关于进一步加强信息通信业网络安全防护管理工作的通知
省各基础电信企业、增值电信企业,相关网络安全支撑单位:
为加强我省信息通信业通信网络安全管理,提升行业网络安全防护水平,按照《工业和信息化部网络安全管理局关于规范开展2025年信息通信网络安全防护工作的函》(工网安函〔2025〕331号)要求,结合工作实际,现就我省信息通信业网络安全防护管理工作有关要求通知如下。
一、工作对象
(一)省内基础电信企业。各基础电信企业已正式投入运行的系统或单元,包括但不限于固定通信网、移动通信网、接入网、传送网、IP承载网、信令网、同步网、支撑网、非核心生产单元、网上营业厅等系统或单元。
(二)省内增值电信企业。已取得增值电信业务许可证的企业已正式投入运行的系统或单元,包括信息服务业务(仅限互联网信息服务)、信息服务业务(不含互联网信息服务)、在线数
据处理与交易处理业务、网络托管业务、互联网入服务业务和互联网数据中心业务、呼叫中心等相关系统或单元。
二、工作内容
(一)落实网络安全防护措施的“三同步”要求。基础电信企业、增值电信企业(以下称信息通信网络运行单位)要按照网络安全防护同规划、同建设、同运行实施要求,对新建、改建、扩建、已建的信息通信网络,实施网络安全防护措施的同规划、同建设、同运行。规划阶段要开展安全需求分析,形成安全总体方案和安全建设方案。建设阶段要细化设计方案,落实安全管理和技术要求,项目完成后组织验收并形成验收和检测报告。运行阶段要做好运行监控、变更管控、事件响应、安全检测,确保安全保障工作的有效性。网络安全防护同规划、同建设、同运行相关材料应做好留存备查。
(二)加强通信网络单元定级备案管理。各信息通信网络运行单位要对本单位管理、运行的通信网和互联网(以下统称“通信网络”)及其各类信息系统,进行单元划分,按照《通信网络安全防护管理办法》(工业和信息化部令第11号)》规定开展定级工作并在工业和信息化部“通信网络安全防护管理系统”(以下简称“管理系统”,https://mii-aqfh.cn)报送各单元的定级信息。于2025年8月底前完成存量信息通信网络单元的全面核查,并通过通信网络安全防护管理系统向我局更新备案信息(业务流程见附件2)。鼓励其他互联网企业、工业互联网企业和相关单位参照《通信网络安全防护管理办法》(工业和信息化部令第11号)开展定级、备案等工作。
(三)加强信息通信网络安全符合性评测。信息通信网络单元在定级评审通过后,应当落实与定级级别相适应的安全防护措施,并按照以下规定进行符合性评测:三级及三级以上信息通信网络单元应当每年开展一次;二级信息通信网络单元应当每两年开展一次;信息通信网络单元的划分和级别调整的,应当自调整完成之日起90日内重新进行符合性评测。各单位应当在评测结束后30日内,将通信网络单元的符合性评测及安全风险评估结果和整改情况或者整改计划在“管理系统-定级报告附件”(https://mii-aqfh.cn)进行上传。对未按要求落实符合性评测、风险评估等责任的企业,或在审查中弄虚作假的,将依法给予行政处罚,并纳入电信业务经营不良名单。
(四)强化通信网络单元安全风险评估。信息通信网络单元在定级评审通过后,各信息通信网络运行单位要按照电信网和互联网安全风险评估规范开展安全风险评估,及时发现并消除重大网络安全隐患和漏洞。其中,三级及以上通信网络单元应当每年开展一次安全风险评估,二级通信网络单元应当每两年开展一次安全风险评估。在系统发生重大变更时,或在国家重大活动举办前,按照《通信网络安全防护管理办法》(工业和信息化部令第11号)要求开展评估。评估结束三十日内,将安全风险评估结果、整改情况或者整改计划书面报送我局(模板见附件4)。
(五)做好暴露面风险管理。各信息通信网络运行单位应系统梳理互联网暴露面,包括承载电信业务、企业办公、业务支撑等的各类信息通信网络单元互联网出入口,严控出入口数量,做好边界隔离和安全防护。基础电信企业省级公司办公网互联网出入口数量原则上不超过2个,有特殊情况的需向集团公司报备,加强暴露面监测和安全管理。统计办公网互联网出入口,以及接入在用的各类信息通信网络单元的虚拟专用网络(VPN)、零信任网络的情况,形成互联网暴露面信息列表(模板见附件5)与本年度网络安全防护工作总结报告同步提交。
(六)加强网络安全威胁监测。信息通信网络运行单位要按照公共互联网网络安全威胁监测与处置要求,做好常态化网络安全威胁监测与处置。建设网络安全威胁监测与处置手段,在互联网出入口、网络边界等网络关键节点部署攻击监测设备,基于流量监测、网元自身安全组件监测、日志采集分析等,提升恶意程序传播、漏洞攻击利用等网络威胁精准监测、分析研判能力,及时发现并处置各类风险隐患与威胁。加强威胁信息共享,合力形成行业一体的协同联动防护机制,做到安全威胁一处发现、全网处置。
(七)强化网络安全事件应急处置。信息通信网络运行单位要按照公共互联网网络安全突发事件应急预案要求,提升网络安全突发事件应急处置能力。制定并更新完善本单位网络安全应急预案,做好重大活动网络安全保障准备。定期参与或自行组织开展针对性、实战化网络安全事件应急演练,不断健全网络安全事件报告和应急处置机制。严格落实突发事件报告制度,发生重大网络安全事件或者发现重大网络安全威胁的,立即向工业和信息化部网络安全管理局报告,发生较大或一般网络安全事件的,立即向我局报告,并在事件应急响应结束后十个工作日内,将总结报告报我局。
三、工作流程
(一)企业自评。各信息通信网络运行单位对照工业和信息化部《电信网和互联网网络安全防护定级备案实施指南》《电信网和互联网安全风险评估实施指南》等相关标准,根据网络和系统破坏后对国家安全、社会秩序、经济建设、公共利益,以及公民或者法人的合法权益危害程度等因素,将本企业已正式投入运行的通信网络单元由低到高划分为1-5级,并形成定级备案报告、符合性评测及其证明材料、风险评估报告。已申领电信业务许可证,但相关网络系统尚未正式投入运行的,通过“管理系统”提交业务未开展说明(见附件1)。
(二)材料递交。各信息通信网络运行单位按照填报指南(附件2)在“管理系统”中填报备案单位信息,并上传网络单元定级备案报告、符合性评测及其证明材料、风险评估报告等材料清单(附件3)提交审核。
(三)材料审核。为提升网络单元评审工作的效率,省通信管理局工作人员将对通信网络安全防护管理系统中已提交的网络单元相关材料完整性进行审核,未通过的网络单元会在系统予以退回,各企业要随时关注审核动态,并按退回要求在5个工作日重新报送。
四、工作要求
(一)加强组织领导。各信息通信网络运行单位要高度重视通信网络安全防护工作,加强组织领导,强化内部部署,制定防护方案,明确责任分工,在保障日常网络安全的基础上重点做好通信网络单元的安全防护工作,切实落实各信息通信网络单元的定级备案、符合性评测、安全风险评估和隐患整改相关要求。
(二)严格落实工作。各信息通信网络运行单位要准确掌握相关填报工作要求,自行或委托专业机构启动本单位定级备案工作,真实完整填报相关材料,确保数据准确,不得弄虚作假或者隐瞒真实情况。并于2025年11月底前将本年度网络安全防护工作开展情况(包括定级备案、符合性评测、安全风险评估、暴露面信息、应急预案及演练情况),书面报送至我局(模板见附件6)。
(三)强化支撑保障。各网络安全支撑单位要加强与企业的沟通对接和咨询指导,做好问题解答、安全评估、整改落实等各环节的支撑保障。
(联系人及电话:董磊 0971-8208936)
青海省通信管理局
2025年6月6日