《网络与信息安全保障措施应包含下列制度和措施》由会员分享,可在线阅读,更多相关《网络与信息安全保障措施应包含下列制度和措施(7页珍藏版)》请在金锄头文库上搜索。
1、申请 IDC 增值电信业务经营许可网络信息安全专项审核材料要求网络与信息安全保障措施应包含下列制度和措施: 一、信息安全管理组织机构设置及工作职责企业负责人为网络与信息安全第一责任人,全面负责企 业网络与信息安全工作;有明确的机构、职责,负责企业的 网络安全与信息安全工作。要建立网络与信息安全监督检查 制度,定期对企业的网络与信息安全工作和措施制度的落 实、执行情况进行监督检查,及时完善健全网络与信息安全管理措施和制度。对发生网络与信息安全事件的责任部门、 责任人员进行处理。二、网络与信息安全管理人员配备情况及相应资质申请企业应至少配备 3人或以上网络与信息安全管理人 员,并注明管理人员姓名、
2、联系方式、职责分工并附上管理 人员身份证及资质证书复印件。每接入 1万个网站至少配备 2 名专职信息安全工作人员;接入不足 1 万个网站的,按 1 万个计算。网络安全人员应具有相应的专业技术资格(网络 与信息安全从业资质或通信、计算机相关专业本科及以上学历证明)。责任人姓名职务办公电话手机邮箱第一责任人(公司负责人)信息安全责任人网络安全责任人7*24小时值班电话传真电话三、网络信息安全管理责任制在企业内部建立网络与信息安全管理责任制,网络与信 息安全工作相应部门、岗位、人员均应签署网络与信息安全 责任书,并附企业内部网络与信息安全责任书模板。责任书 应明确网络与信息安全应遵守的规定、承担的责
3、任、履行的 义务,及违反规定相应的处罚措施。四、有害信息发现受理处置机制建立相应技术支撑系统,具有违法违规网站、信息的发现、处置能力;建立有害信息、关键字动态管理机制;建立网站备案接入流程,严格执行先备案后接入的规定,严禁为未备案网站提供接入,严禁为备案信息虚假及违法违规网站 提供接入,严禁为列入黑名单的主体和网站提供接入;建立代报备网站用户信息动态维护更新制度,确保备案信息真实 有效;建立网络资源管理制度,网络资源须从基础电信运营 企业获得,不得为其他IDC、为网站提供接入服务的ISP企 业提供网络资源。五、有害信息投诉受理处置机制有明确的受理方式,包括电话、QQ、电子邮箱等,有明确的受理部
4、门、人员、有害信息处理机制和流程,并建立相 应的制度和措施,及时完善机制,防止同类问题的再次发生。六、重大信息安全事件应急处置和报告制度发生重大信息安全事件后应在第一时间采取有效措施, 将危害影响控制在最小范围。要明确重大信息安全事件处理 的责任部门、人员、流程、采取的措施、处理和报告的时限, 并做好证据留存、原因分析、措施完善工作,积极配合有关 部门做好重大信息安全事件的调查和处理。七、网络信息安全管理政策和业务培训制度本制度应明确网络信息安全管理政策和业务培训的组 织部门,培训的内容和计划、培训周期、范围,并对培训效 果进行考核、检查,建立企业培训档案。八、网络安全防护制度(一)填写网络安
5、全防护基本信息表(详见附件), 依据通信网络安全防护管理办法(工业和信息化部令第 11 号)要求,根据系统所属类型,按照增值电信业务系统相 关网络安全防护定级要求进行定级,并在系统建设、运行、 维护中按照相关行业标准执行。(二)企业自建机房,应建立机房安全管理制度,明确 设备清单和安全等级,设备位置安全,电力供应安全,机房 出入管理,机房环境管理等内容。并按照工业和信息化部 关于进一步规范因特网数据中心业务和因特网接入服务业 务市场准入工作的通告(工信部电管函2012552号)要求,通过电信监管部门认可机构的“IDC机房运行安全”评 测。(三)设备操作安全管理制度,应明确岗位操作权限、 操作设
6、备范围、操作内容,并建立操作日志记录(含操作内 容),实行操作密码管理(专用账户、专用密码,密码应使 用英文字母加数字或符号混合设置)等内容。(四)网络设备运行维护制度,应明确维护部门,维护 内容、维护周期、系统功能检测周期,建立重要系统的备份维护管理制度,防火墙等安全措施管理制度,用户日志留存 系统维护制度等。九、网络安全事件应急处置和报告制度一)明确网络安全应急处置责任部门和人员;(二)制定网络安全应急预案,在预案中明确网络安全事件处理流程及程序,网络安全应急处置的措施和手段;(三)留存证据并分析事件原因,在有关部门调查时予 以提供;(四)重大网络安全事件应于 2小时内向政府有关部门 报告
7、;(五)如发生重大网络安全事件应第一时间采取措施, 将危害影响控制在最小范围,及时进行原因分析,制定解决 方案,在安全隐患未彻底消除前,不得恢复系统运行。 十、有害信息发现和过滤技术手段按照工业和信息化部关于进一步规范因特网数据中心 业务和因特网接入服务业务市场准入工作的通告(工信部 电管函 2012552号)要求和相关技术标准,建立 TCP/IP 地址/域名备案系统” 、“IDC/ISP 接入资源管理平台” 、 “IDC/ISP 信息安全管理系统”,并通过电信监管部门认可机 构的评测,明确系统的维护、管理和使用部门,定期对系统 功能进行检测,确保系统可靠运行。 十一、用户日志留存所采用的技术
8、手段建立用户日志留存系统,明确系统的维护管理部门,定 期检测系统功能,具备用户日志数据备份和恢复功能,用户 日志留存时限不得低于 60 日,并妥善保护用户日志留存数 据,不得发生侵害用户隐私、信息泄露等问题。 十二、网络安全防护技术手段网络安全防护重点解决操作系统、数据库和 WEB、WAP 服务器等系统安全问题,建立安全的系统运行平台,有效抵 抗黑客利用系统的安全缺陷对系统进行攻击,主要措施包 括:(一)应采用与网络安全防护等级相适应的防火墙等技 术手段有效保护网络安全,对外屏蔽重要设备地址。(二)操作系统安全保障措施包含:系统安全防护措施 (文件访问控制、用户权限级别、防病毒软件/硬件),操
9、作 日志记录,专人定期负责系统、软件的升级和补丁,实行密 码管理(密码设置不能使用纯数字等简单密码,须使用英文 字母加数字或符号的混合密码 ,并定期修改),定期进行漏 洞扫描,并在扫描检测完成后,建立检测档案,详细记录漏 洞检测结果及实施的补救措施与安全策略。(三)数据库安全保障措施应包含:数据库存取权限, 口令安全管理,数据库安全防护,数据库定期备份,操作日 志记录,故障恢复能力等。 十三、安全联络员变动承诺需明确联络员及联络员联系方式,并承诺联络员或联络 员联系方式发生变更后两个工作日内主动向山西省通信管 理局书面报告。企业名称网络单元 类型门户综合网站系统即时通信系统口网络交易系统信息社
10、区服务系统互联网内容分发网络 口搜索系统互联网接入服务系统 互联网数据中心邮件系统移动互联网应用商店 域名服务系统其他业务系统网络单元1 定级情况网络单元(名称)项目赋值对应详细指标说明社会影响力I社会影响力指标规模和服务范围R规模和服务范围指标所提供服务的重要性V所提供服务的重要性指标网络安全等级()级(按照管局网站计算程序计算结果)符合性评 测依据的 行业标准 名称网络单元2 定级情况网络单元 (名称)项目赋值对应详细指标说明社会影响力I社会影响力指标规模和服务范围R规模和服务范围指标所提供服务的重要性V所提供服务的重要性指标网络安全等级()级(按照管局网站计算程序计算结果)符合性评 测依据的 行业标准 名称附件网络安全防护基本信息表网络单元定级计算方法通过山西省通信管理局网站“山西省通信管理局增值业务许可网络 单元定级软件”计算
