工信部网络安全要求

合集下载

近期主要信息安全政策和要求解读

安全保障设施与主体工程同步建设、同步验收的相关要求。 • 验收报告、上线前风险评估
2、符合性评测和风险评估（20分） • 按照11号令第十一条、第十二条以及《指导意见》的相关要求，定期对已顶级备案的网络单元开展符合性评
测和风险评估
3、网络安全检查情况（20分） • 按照11号令第十七、十九条的要求，接受电信主管部门的网络安全检查
信息安全管理部分（3分）
1、网络信息安全机构设置和人员 2、IDC/ISP信息安全技术管理
配置（0.4）
系统建设（1.0）
3、信息安全监管（1.6）
重大专项任务和监管配合
（0.6）
移动上网日志留存工
作
（0.5）
新技术新业务评估（0.5）
“扫黄打非”工作通信信息诈骗治理反恐维稳应急处置和监管配合工作
• 依据：
– 《通信网络安全防护管理办法》（工业和信息化部令第11号） – 通信网络安全防护系列标准
• 网络基础设施安全
– 合理划分网络和系统的安全域，理清网络边界，加强边界防护 – 完善域名系统安全防护措施，加强公共递归域名解析系统的域名数据应急备
份。
• 业务系统安全
– 加强网站安全防护和企业办公、维护终端的安全管理。
手段
新入网用户实名登记 • 严格按照规定对新入网用户实施实名登记。 • 为单位用户办理移动电话入网手续时，要做到移动电话与实际使用人一一对应。
未实名登记用户补登记 • 积极对之前入网的未实名老用户进行补登记，并确保2015年12月31日前全部电话用户
实名登记绿达到90%以上。
1、电话实名制登记（0.8）
1、网络安全组织保障 (0.3)
网络安全管理部分-1.8分

工信部网络安全分级

工信部网络安全分级工信部网络安全分级是指根据网络安全风险等级和影响程度对网络和信息系统进行分类和分级管理的一种制度。

其目的是为了保护网络安全、维护信息系统的正常运行和保障社会经济发展的需要。

工信部网络安全分级主要分为四级，分别是一级、二级、三级和四级。

每个级别都有对应的防护要求和安全措施。

一级是最高级别，适用于国家安全和核心信息的网络和信息系统。

这些系统的工作环境、设备配置、技术手段和管理要求都要达到最高级别的安全要求，以确保其保密性、完整性和可用性。

二级适用于涉及国家利益和重要信息的网络和信息系统，如国家行政机关、重点企事业单位等。

这些系统的安全要求相对较高，需要建立健全的安全管理体系和各种安全技术手段来防护外部攻击和内部威胁。

三级适用于一般信息系统，如一般企事业单位、学校、医院等。

这些系统的安全要求相对较低，主要是为了防范常见的网络攻击和保护用户的隐私信息。

四级适用于个人或小型网络，如家庭宽带、个人电脑等。

这些系统的安全要求相对较低，主要是为了提供基本的安全防护功能，如防火墙、杀毒软件等。

工信部网络安全分级的实施对于维护网络安全和保护用户信息起到了积极的作用。

通过将不同的网络和信息系统进行分类和分级管理，可以有针对性地制定相应的安全措施和技术标准，提高网络系统的安全性和稳定性。

同时，网络安全分级的实施也有利于加强对网络和信息系统的监管和管理，加大对违法犯罪行为的打击力度，保护公民的合法权益。

总之，工信部网络安全分级制度是一项重要的网络安全管理措施，它的实施对于提高网络安全保护水平、促进网络业务发展和维护国家信息安全具有重要意义。

需要广大网络用户、网络运营商和相关部门共同努力，加强网络安全意识，提升网络安全技术水平，共同维护网络安全和信息安全。

工信部通信企业安全检查要求

工信部通信企业安全检查要求工信部于近期组织对我国通信企业进行了一次全面的安全检查，其主要目的是通过了解企业的安全状况，切实提高通信网络的安全运行水平，为中国互联网产业的健康发展提供保障。

根据通信企业安全检查的要求，本文就相关内容进行了详细阐述。

一、安全风险自查通信企业应当在自查的过程中，重点关注自身业务的敏感性、安全的可信度、治理的有效性以及网络的控制性等方面。

自查结果须详细记录，以方便日后跟踪追溯。

同时，通信企业应当重点加强检查常用操作系统的安全性、网络设备的防护能力以及数据库的安全性等方面，以便及时发现和处理存在的安全问题。

二、网络安全防护通信企业还需加强网络安全防护，对网络加密、网络监测、访问控制等方面进行全面加固。

随着移动互联网的发展，通信企业还需要重点关注移动网络的安全风险，加强安全防护、加密加固、隔离网络风险，以确保用户的网络通信安全。

三、保密管理通信企业的保密管理是非常重要的，因此在通信企业安全检查中，保密管理也是一项必要的内容，通信企业应当加强保密管控，防止重要信息外泄，保护客户隐私。

通信企业还应加强对员工的教育和管理，确保员工不会在业务处理过程中有任何保密方面的失误，确保企业和客户的保密信息得到妥善地保护和管理。

四、协同治理通信企业还需与国家安全机构和当地政府部门展开紧密的合作，切实进行协同治理。

企业应当遵守国家有关安全法律法规，共同维护信息安全、网络安全，规范企业经营行为。

并在发现安全问题时及时向相关部门报告，共同处理网络安全威胁。

总的来说，通信企业安全检查是一项必要的内容，只有加强安全自查，增强网络安全防护、加强保密管理和协同治理，才能够确保通信网络的信息安全和网络安全。

通信企业作为国家基础设施之一，必须时刻保持高度的警惕和责任心，确保网络安全一旦受到威胁，能够及时应对，迅速处理，维护好广大用户的合法权益。

《通信网络安全防护管理办法》公布3月1日施行

关标准。各省、自治区、直辖市通信管理局依据该办法的规定，对本行政区域内的通信网络安全防护工作进行指导、协
调和检查。办法要求，电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。办法还明确，对于违反该办法有关条款的，由电信管理机构依据职权责令改正；拒不改正的，给予警告。并处五千元以上三万元以下的罚款。电信管理机构的工作人员违反有关条款的，依法给予行政处分；构成犯罪的，依法追究刑事责任。
工信部：三网融合试点首批圈定１城市０
在日前召开的 “ 创新国家新型工业化产业示范基地工作会议暨授牌仪式”上，工业和信息化部副部长苗圩表示，
三网融合试点城市首批拟圈定１４左右，目前这个名单还没有最后确定。苗圩认为，三网融合的难点不在技术层面而－０
在体制方面。
工业和信息化部公布２０年全国电信业运营情况０９
工业和信息化部日前公布了２０年全国电信业运营情况。数据显示，截＿０９０９￣２０年年底，我国移动电话用户在电
话用户总数中所占的比重达￣７．％，移动电话普及率达￣５．部／人，移动电话用户与固定电话用户的差距超过４ｌ０４Ｊｔ６３百Ｊ
７８／人。．部百
移动电话用户中，移动分组数据用户净增１２＇，，达．３８＇９７ｆ户＿￣．５ｆＪｒＺ户。移动分组数据业务的渗透率从２０年底的０８
３８／＿升至５１５。９．。上ｏ，％

工信部印发《电信和互联网行业数据安全标准体系建设指南》

工信部印发《电信和互联网行业数据安全标准体系建设指南》2020年12月17日，工业和信息化部印发《电信和互联网行业数据安全标准体系建设指南》，指南强调，在基础共性标准、关键技术标准、安全管理标准的基础上，结合新一代信息通信技术发展情况，主要在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局，结合重点领域自身发展情况和数据安全保护需求，制定相关数据安全标准。

其中，工业互联网安全重点关注控制系统、设备、网络、数据、平台、应用程序安全和安全管理等。

工业互联网领域的数据安全标准主要包括工业互联网数据安全保护、工业互联网数据分级技术等。

四部门发文：加快构建全国一体化大数据中心协同创新体系强化大数据安全防护2020年12月23日，为进一步促进新型基础设施高质量发展，深化大数据协同创新，国家发展改革委、中央网信办、工业和信息化部、国家能源局联合印发《关于加快构建全国一体化大数据中心协同创新体系的指导意见》，意见提出要推动核心技术突破及应用，加快科技创新突破和安全可靠产品应用，强化大数据安全保障，加快构建贯穿基础网络、数据中心、云平台、数据、应用等一体化协同安全保障体系，提高大数据安全可靠水平。

《工业互联网创新发展行动计划（2021-2023年）》印发2021年1月13日，工业和信息化部印发《工业互联网创新发展行动计划（2021-2023年）》，行动计划提出要制定分类分级系列安全标准规范，明确企业设备、控制、网络、平台、应用、数据等的安全防护基本要求，开展PLC等重点设备、SCADA等重要系统、工业互联网平台、工业A pp动态安全检测评估。

强化企业自身防护，鼓励支持重点企业建设集中化安全态势感知和综合防护系统，提升网络和数据安全技术能力。

公安部：发布公共安全行业标准（2019年度），17个安全标准在列2020年4月，公安部发布242项公共安全行业标准，其中包含信息安全技术工业控制系统软件脆弱性扫描产品安全技术要序号标准缠号标准名称实旃日期代替标准号216G A/T 1542-2019息安全技术*丨-IP V6的高性络入«防_系统产品安全技术要求2019/01/09217G A H" 1543-2019倍息安全技术M烙设备倍息探测产品安全技术罾求2019/01/13218G A^T913-2019<•1息安全技术a*串安全审计产品安全技术麥求2019^)1/13G A/T913-20I0 219G V T 1544-2019饴息安全技术M格及安全设备K H检奔产t t安全技术要求2019/03/04220G A H" 1545-2019位息安全技术杆能密码玥匙安全技术要求2019/03/04221G A/T 1546-2019位息安全技术t«W I F丨信号f i*产品安令技术罾承2019«3/08222C iA/T IS47-20I9饴患安令技术移动W能终端用户a*存銪安全技术赛求和《试评价方法2019«3/08223G A^ 1550-2019估f i安全技术W站安全》测产品安全技术饗求2019/03/13224G A^-1549-2019安全技术t t幘U S期卡安全技术赛求2019«3/19求、信息安全技术工业控制系统主机安全防护与审计监控产品安全技术要求等17项安全标准。

《信息安全技术网络产品和服务安全通用要求》等11项网络安全国家标准获批发布

GB/T 30276-2013 GB/T 30279-2013， GB/T 33561-2017
2021-06-01 2021-06-01
6 信息技术与标准化
《信息安全技术网络产品和服务安全通用要求》等 11 项网络安全国家标准获批发布
根据 2020 年 11 月 19 日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和
国国家标准公告 (2020 年第 26 号 )，全国信息安全标准化技术委员会归口的 GB/T 39276-2020《信息安
3 GB/T 39412-2020 信息安全技术代码安全审计规范
2021-06-01
4 GB/T 39477-2020 信息安全技术政务信息共享数据安全技术要求
2021-06-01
5 GB /T 20261-2020 信息安全技术系统安全工程能力成熟度模型
GB/T 20261-2006 2021-06-0l
全技术网络产品和服务安全通用要求》等 11 项国家标准正式发布。
序号
标准编号
标准名称
代替标准号
实施日期
1 GB/T 39276-2020 信息安全技术网络产品和服务安全通用要求
2021-06-01
2 GB/T 39335-2020 信息安全技术个人信息安全影响评估指南
2021-06-0l
会上，国家市场监管总局标准技术管理司以及部科技司传达
了深化标准化改革精神。杨建军副司长全面总结了一年来电子信息领域标准化工作进展情况，指出电子信息领域标准化工作卓有成效，统筹推进重点领域标准化工作，积极推进标准化组织建设，及时ห้องสมุดไป่ตู้开展新冠肺炎疫情防控标准制定，持续加强国际标准化工作。同时，他分析了当前标准化工作面临的新形势，部署了下一阶段电子信息领域标准化重点工作。

工信部电信网络运行监督管理办法

电信网络运行监督管理办法第一章总则第一条为了加强电信网络运行监督管理，保障电信网络运行稳定可靠，预防电信网络运行事故发生，促进电信行业持续稳定发展，根据《中华人民共和国安全生产法》、《中华人民共和国电信条例》等相关法律、行政法规，制定本办法。

第二条工业和信息化部和各省、自治区、直辖市通信管理局（以下简称电信监管部门）对基础电信业务经营者的网络运行维护（包括局数据和软件版本管理等），网络运行安全，安全生产，网络运行事故的预防、报告、处理等活动的监督管理，适用本办法。

应对自然灾害、事故灾难、公共卫生事件和社会安全事件等突发事件而采取的应急通信保障措施，应对网络攻击、网络入侵、网络病毒、非法远程控制等网络安全防护措施，为满足特殊通信需求而采取的网络运行安全措施，为防止和减少涉及人身伤亡和财产损失的生产安全事故而采取的安全生产措施另有规定的，从其规定。

第三条本办法所称的网络运行事故是指由于突发公共事件、人为破坏、施工损坏或网络自身故障造成的电信基础设施损坏、电信网络中断、电信业务中断等情况。

分为特别重大事故、重大事故、较大事故和一般事故（网络运行事故划分见附件一）。

第四条基础电信业务经营者总部及各级分支机构是网络运行维护管理的责任主体，应当遵守本办法和有关网络运行维护的行业标准，加强网络运行维护管理，建立健全网络运行维护监督制度，完善网络运行安全条件，确保网络运行稳定可靠。

基础电信业务经营者总部及各级分支机构的主要负责人，对本单位的网络运行维护管理工作全面负责。

第五条电信监管部门是网络运行监督管理的主管部门。

工业和信息化部在全国范围内履行监督管理职责。

各省、自治区、直辖市通信管理局在本行政区内按照职责分工履行监督管理职责。

第二章网络运行维护责任第六条基础电信业务经营者总部及各级分支机构的主要负责人对本单位的网络运行维护工作负有下列职责：（一）建立健全本单位网络运行维护责任制；（二）组织制定本单位网络运行维护制度，不断完善网络运行维护规程；（三）保证本单位网络运行安全投入的有效实施；（四）督促、检查本单位网络运行维护工作，对本单位网络运行安全状况进行考核与评估，及时消除网络运行事故隐患；（五）加强本单位网络规划、建设施工与网络运行维护的协调，防止对网络运行可能造成的危害；（六）组织制定并实施本单位的网络运行事故应急处置预案；（七）组织对从业人员进行网络运行安全和安全生产的教育和培训；（八）及时、如实报告网络运行事故。

工业和信息化部关于印发工业控制系统网络安全防护指南的通知

工业和信息化部关于印发工业控制系统网络安全防护指南的通知文章属性•【制定机关】工业和信息化部•【公布日期】2024.01.19•【文号】工信部网安〔2024〕14号•【施行日期】2024.01.19•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】工业和信息化管理综合规定正文工业和信息化部关于印发工业控制系统网络安全防护指南的通知工信部网安〔2024〕14号各省、自治区、直辖市、计划单列市及新疆生产建设兵团工业和信息化主管部门，有关企事业单位：现将《工业控制系统网络安全防护指南》印发给你们，请认真抓好落实。

工业和信息化部2024年1月19日工业控制系统网络安全防护指南工业控制系统是工业生产运行的基础核心。

为适应新时期工业控制系统网络安全（以下简称工控安全）形势，进一步指导企业提升工控安全防护水平，夯实新型工业化发展安全根基，制定本指南。

使用、运营工业控制系统的企业适用本指南，防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。

一、安全管理（一）资产管理1.全面梳理可编程逻辑控制器（PLC）、分布式控制系统（DCS）、数据采集与监视控制系统（SCADA）等典型工业控制系统以及相关设备、软件、数据等资产，明确资产管理责任部门和责任人，建立工业控制系统资产清单，并根据资产状态变化及时更新。

定期开展工业控制系统资产核查，内容包括但不限于系统配置、权限分配、日志审计、病毒查杀、数据备份、设备运行状态等情况。

2.根据承载业务的重要性、规模，以及发生网络安全事件的危害程度等因素，建立重要工业控制系统清单并定期更新，实施重点保护。

重要工业控制系统相关的关键工业主机、网络设备、控制设备等，应实施冗余备份。

（二）配置管理3.强化账户及口令管理，避免使用默认口令或弱口令，定期更新口令。

遵循最小授权原则，合理设置账户权限，禁用不必要的系统默认账户和管理员账户，及时清理过期账户。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

工信部网络安全要求
背景介绍
随着信息技术的不断发展和普及，网络安全已经成为社会稳定、经济发展和国
家安全的重要保障。

在全球范围内，网络安全已经成为一个热门话题。

网络安全法是一部硬性法规，同时工信部也发布了一系列网络安全要求，以保障国家信息安全。

工信部网络安全要求的主要内容
1. 网络基础设施安全
工信部要求企业应当建立健全网络基础设施安全保障体系，包括但不限于：•运行环境安全管理；
•网络设备安全管理；
•网络数据安全管理；
•备份与恢复安全管理；
•内部人员权限管理；
•安全保密管理。

2. 系统软件安全
工信部要求企业在系统软件的开发、运行、维护和更新等过程中，应当遵循以
下要求：
•全面、准确地评估系统软件安全风险；
•严格按照安全标准要求进行安全设计、安全开发、安全测试；
•加强对系统软件的监控、管理和运维；
•及时更新、修补安全漏洞和漏洞控制，加强安全测试和漏洞挖掘；
•免费提供安全服务和安全技术支持。

3. 安全监测与应急管理
工信部要求企业应当建立网络安全监测和事件应急处理体系，及时发现、报告
和处理安全风险和安全事件，包括但不限于：
•安全事件的预警、识别、处置和记录；
•安全漏洞的补丁更新、风险评估和分析；
•安全巡检、监控和溯源；
•应急响应和处理；
•安全事件处置工作报告。

落实工信部网络安全要求的几点建议
1. 加强安全意识教育
安全教育是企业网络安全保障的基础。

企业应当加强安全意识培训和教育，提高员工网络安全意识和能力，落实网络安全保护责任。

2. 加强安全技术建设
网络安全技术是企业网络安全保障的重要支撑。

企业应当建立完善的网络安全技术体系，包括但不限于网络安全设备、应用系统安全、数据备份和恢复等方面。

3. 健全安全管理制度
安全管理制度是企业网络安全保障的重要组成部分。

企业应当建立健全的安全管理制度，包括但不限于安全评估管理、制度建立与培训、信息安全管理文件等。

总结
网络安全已是一个时代话题，安全事故层出不穷，亟待从源头上解决网络安全问题。

网络安全法和工信部网络安全要求为企业提供了合适的标准和要求，加强企业的网络安全保障，才能更好地保障企业的稳健运营和国家的安全。