上海市信息通信行业协会
Shanghai Information Communication Industry Association
Toggle navigation
首页
关于协会
协会介绍
协会领导
协会章程
协会信息
通知公告
协会工作动态
会员名录
行业管理
行业新闻
会员动态
会展论坛
统计数据
政策法规
服务之窗
工程审价咨询服务
服务能力评价
高技能人才培训
通信专业技术人员职业水平考试
自律公约
行业统计
会员服务
会员介绍
会员管理办法
会费管理办法
入会申请表
查询
上海市通信管理局关于规范开展2025年信息通信网络安全防护工作的通知
发布时间:2025-08-22 访问量:78
互联网管理处 上海通信圈
2025年08月21日 17:34 上海
各电信业务经营者、互联网域名服务提供者:
为深入贯彻落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《通信网络安全防护管理办法》等法律法规和政策文件要求(见附件1),有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提升上海市信息通信网络安全防护水平,保障信息通信网络安全稳定运行,上海市通信管理局(以下简称市通管局)决定规范开展2025年信息通信网络安全防护工作,现将有关要求通知如下:
一、落实网络安全防护措施
三同步要求
电信业务经营者、互联网域名服务提供者(以下统称信息通信网络运行单位)要按照网络安全防护有关要求,对新建、改建、扩建、已建的信息通信网络,实施网络安全防护措施的同步规划、同步建设、同步运行。规划阶段要开展安全需求分析,形成安全总体方案和安全建设方案。建设阶段要细化设计方案,落实安全管理和技术要求,项目完成后组织验收并形成验收和检测报告。运行阶段要做好运行监控、变更管控、事件响应、安全检测,持续提升安全能力,确保安全保障工作的有效性。网络安全防护三同步相关材料应做好留存备查。
二、确保信息通信网络单元定级备案的
真实性和准确性
信息通信网络运行单位要按照电信网和互联网网络安全防护定级备案实施要求,全面系统梳理本单位已正式投入运行的信息通信网络单元划分、定级备案、资产纳管情况,核查各信息通信网络单元的定级备案信息、资产信息等的真实性、完整性和准确性,于2025年9月底前完成本单位信息通信网络单元的全面核查,并通过通信网络安全防护管理系统(https://mii-aqfh.cn)向我局报送备案信息(定级报告、符合性评测和风险评估报告模板可在市通管局网络安全监测预警和信息通报管理系统的“公告管理”中下载)。
三、加强信息通信网络安全
符合性评测
信息通信网络运行单位要按照电信网和互联网安全防护系列标准要求(安全防护相关标准及填报注意事项可在通信网络安全防护管理系统的“文件下载中心”查看和下载),采取与信息通信网络单元类别、安全级别相适应的身份鉴别、访问控制、边界防护、安全审计等网络安全防护管理和技术措施,并按照规定频次自行或委托专业机构开展网络安全防护系列标准的符合性评测。其中,三级及以上信息通信网络单元每年开展一次,二级信息通信网络单元每两年开展一次;信息通信网络单元的划分和级别调整的,在九十日内重新进行符合性评测,评测结束三十日内完成系统填报和证明材料提交。
四、强化信息通信网络安全
风险评估
信息通信网络运行单位要按照电信网和互联网安全风险评估规范开展安全风险评估,及时发现并消除重大网络安全隐患和漏洞。风险评估要贯穿信息通信网络单元规划建设、实施运维等全生命周期,在信息通信网络单元上线前充分评估安全措施有效性,上线后按照符合性评测规定的频次要求开展常态化评估,系统化识别、分析风险,采取应对举措。在系统发生重大变更时,或在国家重大活动举办前,按照市通管局的要求开展评估。评估结束三十日内,将评估结果、隐患处理情况或者处理计划通过通信网络安全防护管理系统报送。
五、做好暴露面风险管理
信息通信网络运行单位要系统梳理互联网暴露面,包括承载电信业务、企业办公、业务支撑等的各类信息通信网络单元互联网出入口,严控出入口数量,做好边界隔离和安全防护。统计办公网互联网出入口,以及接入在用的各类信息通信网络单元的虚拟专用网络(VPN)、零信任网络的情况,形成互联网暴露面信息列表(模板见附件2),与本年度网络安全防护工作总结报告同步提交。
六、加强网络安全威胁监测
信息通信网络运行单位要按照公共互联网网络安全威胁监测与处置要求,做好常态化网络安全威胁监测与处置。建设网络安全威胁监测与处置技术手段,在互联网出入口、网络边界等网络关键节点部署攻击监测设备,基于流量监测、网元自身安全组件监测、日志采集分析等,提升恶意程序传播、漏洞攻击利用等网络威胁精准监测、分析研判能力,及时发现并处置各类风险隐患与威胁。
七、强化网络安全事件应急处置
信息通信网络运行单位要按照公共互联网网络安全突发事件应急预案要求,提升网络安全突发事件应急处置能力。制定并更新完善本单位网络安全应急预案,做好重大活动网络安全保障准备。定期参与或自行组织开展针对性、实战化网络安全事件应急演练,不断健全网络安全事件报告和应急处置机制。严格落实突发事件报告制度,发生网络安全事件或者发现网络安全威胁的,立即向市通管局报告,并在事件应急响应结束后十个工作日内,在市通管局网络安全监测预警和信息通报管理系统进行报送。
八、加强专业机构的评测评估监管
信息通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。在上海市行政区域内提供通信网络安全服务的专业机构应将相关专业能力资质报市通管局备案,市通管局定期向社会公示已备案的网络安全专业机构及其能力资质,并根据网络安全管理和通信网络单元安全防护工作的评审情况,加强对上述专业机构的安全评测、评估、监测能力监管。对违反国家有关规定开展网络安全认证、检测、风险评估等活动的机构,依据有关法律法规予以严肃处理。
九、工作要求
各信息通信网络运行单位要切实发挥主体责任,积极配合,切实推进网络安全防护工作的落地实施,并于2025年11月底前将本年度网络安全防护工作开展情况(包括定级备案、符合性评测、安全风险评估、暴露面信息、应急预案及演练情况),正式报送至市通管局(模板见附件3)。
特此通知。
上海市通信管理局
2025年8月20日
;
沪公网安备 31010902001922号