关于进一步加强电信市场准入和年检环节信息安全专项审查的通知
工信部保〔2009〕10号
各省、自治区、直辖市通信管理局:
在电信市场准入和年检环节开展信息安全专项审查是强化信息安全管理,完善电信监管的重要手段。为推动信息安全专项审查工作进一步规范有序开展,尽快在全国范围内建立健全信息安全专项审查体系,现将有关工作要求通知如下。
一、关于加强信息安全专项审查工作的重要意义
目前,在我国电信市场高速发展的同时,也存在着不容忽视的信息安全隐患,突出表现在:新技术新业务创新快,信息安全监管滞后;企业规模大小不一,信息安全责任不落实;从业人员良莠不齐,信息安全观念淡薄;特别是在互联网接入环节,信息安全问题多、隐患大,已经成为当前影响互联网持续健康发展的重要因素。对此,各地通信管理部门必须予以高度重视,采取有效措施,在加强信息安全日常监督检查和查处力度的同时,发挥信息安全专项审查的抓手作用,进一步完善审查制度,细化审查要求,优化审查流程,实施信息安全审查“一票否决”制度,尽快完善形成“事前审查、事中监督、事后处罚”并重的信息安全管理体系。
二、关于信息安全专项审查的重点内容
(一)市场准入环节。针对各省增值电信业务经营许可,各省级通信管理部门要在现有工作的基础上,对申请材料中涉及信息安全的内容,尤其是以下内容进行重点审查:
1、对信息安全管理人员的要求。申请者应建立信息安全联络员制度,设置相应的信息安全管理组织机构,配备一定数量并且具有相应资质的专职信息安全管理人员。对于信息安全联络员或者联系方式有变动的,申请者应承诺在两个工作日内主动想申请机关书面报告。
针对信息安全管理人员资质问题,部将研究探索开展增值电信服务企业信息安全联络员“从业资质测评”工作,待条件成熟时,纳入到部职业技能鉴定工作范畴。
2、对信息安全管理制度的要求。申请者应提交完整的企业内部信息安全管理制度。包括:信息安全管理责任制,有害信息发现处置机制,有害信息投诉受理处置机制,重大信息安全事件应急处置和报告制度,信息安全管理政策和业务培训制度等。
3、对信息安全技术手段的要求。申请者应采取有效技术手段,落实在有害信息发现和过滤、用户日志留存等方面的管理要求。考虑到准入审查阶段,部分申请者尚未进行实质性系统建设,因此将要求申请者做出同步配套建设信息安全技术手段的承诺,报送建设方案和实施计划等材料,并在必要是到企业现场开展实地审查。
(二)年审环节。要在加强日常信息安全监督管理的基础上,针对年审环节,着重从以下方面对电信业务经营者开展信息安全专项审查:
1、市场准入时信息安全承诺的落实情况。重点是信息安全联络员制度的落实情况、同步配套建设信息安全技术手段的实施进展情况等。
2、信息安全管理制度的落实情况。重点是重大信息安全事件应急处置和报告制度的落实情况,信息安全管理政策的培训情况等。
3、落实相关政府部分依法管理要求的情况。对于从事网上新闻、出版等服务的经营者,要结合日常相关管理部门向通信管理部门反映的情况,加大审查力度,必要时可进行实地检查。
三、开展信息安全专项审查工作的要求
(一)找准工作定位。信息安全专项审查是电信市场准入和年审工作的重要组成部分,既要把信息安全专项审查与市场经营等方面的审查相区分,又要在工作上衔接好,把两者结合起来,融为一体,实现一个窗口对外。要加强协调配合,合理分工,简化流程,形成合力,切实发挥电信市场准入和年审的重要作用。
(二)抓住重点环节。各地要将互联网接入作为工作重点,以点带面,稳妥推进信息安全专项审查工作。近期,因“2008年打击网络淫秽色情专项治理工作”而暂停的互联网站接入服务(ISPIDC)经营许可将恢复进行。各地可按照当地互联网发展的实际,进一步细化接入服务市场准入的信息安全管理要求,尽快做好开展专项审核的各项前期准备,切实加大对接入服务商的准入审查和年审力度,严格规范“IDC虚拟空间的层层转租”行为,尽量减少IDC的嵌套接入层级,最大限度降低接入环节的信息安全隐患。
(三)强化事中监督。将事中监督与事前审查和事后处罚并重,加大对电信业务经营者落实信息安全管理要求及技术手段的检查力度,定期公布检查情况和处罚结果,并与年审相结合,做到“依法管理,审查有据”。
2009年是建国60周年。受国际金融危机蔓延等不利因素的影响,信息安全管理形势严峻,责任重大,任务艰巨。各地通信管理部门要切实负起责任,做到认识到位,人员到位,保障到位,工作到位,认真做好信息安全专项审核。在工作中出现的问题和建议要及时向部相关司局反映。部相关司局要对反映的问题和建议及时进行研究,提出解决意见和建议,并及时总结各地好的经验和做法,及时交流推广。
二○○九年一月九日
