中国电信云南公司、中国移动云南公司、中国联通云南省分公司、中国广电云南公司、中国铁塔云南省分公司、云南省电信领域网络和数据安全风险防控重点企业、云南省工业互联网安全分类分级重点企业:
为进一步提升云南省通信行业网络和数据安全防护水平,按照工业和信息化部、云南省委、省政府总体部署,结合我局工作职责,现印发云南省2025年电信和工业互联网领域网络和数据安全检查工作方案,请各企业参照执行。
一、总体目标
深入学习贯彻习近平总书记关于网络强国的重要思想,深入贯彻党的二十大和二十届二中、三中全会精神,落实全国新型工业化推进大会部署要求,根据《网络安全法》《数据安全法》《关键信息基础设施保护条例》《网络数据安全管理条例》等法律法规要求,坚持以查促建、以查促管、以查促防、以查促改,强化行业的风险防范及主体责任落实,做好行业关键信息基础设施安全防护,保障通信网、公共互联网、工业互联网的持续安全稳定运行,以高水平安全护航云南新型工业化高质量发展。
二、检查对象
云南省电信领域网络和数据安全风险防控重点企业(以下简称电信领域企业)、云南省工业互联网安全分类分级重点企业(以下简称工业互联网企业)。重点检查相关企业建设运营的网络、系统、平台、应用、业务等,特别是电信行业关键信息基础设施和重要网络单元及承载的信息系统,包括但不限于:互联网平台、系统(网站、APP、小程序、公众号)、5G核心网、管理支撑系统、公共云服务平台、域名服务系统、移动应用商店、工业互联网平台、物联网服务平台等。
三、检查内容
(一)网络安全管理制度和保障体系建设落实情况
检查电信领域企业、工业互联网企业落实《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络数据安全管理条例》《通信网络安全防护管理办法》《网络产品安全漏洞管理规定》《工业和信息化领域数据安全管理办法(试行)》等法律法规和政策性文件,建立和完善本企业的网络安全、数据安全等管理制度和保障体系,开展法律法规宣贯培训,强化日常自身网络与数据安全管理和防护等情况。
(二)通信网络安全防护和工业互联网分类分级管理工作落实情况
电信领域企业要按照《通信网络安全防护管理办法》和通信网络安全防护系统标准要求,对本企业各类通信网络单元进行网络单元划分和定级备案,并按要求开展符合性评测和安全风险评估。各企业应于2025年8月底前,通过工业和信息化部“通信网络安全防护管理系统”(https://www.mii-aqfh.cn)报送本企业网络单元定级信息。
工业互联网企业要按照《云南省工业互联网安全分类分级管理办法》和工业互联网企业网络安全标准要求,结合企业实际情况发,开展自主定级,并按要求开展符合性评测,于2025年9月底前通过“全国工业互联网安全分类分级管理平台”(https://mii-ciiflfj.cn/)或与其对接的省级有关平台开展信息登记。
各企业要加强与云南省通信管理局的沟通协调,积极融入到公共互联网网络与数据安全威胁监测处置机制中,为保证政务通畅,网络和数据安全漏洞闭环处置,请各企业网络安全负责人和具体工作人员注册并使用“云南公共互联网安全协作平台”(https://www.ynnet. org.cn/cybercollab/,可通过云南省互联网协会公众号进入),接受或处理相关通知、通报。
为有效防范重要保障时期可能发生的各类网络安全事件,各企业要自行组织力量或者委托具有通信网络安全专业服务能力资质的机构,对本企业的重要通信网络和信息系统进行全方位网络安全符合性评测和安全风险评估。
我局将对电信和工业互联网领域企业备案系统开展定级评测评估情况核查,组织专业技术队伍对企业相关系统开展远程技术检测,对网络安全责任不明确、网络单元应备未备、未及时开展评测评估、存在高危漏洞隐患等相关问题进行通报整改。
(三)数据安全管理落实情况
电信领域企业要按要求准确识别公司全量重要数据,并形成目录。目录发生重大变化时,于3个月内完成更新并报我局。自行或委托具备相关资质的机构,按照《云南省电信领域数据安全风险评估实施细则(试行)》开展风险评估,并于2025年9月底前将重要数据目录和风险评估报告报我局,我局将对各企业报送的数据安全风险评估报告开展审查,对存在问题的进行通报整改。
我局将组织检查各企业落实数据全生命周期安全管理,加强重要数据、个人用户数据安全管理,健全应急处置、教育培训、内部登记、审批等管理机制,配备重要数据打标入库、加密、脱敏、访问控制、容灾备份等技术措施情况;重要数据数据目录、风险评估报告合规性情况。
从事IDC(互联网数据中心)业务的电信领域企业应加强互联网数据中心客户数据安全管理,严格落实《关于加强互联网数据中心客户数据保护的通知》(工信厅网安〔2025〕5号)要求,结合业务类型建立客户数据安全管理制度机制、配备客户数据安全保护能力。我局将组织开展监督检查,对存在管理制度机制不健全的,客户数据安全保护能力配备不足予以通报,并督促完成整改。
(四)新技术新业务安全评估情况
各基础电信企业应严格落实新技术新业务安全评估要求,我局将组织检查企业云计算、人工智能、大数据、区块链、5G应用、卫星互联网、物联网、车联网、算力网络等新技术新业务安全管理制度,存量业务系统和计划上线新业务系统评估清单、互联网新技术新业务安全评估实践等情况。
(五)行业关键信息基础设施安全保护情况
对关键信息基础设施运营者,我局将检查落实国家和行业关键信息基础设施安全保护有关要求,重点检查管理机构、关键岗位人员、关键信息基础设施资产边界等,制定针对性应急预案,以及落实资金、人员、培训等资源保障要求;企业运营关键信息基础设施系统检测评估情况、问题整改和防网络攻击应急演练等。
(六)第三方供应商管理情况
对基础电信企业,我局将检查业务合作、技术支撑、数据服务等第三方供应商管理情况,重点包括管理制度、台账建设、网络与数据安全责任边界、风险评估和日常管理等;三级及以上网络单元远程运维情况;采购未通过安全服务能力评定机构的安全服务情况。
(七)常态化安全防护和专项行动
对电信和工业领域企业,我局将按照《云南省公共互联网网络与数据安全监测处置工作机制》要求,开展常态化的互联网平台、系统(网站、APP、小程序、公众号)等互联网暴露面安全监测,并对存在漏洞的企业进行通报,企业在收到整改通知后按要求于7个工作日内完成处置并反馈至我局。
我局将依托网络安全实网攻防演练、突出风险防范、数安护航等专项行动,对电信和工业领域企业互联网暴露面系统开展远程安全检查,并发现的问题进行通报,企业在收到整改通知后按要求完成处置并反馈至我局。
四、工作要求
(一)提高重视程度
各企业要高度重视网络和数据安全工作,提高认识,严格按照前期培训内容,落实相关网络和数据安全法律法规要求,做好通信网络单元定级备案、工业互联网分类分级、数据分类分级和重要数据识别备案等工作,对发现的漏洞威胁及时进行处理,积极配合主管部门的监督管理。对落实网络和数据安全法律法规不力、漏洞整改不及时、发生相关安全事件等情况的企业我局将按照相关法律法规,依法处理。
(二)加强统筹协调
云南省通信管理局加强工作统筹,明确监督检查工作目标和责任分工,协调推动重大事项,协同其他行业主管部门共同应对重大风险。云南省互联网协会、云南省通信管理局网络和数据安全支撑单位充分发挥网络优势,逐步扩大威胁信息监测发现、收集的覆盖范围,在监督检查各环节工作提供科学、严谨、精准、及时的技术支撑。
(三)扎实工作作风
云南省通信管理局及各企业要切实承担相应责任和义务,细化工作措施,健全工作流程,做好技术支撑机构的管理和协调,严格执行规范要求。云南省通信管理局开展监督检查,应当客观公正,不得向被检查单位收取费用;不得访问、收集与网络和数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途;同时加强监督检查工作的意见收集,确保各项工作顺利推进。
云南省通信管理局
2025年6月3日
来源:云南省通信管理局