北京市通管局：进一步加强电信和互联网行业通信网络安全防护管理工作

关于进一步加强电信和互联网行业通信网络安全防护管理工作的通知

京信网安发【2023】53号

各基础电信运营企业、增值电信企业、域名注册服务企业：

为加强北京市电信和互联网行业各通信网络单元的安全管理，提升行业网络安全整体防护水平，保障公共互联网网络安全、稳定、畅通，根据《网络安全法》《通信网络安全防护管理办法》（工业和信息化部令第11号，以下简称11号令）《公共互联网网络安全威胁监测与处置办法》《网络产品安全漏洞管理规定》等有关法律法规和文件要求，结合北京实际，现就进一步加强本市电信和互联网行业通信网络安全防护管理工作通知如下：

一、工作目标

全面贯彻落实党的二十大精神，统筹发展与安全，坚持问题导向、目标导向，健全电信和互联网行业网络安全管理体系，更好推动落实电信和互联网行业网络安全主体责任。强化行业网络安全防护合规意识，扎实高效推进通信网络安全定级备案，重点针对增值电信企业未定级备案、定级备案信息不准确、符合性评测和风险评估不规范等问题进行规范整治。形成全市电信企业网络安全能力布局基本视图,为提升常态化监管效能和开展网络安全威胁治理等工作提供扎实稳定的基础，以网络安全护航北京信息通信业高质量发展。

二、组织方式

北京市通信管理局统筹推进通信网络安全防护管理工作，指导监督北京地区电信和互联网行业企业落实落细网络安全管理各项要求；结合工作需求组建网络安全专项支撑团队，开展宣贯培训、定级备案评审、结果通报与公示，开展行业网络安全监督检查，督促完成风险排查、威胁治理和问题整改等工作。

电信和互联网企业应按照本通知要求，结合企业实际情况，抓好工作落实。

发挥公有云等接入服务提供企业的技术和服务优势，对使用公有云等接入服务的增值电信企业进行定级备案通知，高效完成未定级备案企业通知、提升定级备案信息准确性。

三、主要任务

（一）健全通信网络安全防护管理机制及支撑体系

1.建立健全定级备案管理机制

根据北京市电信和互联网行业网络安全防护管理要求，针对增值电信企业和互联网企业，完善定级备案监管机制，涵盖企业备案督促、备案信息评审、问题通报整改、常态化远程检测、双随机抽查等环节，使定级备案管理工作形成闭环。

2.构建定级备案支撑体系

结合行业网络安全防护管理实践经验，遴选具备支撑能力的网络安全专业机构、基础电信企业、增值电信企业，组建支撑队伍，充分发挥各单位优势，在定级备案各工作环节开展支撑。

（二）加强通信网络单元定级备案工作

3.全面提升通信网络安全定级备案率和准确率

本市各基础电信企业、增值电信企业要对本单位管理、运行的公用通信网和互联网（以下统称“通信网络”）及其各类信息系统进行单元划分，按照11号令要求开展定级工作，并在工业和信息化部“通信网络安全防护管理系统”（https://mii-aqfh.cn）报送各单元的定级信息。鼓励其他互联网企业、工业互联网企业和相关单位参照11号令要求开展定级、报送等工作。各单位应当根据业务实际情况适时调整各通信网络单元的划分和级别，并按照规定重新进行定级评审和备案。

北京市通信管理局组织专家对各增值电信企业和互联网企业的通信网络单元定级情况进行评审，并将评审结果通报相应报送单位。

（三）强化风险评估和符合性评测工作

4.加强符合性评测工作

通信网络单元在定级评审通过后，应当落实与定级级别相适应的安全防护措施，并按照以下规定进行符合性评测：一是三级及三级以上通信网络单元应当每年进行一次符合性评测；二是二级通信网络单元应当每两年进行一次符合性评测；三是通信网络单元的划分和级别调整的，应当自调整完成之日起九十日内重新进行符合性评测。

5.加强通信网络安全风险评估

通信网络单元在定级评审通过后，应当按照以下规定进行安全风险评估，及时消除重大网络安全隐患：一是三级及三级以上通信网络单元应当每年进行一次安全风险评估；二是二级通信网络单元应当每两年进行一次安全风险评估；三是国家重大活动举办前，通信网络单元应当按照北京市通信管理局的要求进行安全风险评估。

（四）维护公共互联网网络安全环境

6.深化网络安全威胁治理

北京市通信管理局组织基础电信企业、网络安全专业机构、互联网企业和网络安全企业等单位充分发挥网络安全风险监测技术优势，充分利用安全技术手段，针对网络安全漏洞、恶意网络资源、网络安全事件等开展网络安全威胁实时监测，及时发现并处置各类网络安全风险隐患与威胁，提升网络安全风险发现、预警通报、威胁分析、事件溯源等能力。

（五）规范网络安全服务体系

7.加强对专业机构服务能力的监督和指导

各电信和互联网企业可以委托专业机构开展通信网络安全评测、评估、监测等工作。鼓励、引导在北京地区提供通信网络安全服务的专业机构将相关专业能力资质报北京市通信管理局备案；北京市通信管理局定期向社会公示已备案的网络安全专业机构及其能力资质，并根据网络安全管理和通信网络单元安全防护工作的需要，加强对上述专业机构的安全评测、评估、监测能力指导。

对违反国家有关规定开展网络安全认证、检测、风险评估等活动的机构，依据《网络安全法》等法律法规予以惩处。

四、工作要求

（一）强化工作责任落实。各电信和互联网企业要高度重视通信网络安全防护工作，加强组织领导，强化内部部署，制定防护方案，明确责任分工，在保障日常网络安全的基础上重点做好通信网络单元的安全防护工作，切实落实各通信网络单元的定级备案、符合性评测、安全风险评估和隐患整改相关要求。

（二）做好制度衔接。各电信和互联网企业的通信网络安全防护管理工作要与关键信息基础设施安全保护制度、网络安全等级保护制度做好衔接。电信和互联网行业各通信网络单元的定级原则上应不低于国家网络安全等级测评的参考定级；其中，认定为关键信息基础设施的通信网络单元，其安全管理参照工业和信息化部关于电信行业关键信息基础设施的安全保护的有关要求实施，并在定级备案和评测、评估工作中予以重点监管。

（三）加强日常督查。北京市通信管理局建立有关工作机制，直接或委托专业机构采取远程检查和现场检查相结合等方式加强网络安全监管，对检查发现未落实定级备案、符合性评测、安全风险评估等安全防护管理要求的违法违规行为予以处罚。

相关阅读：

北京市通信管理局召开2023年北京地区电信和互联网行业网络和数据安全监管座谈会

声明：本文来自北京通信业，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。