關于印發(fā)《湖北省信息通信行業(yè)2024年網(wǎng)絡和數(shù)據(jù)安全“荊楚護航”專項行動方案》的通知

　　近日，湖北省通信管理局網(wǎng)絡安全管理處印發(fā)《湖北省信息通信行業(yè)2024年網(wǎng)絡和數(shù)據(jù)安全“荊楚護航”專項行動方案》。

關于印發(fā)《湖北省信息通信行業(yè)2024年網(wǎng)絡和數(shù)據(jù)安全“荊楚護航”專項行動方案》的通知
 

　　鄂通信局發(fā)〔2024〕36號
 

　　省內(nèi)各基礎電信企業(yè)、互聯(lián)網(wǎng)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)互聯(lián)網(wǎng)標識解析企業(yè)、車聯(lián)網(wǎng)服務平臺運營企業(yè)，有關單位：
 

　　現(xiàn)將《湖北省信息通信行業(yè)2024年網(wǎng)絡和數(shù)據(jù)安全“荊楚護航”專項行動方案》印發(fā)給你們，請結合實際抓好落實。
 

　　聯(lián)系方式：027-66990332
 

　　郵箱：hbwanganchu@126.com
 

　　湖北省通信管理局 

　　2024年6月14日

 

　　湖北省信息通信行業(yè)2024年網(wǎng)絡和數(shù)據(jù)安全“荊楚護航”專項行動方案
 

　　為提升我省信息通信行業(yè)網(wǎng)絡和數(shù)據(jù)安全防護水平，筑牢行業(yè)網(wǎng)絡和數(shù)據(jù)安全防線，以高水平安全護航我省信息通信行業(yè)高質(zhì)量發(fā)展，部署開展湖北省信息通信行業(yè)2024年網(wǎng)絡和數(shù)據(jù)安全“荊楚護航”專項行動，特制定本方案。

 

　　一、總體要求

 

　　以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的二十大和二十屆二中全會精神，認真學習貫徹習近平總書記關于網(wǎng)絡強國的重要思想、關于推進新型工業(yè)化的重要指示精神，堅持總體國家安全觀，以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《關鍵信息基礎設施保護條例》等法律法規(guī)為遵循，統(tǒng)籌行業(yè)高質(zhì)量發(fā)展和高水平安全，督促企業(yè)落實網(wǎng)絡和數(shù)據(jù)安全主體責任，增強行業(yè)關鍵信息基礎設施風險防御能力，推動適應新型工業(yè)化特點的網(wǎng)絡和數(shù)據(jù)安全體系和能力現(xiàn)代化，創(chuàng)新監(jiān)管和服務提升企業(yè)安全水平，保障我省基礎電信網(wǎng)、公共互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)的持續(xù)安全穩(wěn)定運行，推動我省網(wǎng)絡和數(shù)據(jù)安全工作再上新臺階，為我省加快“數(shù)化湖北”建設，推進新型工業(yè)化和中國式現(xiàn)代化湖北實踐提供網(wǎng)絡和數(shù)據(jù)安全保障。
 

　　二、重點任務
 

　　（一）摸清行業(yè)網(wǎng)絡和數(shù)據(jù)資產(chǎn)底數(shù)
 

　　1.扎實做好通信網(wǎng)絡安全防護定級備案工作。各基礎電信企業(yè)、互聯(lián)網(wǎng)企業(yè)要按照《通信網(wǎng)絡安全防護管理辦法》規(guī)定，對已正式投入運行的各類網(wǎng)絡和系統(tǒng)開展定級備案工作，并通過“工信部通信網(wǎng)絡安全防護管理系統(tǒng)”(https://mii-aqfh.cn)提交定級備案信息。備案信息發(fā)生變化的，應當在30日內(nèi)變更備案。各基礎電信企業(yè)相關系統(tǒng)應當實現(xiàn)“應備盡備”。我局將重點組織省內(nèi)不少于100家互聯(lián)網(wǎng)企業(yè)開展定級備案相關工作，對沒有依法開展定級備案的企業(yè)，將予以通報并督促整改。
 

　　2.深入推進工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理。各工業(yè)互聯(lián)網(wǎng)平臺和標識解析企業(yè)，要按照《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理辦法》規(guī)定開展自主定級，并通過“國家工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡安全分類分級管理公共服務平臺”(https://103.118.52.157:18080)提交定級備案信息。企業(yè)定級要素發(fā)生較大變化的，應當在三個月內(nèi)重新定級。我局將重點組織省內(nèi)不少于10家工業(yè)互聯(lián)網(wǎng)平臺和標識解析企業(yè)開展定級備案相關工作，對沒有依法開展定級備案的企業(yè)，將予以通報并督促整改。
 

　　3.加強車聯(lián)網(wǎng)網(wǎng)絡安全定級備案。各車聯(lián)網(wǎng)服務平臺運營企業(yè)，要按照《車聯(lián)網(wǎng)網(wǎng)絡安全防護定級備案實施指南》等安全防護標準，對所屬網(wǎng)絡設施和系統(tǒng)開展網(wǎng)絡安全防護定級工作，并通過“全國車聯(lián)網(wǎng)網(wǎng)絡安全防護管理系統(tǒng)”(https://www.iovsec.org.cn)提交備案信息。我局將重點組織省內(nèi)不少于5家車聯(lián)網(wǎng)服務平臺運營企業(yè)開展定級備案相關工作，對沒有依法開展定級備案的企業(yè)，將予以通報并督促整改。
 

　　4.強化重要數(shù)據(jù)和核心數(shù)據(jù)識別與目錄備案。各企業(yè)要嚴格落實《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》，進一步規(guī)范數(shù)據(jù)處理活動，實施數(shù)據(jù)分類分級管理。各基礎電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)要開展重要數(shù)據(jù)和核心數(shù)據(jù)識別認定，形成本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄，于2024年8月30日前報送我局；對數(shù)據(jù)目錄實施動態(tài)管理，目錄發(fā)生變化的，應當及時上報更新。
 

　　5.認定行業(yè)關鍵信息基礎設施資產(chǎn)清單。各關鍵信息基礎設施(以下簡稱關基)運營者，根據(jù)工業(yè)和信息化部關基保護規(guī)范，梳理本企業(yè)關基資產(chǎn)清單，確定安全管理主體、關鍵崗位人員，于2024年8月15日前將資產(chǎn)清單報我局。我局將加大對屬地關基運營者的監(jiān)督管理，指導關基運營者全面開展一次資產(chǎn)盤點和風險評估。
 

　　（二）提升網(wǎng)絡和數(shù)據(jù)安全防護水平
 

　　6.扎實開展網(wǎng)絡安全風險評估。對審核通過的每個三級網(wǎng)絡和系統(tǒng)或工業(yè)互聯(lián)網(wǎng)企業(yè)，相關企業(yè)應自行或委托符合要求的第三方安全機構，每年按照有關標準至少開展一次符合性評測和風險評估，對審核通過的每個二級網(wǎng)絡和系統(tǒng)或工業(yè)互聯(lián)網(wǎng)企業(yè)，每兩年按照有關標準至少開展一次符合性評測和風險評估。各基礎電信企業(yè)和互聯(lián)網(wǎng)企業(yè)應當將評估報告上傳定級備案系統(tǒng)，各工業(yè)互聯(lián)網(wǎng)平臺和標識解析企業(yè)、車聯(lián)網(wǎng)服務平臺運營企業(yè)應當將評測評估報告于10月底前報送我局。
 

　　7.認真開展數(shù)據(jù)安全風險評估。各重要數(shù)據(jù)和核心數(shù)據(jù)處理者要按照有關標準，自行或委托符合要求的第三方評估機構，至少開展一次數(shù)據(jù)安全風險評估，并于10月底前將評估報告報送我局。各基礎電信企業(yè)、數(shù)據(jù)中心和云服務企業(yè)、車聯(lián)網(wǎng)服務平臺企業(yè)、“人工智能+”大模型企業(yè)，要聚焦數(shù)據(jù)非法收集、數(shù)據(jù)非法利用、防護措施不到位、人員違規(guī)操作等突出問題引發(fā)的數(shù)據(jù)安全風險開展風險排查，于7月15日前向我局提交自查報告。我局將組織專業(yè)力量對相關企業(yè)開展遠程檢測、現(xiàn)場診斷等工作。
 

　　8.保障5G行業(yè)應用安全。各基礎電信企業(yè)在深化“5G+工業(yè)互聯(lián)網(wǎng)”“5G+車聯(lián)網(wǎng)”等重點領域的融合應用的同時，應當同步配套5G應用安全保障能力，并明確本單位和客戶的網(wǎng)絡和數(shù)據(jù)安全責任邊界。各基礎電信企業(yè)要對5G行業(yè)應用業(yè)務基礎安全、業(yè)務平臺安全、業(yè)務合作安全、數(shù)據(jù)安全、安全保障能力、重點技術安全等各項要素開展風險評估，并于10月底前將風險評估報告報送我局。5G應用安全創(chuàng)新推廣中心(湖北)要加強技術攻關、供需對接、綜合案例研判，11月底前向我局報送年度工作情況報告。
 

　　9.加強網(wǎng)絡和數(shù)據(jù)安全技術手段建設。各企業(yè)要加大安全投入，不斷完善技防體系，切實提升網(wǎng)絡和數(shù)據(jù)安全防護水平。各基礎電信企業(yè)要切實做好信安系統(tǒng)能力優(yōu)化工作，升級指令協(xié)同、資源管理、系統(tǒng)交互、運維等系統(tǒng)基礎管理功能，深化網(wǎng)絡安全融合分析功能模塊，完善數(shù)據(jù)安全風險監(jiān)測及管理功能，提升精準研判分析能力。我局將組織專業(yè)力量對基礎電信企業(yè)的網(wǎng)絡和數(shù)據(jù)安全相關系統(tǒng)開展成效評估。
 

　　10.強化供應鏈安全。各企業(yè)采購的納入目錄的網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品，應當依法通過相關認證或檢測。在開展業(yè)務合作或業(yè)務委托時，要以簽訂合同或協(xié)議等方式明確業(yè)務合作方的網(wǎng)絡和數(shù)據(jù)安全責任。各關基運營者要圍繞產(chǎn)品和服務供應商的人員背景、產(chǎn)品質(zhì)量、運維服務、履約信用等，制定供應商管理制度，從源頭側強化關基安全保障。關基運營者采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，應當按照《網(wǎng)絡安全審查辦法》申報審查。各關基運營者在每季度結束后的次月15日前將產(chǎn)品和服務采購信息報送我局。
 

　　11.積極開展商用密碼應用。各企業(yè)應當認真學習《商用密碼管理條例》，結合實際開展商用密碼應用，以商用密碼應用提升網(wǎng)絡和數(shù)據(jù)安全防護水平。各關基運營者要按照2027年行業(yè)關基商用密碼體系化應用的總體目標，制定2024年商用密碼應用工作計劃。各基礎電信企業(yè)針對信息系統(tǒng)類行業(yè)關基，進一步擴大應用范圍，至少選取2個網(wǎng)絡系統(tǒng)開展商用密碼應用。各關基運營者要總結商用密碼應用情況，于11月底前報我局。
 

　　（三）加強網(wǎng)絡和數(shù)據(jù)安全監(jiān)測處置
 

　　12.健全網(wǎng)絡和數(shù)據(jù)安全監(jiān)測處置機制。我局制定并印發(fā)我省公共互聯(lián)網(wǎng)網(wǎng)絡和數(shù)據(jù)安全威脅監(jiān)測與處置辦法實施細則。我局與相關省直部門建立我省工業(yè)和信息化領域網(wǎng)絡和數(shù)據(jù)安全風險信息共享通報與防范處置工作機制。各基礎電信企業(yè)應當參照我局印發(fā)的實施細則，制定本單位網(wǎng)絡和數(shù)據(jù)安全監(jiān)測預警、信息報送和處置機制。
 

　　13.加強安全威脅監(jiān)測預警和通報處置。各企業(yè)要充分發(fā)揮自有系統(tǒng)能力，主動監(jiān)測發(fā)現(xiàn)各類安全威脅、風險隱患，屬于自身問題的，應當立即采取措施及時完成整改；涉及其他單位的，應當按要求及時報送我局，不得隨意對外發(fā)布漏洞細節(jié)情況，我局將通報督促相關單位及時防范整改。我局將依托工信部網(wǎng)絡安全威脅信息共享平臺、省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺等，常態(tài)化開展網(wǎng)絡和數(shù)據(jù)安全威脅監(jiān)測處置。
 

　　（四）增強網(wǎng)絡和數(shù)據(jù)安全應急響應能力
 

　　14.健全突發(fā)事件應急保障體系。各企業(yè)要完善本單位網(wǎng)絡和數(shù)據(jù)安全突發(fā)事件應急預案，建立應急隊伍，不斷提升應急響應能力。針對勒索攻擊、DDOS攻擊等典型場景，應當制定專項應急預案或應對手冊。各基礎電信企業(yè)和重點互聯(lián)網(wǎng)企業(yè)應當于9月底前將應急預案報我局備案。對于關基運營者，要按照“一關基一預案”的要求，分別制定網(wǎng)絡安全突發(fā)事件應急預案，明確責任人、應急處置流程措施和重大風險直報機制，在發(fā)生重大網(wǎng)絡和數(shù)據(jù)安全事件時，第一時間報我局。
 

　　15.開展攻防演練或應急演練。各企業(yè)要結合自身情況，通過實戰(zhàn)攻防、推演等方式，年底前至少開展一次網(wǎng)絡和數(shù)據(jù)安全應急演練或攻防演練，有效磨合重大風險應急處置機制，提升應對能力。我局將分科目、分賽道，牽頭組織開展“荊楚護航-鑄網(wǎng)2024”網(wǎng)絡安全實網(wǎng)攻防演練，檢驗提升企業(yè)網(wǎng)絡安全實戰(zhàn)化應對能力和應急響應能力。
 

　　（五）凝聚網(wǎng)絡和數(shù)據(jù)安全合力
 

　　16.舉辦工業(yè)互聯(lián)網(wǎng)安全大會。聚焦工業(yè)互聯(lián)網(wǎng)安全，面向湖北省內(nèi)工業(yè)互聯(lián)網(wǎng)企業(yè)，我局指導相關單位舉辦2024年湖北省工業(yè)互聯(lián)網(wǎng)安全大會，增強交流互鑒，提升工業(yè)企業(yè)網(wǎng)絡安全意識，促進市場提供更好更符合工業(yè)企業(yè)的網(wǎng)絡安全產(chǎn)品和服務。
 

　　17.開展工信領域網(wǎng)絡安全應用試點示范。鼓勵各企業(yè)圍繞監(jiān)測賦能、服務創(chuàng)新、技術應用、人才培育等方面，探索可復制可推廣的網(wǎng)絡和數(shù)據(jù)安全等典型案例。鼓勵各基礎電信企業(yè)、網(wǎng)絡安全企業(yè)聯(lián)合保險公司，面向工業(yè)互聯(lián)網(wǎng)企業(yè)和車聯(lián)網(wǎng)企業(yè)提供針對性的優(yōu)秀網(wǎng)絡安全保險服務。我局將遴選并推薦優(yōu)秀方案申報工業(yè)和信息化部網(wǎng)絡安全技術、工業(yè)互聯(lián)網(wǎng)安全、車聯(lián)安全網(wǎng)、網(wǎng)絡安全保險典型服務方案，并加大宣傳推廣。
 

　　18.加強宣貫培訓力度。各企業(yè)要制定年度網(wǎng)絡和數(shù)據(jù)安全培訓計劃，對管理層、網(wǎng)絡和數(shù)據(jù)安全專職人員、全體員工分別開展針對性的教育和培訓。各關基運營者要在單位內(nèi)部傳達學習關基保護相關法律法規(guī)、政策標準，確保關鍵崗位人員等年度培訓時間不少于30個學時。我局面向湖北省內(nèi)行業(yè)關基運營者，至少組織開展1次關基保護工作培訓會。
 

　　19.強化企業(yè)內(nèi)部監(jiān)督檢查。各企業(yè)要對照任務分工，結合實際制定單位內(nèi)部網(wǎng)絡和數(shù)據(jù)安全檢查工作方案，開展一次全面的自查自糾。各基礎電信企業(yè)省公司應當加強對地市公司的監(jiān)督檢查。針對檢查發(fā)現(xiàn)的問題，形成問題清單、責任清單、時限清單。對能夠立刻整改的，要立行立改；對短期內(nèi)整改不了的，要制定整改工作方案，明確整改時限；對于需要長期解決的，要納入規(guī)劃，積極創(chuàng)造條件，爭取盡快解決。
 

　　三、工作安排
 

　　（一）工作部署（2024年6月）。我局組織開展本次專項行動宣貫部署會，統(tǒng)一思想，提高認識，明確要求。各單位要明確本單位專項工作牽頭部門及聯(lián)絡人信息(詳見附件)，于6月18日前報送我局。
 

　　（二）推進實施（2024年6月-11月）。各企業(yè)要對照方案要求研究制定本單位工作方案，明確工作任務，細化工作措施，開展動員部署，建立任務臺賬，開展自查自糾，及時整改工作中存在的問題。
 

　　（三）總結提升（2024年12月）。各企業(yè)要認真總結專項行動任務落實情況，查找工作中的不足，將專項行動要求與日常工作相結合，鞏固經(jīng)驗成效，形成長效機制，于12月15日前將工作總結加蓋單位公章后書面報送我局。
 

　　四、工作要求

 

　　（一）加強組織領導。各企業(yè)要深入學習領會習近平總書記關于網(wǎng)絡和數(shù)據(jù)安全的重要指示精神，深刻認識網(wǎng)絡和數(shù)據(jù)安全工作的重要性和緊迫性，進一步提高風險意識，強化底線思維。各企業(yè)主要負責人是本單位網(wǎng)絡和數(shù)據(jù)安全工作的第一責任人，要對照本方案細化工作舉措，狠抓工作落實。
 

　　（二）抓好工作落實。各企業(yè)要明確網(wǎng)絡和數(shù)據(jù)安全分管領導和牽頭部門、責任部門，明確各項任務職責分工。要完善工作機制，加強單位內(nèi)部跨部門協(xié)同配合，做好統(tǒng)籌協(xié)調(diào)、監(jiān)督檢查、責任考核，確保專項行動任務落實到位。要緊扣時間節(jié)點，及時報送相關信息。
 

　　（三）開展監(jiān)督檢查。我局將適時組織開展網(wǎng)絡和數(shù)據(jù)安全檢查，圍繞各企業(yè)對本次專項行動工作落實情況，開展現(xiàn)場抽查、遠程檢測。對拒不配合檢查或者在檢查中發(fā)現(xiàn)存在違反法律法規(guī)行為、問題逾期不改正或導致危害網(wǎng)絡安全等后果的，我局將依法依規(guī)進行處罰。
 

　　（四）加強風險防控。各單位要強化風險防控意識，加強自查自評、安全演練等工作全過程風險管控，嚴格防范可能出現(xiàn)的安全風險。關基運營者要全面梳理專項行動具體任務實施可能帶來的次生風險，充分研究論證，嚴格規(guī)范組織實施，確保在不影響關基安全穩(wěn)定運行的前提下，穩(wěn)妥有序推進專項工作。