檢查對象為依法獲得電信主管部門許可的基礎電信企業、互聯網企業、域名注冊管理和服務機構建設與運營的網絡和系統。重點是電信和互聯網行業網絡基礎設施、用戶信息和網絡數據收集、集中存儲與處理的系統、企業門戶網站和計費系統、域名系統、電子郵件系統、移動應用商店、移動應用程序及后臺系統、公共云服務平臺、公眾無線局域網、公眾視頻監控攝像頭等重點物聯網平臺、網約車信息服務平臺、車聯網信息服務平臺等。
重點檢查網絡運行單位落實《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等法律法規情況,電信和互聯網安全防護體系系列標準符合情況,可能存在的弱口令、中高危漏洞和其他網絡安全風險隱患等。
以下為通知原文:
工業和信息化部辦公廳關于開展2018年電信和互聯網行業網絡安全檢查工作的通知
工信廳網安函〔2018〕261號
各省、自治區、直轄市通信管理局,中國電信集團有限公司、中國移動通信集團有限公司、中國聯合網絡通信集團有限公司、中國廣播電視網絡有限公司,互聯網域名注冊管理和服務機構,互聯網企業,有關單位:
為深入貫徹習近平總書記在全國網絡安全和信息化工作會議上的重要講話精神,落實關鍵信息基礎設施防護責任,提高電信和互聯網行業網絡安全防護水平,根據《中華人民共和國網絡安全法》、《通信網絡安全防護管理辦法》(工業和信息化部令第11號)、《電信和互聯網用戶個人信息保護規定》(工業和信息化部令第24號),決定組織開展2018年電信和互聯網行業網絡安全檢查工作。現將有關要求通知如下:
一、總體要求
緊緊圍繞加快推進網絡強國建設戰略目標,深入學習領會習近平總書記關于網絡安全的系列重要講話精神,加快落實《中華人民共和國網絡安全法》,堅持以查促建、以查促管、以查促防、以查促改,以防攻擊、防病毒、防入侵、防篡改、防泄密為重點,加強網絡安全檢查,認清風險現狀,排查漏洞隱患,通報檢查結果,督促整改問題,強化電信和互聯網行業網絡安全風險防范和責任落實,全面提升行業網絡安全保障水平,保障公共互聯網安全、穩定運行。
二、檢查重點
(一)重點檢查對象。檢查對象為依法獲得電信主管部門許可的基礎電信企業、互聯網企業、域名注冊管理和服務機構(以下統稱網絡運行單位)建設與運營的網絡和系統。重點是電信和互聯網行業網絡基礎設施、用戶信息和網絡數據收集、集中存儲與處理的系統、企業門戶網站和計費系統、域名系統、電子郵件系統、移動應用商店、移動應用程序及后臺系統、公共云服務平臺、公眾無線局域網、公眾視頻監控攝像頭等重點物聯網平臺、網約車信息服務平臺、車聯網信息服務平臺等。
(二)重點檢查內容。重點檢查網絡運行單位落實《中華人民共和國網絡安全法》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》等法律法規情況,電信和互聯網安全防護體系系列標準符合情況,可能存在的弱口令、中高危漏洞和其他網絡安全風險隱患等(法律法規和標準依據詳見附件)。
三、工作安排
(一)定級備案。各網絡運行單位要按照《通信網絡安全防護管理辦法》的規定,在工業和信息化部“通信網絡安全防護管理系統”(https://www.mii-aqfh.cn)對本單位所有正式上線運行的網絡和系統進行定級備案或變更備案。
(二)自查整改。各網絡運行單位要對照法律法規和本次檢查重點,對本單位網絡安全工作進行自查自糾,對自查發現的安全問題逐一做好記錄,能立即整改的,要邊查邊改,無法立即整改的,要采取防范措施,制定整改計劃,確保整改落實。2018年9月31日前,基礎電信企業集團公司、域名注冊管理和服務機構應將本單位自查工作總結報告報部(網絡安全管理局),基礎電信企業省級公司和互聯網公司形成自查工作總結報告報當地通信管理局。
(三)開展抽查。電信主管部門選取部分網絡和系統,委托專業技術機構采取現場詢問、查閱資料、現場檢測、遠程滲透、代碼檢測等方式進行檢查。對省級基礎電信企業和專業公司網絡和系統的檢查分別按照《2018年省級基礎電信企業網絡與信息安全工作考核要點與評分標準》《2018年基礎電信企業專業公司網絡與信息安全工作考核要點與評分標準》進行量化評分,評分結果分別作為2018年省級基礎電信企業和專業公司網絡與信息安全責任考核依據。各地通信管理局除抽查省級基礎電信企業外,至少抽查當地十家以上增值電信企業,將檢查工作總結報告于10月31日前報部(網絡安全管理局)。
四、工作要求
(一)加強領導,落實責任。各地電信主管部門、網絡運行單位應嚴格落實工作責任制,精心組織制定工作方案,落實機構、隊伍和工作經費,確保檢查工作不走過場,確保檢查發現的問題得到及時有效整改。發現問題的單位要舉一反三,健全網絡安全問題閉環管理機制,加強定期巡查、整改核驗、考核問責,以檢查為契機,不斷完善電信和互聯網行業網絡安全保障體系。
(二)規范檢查,嚴明紀律。各單位要
歐洲議會頒布的《一般數據保護法案》(以下簡稱“GDPR”)于2018年5月25日在歐盟各國正式生效。作為一部用來保護歐盟公民個人隱私和數據安全的新法案,其頒布使得歐盟對于數據保護的監管達到了前所未有的高度。
事實上,面對互聯網業務的高速發展,越來越頻繁的個人數據泄露引發了公眾的焦慮和擔憂。網絡安全保險應運而生。那么,GDPR的實施,能否促進網絡安全保險的大發展呢?
近日,記者采訪了蘇黎世財產保險(中國)有限公司(以下簡稱“蘇黎世中國”)金融險相關專家,他表示,GDPR無疑會對網絡安全保險市場起到推動作用,今后與歐盟國家企業簽訂商品服務合同的以及海外擴張走出去的中國企業,可能會越來越多地在合同文本里發現網絡安全保險相關的投保要求。
據了解,GDPR并不是一個很新的概念, 早在2012年歐洲各國就在討論推行一部新的關于信息數據保護的法案,用于替代已經稍顯過時的舊指令(Data Protection Directive 95/46/EC)。經過近四年的討論,歐洲議會于2016年4月14日通過了新的法案,即《一般數據保護法案》(General Data Protection Regulation (GDPR))。法案于2018年5月25日在28個歐盟成員國統一實施生效。
該法案把可以直接或間接識別到的某一個個體的任何信息都視為個人信息,包括了從姓名、照片、身份證號、郵箱地址、銀行賬戶、健康記錄到網絡用戶名、位置定位、社交媒體發布的信息、計算機IP地址等各個方面,堪稱目前世界范圍內最寬泛的個人信息定義。作為一部用來保護歐盟公民個人隱私和數據安全的新法案,其頒布使得歐盟對于數據保護的監管達到了前所未有的高度。
值得關注的是,GDPR對于個人數據泄漏通知做出了明確規定。當發生個人數據泄漏事故之后,企業要在發現后72小時內向監管機構報告,并對報告的內容做了詳細的規定。
蘇黎世中國金融險專家認為,相較于國內實施的《網絡安全法》的相關規定,GDPR對告知義務的規定更加具體和明確,對企業的實際操作更有指導意義,未按此執行可能會導致企業面臨更大的合規風險。
此外,GDPR對于企業違規設置了昂貴的處罰規定。對于不遵守GDPR法案的企業處以嚴厲的制裁和巨額罰款,根據違規性質的嚴重程度,分為一般違法行為和嚴重違法行為。對于一般違法行為,處以全年營收額2%或1000萬歐元的罰款,兩者以高者為限;對于嚴重違法行為,處以全年營收額4%或2000萬歐元的罰款,兩者以高者為限。
相較于《網絡安全法》100萬元人民幣單項罰款的上限,GDPR的罰款對于違法企業來說是一項極其難以承受的損失,違法成本大大提高。
蘇黎世中國金融險專家表示,GDPR無疑會對網絡安全保險市場起到推動作用。從過往幾年的網絡安全保險的發展來看,按保費規模計,美國一直是全球最大的網絡安全保險市場,原因在于其擁有健全的法律環境和強大的訴訟文化。然而從2017年開始,歐洲的網絡安全保險業務開始迅速增長,GDPR在2018年正式實施,推動著歐洲企業的保險需求不斷提高。不僅投保的企業數量增加,投保限額也從開始帶有試水性質的1000-2000萬歐元甚至增加到上億歐元,目前根據相關資料所了解到的最高限額達3.75億歐元。
目前,很多企業開始關心是否需要投保網絡安全保險作為風險管理的一種手段,以及一旦發生信息泄漏事故自己的網絡安全保險保單會如何應對。
網絡安全保險就是一份保障企業發生網絡安全事故和信息泄漏事故造成的第一方損失和第三者責任的保單。相比于傳統保險險種,網絡安全保險更加強調服務屬性,除了保單合同本身提供的損失補償外,還為投保企業提供各種附加服務,包括事故前的培訓、評估、檢測等,以及事故后的鑒證、談判等服務。
此外,保障內容也在隨著科技發展和客戶需求與時俱進,目前在人員傷害財產損失、網絡金融犯罪、社交工程、網絡恐怖主義等保障方面正在進行進一步探索擴展。對于自身相對比較缺乏問題解決能力的中小企業來說,這些服務內容往往顯得更加至關重要。
蘇黎世中國金融險專家表示,在日益完善的法律環境下,保險作為健全風險管理體系中的重要性更加凸顯出來,值得企業加強關注和投資。網絡安全保險的價值不僅僅體現在對于損失的補償上,還包括其所能給企業帶來的如何應對網絡風險以及數據泄漏事故的專業知識和經驗,以及各種專家資源。
當然,保險并不是萬能的,蘇黎世中國金融險專家強調,一家信息安全管理到位的企業,需要有完善的管理架構,完整的內控制度,認真貫徹執行的紀律,定期的系統安全檢測和威脅漏洞修復,定期評估公司的危機響應管理方案、災備計劃、業務可持續性計劃是否有效,最后還包括合理地應用各種風險管理工具,以及員工要接受相關培訓并具有良好的日常安全意識等多種要素的全面配合。
據了解,GDPR不僅適用于在歐盟國家注冊的組織機構, 也同樣適用于任何在歐盟以外地區注冊但為歐盟地區提供商品和服務, 并監控個人行為和數據信息的組織機構。對于任何持有和處理歐盟國家公民個人信息的公司無論其公司所在地,皆受該法案管轄。隨著國際化進程的推進, 越來越多的中國企業與歐洲企業開展了商業合作,這也意味著所有與歐洲企業有業務往來的中國企業也同樣要遵守該法案并受其管轄,對中國企業的信息安全管理提出了更高的要求。今后與歐盟國家企業簽訂商品服務合同的以及海外擴張走出去的中國企業,可能會越來越多地在合同文本里發現網絡安全保險相關的投保要求
規范檢查方法和程序,避免檢查工作影響網絡和系統的正常運行,檢查工作中發現重大問題應及時報我部。采用隨機抽取檢查對象、隨機選派檢查隊伍的“雙隨機”方式安排實施檢查。任何部門不得向被檢查單位收取費用,不得要求被檢查單位購買、使用指定的產品和服務。委托專業技術機構進行安全檢查,要進行嚴格審查,簽訂保密承諾書,并明確專業技術機構及人員的安全責任。要嚴格遵守有關保密規定,檢查結果除按規定報送外,不得提供給其他單位和個人。
(三)加強防范,及時整改。專業檢測機構對檢查發現的薄弱環節、安全漏洞和安全風險,要現場告知網絡運行單位,并指導其防范整改。抽查發現的重大網絡安全風險和隱患,電信主管部門可通過《網絡安全問題整改通知書》等形式書面向網絡運行單位通報,督促其限期整改。網絡運行單位要對檢查發現的薄弱環節和安全風險進行深入整改,對相關責任部門和責任人進行問責處理,并及時向電信主管部門報告問題整改和問責情況。
(四)強化協同,協調配合。各地通信管理局要強化與網信、公安等部門的協調溝通,按照網絡安全工作責任制和中央網信辦《關于加強和規范網絡安全檢查工作的通知》(中網辦發文〔2015〕7號)要求,堅持跨部門、跨行業的網絡安全檢查應由當地網信部門統籌協調,其他部門對電信和互聯網行業的網絡安全檢查應當會同電信主管部門進行,加強協同溝通,提倡開展聯合檢查,避免交叉重復,基礎電信企業向非電信主管部門提供網絡安全相關資料和數據的,應征得當地通信管理局同意,或由通信管理局統一協調提供。
京公網安備 11010502049343號