山西省通信网络安全防护监督管理实施办法
网安字〔2020〕29号
山西通信管理局关于印发《山西省通信网络安全防护监督管理实施办法》的通知
省内电信业务经营者,互联网域名服务提供者,相关互联网企业:
为进一步加强我省公用通信网和互联网网络安全防护管理,健全网络安全威胁监测与处置机制,保障网络秩序和公共利益,维护国家网络空间安全,依据《中华人民共和国网络安全法》《中华人民共和国电信条例》《通信网络安全防护管理办法》(工信部令第11号)、《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号)等法律法规,我局制定了《山西省通信网络安全防护监督管理实施办法》,现印发给你们,请结合实际,切实抓好贯彻落实。
山西省通信管理局
2020年9月16日
山西省通信网络安全防护监督管理实施办法
第一章 总 则
第一条 为进一步加强我省公用通信网和互联网网络安全防护管理,促进省内电信业务经营者和互联网域名服务提供者落实网络安全责任,强化防护能力建设,及时发现安全威胁,降低安全风险,消除安全隐患,避免危害发生,提升整体网络安全水平,保护公共利益和公民、法人及其他组织合法权益,维护国家网络空间安全,保障经济运行和社会发展,根据《中华人民共和国网络安全法》《中华人民共和国电信条例》《通信网络安全防护管理办法》(工业和信息化部令第11号)、《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号)等法律法规规定和山西省通信管理局职责,制定本办法。
第二条 本办法适用于山西省行政区域内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护、管理工作。
本办法所称电信业务经营者,是指依法取得电信主管部门颁发的基础电信业务、增值电信业务经营许可证,并在山西省经营许可业务的经营单位。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
第三条 山西省通信管理局负责组织、指导、监督、检查本省行政区域内通信网络运行单位通信网络安全防护、管理等工作。
第二章 日常管理
第四条 通信网络运行单位应依法履行通信网络安全防护管理责任,制定网络安全防护管理办法,建立健全网络与信息安全规章制度,明确网络与信息安全责任部门、责任人及职责,配备必要的网络与信息安全专职管理和技术人员,建设和运行通信网络安全监测系统,对本单位通信网络的安全状况进行监测,将网络安全防护管理列入工作考核、绩效考核,常态化开展监督检查考核管理。
第五条 电信业务经营者在接入增值电信业务经营者和互联网域名服务提供者时,须对其相关资质进行审核留档。
互联网数据中心(IDC)、互联网服务提供商(ISP)、互联网域名服务提供者在开展经营业务前,应建设信息安全管理系统,并与省通信管理局相关系统对接。
第六条 通信网络运行单位应加强网络与信息安全教育培训,制定年度计划和实施方案,每年组织不少于2次专业培训,培训对象应覆盖单位分管负责人、相关部门负责人、网络与信息安全专兼职管理和技术人员及通信网络维护使用人员等,并做好相关的教育培训记录。
第七条 通信网络运行单位应制定网络安全应急预案,每年组织不少于1次网络安全应急演练,按照要求参加省通信管理局组织开展的联合演练。
应急演练应结合本单位工作生产环境和常见网络安全威胁开展,具备条件的应当组织现网实战演练。
第八条 通信网络运行单位应于每半年、年度分别向省通信管理局报告网络安全防护管理工作情况(报告模板见附件)。
第三章 网络单元定级备案
第九条 通信网络运行单位应在工业和信息化部通信网络安全防护管理系统(https://mii-aqfh.cn/,以下简称“部防护管理系统”)进行单位注册,如实填写相关信息,妥善保管登录账号、密码。每单位只须注册1个账号。
第十条 通信网络运行单位应按照《通信网络安全防护管理办法》规定,对所有通信网络进行单元划分、定级,并通过部防护管理系统提交定级报告。在网络单元新建、改建、扩建时,应及时如实编写、更新定级报告。定级报告内容按照《山西省通信管理局关于规范开展网络安全防护和等级保护工作的通知》(网安字〔2018〕38号)要求编写。
第十一条 省通信管理局按月审核各通信网络运行单位在部防护管理系统提交的网络单元定级报告及详细信息。对检查检测发现问题的网络单元且未在部防护管理系统提交定级报告备案的,按照网络单元未定级处理。
第十二条 省通信管理局每年3月底前退回所有已提交的定级报告,通信网络运行单位应及时登录部防护管理系统,上传最新定级报告并提交审核。
第十三条 通信网络运行单位应在定级报告提交1个月后登录部防护管理系统,查看审核结果。审核未通过的,应及时按照审核意见和要求更新定级报告,重新提交审核。
第十四条 通信网络运行单位在网络单元下线停止使用后1周内,应登录部防护管理系统进行相关废除操作。连续2年未在部防护管理系统更新信息、上传定级报告的,省通信管理局依据《通信网络安全防护管理办法》第二十二条规定予以责令改正、警告、罚款等行政处理。
第四章 网络安全风险评估与符合性评测
第十五条 通信网络运行单位应定期委托第三方机构开展网络单元的风险评估、符合性评测工作,出具的风险评估报告和符合性评测报告均加盖第三方机构的公章。
第十六条 定级为三级及以上的网络单元和云业务系统、网约车、IDC、ISP、互联网域名服务提供者,应每年开展1次第三方风险评估、符合性评测;定级为二级的网络单元,应每2年开展1次第三方风险评估、符合性评测;网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行风险评估、符合性评测。
风险评估报告(电子版)、符合性评测结果(电子版)随定级报告上传至部防护管理系统。
第十七条 已对接省通信管理局信安系统的IDC、ISP、互联网域名服务提供者的信安系统,每年必须开展第三方风险评估。
第十八条 委托第三方机构进行风险评估的,应严格按照《山西省通信管理局关于进一步规范我省网络安全风险评估及技术检测的通知》(网安字〔2020〕9号)开展相关工作,并按照报备要求,在签订委托服务合同后将委托机构及委托事项等情况向省通信管理局报备。
第十九条 通信网络运行单位进行第三方风险评估时,应提供完整的网络单元信息,包括不限于管理情况、资产、IP、网络架构。
第二十条 通信网络运行单位进行第三方风险评估时,应提供在网生产系统,不得瞒报、漏报或提供测试系统供第三方评估机构进行评测。
第二十一条 通信网络运行单位不得要求、暗示第三方评估机构出具不明确、不符合事实甚至虚假评估报告。
第五章 监督检查
第二十二条 省通信管理局委托第三方风险评估机构每月开展网络安全远程技术检测,检测发现的问题,印发《网络安全威胁处置通知书》并通知相关企业。
第二十三条 省通信管理局每年第二、三季度随机抽选10%的通信网络运行单位进行行业网络安全防护现场检查,检查内容包括业务经营范围、网络与信息安全管理制度制定及落实、机构设置、专兼职人员配备、教育培训、应急演练及网络单元定级报告、风险评估报告、符合性评测报告等,并委托第三方机构进行现场技术检测。
第二十四条 省通信管理局提前1周以书面或电话、电子邮件等可验证方式告知被检查单位检查时间、内容、配合事项等内容。
第二十五条 省通信管理局开展网络安全防护现场检查后,现场出具《检查结果确认书》(一式两份),由检查组负责人和被检查单位相关负责人签字、被检查单位加盖公章。检查发现网络安全隐患的,我局印发《网络安全威胁处置通知书》,限期整改。
第二十六条 通信网络运行单位接到《网络安全威胁处置通知书》后,应在规定期限内进行威胁处置或问题整改,报送书面整改报告,按要求提供相关系统最近一次的第三方网络安全风险评估报告。
第二十七条 未按规定期限或要求进行威胁处置或问题整改的,省通信管理局依据《公共互联网网络安全威胁监测与处置办法》第八条第一款规定,通知省内基础电信运营企业、互联网企业、域名注册管理和服务机构等,由其对恶意IP地址(或宽带接入账号)、恶意域名、恶意 URL、恶意电子邮件账号或恶意手机号码等,采取停止服务或屏蔽等措施;拒不接收《网络安全威胁处置通知书》或拒不处置网络威胁、整改有关问题的,依据《中华人民共和国网络安全法》第五十六条、第五十九条、第六十条、第六十八条等规定进行约谈或给予警告、罚款等行政处罚。
第二十八条 省通信管理局收到网络安全书面整改报告等相关材料后,委托第三方机构进行技术验证,对被采取停止服务或屏蔽等措施的,通知相关企业恢复被停止的服务。
第六章 附 则
第二十九条 本办法所称第三方机构均为通过通信网络安全服务能力评定的专业机构。
第三十条 通信网络运行单位应依据本办法规定完善内部管理制度,健全网络与信息安全管理体制。
第三十一条 本办法自印发之日起实施。
附件:
