山西省通信管理局关于进一步规范我省网络安全风险评估及技术检测的通知
网安字〔2020〕9号
各基础电信企业、增值电信企业、互联网企业,网络安全专业机构、网络安全公司:
近年来,各电信和互联网企业委托相关专业机构开展网络安全技术检测,发现处置了大量网络安全风险隐患,为提升我省电信网和互联网网络安全防护水平发挥了重要作用。为进一步加强在我省开展业务的专业机构的监督管理,强化纪律建设和作风建设,提升检测评估工作规范化水平,整治网络风险评估服务中的问题,依据《工业和信息化部关于进一步规范网络安全防护检测评工作的通知》(工网安函〔2020〕231号)要求,结合我省实际,现就进一步规范风险评估及技术检测有关事项通知如下:
一、电信和互联网企业应委托具有工业和信息化部要求资质的专业机构开展本单位网络安全风险评估及技术检测服务,在签订委托服务合同后,应将委托专业机构及委托事项等情况向我局报备,报备材料详见附件。我局根据网络安全管理和通信网络单元安全防护工作需要,加强对已报备专业机构安全评测、评估、检测服务的指导。
二、专业机构受委托开展检测评估工作,应当坚持依法、客观、公平、公正的原则,严格贯彻落实中央八项规定精神,加强组织领导,严守组织纪律,强化作风建设,接受我局监督管理。
三、专业机构应当依法、公平、公正向委托单位提供检测评估服务,不得以低于服务成本的报价、牺牲检测评估质量及其他不正当竞争方式干预委托单位对专业机构的选择。对存在上述情况的检测机构,委托单位有权依法停止其提供服务,并将有关情况报告我局。
四、专业机构开展检测评估工作前应当设立检测评估组,指定组长和成员。检测评估组组成人员应当是专业机构正式人员,并经过工业和信息化部组织的培训,熟悉相关法律法规和标准,具备承担相关工作的专业技能。
五、专业机构在接受工业和信息化部及我局委托检查检测任务时,如发现本机构在近2年内为被检测评估的网络或系统提供过网络安全服务,应当主动提出回避。检测评估组组成人员与被检测评估单位的工作人员有直接利害关系的,应当予以回避。
六、检测评估组到达现场开展检测评估工作,应当召开检测评估工作启动会,向被检测评估单位提供检测内容,告知检测评估过程中潜在风险隐患,并一次性书面告知需要被检测评估单位配合的事项。检测评估过程中应全程佩戴相关工作证件。
七、检测评估组应当按照工业和信息化部制定印发的网络安全防护系列标准开展检测评估工作。实施检测评估时应当采取风险控制措施,避免因检测评估操作影响网络或系统的正常运行。
八、检测评估组对发现的不符合相关标准的情况和存在的其他隐患风险,应当如实记录,告知委托单位和被检测评估机构,并提供切实可行的整改建议,在被检测评估机构整改完成后应进行相关复测工作。
九、检测评估工作结束后,专业机构应当形成检测评估报告报委托单位及被检测评估机构。专业机构及其工作人员应当对检测评估中获取的被检测单位的相关数据和文档予以保密,不得用于其他用途,不得擅自对外发布或向第三方提供。
十、除委托单位和专业机构已有合同约定外,专业机构不得以任何方式向被检测评估单位指定或强制推荐使用相关产品或服务。
十一、专业机构及其工作人员违反上述规定的,依法依规依纪追究责任,我局根据情节暂停该专业机构在省内开展检测评估服务。对违反国家有关规定开展网络安全认证、检测、风险评估等活动的机构,依据《中华人民共和国网络安全法》等法律法规予以行政处罚。
十二、委托单位及被检测评估机构认为专业机构及其工作人员存在滥用职权、徇私舞弊等行为的,可以向我局(网络安全管理处)举报。
十三、鼓励电信和互联网企业完善自主评测能力。鼓励专业评测评估机构持有法律法规规定的其他相应测评资质,避免重复评测、评估。
附件:通信网络安全服务备案材料清单
山西省通信管理局
2020年4月30日
(联系人及电话:祁继锋 0351-8788159)
附件:
通信网络安全服务备案材料清单
1.委托服务合同复印件;
2.专业机构营业执照复印件;
3.专业机构有效期内网络安全相关资质复印件;
4.专业机构检测服务人员配备情况;
5.其他需要说明或报备的情况。