福建省通信管理局关于规范开展2026年信息通信网络安全防护工作的通知
省内各电信业务经营者、互联网域名服务提供者:
为深入贯彻落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《通信网络安全防护管理办法》等法律法规和政策文件要求(见附件1),有效应对日益严峻复杂的网络安全威胁和挑战,切实加强和改进网络安全工作,进一步提升福建省信息通信网络安全防护水平,保障信息通信网络安全稳定运行,福建省通信管理局决定组织开展2026年信息通信网络安全防护规范化工作,现将有关要求通知如下:
一、工作内容
(一)落实网络安全防护措施三同步。要求电信业务经营者、互联网域名服务提供者(以下统称信息通信网络运行单位)要按照网络安全防护有关要求,对新建、改建、扩建及已建成的信息通信网络,实施网络安全防护措施的同步规划、同步建设、同步运行。规划阶段要开展安全需求分析,形成安全总体方案及安全建设方案。建设阶段要细化设计方案,落实安全管理和技术要求,项目完成后组织验收并形成验收和检测报告。运行阶段要做好运行监控、变更管控、事件响应、安全检测,持续提升安全能力,确保安全保障工作的有效性。网络安全防护三同步相关材料应做好留存备查。
(二)确保信息通信网络单元定级备案的真实性和准确性。信息通信网络运行单位要按照电信网和互联网网络安全防护定级备案实施要求,全面系统梳理本单位已投入运行的信息通信网络单元的划分、定级备案及资产纳管情况,核查各信息通信网络单元的定级备案信息、资产信息等的真实性、完整性和准确性,于2026年9月底前完成本单位信息通信网络单元的全面核查,并通过通信网络安全防护管理系统(https://mii-aqfh.cn)向福建省通信管理局报送备案信息(模板详见附件2)。
(三)加强信息通信网络安全符合性评测。信息通信网络运行单位要按照电信网和互联网安全防护系列标准要求(安全防护相关标准及填报注意事项可在通信网络安全防护管理系统的“文件下载中心”查看和下载),采取与信息通信网络单元类别、安全级别相适应的身份鉴别、访问控制、边界防护、安全审计等网络安全防护管理和技术措施,并按照规定频次自行或委托专业机构开展网络安全防护系列标准的符合性评测(具备相关服务能力的专业机构名单可参考链接https://mp.weixin.qq.com/s/s6nPAEBspnCYhSEHx83tfw)。其中,三级及以上信息通信网络单元每年开展一次,二级信息通信网络单元每两年开展一次;信息通信网络单元的划分和级别调整的,在90日内重新进行符合性评测,评测结束30日内完成系统填报和证明材料提交。
(四)强化信息通信网络安全风险评估。信息通信网络运行单位要按照电信网和互联网安全风险评估规范开展安全风险评估,及时发现并消除重大网络安全隐患和漏洞。风险评估要贯穿信息通信网络单元规划建设、实施运维等全生命周期,在信息通信网络单元上线前充分评估安全措施有效性,上线后按照符合性评测规定的频次要求开展常态化评估,系统化识别、分析风险,采取应对举措。在网络单元发生重大变更时,或在国家重大活动举办前,按照福建省通信管理局的要求开展评估。评估结束30日内,将评估结果、隐患处理情况或者处理计划通过邮件报送福建省通信管理局(模板见附件3,另本文中提及的邮件报送统一发送至fjca_aq@163.com)。
(五)做好暴露面风险管理。信息通信网络运行单位要系统梳理互联网暴露面,包括承载电信业务、企业办公、业务支撑等的各类信息通信网络单元互联网出入口,严控出入口数量,做好边界隔离和安全防护。统计办公网互联网出入口,以及接入在用的各类信息通信网络单元的虚拟专用网络(VPN)、零信任网络的情况,形成互联网暴露面信息列表(模板见附件4),与本年度网络安全防护工作总结报告同步提交。
(六)加强网络安全威胁监测。信息通信网络运行单位要按照公共互联网网络安全威胁监测与处置要求,做好常态化网络安全威胁监测与处置。建设网络安全威胁监测与处置技术手段,在互联网出入口、网络边界等网络关键节点部署攻击监测设备,基于流量监测、网元自身安全组件监测、日志采集分析等,提升恶意程序传播、漏洞攻击利用等网络威胁精准监测、分析研判能力,及时发现并处置各类风险隐患与威胁。加强威胁信息共享,在福建省通信管理局统一指导下,合理形成行业一体的协同联动防护机制,做到安全威胁一处发现、全网处置。
(七)强化网络安全事件应急处置。信息通信网络运行单位要按照公共互联网网络安全突发事件应急预案要求,提升网络安全突发事件应急处置能力。制定并更新完善本单位网络安全应急预案,做好重大活动网络安全保障准备。定期参与或自行组织开展针对性、实战化网络安全事件应急演练,不断健全网络安全事件报告和应急处置机制。严格落实突发事件报告制度,发生重大网络安全事件或者发现重大网络安全威胁的,立即向福建省通信管理局报告,并在事件应急响应结束后10个工作日内,将总结报告邮件报送福建省通信管理局。
二、工作流程
(一)系统退回(4月)。福建省通信管理局将于2026年4月15日前,将2026年之前已完成备案的单位信息、定级对象信息全部退回更新,各信息通信网络运行单位需对退回的信息进行重新梳理评估。2026年提交并通过审核的单位信息、定级对象信息不再退回。
(二)企业自评(5-8月)。各信息通信网络运行单位全面排查本单位信息通信网络单元,对照要求开展自评,形成定级备案报告、符合性评测、风险评估报告及相关证明材料,按时上传通信网络安全防护管理系统。已申领电信业务许可证,但相关网络系统尚未正式投入运行的,通过通信网络安全防护管理系统提交业务未开展说明(模板见附件5)。
(三)材料报送(11月)。各信息通信网络运行单位于2026年11月底前将本年度网络安全防护工作开展情况(模板见附件6),盖单位公章扫描后邮件报送福建省通信管理局。若发生重大网络安全事件,及时邮件报送网络安全事件应急处置报告。
(四)审核通报(5-12月)。福建省通信管理局将对信息通信网络运行单位提交的单位信息、定级对象信息开展审核,发现相关材料不全、不准的情况,将退回修改并予以通报。11月底前未提交年度网络安全防护工作报告的,福建省通信管理局将统一在局官网通报。
三、工作要求
(一)强化组织领导,压实工作责任。各信息通信网络运行单位要充分认识网络安全防护工作的重要性与紧迫性,分管领导要亲自部署,明确责任分工,健全工作机制,确保各项任务责任到人、落实到位。
(二)严格规范管理,确保真实准确。各信息通信网络运行单位要认真对照通知要求,全面梳理网络单元信息,如实填报定级备案、符合性评测、风险评估等材料,杜绝弄虚作假、隐瞒不报,确保信息的真实性、准确性和完整性。
(三)加强督导检查,保障任务进度。各信息通信网络运行单位要按照时间节点合理安排工作,确保按时完成各项任务并报送材料。工作中遇有问题应及时与福建省通信管理局联系。福建省通信管理局将结合系统审核、现场检查等方式加强监督检查,对推进不力、问题突出的单位予以通报并督促整改。
特此通知。
福建省通信管理局
2026年3月25日
(联系方式:戴老师/周老师,0591-83328211)