上海市通管局：关于加强电信和互联网行业通信网络安全防护管理工作的通知

本市各电信企业、互联网企业，相关单位：

为加强电信和互联网行业各通信网络单元的安全管理，提高网络安全防护能力，保障公共互联网安全、稳定、畅通，根据《网络安全法》《通信网络安全防护管理办法》（工业和信息化部令第11号，以下简称《管理办法》）《加强工业互联网安全工作的指导意见》(工信部联网安〔2019〕168号，以下简称《指导意见》)等有关法律法规和文件要求，结合我局职责，决定加强本市电信和互联网行业通信网络安全防护管理工作。现将有关要求通知如下：

一、加强通信网络单元定级备案工作

本市各基础电信企业、增值电信企业要对本单位管理、运行的公用通信网和互联网（以下统称“通信网络”）及其各类信息系统进行单元划分，按照《管理办法》的规定开展定级工作，并在工业和信息化部“通信网络安全防护管理系统”（https://mii-aqfh.cn）报送各单元的定级信息。引导各工业互联网平台企业、工业互联网基础设施运营企业按照《指导意见》以及工业互联网企业网络安全分类分级有关要求，参照《管理办法》的规定开展定级和报送工作。鼓励其他互联网企业、工业互联网企业和相关单位参照《管理办法》开展定级、报送等工作。

市通信管理局组织专家对各单位通信网络单元的定级情况进行评审，并将评审结果通报相应报送单位。各单位应当在通信网络单元定级评审通过后三十日内，在市通信管理局“网络安全监测预警和信息通报管理系统”（通过上海市通信管理局官方网站（http://shca.miit.gov.cn）首页左侧“行政管理工作系统链接”-“网络安全信息通报”进入）对相应单元的定级结果进行备案。各单位应当根据实际情况适时调整各通信网络单元的划分和级别，并按照上述规定重新进行定级评审和备案。

二、加强符合性评测工作

通信网络单元在定级评审通过后，应当落实与定级级别相适应的安全防护措施，并按照以下规定进行符合性评测：（一）三级及三级以上通信网络单元应当每年进行一次符合性评测；（二）二级通信网络单元应当每两年进行一次符合性评测；（三）通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。各单位应当在评测结束后三十日内，将通信网络单元的符合性评测结果和整改情况或者整改计划在市通信管理局“网络安全监测预警和信息通报管理系统”进行报送。

三、加强安全风险评估工作

通信网络单元在定级评审通过后，应当按照以下规定进行安全风险评估，及时消除重大网络安全隐患：（一）三级及三级以上通信网络单元应当每年进行一次安全风险评估；（二）二级通信网络单元应当每两年进行一次安全风险评估；（三）国家重大活动举办前，通信网络单元应当按照市通信管理局的要求进行安全风险评估。各单位应当在安全风险评估结束后三十日内，将安全风险评估结果、整改情况或者整改计划在市通信管理局“网络安全监测预警和信息通报管理系统”进行报送。

四、加强专业机构的评测、评估能力指导

各电信和互联网企业可以委托专业机构开展通信网络安全评测、评估、监测等工作。鼓励、引导在本市行政区域内提供通信网络安全服务的专业机构将相关专业能力资质报市通信管理局备案；市通信管理局定期向社会公示已备案的网络安全专业机构及其能力资质，并根据网络安全管理和通信网络单元安全防护工作的需要，加强对上述专业机构的安全评测、评估、监测能力指导。对违反国家有关规定开展网络安全认证、检测、风险评估等活动的机构，依据《网络安全法》等法律法规予以惩处。

五、工作要求

（一）强化责任落实。各电信和互联网企业要从国家安全战略高度充分认识本单位各通信网络单元的重要性，深入理解电信和互联网行业全程全网的连接特性、用户量庞大的规模特征、贴近民生生活的业务特点，在保障日常网络安全的基础上重点做好通信网络单元的安全防护工作，加强组织领导，制定防护方案，明确责任分工，切实落实各通信网络单元的定级备案、符合性评测和安全风险评估相关要求。

（二）做好制度衔接。各电信和互联网企业的通信网络安全防护管理工作要与国家关键信息基础设施安全保护制度、网络安全等级保护制度做好衔接。电信和互联网行业各通信网络单元的定级原则上应不低于国家网络安全等级测评的参考定级；其中，认定为关键信息基础设施的通信网络单元，其定级应不低于三级。对认定为关键信息基础设施的通信网络单元，其安全管理参照《网络安全法》第三章第二节有关条款实施，并在定级备案和评测、评估工作中予以重点监管。引导各电信和互联网企业完善自主评测能力，鼓励各评测、评估机构持有相应测评资质，避免重复评测、评估。

（三）加强日常督查。市通信管理局建立有关工作机制，对各单位的定级备案、符合性评测、安全风险评估工作落实情况进行日常督查，组建评审专家组对通信网络单元的定级情况进行专业评审，直接或委托专业机构采取远程检查和现场检查相结合等方式加强网络安全监管，对检查发现未落实定级备案、符合性评测、安全风险评估等安全防护管理要求的违法违规行为予以处罚。

特此通知。

上海市通信管理局

2020年4月1日

（联系电话：021-63902000*874）

声明：本文来自上海通信圈，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。