通栏广告

中共东莞市委网络安全和信息化委员会办公室文件

为落实中央有关文件精神,进一步规范我市网络安全检查工作,现按省委网络安全和信息化委员会统一部署,将有关事项通知如下

东委网办通[2019]6号

  关于进一步规范我市网络安全检查工作的通知

市直各单位、中央和省驻莞单位、人民团体、各镇街(园区)宣传部门:

  为落实中央有关文件精神,进一步规范我市网络安全检查工作,现按省委网络安全和信息化委员会统一部署,将有关事项通知如下:

  一、全面梳理网站平台系统,确定关键信息基础设施库

  按照“谁主管谁负责,谁运行谁负责”和属地管理的原则,各镇(街)、各部门依据《网络安全法》和《关键信息基础设施确定指南(试行)》(附件2),对本镇街(园区)、本部门自有(含下属单位)及主管监管范围内的网站、平台、信息系统进行全面梳理,确认关键信息基础设施,填报《关键信息基础设施基本信息表》(附件1)。各镇街(园区)各部门应于4月25日前完成关键信息基础设施的梳理确认和填报工作,并将《关键信息基础设施基本信息表》电子版OA报送市委网信办网络安全和信息化科邮箱。

  二、加强网络安全日常管理,制定网络安全检查计划

  各镇街(园区)、各部门要严格落实《网络安全法》、《党委(党组)网络安全工作责任制实施办法》要求,切实履行网络安全主体责任,加强对所属关键信息基础设施和一般网络设施的安全管理。为统筹做好全市网络安全检查工作,避免可能出现的检查对象不清、监管职责模糊、检查交叉重复、走形式走过场、只检查不负责等问题,各行业主管部门应依据《网络安全法》,认真梳理自有(含下属单位)及主管监管范围内的网络运营者,确定检查对象(检查对象应包含但不限于关键信息基础设施运营者),组织开展抽查检测,明确检查事项、实施检查人员,可视工作需要委托专业检查服务机构开展网络安全检查。

  请各行业主管监管部门于4月25日前将2019年度“检查对象库”、“检查事项清单”,“检查人员库”,“专业检查服务机构清单”(即“两库两清单”,详见附件3)纸质盖章版本(附所有表格电子版光盘)直接报送,或者通过机要交换报送市委网信办网络安全和信息化科.由市委网信办统筹汇总后,报省委网信办.网络安全检査工作情况将纳入全市网络安全 年度考核,请各行业主管监管部门认其填报并组织实施.

  三、改进检查方式方法,注重工作实效,加强责任追究

  网络安全检查工作要立足于提高网络安全管理和防护实际能力,不断增强科学性、针对性、实效性.各行业主管监管部门要创新检查方式,推广日常远程技术检查,提升持续 发现问题隐患的能力.注重对网络运营者自查情况的检查, 强化自查责任,增强其主动发现问题的意识和能力;指导督促网络运营者既要解决检查发现的问題,又要注重查找深层问题的根源,采取有效措施,按时整改到位#加强对检查情况的综合分析,在检查中发现的重大风险隐患要及时报市委网信办。结合检查的结果,加强对本部门、本行业、本镇(街) 网络安全防护能力状况的评估,提出加强网络安全管理和建设制度、措施以及实施计划.每年11月15曰前将网络安全 检査结果、风险评估、整改措施等,连同年度网络安全工作 报告报市委网信办网络安全和信患化科.

  各部门要强化责任意识,加强对检查工作的组织领导和监督管理,严格执行检查规定和遵守工作纪律;发现检查服务机构、检查人员存在弄虚作假、应查事项未查、未按检查 标准实施、未及时督促整改、严重情况不及时报告、进行商业推销、故意泄露检查对象数据信息等情形的,要进行严肃处理;导致网络安全事件的,要按照《网络安全法》、《党委 (党组)网络安全工作责任制实施办法》等有关法律法规规定追究责任.

涉密网络和系统系统安全检查,按照有关规定执行,不列入本次通知要求范围。

  附件:1.关键信息基础设施基本信息表

            2.关键信息基础设施确定指南(试行)

            3. 网络安全检查“两库两清单”(模板)



  中共东莞市委网络网络安全和信息化委员会办公室

                                         2019年4月16日   


(联系人:佘冰、何佳,联系电话:22830585,联系地址: 市行政办事中心主楼5楼74室)



附件2

  关键信息基础设施确定指南

  (试行)

  一、什么是关键信息基础设施

  关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

  关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

  二、如何确定关键信息基础设施

  关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。

  (一)确定本地区、本部门、本行业的关键业务。

  可参考下表,结合本地区、本部门、本行业实际梳理关键业务。

中共东莞市委网络安全和信息化委员会办公室文件.jpg

  (二)确定关键业务相关的信息系统或工业控制系统。

  根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。

  (三)认定关键信息基础设施。

  对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。

  A.网站类

  符合以下条件之一的,可认定为关键信息基础设施:

  1.县级(含)以上党政机关网站。

  2.重点新闻网站。

  3.日均访问量超过100万人次的网站。

  4.一旦发生网络安全事故,可能造成以下影响之一的:

  (1)影响超过100万人工作、生活;

  (2)影响单个地市级行政区30%以上人口的工作、生活;

  (3)造成超过100万人个人信息泄露;

  (4)造成大量机构、企业敏感信息泄露;

  (5)造成大量地理、人口、资源等国家基础数据泄露;

  (6)严重损害政府形象、社会秩序,或危害国家安全。

  5. 其他应该认定为关键信息基础设施。

  B.平台类

  符合以下条件之一的,可认定为关键信息基础设施:

  1.注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。

  2.日均成交订单额或交易额超过1000万元。

  3.一旦发生网络安全事故,可能造成以下影响之一的:

  (1)造成1000万元以上的直接经济损失;

  (2)直接影响超过1000万人工作、生活;

  (3)造成超过100万人个人信息泄露;

  (4)造成大量机构、企业敏感信息泄露;

  (5)造成大量地理、人口、资源等国家基础数据泄露;

  (6)严重损害社会和经济秩序,或危害国家安全。

  4.其他应该认定为关键信息基础设施。

  C.生产业务类

  符合以下条件之一的,可认定为关键信息基础设施:

  1.地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。

  2.规模超过1500个标准机架的数据中心。

  3.一旦发生安全事故,可能造成以下影响之一的:

  (1)影响单个地市级行政区30%以上人口的工作、生活;

  (2)影响10万人用水、用电、用气、用油、取暖或交通出行等;

  (3)导致5人以上死亡或50人以上重伤;

  (4)直接造成5000万元以上经济损失;

  (5)造成超过100万人个人信息泄露;

  (6)造成大量机构、企业敏感信息泄露;

  (7)造成大量地理、人口、资源等国家基础数据泄露;

  (8)严重损害社会和经济秩序,或危害国家安全。

  4.其他应该认定为关键信息基础设施。


相关推荐

华为:鲲鹏920是业界首颗兼容Arm架构的64核数据中心处理器

华为:鲲鹏920是业界首颗兼容Arm架构的64核数据中心处理器

大数据创新应用成焦点 智慧产业点亮城市未来

大数据创新应用成焦点 智慧产业点亮城市未来

120家美股将公布Q3财报!云计算成亚马逊、微软亮点

120家美股将公布Q3财报!云计算成亚马逊、微软亮点

人民日报:数字经济,高质量发展新引擎

人民日报:数字经济,高质量发展新引擎

2019年第22批CDN牌照出炉:8家企业获经营资质

2019年第22批CDN牌照出炉:8家企业获经营资质

多地广电进军数据中心——转型之路生与死?

多地广电进军数据中心——转型之路生与死?