工業和信息化部辦公廳關于開展2018年電信和互聯網行業網絡安全檢查工作的通知
（工信廳網安函〔2018〕261號）
各省、自治區、直轄市通信管理局，中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司、中國廣播電視網絡有限公司，互聯網域名注冊管理和服務機構，互聯網企業，有關單位：
為深入貫徹 總書記在全國網絡安全和信息化工作會議上的重要講話精神，落實關鍵信息基礎設施防護責任，提高電信和互聯網行業網絡安全防護水平，根據《中華人民共和國網絡安全法》、《通信網絡安全防護管理辦法》（工業和信息化部令第11號）、《電信和互聯網用戶個人信息保護規定》（工業和信息化部令第24號），決定組織開展2018年電信和互聯網行業網絡安全檢查工作。現將有關要求通知如下：
一、總體要求
緊緊圍繞加快推進網絡強國建設戰略目標，深入學習領會 總書記關于網絡安全的系列重要講話精神，加快落實《中華人民共和國網絡安全法》，堅持以查促建、以查促管、以查促防、以查促改，以防攻擊、防病毒、防入侵、防篡改、防泄密為重點，加強網絡安全檢查，認清風險現狀，排查漏洞隱患，通報檢查結果，督促整改問題，強化電信和互聯網行業網絡安全風險防范和責任落實，全面提升行業網絡安全保障水平，保障公共互聯網安全、穩定運行。
二、檢查重點
（一）重點檢查對象。檢查對象為依法獲得電信主管部門許可的基礎電信企業、互聯網企業、域名注冊管理和服務機構（以下統稱網絡運行單位）建設與運營的網絡和系統。重點是電信和互聯網行業網絡基礎設施、用戶信息和網絡數據收集、集中存儲與處理的系統、企業門戶網站和計費系統、域名系統、電子郵件系統、移動應用商店、移動應用程序及后臺系統、公共云服務平臺、公眾無線局域網、公眾視頻監控攝像頭等重點物聯網平臺、網約車信息服務平臺、車聯網信息服務平臺等。
（二）重點檢查內容。重點檢查網絡運行單位落實《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等法律法規情況，電信和互聯網安全防護體系系列標準符合情況，可能存在的弱口令、中高危漏洞和其他網絡安全風險隱患等（法律法規和標準依據詳見附件）。
三、工作安排
（一）定級備案。各網絡運行單位要按照《通信網絡安全防護管理辦法》的規定，在工業和信息化部“通信網絡安全防護管理系統”（https：//www.mii-aqfh.cn）對本單位所有正式上線運行的網絡和系統進行定級備案或變更備案。
（二）自查整改。各網絡運行單位要對照法律法規和本次檢查重點，對本單位網絡安全工作進行自查自糾，對自查發現的安全問題逐一做好記錄，能立即整改的，要邊查邊改，無法立即整改的，要采取防范措施，制定整改計劃，確保整改落實。2018年9月31日前，基礎電信企業集團公司、域名注冊管理和服務機構應將本單位自查工作總結報告報部（網絡安全管理局），基礎電信企業省級公司和互聯網公司形成自查工作總結報告報當地通信管理局。
（三）開展抽查。電信主管部門選取部分網絡和系統，委托專業技術機構采取現場詢問、查閱資料、現場檢測、遠程滲透、代碼檢測等方式進行檢查。對省級基礎電信企業和專業公司網絡和系統的檢查分別按照《2018年省級基礎電信企業網絡與信息安全工作考核要點與評分標準》《2018年基礎電信企業專業公司網絡與信息安全工作考核要點與評分標準》進行量化評分，評分結果分別作為2018年省級基礎電信企業和專業公司網絡與信息安全責任考核依據。各地通信管理局除抽查省級基礎電信企業外，至少抽查當地十家以上增值電信企業，將檢查工作總結報告于10月31日前報部（網絡安全管理局）。
四、工作要求
（一）加強領導，落實責任。各地電信主管部門、網絡運行單位應嚴格落實工作責任制，精心組織制定工作方案，落實機構、隊伍和工作經費，確保檢查工作不走過場，確保檢查發現的問題得到及時有效整改。發現問題的單位要舉一反三，健全網絡安全問題閉環管理機制，加強定期巡查、整改核驗、考核問責，以檢查為契機，不斷完善電信和互聯網行業網絡安全保障體系。
（二）規范檢查，嚴明紀律。各單位要規范檢查方法和程序，避免檢查工作影響網絡和系統的正常運行，檢查工作中發現重大問題應及時報我部。采用隨機抽取檢查對象、隨機選派檢查隊伍的“雙隨機”方式安排實施檢查。任何部門不得向被檢查單位收取費用，不得要求被檢查單位購買、使用指定的產品和服務。委托專業技術機構進行安全檢查，要進行嚴格審查，簽訂保密承諾書，并明確專業技術機構及人員的安全責任。要嚴格遵守有關保密規定，檢查結果除按規定報送外，不得提供給其他單位和個人。
（三）加強防范，及時整改。專業檢測機構對檢查發現的薄弱環節、安全漏洞和安全風險，要現場告知網絡運行單位，并指導其防范整改。抽查發現的重大網絡安全風險和隱患，電信主管部門可通過《網絡安全問題整改通知書》等形式書面向網絡運行單位通報，督促其限期整改。網絡運行單位要對檢查發現的薄弱環節和安全風險進行深入整改，對相關責任部門和責任人進行問責處理，并及時向電信主管部門報告問題整改和問責情況。
（四）強化協同，協調配合。各地通信管理局要強化與網信、公安等部門的協調溝通，按照網絡安全工作責任制和中央網信辦《關于加強和規范網絡安全檢查工作的通知》（中網辦發文〔2015〕7號）要求，堅持跨部門、跨行業的網絡安全檢查應由當地網信部門統籌協調，其他部門對電信和互聯網行業的網絡安全檢查應當會同電信主管部門進行，加強協同溝通，提倡開展聯合檢查，避免交叉重復，基礎電信企業向非電信主管部門提供網絡安全相關資料和數據的，應征得當地通信管理局同意，或由通信管理局統一協調提供。
特此通知。
附件：網絡安全檢查工作依據的法律法規和標準
工業和信息化部辦公廳
2018年8月6日
附件
網絡安全檢查工作依據的法律法規和標準
一、法律法規
1. 《中華人民共和國網絡安全法》
2. 《通信網絡安全防護管理辦法》
3. 《電信和互聯網用戶個人信息保護規定》
二、電信和互聯網安全防護體系系列標準
1. 《移動通信網安全防護要求》
2. 《移動通信網安全防護檢測要求》
3. 《互聯網安全防護要求》
4. 《互聯網安全防護檢測要求》
5. 《增值業務網-消息網安全防護要求》
6. 《增值業務網-消息網安全防護檢測要求》
7. 《增值業務網-智能網安全防護要求》
8. 《增值業務網-智能網安全防護檢測要求》
9. 《接入網安全防護要求》
10.《接入網安全防護檢測要求》
11.《傳送網安全防護要求》
12.《傳送網安全防護檢測要求》
13.《IP承載網安全防護要求》
14.《IP承載網安全防護檢測要求》
15.《信令網安全防護要求》
16.《信令網安全防護檢測要求》
17.《同步網安全防護要求》
18.《同步網安全防護檢測要求》
19.《支撐網安全防護要求》
20.《支撐網安全防護檢測要求》
21.《域名系統安全防護要求》
22.《域名系統安全防護檢測要求》
23.《域名注冊系統安全防護要求》
24.《域名注冊系統安全防護檢測要求》
25.《網上營業廳安全防護要求》
26.《網上營業廳安全防護檢測要求》
27.《WAP網關系統安全防護要求》
28.《WAP網關系統安全防護檢測要求》
29.《電信網和互聯網信息服務業務系統安全防護要求》
30.《電信網和互聯網信息服務業務系統安全防護檢測要求》
31.《增值業務網即時消息業務系統安全防護要求》
32.《增值業務網即時消息業務系統安全防護檢測要求》
33、《移動互聯網應用商店安全防護要求》
34.《移動互聯網應用商店安全防護檢測要求》
35.《互聯網內容分發網絡安全防護要求》
36.《互聯網內容分發網絡安全防護檢測要求》
37.《互聯網數據中心安全防護要求》
38.《互聯網數據中心安全防護檢測要求》
39.《移動互聯網聯網應用安全防護要求》
40.《移動互聯網聯網應用安全防護檢測要求》
41.《公眾無線局域網安全防護要求》
42.《公眾無線局域網安全防護檢測要求》
43.《電信和互聯網用戶個人電子信息保護通用技術要求和管理要求》
44.《電信和互聯網用戶個人電子信息保護檢測要求》