中国电信浙江公司、中国移动浙江公司、中国联通浙江分公司、铁通浙江公司，各相关单位：

按照《通信网络安全防护管理办法》（工业和信息化部令第11号）有关规定，经研究，决定组织开展2015年电信和互联网行业网络安全防护检查工作。现将有关事项通知如下：

一、检查目的

通过开展网络安全防护检查，以查促建、以查促管、以查促改、以查促防，增强安全意识，落实安全责任，深入分析安全风险，系统评估安全状况，全面排查安全隐患，进一步健全安全管理制度，完善安全防护措施，提升安全可控水平和安全防护能力，预防减少网络安全事件的发生，切实保障基础通信网络和业务系统的安全稳定运行。

二、检查范围

省内各基础电信企业、增值电信企业以及互联网域名注册服务机构（以下统称网络和系统运行单位）已定级备案的二级及二级以上网络和系统、尚未定级备案的重要网络和系统，重点检查基础网络设施、数据中心、域名系统和覆盖本公司全部三级以上网络和系统的集中账号管理、认证、授权、审计（4A）平台的安全防护手段建设情况。

三、检查内容

（一）网络安全防护管理情况。重点检查网络和系统运行单位是否按照《通信网络安全防护管理办法》、《工业和信息化部关于印发〈2015年省级基础电信企业网络与信息安全工作考核要点和评分标准〉的通知》的要求，建立健全网络安全管理制度的情况，主管领导、管理部门和专职工作人员的履职情况，网络安全责任制落实及事故责任追究情况，人员、资产、采购、外包等日常安全管理情况，网络安全经费保障情况等。

（二）定级备案情况。重点检查已正式投放运行的网络和系统是否完成安全域划分和定级工作；二级及二级以上网络和系统是否全部向我局备案；已备案网络和系统的安全域划分、级别和备案信息等是否需要变更，责任部门和责任人是否明确。

（三）符合性（达标）评测和风险评估情况。重点检查已备案的二级及二级以上网络和系统是否按照网络安全防护系列标准落实防病毒、防攻击、防篡改、防瘫痪、防泄密等安全防护措施，是否开展符合性评测和风险评估，并对评测和评估过程中发现的安全隐患及时整改；是否将符合性评测、风险评估和整改情况的结果报送我局。

（四）网络数据安全和用户信息保护情况。重点检查数据中心及使用的云计算服务设施是否设在境外，采用系统设计开发、系统集成、运行维护、数据处理、安全评估等外包服务过程中数据是否被提交给境外机构，业务系统是否被境外机构远程控制，存储和处理用户信息的业务系统是否按照网络安全防护标准采取了用户信息保护措施。

（五）应急工作开展情况。重点检查网络和系统运行单位是否按照国家和我省公共互联网网络安全应急预案要求，制定网络安全事件应急预案、开展应急演练的情况；是否建设应急技术支撑队伍、灾难备份措施；是否落实网络安全事件信息通报和应急处置等。

（六）宣传教育培训情况。重点检查网络和系统运行单位是否开展网络安全宣传教育、网络信息安全员接受持证上岗培训等培训情况。

（七）网络安全问题整改情况。重点检查上一年度及本年度网络安全防护检查工作中发现问题的整改情况及整改结果，进一步分析安全风险，评估网络和系统的安全状况。

（八）工业和信息化部部署的其他检查内容。

四、检查方式和时间安排

基础电信企业的网络安全防护检查，采取自查和我局抽查相结合的方式；增值电信企业、互联网域名注册服务机构的检查，以我局抽查为主。

（一）自查整改阶段（5月1日至6月30日）。基础电信企业应围绕检查目的、检查范围和检查内容，结合实际自行组织开展安全自查工作，制定检查实施方案；对已备案或已提交备案申请的二级及二级以上网络和系统，应于6月30日前通过“通信网络安全防护管理系统（https://www.mii-aqfh.cn/）”完成符合性评测表的在线填报。 填写《网络安全自查结果统计表》（附件1），于6月30日前将纸质版和电子版反馈我局。

（二）检查评估阶段（7月1日起至8月31日）。工业和信息化部和我局组织专业技术队伍，采取上门访谈、现场检测、远程渗透、源代码检测等方式，对网络和系统运行单位部分重点网络和系统进行抽查，并按照《网络和系统安全防护检测评分方法》（附件1）对被抽查网络和系统的防护水平和风险状况进行量化评分。基础电信企业抽查评分结果作为2015年省级基础电信企业网络与信息安全责任制考核依据。抽查工作具体安排由工业和信息化部和我局另文部署。

（三）总结阶段（9月1日至9月30日）。各单位要认真做好年度网络安全防护工作总结，于9月30日前将总结报告书面报送我局。

五、工作要求

（一）加强领导，落实责任。各基础电信企业、增值电信企业和互联网域名注册服务机构要切实加强网络安全防护检查工作的组织领导，进一步强化内部统筹协调，明确检查责任，落实检查部门、检查人员、检查经费及其他保障条件，积极主动配合部、省两级电信主管部门做好抽查工作，确保检查工作顺利开展。

（二）认真实施，确保成效。各单位要结合实际，周密制定检查实施方案和工作计划，全面深入查找安全隐患，切实做到不走过场、不漏洞环节、不留死角。对检查工作中发现的安全隐患，要举一反三、标本兼治，认真评估风险、分析原因并研究解决办法，督促责任部门落实有针对性的整改措施，健全长效机制，持续推动实善网络安全防护体系。

（三）控制风险，强化保密。各单位要强化风险控制，有针对性的制定检查工作应急预案，确保被检查网络和系统的正常运行。要加强对检查活动、检查人员及相关文档和数据的安全保密管理。委托技术检测机构进行安全检测，要对其机构背景、技术能力、服务水平、人员资质及安全保密管理措施进行严格审查，签订保密承诺书，并明确技术检测机构及人员的安全责任。

（四）做好总结，按时上报。各单位要认真做好本年度网络安全防护检查工作总结并按时间安排及时报送总结报告。各单位总结报告的主要内容应包括本年度网络安全防护工作总体情况，取得的成效，存在的主要风险和隐患及整改情况，下一步工作计划，对网络安全工作的意见建议等（模版可参考附件3）。

附件：1.网络安全自查结果统计表

网安【2015】48号附件一网络安全自查结果统计表.docx

2.网络和系统安全防护检测评分方法

网安【2015】48号附件2网络单元安全防护检测评分方法.docx

3.通信网络安全防护工作总结模版

网安【2015】48号附件3通信网络安全防护工作总结模版.docx

                        浙江省通信行业协会

                         2015年5月6日