湖北省通信管理局关于印发《2023年新型融合领域网络和数据安全“荆楚护航”专项行动方案》的通知

发布时间:2023-05-06 15:57  来源:网络安全管理处

中国电信股份有限公司湖北分公司、中国移动通信集团湖北有限公司、中国联合网络通信有限公司湖北省分公司、湖北省广播电视信息网络股份有限公司、互联网企业、工业互联网平台企业、工业互联网标识解析企业、车联网服务平台运营企业,有关单位:

为深入学习贯彻党的二十大精神,认真落实工信部和省委省政府有关部署要求,以网络和数据安全护航湖北省数字经济高质量发展,切实增强5G、IPv6、工业互联网、车联网等新型融合领域安全保障能力,筑牢湖北省网络和数据安全屏障,现将《2023年新型融合领域网络和数据安全“荆楚护航”专项行动方案》印发给你们,请结合实际抓好落实。

联系人及电话:刘双临  027-66990335

电子邮箱:liushuanglin@cstc.org.cn

附件:2023年新型融合领域网络和数据安全“荆楚护航”专项行动方案


湖北省通信管理局

2023年5月4日


2023年新型融合领域网络和数据安全“荆楚护航”专项行动方案

当前,5G、IPv6、工业互联网、车联网等新型融合领域快速发展,有力推动了传统产业数字化、网络化、智能化转型和数字经济蓬勃发展。同时,网络和数据安全风险更加严峻复杂,新型安全威胁和风险日益增多。根据有关法律法规,按照工信部、省委省政府有关工作部署,为全面加强湖北省新型融合领域网络和数据安全保障体系和能力建设,落实湖北信息通信业全力打造全国数字经济发展高地“登峰行动”计划,特制定本专项行动方案。

一、工作目标

以习近平新时代中国特色社会主义思想为指导,深入学习贯彻党的二十大精神,认真贯彻落实习近平总书记关于网络和数据安全的重要指示精神,贯彻总体国家安全观,更好统筹发展和安全,针对5G、IPv6、工业互联网、车联网等新型融合领域的特点规律和面临的安全风险,以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规为遵循,着力夯实相关企业的网络和数据安全责任体系,着力深化以分类分级、合规评测和风险评估为基本方法的安全管理体系,着力升级以隐患排查、监测预警、应急处置等能力为重点的安全技术体系,强化监督检查,开展应急演练,重视教育培训,切实筑牢新型融合领域网络和数据安全屏障,以新安全格局保障新发展格局,为湖北打造全国数字经济发展高地奠定坚实基础。

二、基本原则

——加强领导,落实责任。要依法严格落实网络和数据安全主体责任,落实党委(党组)网络安全工作责任制,构建主要负责人负总责,分管领导直接抓,牵头部门统筹协调,相关部门各负其责的网络和数据安全工作格局,并建立企业内部的监督考核问责机制。

——同步推进,加大投入。在推进产业数字化、数字产业化进程中,要将网络和数据安全技术措施和手段建设同步纳入网络设施和信息系统的规划、建设和运行中,要制定网络和数据安全技术手段建设专项规划,保障相关资金投入,确保技术措施与安全风险相适应。

——摸清底数,突出重点。要全面梳理摸排本企业网络设施和信息系统底数,做好网络和信息系统定级备案工作,形成软硬件、数据等资产清单,要加强对重要数据和核心数据的识别认定和分类分级,对重要网络、重要系统、重要数据和核心数据实施重点保护。

——持续评估,动态监测。要对照有关法律法规和标准规范,结合实际对本企业相关管理措施和技术措施进行对标达标,要运用科学的风险评估方法,定期或不定期查找差距、分析风险、补齐短板,要加强监测预警和通报处置,及时有效应对不断变化的安全形势和风险隐患。

——预防为主,强化应急。要坚持安全第一,预防为主,按照“安全治理模式向事前预防转型”的要求,把“不出事”作为安全工作的首要目标,更加注重事前防范和合规管理,更加注重隐患排查和风险整治。要坚持底线思维,完善网络和数据安全事件应急工作机制,不断提高突发事件综合应对能力。

三、主要任务

(一)做好网络和系统定级备案和数据分类分级

1.深化通信网络安全防护定级备案工作。各基础电信企业、互联网企业要按照《通信网络安全防护管理办法》规定,对已正式投入运行的5G、IPv6、云平台等网络和系统进行网元划分和定级,通过“工信部通信网络安全防护管理系统”(https://mii-aqfh.cn),于2023年6月30日前提交定级备案信息。我局将对备案情况进行审查,对没有依法开展定级备案的企业,将予以通报并督促整改。

2.推进工业互联网企业网络安全分类分级管理。各工业互联网平台企业和标识解析企业(重点企业目录见附件1)要按照《工业互联网企业网络安全分类分级管理指南(试行)》规定,通过“国家工业互联网企业网络安全分类分级管理公共服务平台”(https://103.118.52.157:18080),于2023年6月30日前提交定级备案信息。我局将对备案情况进行审查,对没有依法开展定级备案的企业,将予以通报并督促整改。

3.加强车联网网络安全定级备案。各车联网服务平台运营企业(重点企业目录见附件2)要按照《关于做好车联网网络安全防护定级备案工作的通知》要求,通过“全国车联网网络安全防护管理系统”(https://www.iovsec.org.cn),于2023年6月30日前提交主流在用车联网网络设施和系统的定级备案信息。我局将对备案情况进行审查,对没有依法开展定级备案的企业,将予以通报并督促整改。

4.强化重要数据和核心数据识别与目录备案。各企业要严格落实《工业和信息化领域数据安全管理办法(试行)》,进一步规范数据处理活动,实施数据分类分级管理,开展重要数据和核心数据识别认定,形成本单位重要数据和核心数据目录,于2023年6月30日前报送我局。对数据目录实施动态管理,目录发生变化的,应及时上报更新。

5.定期报送5G行业应用项目清单。各基础电信企业要深化“5G+工业互联网”“5G+车联网”等重点领域的融合应用,打造典型应用场景,持续开展试点示范,同步配套5G应用安全保障能力。梳理已投入实际运行的5G行业应用项目,形成清单(模板见附件3),并在每季度结束后的次月15日前报送我局。

(二)开展网络和数据安全合规评测和风险评估

6.开展网络安全评测评估及整改。各企业要按照有关国家标准和行业标准(重点标准目录见附件4),重点围绕是否采取防攻击、防病毒、防入侵等管理和技术措施,自行或委托第三方评估机构开展符合性评测和风险评估,于2023年10月31日前通过“工信部通信网络安全防护管理系统”上传评测评估报告和整改情况。三级网络和系统或工业互联网企业每年至少开展一次符合性评测和风险评估,二级网络和系统或工业互联网企业每两年至少开展一次符合性评测和风险评估。在依托第三方评估机构开展网络安全风险评估等工作时,应当选用获得中国通信企业协会颁发的通信网络安全服务能力评定证书的单位。

7.开展数据安全风险评估及整改。各重要数据和核心数据处理者要按照有关法律法规和标准规范,重点围绕数据和个人信息收集、使用、加工、提供、公开、销毁等环节是否合法合规,以及数据存储、传输等环节是否采取技术保护措施,自行或委托第三方评估机构,每年至少开展一次数据安全风险评估,及时整改风险问题,完善内部制度机制和技术措施,并于2023年10月31日前将风险评估报告报送我局。需向境外提供在中华人民共和国境内收集和产生的重要数据和个人信息的企业,要按照《数据出境安全评估办法》等法律法规进行数据出境安全评估。

8.深化5G行业应用安全风险评估。各基础电信企业要完善5G行业应用安全风险评估机制,根据《5G网络建设与应用安全实施指南(2021)》规定的动态评估要素开展风险评估,评估内容应覆盖业务基础安全、业务平台安全、业务合作安全、数据安全、安全保障能力、重点技术安全(包括边缘计算安全、网络切片安全、虚拟基础设施安全、网络能力开放安全)等各项要素,并于2023年10月31日前将风险评估报告报送我局。

(三)强化网络和数据安全技术手段建设

9.持续优化网络安全技术手段。各基础电信企业要按照工信部有关技术规范和测试标准,结合企业实际优化完善IDC信息安全管理系统、僵木蠕和移动恶意程序监测与处置系统、网络安全态势感知平台、漏洞管理平台、资产管理平台等技术手段,进一步提升针对各种网络攻击、黑客入侵、网络病毒和数据泄露的监测、分析和处置能力。依据《关于印发2022年省级基础电信企业网络与信息安全工作考核相关网络安全标准规范的通知》要求,于2023年6月30日前完成与管局侧平台对接,常态化上报数据。

10.提升IPv6网络安全保障能力。各基础电信企业要按照《关于推进IPv6技术演进和应用创新发展的实施意见》要求,积极开展IPv6环境下的僵木蠕和移动互联网恶意程序监测与处置、态势感知技术手段建设,提升IPv6协议下的监测、防护、响应、分析能力。要积极升级改造资产管理、漏洞管理、统一身份认证和访问控制(4A)等相关安全管理系统,把IPv6相关设备纳入管理。

11.加快网络和数据安全技术创新。各基础电信企业要深入对5G、IPv6、工业互联网、车联网等新技术新业务网络和数据安全问题的跟踪研究,积极探索运用云计算、大数据、人工智能、区块链等新技术提升网络安全防护、监测、感知和分析能力,大力推进新型融合领域的网络安全技术创新,积极参与申报工信部组织的网络安全技术应用试点示范等各类创新示范活动。在做好自身安全防护的同时,要发挥网络和技术优势,积极拓展对客户提供网络和数据安全服务保障。

12.加强5G应用安全创新推广中心(湖北)示范创建。湖北电信作为5G应用安全创新推广中心(湖北)牵头单位,要按照《2023年5G应用安全创新推广中心工作计划》,进一步夯实现有科研能力和配套资源,提升产品、服务、解决方案的创新性和可复制性,加大开展规模化推广力度,带动提升5G行业应用安全水平,在标准研制落地、安全服务培育、解决方案推广、人才技术培训等方面切实取得成效。

(四)加强网络和数据安全监测预警与处置

13.加强安全监测预警和通报处置。各企业要建立健全网络和数据安全监测预警、信息报送和处置机制,按照《公共互联网网络安全威胁监测与处置办法》《网络产品安全漏洞管理规定》《工业和信息化领域数据安全风险信息报送与共享工作指南(试行)》等规定,在监测发现各类安全威胁、风险隐患后,属于自身问题的,应当立即采取措施,及时完成整改;涉及其他单位的,应当及时报送我局,不得随意对外发布漏洞细节情况,我局将通报督促相关单位及时防范整改。

14.开展安全威胁协同处置。各基础电信企业要充分利用自身技术能力,加大对恶意IP、恶意域名、恶意代码等网络安全威胁的分析研判及处置力度,重点针对僵尸网络、移动恶意程序、挖矿木马等开展治理,及时采取停止服务或屏蔽恶意资源、清理恶意程序、整改漏洞隐患等措施,并形成月报,在次月10日前报送我局。

15.充分发挥“天眼”网络安全联合实验室作用。整合实验室各支持单位、参与单位资源,推动信息通信行业资源共享,聚焦网络安全、数据安全、反诈等现实需求和前沿技术,增强5G、IPv6、物联网、车联网、工业互联网等新型融合领域安全保障能力,支撑监管,服务企业,促进网络和数据安全产业发展。

(五)提升网络和数据安全应急保障能力

16.健全突发事件应急保障体系。各企业要认真落实《公共互联网网络安全突发事件应急预案》《湖北省公共互联网网络安全突发事件应急预案》,完善本单位网络和数据安全突发事件应急预案,健全应急响应机制,建立应急队伍,不断提升本单位网络和数据安全突发事件的综合应对能力。

17.组织开展实网演练。各企业要结合自身情况,通过实战攻防、推演等方式,于2023年10月30日前至少开展一次网络和数据安全应急演练。我局将组织相关企业开展网络和数据安全攻防演练,以攻促防,检验各企业应急预案的科学性、实用性和可操作性,提升实战化应对能力。各企业要结合演练实际情况,完善应急预案,提升应对水平。

(六)强化供应链安全管理

18.防范供应链安全风险。各企业采购的网络产品、服务应当符合相关国家标准的强制性要求;采购网络关键设备和网络安全专用产品时,应依据《网络关键设备和网络安全专用产品目录》,购买符合相关国家标准强制性要求,且由具备资格的机构安全认证合格或者安全检测符合要求的网络关键设备和网络安全专用产品;在采购网络安全风险评估等技术服务时,要审核服务商是否是获得通信网络安全服务能力评定证书的单位。各基础电信企业在每季度结束后的次月15日前将产品和服务采购信息报送我局。

19.明确业务合作方的网络和数据安全责任。各企业在开展业务合作或业务委托时,应通过签订合同或协议等方式,明确双方的网络与数据安全责任和义务,确保网络和数据安全得到有效保护。受托方要依法依规,按照合同约定履行数据和个人信息保护义务,不得擅自留存、使用或泄露,委托方要加强对受托方处理活动的监督。

(七)开展人才教育培训

20.加大企业内部人才培训。各企业要建立系统化人才培养机制,制定年度网络和数据安全培训计划,对管理层、网络和数据安全专职人员、全体员工分别开展针对性的教育和培训。牵头部门网络和数据安全专职人员参加专业技能培训,且获得网络和数据安全相关专业资质证书的人员占比需达到60%以上并逐年提高;其他责任部门及地市分公司从事网络和数据安全工作人员也应进行培训和考试认证。

21.统筹开展网络和数据安全培训。湖北通信行业职业技能鉴定中心统筹协调省互联网协会、通信行业协会,面向各企业管理人员,围绕网络和数据安全法律法规、相关政策等方面开展宣贯解读的集中培训;开设网络与信息安全培训班,经培训并考试合格者,可颁发工信部教育与考试中心的《网络与信息安全管理师》职业能力等级评价证书。省互联网协会、通信行业协会要积极举办网络和数据安全相关的会议、沙龙等活动,加强对会员单位的指导支持。

(八)组织开展内部监督检查

22.开展企业内部自查自纠。各企业要结合实际,针对重点任务分工,制定内部网络和数据安全检查工作方案,明确检查方法,细化检查内容,开展一次全面的自查自纠,针对检查发现的责任不落实、制度不健全、技术不完善、工作不到位等问题,形成问题清单、责任清单、时限清单。对能够立刻整改的,要立行立改;对短期内整改不了的,要制定整改工作方案,明确风险时限;对于需要长期解决的,要纳入规划,积极创造条件,争取尽快解决。

四、工作安排

(一)动员部署阶段(2023年5月)。我局组织开展宣贯部署,统一思想,提高认识,明确要求。各基础电信企业要研究制定本单位工作方案,健全工作机制,明确工作任务,开展动员部署,并于5月31日前将方案报送我局。

(二)任务实施阶段(2023年5月至2023年11月)。各企业要按照方案要求,建立任务台账,细化工作措施,开展自查自纠,及时整改工作中存在的问题。我局将通过现场检查、远程检测等方式进行督导检查。

(三)总结提升阶段(2023年12月)。各企业要认真总结专项行动任务落实情况,查找工作中的不足,将专项行动要求与日常工作相结合,巩固经验成效,形成长效机制,于12月15日前将工作总结报送我局。

五、工作要求

(一)提高政治站位。各企业要深入学习领会习近平总书记关于网络和数据安全系列重要讲话精神,统筹发展和安全,树立正确的网络安全观,进一步增强风险意识,强化底线思维,充分认识网络和数据安全工作的重要性和紧迫性。各企业主要负责人是本单位网络和数据安全工作的第一责任人,要高度重视,切实加强本次专项行动组织领导。

(二)层层压实责任。各企业要明确网络和数据安全分管领导和牵头部门、责任部门,明确各项任务职责分工,紧扣时间节点,完善工作机制,做好统筹协调、监督检查、责任考核,确保专项行动任务落实到位。各企业于2023年5月19日前将分管领导、牵头部门负责人和联络员报送我局(模板见附件5)。

(三)开展监督检查。我局将适时组织开展网络和数据安全检查,围绕各企业对本次专项行动工作落实情况,网络和数据安全分类分级管理、评测评估、监测预警与处置等重点任务完成情况,仍然存在的风险隐患等,开展督导抽查、远程检测。对拒不配合检查或者在检查中发现存在违反法律法规行为、问题逾期不改正或导致危害网络安全等后果的,我局将依法依规进行处罚。

(四)严明工作纪律。基础电信网络和系统事关国家安全、国计民生和公共利益,未经电信主管部门或基础电信企业授权,任何组织和个人不得对基础电信企业实施漏洞探测、渗透性测试等活动。遇有关部门开展网络安全检查,基础电信企业应当及时向我局报告,我局将会同有关部门加强统筹协调。



附件:

1. 省内重点工业互联网平台企业和标识解析企业名单.docx

2. 省内重点车联网服务平台运营企业.docx

3. 5G行业应用项目清单.docx

4. 重点网络和数据安全标准目录.docx

5. 网络和数据安全工作联络信息表.docx


【返回顶部】 【关闭窗口】 【打印本页】