江苏省通信管理局关于印发《江苏省“龙磐2024”网络和数据安全专项行动方案》的通知
中国电信股份有限公司江苏分公司、中国移动通信集团江苏有限公司、中国联合网络通信有限公司江苏省分公司、江苏省广电有线信息网络股份有限公司,互联网企业、工业互联网平台企业、工业互联网标识解析企业、车联网服务平台运营企业,各相关单位:
为深入贯彻党的二十大精神,落实工信部和省委、省政府有关部署要求,切实增强工业互联网、车联网等新型融合领域安全保障能力,护航我省数字经济和新型工业化高质量发展,现将《江苏省“龙磐2024”网络和数据安全专项行动方案》印发给你们,请结合实际抓好落实。
江苏省通信管理局
2024年6月28日
江苏省“龙磐2024”网络和数据安全专项行动方案
苏通函〔2024〕88号
当前,随着数字经济、新型工业化等战略的提出及深入实施,工业互联网、车联网等领域数实融合发展进入快车道。同时,越来越多设备、平台、数据被暴露在互联网上,新兴融合领域网络和数据安全风险日益加剧。按照工信部和省委、省政府有关工作部署,为提升新型融合领域安全保障能力,护航我省数字经济和新型工业化高质量发展,制定本方案。
一、 工作目标
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大和二十届二中全会精神,顺应新一轮科技革命和产业变革趋势、新质生产力加快发展需要,统筹发展和安全,以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规为遵循,落实工业和信息化部护航新型工业化、“数安护航”“铸网”等相关工作要求,深化“四个赋能”重点任务落实,以高水平安全支撑我省现代化产业体系和战略性新兴产业高质量发展,为江苏“网络强省”“数实融合强省” 建设奠定坚实基础。
二、 重点任务
(一)筑基赋能,固本强基构筑安全管理基石
结合我省“1650” 现代化产业体系特点,夯实安全管理基础,推进定级备案和风险评估工作,以高水平安全支撑我省“筑峰强链”建设。
1. 做好通信网络安全防护定级备案工作。各基础电信企业、互联网企业要按照《通信网络安全防护管理办法》规定,对已正式投入运行的网络和系统进行网元划分和定级,通过“工信部通信网络安全防护管理系统”(https://mii-aqfh.cn),于2024年7月31日前提交定级备案信息。
2. 推进工业互联网企业网络安全分类分级管理。各工业互联网标识解析企业和平台企业要按照《工业互联网安全分类分级管理办法》规定,通过“全国工业互联网安全分类分级管理平台”(https://mii-ciiflfj.cn),于2024年7月31日前提交定级备案信息。此外,各企业应对在用APP和小程序进行梳理,根据《关于开展移动互联网应用程序备案工作的通知》要求履行备案手续。
3. 加强车联网网络安全定级备案。各车联网服务平台运营企业要按照《关于做好车联网网络安全防护定级备案工作的通知》要求,通过“全国车联网网络安全防护管理系统”(https://www.iovsec.org.cn),于2024年7月31日前提交主流在用车联网网络设施和系统的定级备案信息。
4. 强化重要数据和核心数据识别与目录备案。各企业要严格落实《工业和信息化领域数据安全管理办法(试行)》,进一步规范数据处理活动,实施数据分类分级管理,开展重要数据和核心数据识别认定,形成本单位重要数据和核心数据目录,于2024年7月31日前报送我局。对数据目录实施动态管理,目录发生变化的,应及时上报更新。鼓励各企业建立首席数据官制度,进一步加强数据合规利用和安全管理水平。
5. 开展网络安全评测评估。各企业要按照有关国家标准和行业标准(标准目录见附件),重点围绕是否采取防攻击、防病毒、防入侵等管理和技术措施,自行或委托第三方评估机构开展符合性评测和风险评估,于2024年9月10日前通过“工信部通信网络安全防护管理系统”上传评测评估报告和自查整改情况。三级网络、系统和定级为三级的工业互联网企业每年至少开展一次符合性评测和风险评估,二级网络、系统和定级为二级的工业互联网企业每两年至少开展一次符合性评测和风险评估。
6. 开展数据安全风险评估。各企业要围绕数据收集、使用、加工、提供、公开、销毁等环节是否合法合规,以及数据存储、传输等环节是否采取技术保护措施,自行或委托第三方评估机构,及时整改风险问题,完善内部制度机制和技术措施。处理重要数据和核心数据的企业每年至少开展一次数据安全风险评估,并于2024年9月10日前将风险评估报告报送我局。
(二)技术赋能,关口前移防范化解安全风险
强化提升风险监测能力,加强安全风险预警与处置,打造安全流程闭环防控机制。
7. 强化技术手段建设。各企业应重视网络安全技术手段建设和应用,有效提升安全防护水平。我局将发挥以技管网、以技管数优势,加强与部属院所、基础企业协同联动,围绕工业互联网、车联网等新型融合领域安全防护,推进网络安全态势和协同处置平台、网络安全漏洞管理平台、互联网信息安全管理系统等网络安全技术手段建设,进一步强化安全风险管理和响应处置水平,提升勒索攻击、供应链攻击等典型突出风险监测发现能力。
8. 加强安全监测预警和通报处置。各企业要进一步加强网络和数据安全风险监测与处置工作,健全相关工作机制,按照工信部《公共互联网网络安全威胁监测与处置办法》《网络产品安全漏洞管理规定》等规定,在监测发现各类安全威胁、风险隐患后,属于自身问题的,应当立即采取措施,及时完成整改;涉及其他单位的,应当及时报送我局,不得随意对外发布漏洞细节情况,我局将通报督促相关单位及时防范整改。
9. 配合安全风险排查诊断。各企业聚焦围绕数据泄露、滥用、勒索攻击等突出网络数据安全风险,深入开展风险排查处置;同时,相关企业应积极配合我局组织的网络数据安全远程检测和现场诊断评估,做好台账资料梳理、现场诊断环境准备等配合工作;对我局发现通报的漏洞,“举一反三”进行核查,并及时反馈核查处置结果。
(三)实战赋能,靶向施策提升应急处突水平
聚焦勒索病毒攻击、跨境数据安全等焦点问题,组织实网安全演练,提升安全防护水平和应急响应能力。
10. 健全突发事件应急保障体系。各企业要认真落实《公共互联网网络安全突发事件应急预案》,完善本单位网络和数据安全突发事件应急预案,健全应急响应机制,建立应急队伍,不断提升本单位网络和数据安全突发事件的综合应对能力。
11. 组织开展实网演练。各企业要结合自身情况,聚焦典型突出风险,组织开展网络和数据安全实网攻防演练。我局将组织相关企业开展网络和数据安全攻防演练,以攻促防,检验各企业应急预案的科学性、实用性和可操作性,提升实战化应对能力。
(四)服务赋能,创新构建安全共享共治生态
推进产学研用结合,创新共享安全监测成果,加强政策宣贯教育培训,强化网络安全人才培养。
12. 创新开展安全服务。各基础电信企业应发挥网络优势,积极开展网络安全监测服务试点,推进安全能力共治共享;各企业可探索应用网络安全保险等安全服务,提升网络安全风险应对能力,形成可推广可复制的优秀做法,积极申报安全典型案例。我局将根据工信部相关要求,开展案例遴选、推广等工作。
13. 加大人才教育培训。各企业要建立系统化人才培养机制,制定年度网络和数据安全培训计划,对管理层、网络和数据安全专职人员、全体员工分别开展针对性的教育和培训。我局将组织开展政策法规宣贯和典型案例分析。
三、 工作安排
(一)动员部署阶段(2024年6月)。我局组织开展宣贯部署,统一思想,提高认识,明确要求。各企业要研究制定本单位工作方案,健全工作机制,明确责任部门和工作任务,开展动员部署。
(二)推进实施阶段(2024年7月至8月)。各企业要按照方案要求,建立任务台账,细化工作措施,扎实推进定级备案、风险排查、安全演练等工作,及时整改工作中存在的问题。各相关企业应于7月15日前将数据安全风险自查报告报送我局。
(三)检测诊断阶段(2024年7月至8月)。我局开展远程检测和现场诊断,对企业定级备案、分类分级、安全防护等工作落实情况进行检查,督促指导企业及时处置风险隐患、强化安全防护。
(四)巩固提升阶段(2024年9月-10月)。我局将组织开展“龙磐2024”攻防演练,对前期检查问题进行复盘。各企业要认真总结专项行动任务落实情况,查找工作中的不足,将专项行动要求与日常工作相结合,巩固经验成效,形成长效机制。各基础电信企业于10月15日前将专项行动开展情况及数据安全风险排查防范整改情况书面报送我局。
四、 工作要求
(一)提高思想认识。各企业要统筹发展和安全,树立正确的网络安全观,进一步增强风险意识,强化底线思维,充分认识网络和数据安全工作的重要性和紧迫性。各企业主要负责人是本单位网络和数据安全工作的第一责任人,要高度重视,切实加强本次专项行动组织领导。
(二)层层压实责任。各企业要明确网络和数据安全分管领导和牵头部门、责任部门,明确各项任务职责分工,紧扣时间节点,完善工作机制,做好统筹协调、监督检查、责任考核,确保专项行动任务落实到位。
(三)加强工作落实。各企业要对照任务清单,认真落实各项工作要求。我局将围绕重点任务完成情况,开展督导抽查、远程检测。对拒不配合检查或者在检查中发现存在违反法律法规行为、问题逾期不改正或导致危害网络安全等后果的,我局将依法依规进行处罚。
(四)强化风险防控。各企业要强化风险防控意识,严格规范组织实施,稳妥有序推进各项工作。演练过程中,参演红方不得对授权以外的资产进行渗透,不得进行破坏性测试;参演蓝方应做好防护准备,参照应急预案科学有效地开展应急处置;未经我局允许,不得将发现的网络安全漏洞、演练方案、检查结果等信息进行泄露;如发生重大事件,及时向我局报告。
附件:网络和数据安全标准目录