近日,湖北省通信管理局网络安全管理处印发《湖北省信息通信行业2024年网络和数据安全“荆楚护航”专项行动方案》。
关于印发《湖北省信息通信行业2024年网络和数据安全“荆楚护航”专项行动方案》的通知
鄂通信局发〔2024〕36号
省内各基础电信企业、互联网企业、工业互联网平台企业、工业互联网标识解析企业、车联网服务平台运营企业,有关单位:
现将《湖北省信息通信行业2024年网络和数据安全“荆楚护航”专项行动方案》印发给你们,请结合实际抓好落实。
联系方式:027-66990332
邮箱:hbwanganchu@126.com
湖北省通信管理局
2024年6月14日
湖北省信息通信行业2024年网络和数据安全“荆楚护航”专项行动方案
为提升我省信息通信行业网络和数据
安全防护水平,筑牢行业网络和数据安全防线,以高水平安全护航我省信息通信行业高质量发展,部署开展湖北省信息通信行业2024年网络和数据安全“荆楚护航”专项行动,特制定本方案。
一、总体要求
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大和二十届二中全会精神,认真学习贯彻习近平总书记关于网络强国的重要思想、关于推进新型工业化的重要指示精神,坚持总体国家安全观,以《网络安全法》《数据安全法》《关键信息基础设施保护条例》等法律法规为遵循,统筹行业高质量发展和高水平安全,督促企业落实网络和数据安全主体责任,增强行业关键信息基础设施风险防御能力,推动适应新型工业化特点的网络和数据安全体系和能力现代化,创新监管和服务提升企业安全水平,保障我省基础电信网、公共互联网、工业互联网、车联网的持续安全稳定运行,推动我省网络和数据安全工作再上新台阶,为我省加快“数化湖北”建设,推进新型工业化和中国式现代化湖北实践提供网络和数据安全保障。
二、重点任务
(一)摸清行业网络和数据资产底数
1.扎实做好
通信网络安全防护定级备案工作。各基础电信企业、互联网企业要按照《通信网络安全防护管理办法》规定,对已正式投入运行的各类网络和系统开展定级备案工作,并通过“工信部通信网络安全防护管理系统”(https://mii-aqfh.cn)提交定级备案信息。备案信息发生变化的,应当在30日内变更备案。各基础电信企业相关系统应当实现“应备尽备”。我局将重点组织省内不少于100家互联网企业开展定级备案相关工作,对没有依法开展定级备案的企业,将予以通报并督促整改。
2.深入推进工业互联网企业网络安全分类分级管理。各工业互联网平台和标识解析企业,要按照《工业互联网企业网络安全分类分级管理办法》规定开展自主定级,并通过“国家工业互联网企业网络安全分类分级管理公共服务平台”(https://103.118.52.157:18080)提交定级备案信息。企业定级要素发生较大变化的,应当在三个月内重新定级。我局将重点组织省内不少于10家工业互联网平台和标识解析企业开展定级备案相关工作,对没有依法开展定级备案的企业,将予以通报并督促整改。
3.加强车联网网络安全定级备案。各车联网服务平台运营企业,要按照《车联网网络安全防护定级备案实施指南》等安全防护标准,对所属网络设施和系统开展网络安全防护定级工作,并通过“全国车联网网络安全防护管理系统”(https://www.iovsec.org.cn)提交备案信息。我局将重点组织省内不少于5家车联网服务平台运营企业开展定级备案相关工作,对没有依法开展定级备案的企业,将予以通报并督促整改。
4.强化重要数据和核心数据识别与目录备案。各企业要严格落实《工业和信息化领域数据安全管理办法(试行)》,进一步规范数据处理活动,实施数据分类分级管理。各基础电信企业和重点互联网企业要开展重要数据和核心数据识别认定,形成本单位重要数据和核心数据目录,于2024年8月30日前报送我局;对数据目录实施动态管理,目录发生变化的,应当及时上报更新。
5.认定行业关键信息基础设施资产清单。各关键信息基础设施(以下简称关基)运营者,根据工业和信息化部关基保护规范,梳理本企业关基资产清单,确定安全管理主体、关键岗位人员,于2024年8月15日前将资产清单报我局。我局将加大对属地关基运营者的监督管理,指导关基运营者全面开展一次资产盘点和风险评估。
(二)提升网络和数据安全防护水平
6.扎实开展网络安全风险评估。对审核通过的每个三级网络和系统或工业互联网企业,相关企业应自行或委托符合要求的第三方安全机构,每年按照有关标准至少开展一次符合性评测和风险评估,对审核通过的每个二级网络和系统或工业互联网企业,每两年按照有关标准至少开展一次符合性评测和风险评估。各基础电信企业和互联网企业应当将评估报告上传定级备案系统,各工业互联网平台和标识解析企业、车联网服务平台运营企业应当将评测评估报告于10月底前报送我局。
7.认真开展数据安全风险评估。各重要数据和核心数据处理者要按照有关标准,自行或委托符合要求的第三方评估机构,至少开展一次数据安全风险评估,并于10月底前将评估报告报送我局。各基础电信企业、数据中心和云服务企业、车联网服务平台企业、“人工智能+”大模型企业,要聚焦数据非法收集、数据非法利用、防护措施不到位、人员违规操作等突出问题引发的数据安全风险开展风险排查,于7月15日前向我局提交自查报告。我局将组织专业力量对相关企业开展远程检测、现场诊断等工作。
8.保障5G行业应用安全。各基础电信企业在深化“5G+工业互联网”“5G+车联网”等重点领域的融合应用的同时,应当同步配套5G应用安全保障能力,并明确本单位和客户的网络和数据安全责任边界。各基础电信企业要对5G行业应用业务基础安全、业务平台安全、业务合作安全、数据安全、安全保障能力、重点技术安全等各项要素开展风险评估,并于10月底前将风险评估报告报送我局。5G应用安全创新推广中心(湖北)要加强技术攻关、供需对接、综合案例研判,11月底前向我局报送年度工作情况报告。
9.加强网络和数据安全技术手段建设。各企业要加大安全投入,不断完善技防体系,切实提升网络和数据安全防护水平。各基础电信企业要切实做好信安系统能力优化工作,升级指令协同、资源管理、系统交互、运维等系统基础管理功能,深化网络安全融合分析功能模块,完善数据安全风险监测及管理功能,提升精准研判分析能力。我局将组织专业力量对基础电信企业的网络和数据安全相关系统开展成效评估。
10.强化供应链安全。各企业采购的纳入目录的网络关键设备和网络安全专用产品,应当依法通过相关认证或检测。在开展业务合作或业务委托时,要以签订合同或协议等方式明确业务合作方的网络和数据安全责任。各关基运营者要围绕产品和服务供应商的人员背景、产品质量、运维服务、履约信用等,制定供应商管理制度,从源头侧强化关基安全保障。关基运营者采购网络产品和服务可能影响国家安全的,应当按照《网络安全审查办法》申报审查。各关基运营者在每季度结束后的次月15日前将产品和服务采购信息报送我局。
11.积极开展商用密码应用。各企业应当认真学习《商用密码管理条例》,结合实际开展商用密码应用,以商用密码应用提升网络和数据安全防护水平。各关基运营者要按照2027年行业关基商用密码体系化应用的总体目标,制定2024年商用密码应用工作计划。各基础电信企业针对信息系统类行业关基,进一步扩大应用范围,至少选取2个网络系统开展商用密码应用。各关基运营者要总结商用密码应用情况,于11月底前报我局。
(三)加强网络和数据安全监测处置
12.健全网络和数据安全监测处置机制。我局制定并印发我省公共互联网网络和数据安全威胁监测与处置办法实施细则。我局与相关省直部门建立我省工业和信息化领域网络和数据安全风险信息共享通报与防范处置工作机制。各基础电信企业应当参照我局印发的实施细则,制定本单位网络和数据安全监测预警、信息报送和处置机制。
13.加强安全威胁监测预警和通报处置。各企业要充分发挥自有系统能力,主动监测发现各类安全威胁、风险隐患,属于自身问题的,应当立即采取措施及时完成整改;涉及其他单位的,应当按要求及时报送我局,不得随意对外发布漏洞细节情况,我局将通报督促相关单位及时防范整改。我局将依托工信部网络安全威胁信息共享平台、省级工业互联网安全态势感知平台等,常态化开展网络和数据安全威胁监测处置。
(四)增强网络和数据安全应急响应能力
14.健全突发事件应急保障体系。各企业要完善本单位网络和数据安全突发事件应急预案,建立应急队伍,不断提升应急响应能力。针对勒索攻击、DDOS攻击等典型场景,应当制定专项应急预案或应对手册。各基础电信企业和重点互联网企业应当于9月底前将应急预案报我局备案。对于关基运营者,要按照“一关基一预案”的要求,分别制定网络安全突发事件应急预案,明确责任人、应急处置流程措施和重大风险直报机制,在发生重大网络和数据安全事件时,第一时间报我局。
15.开展攻防演练或应急演练。各企业要结合自身情况,通过实战攻防、推演等方式,年底前至少开展一次网络和数据安全应急演练或攻防演练,有效磨合重大风险应急处置机制,提升应对能力。我局将分科目、分赛道,牵头组织开展“荆楚护航-铸网2024”网络安全实网攻防演练,检验提升企业网络安全实战化应对能力和应急响应能力。
(五)凝聚网络和数据安全合力
16.举办工业互联网安全大会。聚焦工业互联网安全,面向湖北省内工业互联网企业,我局指导相关单位举办2024年湖北省工业互联网安全大会,增强交流互鉴,提升工业企业网络安全意识,促进市场提供更好更符合工业企业的网络安全产品和服务。
17.开展工信领域网络安全应用试点示范。鼓励各企业围绕监测赋能、服务创新、技术应用、人才培育等方面,探索可复制可推广的网络和数据安全等典型案例。鼓励各基础电信企业、网络安全企业联合保险公司,面向工业互联网企业和车联网企业提供针对性的优秀网络安全保险服务。我局将遴选并推荐优秀方案申报工业和信息化部网络安全技术、工业互联网安全、车联安全网、网络安全保险典型服务方案,并加大宣传推广。
18.加强宣贯培训力度。各企业要制定年度网络和数据安全培训计划,对管理层、网络和数据安全专职人员、全体员工分别开展针对性的教育和培训。各关基运营者要在单位内部传达学习关基保护相关法律法规、政策标准,确保关键岗位人员等年度培训时间不少于30个学时。我局面向湖北省内行业关基运营者,至少组织开展1次关基保护工作培训会。
19.强化企业内部监督检查。各企业要对照任务分工,结合实际制定单位内部网络和数据安全检查工作方案,开展一次全面的自查自纠。各基础电信企业省公司应当加强对地市公司的监督检查。针对检查发现的问题,形成问题清单、责任清单、时限清单。对能够立刻整改的,要立行立改;对短期内整改不了的,要制定整改工作方案,明确整改时限;对于需要长期解决的,要纳入规划,积极创造条件,争取尽快解决。
三、工作安排
(一)工作部署(2024年6月)。我局组织开展本次专项行动宣贯部署会,统一思想,提高认识,明确要求。各单位要明确本单位专项工作牵头部门及联络人信息(详见附件),于6月18日前报送我局。
(二)推进实施(2024年6月-11月)。各企业要对照方案要求研究制定本单位工作方案,明确工作任务,细化工作措施,开展动员部署,建立任务台账,开展自查自纠,及时整改工作中存在的问题。
(三)总结提升(2024年12月)。各企业要认真总结专项行动任务落实情况,查找工作中的不足,将专项行动要求与日常工作相结合,巩固经验成效,形成长效机制,于12月15日前将工作总结加盖单位公章后书面报送我局。
四、工作要求
(一)加强组织领导。各企业要深入学习领会习近平总书记关于网络和数据安全的重要指示精神,深刻认识网络和数据安全工作的重要性和紧迫性,进一步提高风险意识,强化底线思维。各企业主要负责人是本单位网络和数据安全工作的第一责任人,要对照本方案细化工作举措,狠抓工作落实。
(二)抓好工作落实。各企业要明确网络和数据安全分管领导和牵头部门、责任部门,明确各项任务职责分工。要完善工作机制,加强单位内部跨部门协同配合,做好统筹协调、监督检查、责任考核,确保专项行动任务落实到位。要紧扣时间节点,及时报送相关信息。
(三)开展监督检查。我局将适时组织开展网络和数据安全检查,围绕各企业对本次专项行动工作落实情况,开展现场抽查、远程检测。对拒不配合检查或者在检查中发现存在违反法律法规行为、问题逾期不改正或导致危害网络安全等后果的,我局将依法依规进行处罚。
(四)加强风险防控。各单位要强化风险防控意识,加强自查自评、安全演练等工作全过程风险管控,严格防范可能出现的安全风险。关基运营者要全面梳理专项行动具体任务实施可能带来的次生风险,充分研究论证,严格规范组织实施,确保在不影响关基安全稳定运行的前提下,稳妥有序推进专项工作。