海南省通信管理局关于印发《海南省信息通信业护航新型工业化2024年网络安全专项行动方案》的通知
中国电信海南公司、中国移动海南公司、中国联通海南省分公司、中国有线海南分公司,省内工业互联网标识解析企业、省内车联网服务平台企业,有关单位:
现将《海南省信息通信业护航新型工业化2024年网络安全专项行动方案》印发给你们,请结合实际贯彻落实。
附件:海南省信息通信业护航新型工业化2024年网络安全专项行动方案
海南省通信管理局
2024年7月1日
(联系人及电话:陈忠杰,0898-66503582)
(主动公开)
附件
海南省信息通信业护航新型工业化
2024年网络安全专项行动方案
为高水平安全护航我省新型工业化高质量发展,不断筑牢海南省新型工业化数字安全底座,提升我省信息通信业网络安全防护水平,部署开展海南省信息通信业护航新型工业化2024年网络安全专项行动,制定本方案。
一、总体要求
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大和二十届二中全会精神,顺应新一轮科技革命和产业变革趋势、新质生产力加快发展需要,以《中华人民共和国网络安全法》《海南省公共互联网网络安全威胁监测与处置办法》等法律法规为遵循,统筹行业高质量发展和高水平安全,督促企业落实网络安全主体责任,保障我省基础电信网、公共互联网、工业互联网、车联网的持续安全稳定运行,为我省加快“自贸港”建设提供网络安全保障。
二、重点任务
(一)梳理网络资产清单
1.扎实做好通信网络安全防护定级备案工作。各基础电信企业、互联网企业要按照《通信网络安全防护管理办法》规定,对已正式投入运行的各类网络和系统开展定级备案工作,并通过“工信部通信网络安全防护管理系统”(https://mii-aqfh.cn)提交定级备案信息。备案信息发生变化的,应当在30日内变更备案。各基础电信企业相关系统应当实现“应备尽备”。我局将重点组织省内部分互联网企业开展定级备案相关工作,对没有依法开展定级备案的企业,将予以通报并督促整改。
2.深入推进工业互联网企业网络安全分类分级管理。工业互联网标识解析企业要按照《工业互联网企业网络安全分类分级管理办法》规定开展自主定级。企业定级要素发生较大变化的,应当在三个月内重新定级。我局将重点组织省内工业互联网标识解析企业开展定级备案相关工作,对没有依法开展定级备案的企业,将予以通报并督促整改。
3.加强车联网网络安全定级备案。各车联网服务平台企业,要按照《车联网网络安全防护定级备案实施指南》等安全防护标准,对所属网络设施和系统开展网络安全防护定级工作。我局将重点对未依法开展定级备案的企业,将予以通报并督促整改。
(二)提升网络安全防护能力
4.扎实开展网络安全风险评估。对审核通过的每个三级网络和系统的企业,应自行或委托符合要求的第三方安全机构,每年按照有关标准至少开展一次符合性评测和风险评估;对审核通过的每个二级网络和系统的企业,每两年按照有关标准至少开展一次符合性评测和风险评估。各基础电信企业和互联网企业应当将评估报告上传定级备案系统,
5.强化供应链安全。各企业采购的纳入目录的网络关键设备和网络安全专用产品,应当依法通过相关认证或检测。在开展业务合作或业务委托时,要以签订合同或协议等方式明确业务合作方的网络和数据安全责任。各关基运营者要围绕产品和服务供应商的人员背景、产品质量、运维服务、履约信用等,制定供应商管理制度,从源头侧强化关基安全保障。
(三)加强网络安全监测处置
6.健全网络安全监测处置机制。各基础电信企业应当参照我局印发的《海南省公共互联网网络安全威胁监测与处置办法》,制定本单位网络安全监测预警、信息报送和处置机制。
7.加强安全威胁监测预警和通报处置。各企业要充分发挥自有系统能力,主动监测发现各类安全威胁、风险隐患,属于自身问题的,应当立即采取措施及时完成整改;涉及其他单位的,应当及时报送我局,不得随意对外发布漏洞细节情况,我局将通报督促相关单位及时防范整改。我局将依托省级工业互联网安全态势感知平台等,常态化开展网络安全威胁监测处置。
(四)增强网络安全应急响应能力
8.健全突发事件应急保障体系。各企业要完善本单位网络安全突发事件应急预案,建立应急队伍,不断提升应急响应能力。针对勒索攻击、DDoS攻击等典型场景,应当制定专项应急预案或应对手册。
9.开展攻防演练或应急演练。各企业要结合自身情况,通过实战攻防、推演等方式,年底前至少开展一次网络安全应急演练或攻防演练,有效磨合重大风险应急处置机制,提升应对能力。我局将组织开展网络安全实网攻防演练,检验提升企业网络安全实战化应对能力和应急响应能力。
(五)凝聚网络安全合力
10.开展工信领域网络安全应用试点示范。鼓励各企业围绕监测赋能、服务创新、技术应用、人才培育等方面,探索可复制可推广的网络安全等典型案例。鼓励各基础电信企业、网络安全企业联合保险公司,面向工业互联网平台企业和车联网服务平台企业提供针对性的优秀网络安全保险服务。我局将遴选并推荐优秀方案申报工业和信息化部网络安全技术、工业互联网安全、车联安全网、网络安全保险典型服务方案,并加大宣传推广。
11.加强宣贯培训力度。各企业要制定年度网络安全培训计划,对管理层、网络安全专职人员、全体员工分别开展针对性的教育和培训。
12.强化企业内部监督检查。各企业要对照任务分工,结合实际制定单位内部网络安全检查工作方案,开展一次全面的自查自纠。各基础电信企业省公司应当加强对地市公司的监督检查。针对检查发现的问题,形成问题清单、责任清单、时限清单。对能够立刻整改的,要立行立改;对短期内整改不了的,要制定整改工作方案,明确整改时限;对于需要长期解决的,要纳入规划,积极创造条件,争取尽快解决。
三、工作安排
(一)工作部署(2024年7月)。我局组织开展本次专项行动宣贯部署会,统一思想,提高认识,明确要求。各单位要明确本单位专项工作牵头部门及联络人信息,于7月5日前报送我局。
(二)推进实施(2024年7月-11月)。各企业要对照方案要求研究制定本单位工作方案,明确工作任务,细化工作措施,开展动员部署,建立任务台账,开展自查自纠,及时整改工作中存在的问题。
(三)总结提升(2024年11月)。各企业要认真总结专项行动任务落实情况,查找工作中的不足,将专项行动要求与日常工作相结合,巩固经验成效,形成长效机制,于11月25日前将工作总结加盖单位公章后书面报送我局。
四、工作要求
(一)加强组织领导。各企业要深入学习领会习近平总书记关于网络安全的重要指示精神,深刻认识网络安全工作的重要性和紧迫性,进一步提高风险意识,强化底线思维。各企业主要负责人是本单位网络安全工作的第一责任人,要对照本方案细化工作举措,狠抓工作落实。
(二)抓好工作落实。各企业要明确网络安全分管领导和牵头部门、责任部门,明确各项任务职责分工。要完善工作机制,加强单位内部跨部门协同配合,做好统筹协调、监督检查、责任考核,确保专项行动任务落实到位。要紧扣时间节点,及时报送相关信息。
(三)开展监督检查。我局将适时组织开展网络安全检查,围绕各企业对本次专项行动工作落实情况,开展现场抽查、远程检测。对拒不配合检查或者在检查中发现存在违反法律法规行为、问题逾期不改正或导致危害网络安全等后果的,我局将依法依规进行处罚。
(四)加强风险防控。各单位要强化风险防控意识,加强自查自评、安全演练等工作全过程风险管控,严格防范可能出现的安全风险。充分研究论证,严格规范组织实施,确保在不影响安全生产稳定运行的前提下,稳妥有序推进专项工作。