文件解读 | 工信部88号文发布,强调7大任务、6大重点
导语:爱加密长期关注监管部门动态,对本文研读学习后总结文件整体结构,并从中提取了六大重点内容供各位参考。
工业和信息化部于4月7日印发通知,要求各有关单位按照安全生产治本攻坚三年行动工作部署要求,坚持安全发展、预防为主、技管结合,把安全生产和网络运行安全的任务、措施、责任真正落到实处,切实筑牢保障人民群众生命财产安全和社会大局稳定的信息通信网络底座。着力完成强化思想政治引领、完善制度政策体系、增强安全预防能力、加强重点问题整治、紧盯关键环节场景、提升应急处置水平、严格执法监督考核等七项重点任务。
爱加密长期关注监管部门动态,对本文研读学习后总结文件整体结构,并从中提取了六大重点内容供各位参考。
“总体要求”部分重点
一、坚持预防为主
树牢“隐患就是事故”理念,着力消除由于重大风险管控措施缺失或执行不到位而造成的重大事故隐患,推动安全生产治理模式向事前预防转型。
对于APP运营单位的建议:“预防为主”理应做好APP相关安全能力建设,防范安全事故发生。APP安全检测、安全加固、钓鱼仿冒监测、安全威胁感知等技术手段均为有效预防措施。
二、坚持技管结合
强化科技保障,构建事前风险预警、事中研判处置、事后溯源管理的技术手段体系,增强网络运行智能感知、快速响应、自治自愈能力,提升智能化水平。对于APP运营单位的建议:爱加密移动APP威胁感知平台完全贴合该项指标要求。可借助科技手段,能够为APP安全构建事前风险预警、事中研判、事后溯源管理。有助于增强智能感知、快速响应处置的智能化水平。
“主要任务”部分重点
一、完善制度政策体系
一是加强制度体系建设。结合本地区、本单位实际,不断完善安全生产和网络运行安全管理制度,组织做好政策制度宣贯培训,不断提高工作制度化水平。
二是加强标准体系建设。制定安全生产和网络运行安全标准化基本规范、5G网络运行安全风险评估系列标准等,推进安全生产和网络运行安全标准化管理体系建设和评估,持续深入推动标准落地实施,发挥标准引导规范作用。
二、提升应急处置水平
一是完善应急预案体系。健全网络故障应急预案体系,充分考虑各类极端场景,完善企业应急处置预案库,强化重点岗位、重点部位现场应急处置方案实操性。
二是健全快速响应机制。开展网络运行安全场景化、脚本化演练,提高现网倒换和跨区域跨部门跨专业协同处置能力。
三是加强科技力量保障。建设通信网络运行极端事故场景试验验证平台,模拟网络运行极端场景,开展测试验证和模拟演练。
对于APP运营单位的建议:完善的应急预案体系及测试验证与模拟演练需包含下述3大服务:
1.APP安全应急响应服务。包含紧急测试、问题分析等,在每年重大活动期间提供应急保障服务。
2.APP渠道监测服务。把渠道监测纳入应急预案体系,定期监测是否存在钓鱼仿冒等异常应用。
3.APP渗透测试服务。定期开展APP渗透测试,从入侵视角,深度挖掘、分析和验证其安全性。并配以完善的移动应用安全知识、产品知识培训、相关标准规范文件解读,方能提高工作制度化水平,完善安全生产和网络运行安全管理制度。爱加密长期跟进监管部门动态,解读相应法规、文件、标准。
三、严格执法监督考核
一是完善考核评价机制。各企业要制定本单位考核评价规定,将有关工作情况纳入绩效考评指标。
二是加强日常巡查检查。综合运用“四不两直”、明查暗访等方式深入检查,加大约谈、通报力度,时刻保持“打非治违”高压态势。
三是严肃事故责任追究。完善事故责任倒查机制,严格执法监督,依法查处属地信息通信业安全生产和网络运行安全违法违规行为;对发生安全生产和网络运行安全事故,造成不良后果的,依规严肃追责问责相关单位和个人。
对于APP运营单位的建议:建议借助各类自动化工具平台加强日常检查工作,快速进行检查或自查。
1.移动应用安全检测平台。从APP安全角度,检测是否存在漏洞风险,及时发现问题并整改。
2.移动应用个人信息检测平台。从APP隐私合规角度,快速检测是否存在违反工信部164号文、国秘办191文等文件的规定和要求。
3.源代码审计平台。以白盒测试的方式对目标应用的源代码进行测试分析,从根本上发现业务系统的潜在漏洞。
“保障措施”部分重点
强化激励引导。各单位要完善正向激励机制,评选优秀成果、典型案例,总结推广经验;将安全生产和网络运行安全绩效与履职评定、职务晋升、奖励惩处挂钩;
鼓励通过安全技能培训、举办安全生产知识大赛等活动,持续提升通信建设领域从业人员安全素质,增强企业安全文化。爱加密可提供全方位、一站式的移动安全全生命周期解决方案。爱加密移动应用安全检测平台通过静态检测技术和动态检测技术,检测Android应用、鸿蒙应用、iOS应用、Android SDK、微信公众号、微信小程序、IoT固件存在的安全风险、漏洞,帮助企业提前发现存在的安全风险、漏洞,建立安全开发基线,执行88号提出的“预防为主”思想,践行文件提出的“加强日常巡查检查”。详细对应能力清单可见下图。
爱加密作为移动信息安全综合服务提供商,将持续加强技术创新与研究,持续关注最新监管要求与企业痛点,帮助企业有效防范化解风险,为企业高质量发展保驾护航。
发表评论