基運營者,至少組織開展1次關基保護工作培訓會。
19.強化企業內部監督檢查。各企業要對照任務分工,結合實際制定單位內部網絡和數據安全檢查工作方案,開展一次全面的自查自糾。各基礎電信企業省公司應當加強對地市公司的監督檢查。針對檢查發現的問題,形成問題清單、責任清單、時限清單。對能夠立刻整改的,要立行立改;對短期內整改不了的,要制定整改工作方案,明確整改時限;對于需要長期解決的,要納入規劃,積極創造條件,爭取盡快解決。
三、工作安排
(一)工作部署(2024年6月)。我局組織開展本次專項行動宣貫部署會,統一思想,提高認識,明確要求。各單位要明確本單位專項工作牽頭部門及聯絡人信息(詳見附件),于6月18日前報送我局。
(二)推進實施(2024年6月-11月)。各企業要對照方案要求研究制定本單位工作方案,明確工作任務,細化工作措施,開展動員部署,建立任務臺賬,開展自查自糾,及時整改工作中存在的問題。
(三)總結提升(2024年12月)。各企業要認真總結專項行動任務落實情況,查找工作中的不足,將專項行動要求與日常工作相結合,鞏固經驗成效,形成長效機制,于12月15日前將工作總結加蓋單位公章后書面報送我局。
四、工作要求
(一)加強組織領導。各企業要深入學習領會習近平總書記關于網絡和數據安全的重要指示精神,深刻認識網絡和數據安全工作的重要性和緊迫性,進一步提高風險意識,強化底線思維。各企業主要負責人是本單位網絡和數據安全工作的第一責任人,要對照本方案細化工作舉措,狠抓工作落實。
(二)抓好工作落實。各企業要明確網絡和數據安全分管領導和牽頭部門、責任部門,明確各項任務職責分工。要完善工作機制,加強單位內部跨部門協同配合,做好統籌協調、監督檢查、責任考核,確保專項行動任務落實到位。要緊扣時間節點,及時報送相關信息。
(三)開展監督檢查。我局將適時組織開展網絡和數據安全檢查,圍繞各企業對本次專項行動工作落實情況,開展現場抽查、遠程檢測。對拒不配合檢查或者在檢查中發現存在違反法律法規行為、問題逾期不改正或導致危害網絡安全等后果的,我局將依法依規進行處罰。
(四)加強風險防控。各單位要強化風險防控意識,加強自查自評、安全演練等工作全過程風險管控,嚴格防范可能出現的安全風險。關基運營者要全面梳理專項行動具體任務實施可能帶來的次生風險,充分研究論證,嚴格規范組織實施,確保在不影響關基安全穩定運行的前提下,穩妥有序推進專項工作。
移動版
智慧城市網APP
智慧城市網小程序
微信公眾號
