哪些企业要做通保？不做有什么后果？

最近也算是和通保工作胶着在一起了。十个项目有三个倒是通保项目。不过我们公司新来的销售对通保了解也不太多，老是过来问我哪些企业需要做通保，这个合规要求来源是什么，不做又会有什么后果。

看着这位新来的销售，我充分感受到了安全人力资源还是相当缺乏的。小公司只能招聘很多没安全行业经验的同学来开拓市场。

于是，我在完成某个通保风险评估文档的“绣花”工作后，又给几个销售做了普及性的培训。

我们常说的“通保项目”官方名称其实是通信网络单元定级备案。

关于做通信网络单元定级备案的工作要求，官方主要有以下几个文件。

• 《通信网络安全防护管理办法》（工业和信息化部令第11号）

• 《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）

• 《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》（工信厅网安函〔2018〕261号）

虽然在《通信网络安全防护管理办法》（工业和信息化部令第11号）第二条指出对象是“中华人民共和国境内的电信业务经营者和互联网域名服务提供者”，但根据实际工作经验来看，这个主要的对象是持有“增值电信业务许可证”的企业。也就是说，如果你持有“增值电信业务许可证”，你就在管局的待查名单之中。如果你未持有“增值电信业务许可证”，也不一定不需要做定级备案，一旦管局又要做啥行动（比如2018 年电信和互联网行业网络安全检查工作就是一种行动），很可能把你们的信息系统包括在内。

所以，如果你们企业持有“增值电信业务许可证”，那少不得要好好了解一下如何做通信网络单元定级备案了。如果没有，可以暂时不用了解。

一、工作职责

工业和信息化部负责全国通信网络安全防护工作的统一指导。各省、自治区、直辖市通信管理局对本行政区域内的通信网络安全防护工作进行检查。也就是说，上海管局的要求和其他管局的要求都有细微的不同，我们在哪个行政区域，就要好好找机会和渠道（比如关注微信公众号、参与官方培训认证、打电话、发邮件等）去学习相应管局的要求，以便符合要求。

二、级别

按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级。这个是有标准可以算的哈（可以翻翻我以前写的文章，陆续也写过不少通保的文章了）。

三、惩罚措施

如果违反了《通信网络安全防护管理办法》（工业和信息化部令第11号）一般来说是先由电信管理机构依据职权责令改正；拒不改正的，给予警告，并处5000元以上3万元以下的罚款。

四、步骤

（一）定级备案。在工业和信息化部“通信网络安全防护管理系统”（https://www.mii-aqfh.cn）对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。

（二）自查整改。对照相关的符合性评测表，对本单位网络安全工作进行自查自纠，对自查发现的安全问题逐一做好记录，能立即整改的，要边查边改，无法立即整改的，要采取防范措施，制定整改计划，确保整改落实。

ps,这一步呢，意思就是企业可以自己去下载管局的模板按照相应的合规要求做整个的定级备案，输出的文档是下面这些。

当然，如果是初次自查，还是有很多门道可能搞不清，输出的文档不合格，导致多次审核无法通过。这种时候，一般会找有丰富经验的第三方来做咨询和评测。这时候要输出的就是下面这些。

（三）开展抽查。电信主管部门选取部分网络和系统，委托专业技术机构采取现场询问、查阅资料、现场检测、远程渗透、代码检测等方式进行检查。有的企业想了解自己的信息系统会不会被抽查到，根据我的经验，一般来说你的信息系统越重要，也就越有概率被抽到。（哈哈，是废话是吧。俺也不敢乱说啊，这样说更客观一些。）

附件：

网络安全检查工作依据的法律法规和标准

一、法律法规

1.《中华人民共和国网络安全法》

2.《通信网络安全防护管理办法》

3.《电信和互联网用户个人信息保护规定》

二、电信和互联网安全防护体系系列标准

1.《移动通信网安全防护要求》

2.《移动通信网安全防护检测要求》

3.《互联网安全防护要求》

4.《互联网安全防护检测要求》

5.《增值业务网—消息网安全防护要求》

6.《增值业务网—消息网安全防护检测要求》

7.《增值业务网—智能网安全防护要求》

8.《增值业务网—智能网安全防护检测要求》

9.《接入网安全防护要求》

10.《接入网安全防护检测要求》

11.《传送网安全防护要求》

12.《传送网安全防护检测要求》

13.《IP承载网安全防护要求》

14.《IP承载网安全防护检测要求》

15.《信令网安全防护要求》

16.《信令网安全防护检测要求》

17.《同步网安全防护要求》

18.《同步网安全防护检测要求》

19.《支撑网安全防护要求》

20.《支撑网安全防护检测要求》

21.《域名系统安全防护要求》

22.《域名系统安全防护检测要求》

23.《域名注册系统安全防护要求》

24.《域名注册系统安全防护检测要求》

25.《网上营业厅安全防护要求》

26.《网上营业厅安全防护检测要求》

27.《WAP网关系统安全防护要求》

28.《WAP网关系统安全防护检测要求》

29.《电信网和互联网信息服务业务系统安全防护要求》

30.《电信网和互联网信息服务业务系统安全防护检测要求》

31.《增值业务网即时消息业务系统安全防护要求》

32.《增值业务网即时消息业务系统安全防护检测要求》

33.《移动互联网应用商店安全防护要求》

34.《移动互联网应用商店安全防护检测要求》

35.《互联网内容分发网络安全防护要求》

36.《互联网内容分发网络安全防护检测要求》

37.《互联网数据中心安全防护要求》

38.《互联网数据中心安全防护检测要求》

39.《移动互联网联网应用安全防护要求》

40.《移动互联网联网应用安全防护检测要求》

41.《公众无线局域网安全防护要求》

42.《公众无线局域网安全防护检测要求》

43.《电信和互联网用户个人电子信息保护通用技术要求和管理要求》

44.《电信和互联网用户个人电子信息保护检测要求》

THE END