安徽省通信管理局关于开展2025年电信和互联网行业网络和数据安全检查的通知

　　为提升安徽省电信和互联网行业网络和数据安全防护水平，安徽省通信管理局组织开展2025年安徽省电信和互联网行业网络和数据安全检查。
 

　　各基础电信企业、互联网企业、域名注册管理和服务机构、各相关单位：
 

　　为进一步提升安徽省电信和互联网行业网络和数据安全防护水平，推动电信和互联网行业高质量发展，按照工业和信息化部、省委省政府总体部署，结合工作职责，安徽省通信管理局(以下简称我局)决定组织开展2025年安徽省电信和互联网行业网络和数据安全检查。现将有关事项通知如下：
 

　　一、检查对象
 

　　提供公共互联网网络信息服务的基础电信企业、互联网企业(含云平台服务提供商、APP和小程序运营企业、车联网企业、工业互联网平台和标识解析节点企业等)、域名注册服务机构等。重点检查相关网络运行单位的重要网络单元及承载重要数据的信息系统，包括但不限于关键信息基础设施、通信网络基础设施、公共云服务平台、域名服务系统、工业互联网平台、标识解析系统、车联网平台及应用等。
 

　　二、检查内容
 

　　(一)网络和数据安全保障体系建设落实情况
 

　　企业应落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《通信网络安全防护管理办法》《网络产品安全漏洞管理规定》《工业和信息化领域数据安全管理办法(试行)》等法律法规、建立和完善本企业的网络数据安全管理制度和保障体系、开展法律法规规章的培训、强化日常自身网络和数据安全管理和防护等。
 

　　(二)网络安全防护措施的三同步一评估落实情况
 

　　电信和互联网企业应落实网络安全防护同步规划、同步建设、同步运行实施要求，对新建、改建、扩建、已建的信息通信网络，实施网络安全防护措施的同步规划、同步建设、同步运行，有关规定要求使用商用密码进行保护的网络与信息系统(重要网络与信息系统)，其运营者应当使用商用密码进行保护，制定商用密码应用方案，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。规划阶段要开展安全需求分析，形成安全总体方案和安全建设方案。建设阶段要细化设计方案，落实安全管理和技术要求，项目完成后组织验收并形成验收和检测报告。运行阶段要做好运行监控、变更管控、事件响应、安全检测，确保安全保障工作的有效性。网络安全防护同步规划、同步建设、同步运行相关材料应做好留存备查。
 

　　(三)通信网络安全防护管理落实情况
 

　　企业应落实《通信网络安全防护管理办法》《电信网和互联网网络安全防护定级备案实施指南》要求，全面系统梳理本单位已正式投入运行的信息通信网络相关情况，开展定级备案(附件1)、符合性评测和风险评估(附件2)，三级及以上信息通信网络单元应每年开展符合性评测和风险评估，二级信息通信网络单元应每两年开展一次符合性评测和风险评估情况。已申领《增值电信业务经营许可证》，但相关信息通信网络单元尚未正式投入运行的，可通过“通信网络安全防护管理系统” 的【填报单位信息】页面，上传加盖企业公章的《业务未开展情况说明文件》。各企业应于2025年8月底前，完成存量信息通信网络单元的全面核查，做好存量和新增网络单元的定级备案、符合性评测、安全风险评估工作，并将定级备案、符合性评测、安全风险评估材料在“通信网络安全防护管理系统(https://mii-aqfh.cn/login)”上提交。
 

　　(四)暴露面风险管理情况
 

　　企业应梳理系统互联网暴露面情况，包括承载电信业务、企业办公、业务支撑等的各类信息通信网络单元互联网出入口，严控互联网出入口数量，做好边界隔离和安全防护，采取关闭高危端口、防范高危漏洞、禁用弱口令账号等措施。统计办公网互联网出入口，以及接入在用各类信息通信网络单元的虚拟专用网络(VPN)、零信任网络的情况，形成互联网暴露面信息列表(附件3)，省内基础电信企业于2025年11月底前同步与本年度网络安全防护工作开展情况(附件4)报我局。
 

　　(五)网络安全威胁监测情况
 

　　企业应落实《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号)要求，做好常态化网络安全威胁监测与处置情况。建设网络安全威胁监测与处置技术手段，在互联网出入口、网络边界等网络关键节点部署攻击监测设备，基于流量监测、网元自身安全组件监测、日志采集分析等，提升恶意程序传播、漏洞攻击利用等网络威胁精准监测、分析研判能力，及时发现并处置各类风险隐患与威胁。
 

　　(六)网络安全事件应急处置情况
 

　　企业应落实《公共互联网网络安全突发事件应急预案》(工信部网安〔2017〕281号)要求，提升网络安全突发事件应急处置能力。制定并更新完善本单位网络安全应急预案，做好重大活动网络安全保障准备。定期参与或自行组织开展针对性、实战化网络安全事件应急演练，不断健全网络安全事件报告和应急处置机制。严格落实突发事件报告制度，发生较大以上网络安全威胁事件的，应立即报告我局，并在事件应急响应结束后十个工作日内，将总结报告报我局。
 

　　(七)数据安全保护落实情况
 

　　相关企业应落实《数据安全法》《工业和信息化领域数据安全管理办法(试行)》《工业和信息化领域数据安全风险评估实施细则(试行)》及“数据安全演练”相关要求，包括：数据安全管理制度、数据安全教育培训、相关技术保护措施、重要数据识别认定及目录管理、数据安全风险评估、数据安全风险监测与预警处置、数据安全事件应急预案制定与应急演练等。
 

　　(八)工业互联网企业网络安全防护情况
 

　　工业互联网平台企业及标识解析企业应落实《工业互联网安全分类分级管理办法》及“2025年护航新型工业化网络安全专项行动”要求，包括：网络安全主体责任、工业互联网安全分类分级、网络安全风险评估、网络安全风险监测与预警处置、网络安全事件应急预案制定与应急演练等。
 

　　(九)车联网安全防护管理情况
 

　　企业应落实《网络安全法》《数据安全法》《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》《车联网网络安全防护定级备案实施指南》要求，包括：网络和数据安全主体责任、车联网网络安全、车联网平台和应用服务安全、车联网数据安全等。
 

　　三、工作安排
 

　　(一)自查自纠(9月20前)
 

　　各企业要统一思想、提高认识，对照法律法规和本次检查重点，集中力量对本单位网络与数据安全工作进行自查自纠，对自查发现的安全问题要逐一做好记录，对能立即整改的要边查边改，对无法立即整改的要采取防范措施，制定整改计划，确保整改落实，同时形成自查整改情况台账。
 

　　(二)监督检查(10月31日前)
 

　　结合监管重点和2025年相关“双随机一公开”、专项行动检查工作，我局将委托支撑单位和专业技术机构通过现场询问、查阅资料、现场检测、远程渗透、源代码检测等方式进行网络与数据安全抽查。
 

　　(三)整改问责(11月30日前)
 

　　对检查过程中发现的问题，各企业要高度重视，认真整改，相关整改情况要形成报告及时报送我局，要确保对发现的安全风险彻底整改，不留死角。对相关网络运行单位拒不配合检查或在检查中发现存在违规问题逾期不改正或导致危害网络安全等后果的，将依法依规给予行政处罚，并将其纳入不良名单和失信名单。