《电信公司信息安全管理八项制度》由会员分享,可在线阅读,更多相关《电信公司信息安全管理八项制度(21页珍藏版)》请在金锄头文库上搜索。
1、关于下发*电信公司信息安全管理八项制度(试行)的通知县级分公司、公司各部门:根据中电信黑2011 793 号黑龙江电信信息安全管理八 项制度(试行),制定了*电信公司信息安全管理八项制 度(试行),请认真遵照执行。并将执行过程中出现的新情况, 新问题及时反馈至运行维护部。各相关职能部门要按照本制度规范尽快落实本部门的信息 安全工作及责任人。附件 1:*电信公司业务经营、合作的信息安全评估保障制度附件 2:*电信公司违法违规信息应急处置流程附件 3:*电信公司信息安全工作(资金、人员)保障制度附件 4:*电信公司信息安全管理考核和奖惩制度附件 5:*电信公司信息安全技术保障制度附件 6:*电信公
2、司信息安全事件报告制度附件 7:*电信公司信息安全事件应急处置制度附件 8:*电信公司信息安全组织机构管理制度附件 1:*电信公司基础业务经营、合作的信息安全评估保障制度一、公司产品内容上线前应当由专人对相关内容的合法合 规性进行审核,做到先审后发,产品中未通过审核的相关内容 不得上线运营。需要审核的产品内容包括但不仅限于各产品中 以公司名义对外发布的以及客户通过公司自营网站对外发布的 图片、文字、流媒体等信息内容。二、公司自营网站、自营业务业务板块或栏目新增、变更 须经各级公司部门负责人同意,报公司分管领导审批。三、与合作方(含代收费)进行业务合作前,各部门业务 运营部门(中心)应当严格审核
3、其电信业务经营许可证或备案 许可证、营业执照等经营资质材料,对其身份信息当面核验、 留存有效证件复印件并报公司信息安全业务管理部门复核。在 签订合作协议时,必须要求合作方签订信息安全承诺书, 明确其负责合作涉及业务的信息安全,约定信息安全考核制度 和违法违规处罚标准。四、合作业务涉及合作方需进行 IP 地址和域名备案的, 在业务开通前,必须要求合作方出具 IP 地址和域名已经备案 的书面证明函件。五、各部门不得为无经营许可证的单位或个人提供用于经 营电信业务的电信资源,不得为未办理备案手续的部门或个人 提供网络接入服务。在提供IDC、互联网接入(含专线、虚拟 拨号等)等接入类业务时,接入公司网
4、络的部门或个人(以下 简称接入方)开展互联网信息服务的,接入服务业务运营部门 (中心)应审查其经营许可证或相关备案手续、主体信息和接 入信息,对其身份信息当面核验、留存有效证件复印件并报公 司信息安全业务管理部门复核。六、各部门提供网络接入服务时,应当与接入方签订接入 服务协议,在协议中约定信息安全考核制度和违法违规处罚标 准,并在协议中明确约定以下事项及相应的违约责任:(一)接入方的网络信息安全责任与义务。(二)接入方不得向其他从事网站接入服务的增值电信业 务经营者转租所获得的网络接入等电信资源。(三)接入方不得为未经许可或未备案的网站提供接入或 代收费等服务。公司分配 IP 地址给接入方的
5、,在接入服务业 务开通前,应要求对方出具确认已经报备 IP 地址的书面函件, 业务部门应当对 IP 地址是否对应进行核查,核查不符的,不 得开通接入服务。七、业务运营部门应安排专人对自营业务、合自营网站及 IDC 和专线等方式接入的网站内容等进行日常监测。发现违法有害信息和低俗信息,应立即保存有关记录,对相关内容和业务进行移除或屏蔽,并报信息安全业务管理部门和信息安全工作办公室,属于合作业务的,立即下线,情节严重的,应停止合作。信息明显属于中华人民共和国电信条例第五十七条 所列内容或明显违反国家相关规定的,应当同时向省公司信息 安全工作办公室办公室、省通信管理局报告。八、对合作方和接入方违反国
6、家信息安全管理规定的行为 的处理决定由本部门信息安全业务管理部门负责人审核后作出, 并向公司信息安全主管部门备案。信息安全主管部门对处理决 定有异议的,可对处理决定作出变更,并通知信息安全业务主 管部门组织实施。九、IDC接入商、IDC自有客户、专线接入经营性网站、 WAP网站合作SP等客户的经营资质、信息安全承诺书签订情况、 合同名称,并以清单形式列表存档备案。附件 2:*电信公司违法违规信息网站应急处置流程一、市公司成立信息安全牵头部门,信息安全负责人和联 络人保持24小时通讯畅通。二、接收到省公司停止网站接入的处置指令后,立即进行 处置,处置完毕时间为接到管局通知的2小时内。接到省通信
7、管理局停止域名解析的处置指令后,在3 0分钟内停止公司域 名服务器对该域名的解析指向。三、违法违规信息网站应急处置流程匸AWJiUb ftWidllWIL.rjnlHl山 2:,生理卍务糾肛)底宇水时山棒止朋名朋鼻程对迤 城粘的斛慚折网按朋的t审卜达鼻和b: I“:二上“灶扛丸一-二门tJHY 曲击火M*,U&(H舜,二-UWIBMtU 协期d*i魅 HWB户 慌根*SU3iUZt川戸蛊人弟厦險酣I柚卜打曲圮训圖I 側用沪悽国H咼Hi门卷儿戋吧j 二 I ,-.IDCKH 户;i/ltiiDa.L脚GQ”.:J点 J-FP : fiKifiU 号&町P湖do射iitj啊 dr水在划ZHRiJi
8、MH除. NfflMMin愕耳制熾理 IL All U . If 通.l;存记4t理上h!时仇、鶴崔 tfi 况 frMmtu-nxitii iatioc+ 2 4tb加电49! MoQ.-;rn 呵 miiiiM “ 豪髯in%境伽硕mt也卯W MjJ-i 届 井通如w 匕理富怕匝扯呻筑齐生翱 认罠闭时:MIMiMVatMMLt|rr胃幣传询用八Miii那奄悄起生川处口:止总肌::汀i!歸1卜诂叢闭H站耳拆卜也悴止惦名解析恂专/. .-*,工|;匸弄山/p龍门沁肝ni 擴号砸户* kifcij g HkHNfi:驛泸附件 3:*电信公司信息安全工作(资金、人员)保障制度一、市分公司各相关部门
9、应设置信息安全专职联系人,负 责本部门内部信息安全的管理、协调和对口联络工作,并报市 公司信息安全工作领导小组备案。二、信息安全联系人应保持相对稳定,人员发生变更的, 应当做好交接工作,并在变动后的 2 个工作日内报市公司信息 安全工作领导小组备案。三、从事信息安全工作的人员应政治过硬、遵纪守法、恪 尽职守;具备较强的政治敏感性、工作责任感和保密意识;应 熟练掌握国家相关法律法规和政策以及业务知识,具备较强的 问题分析、处理和学习能力。四、信息安全工作人员应保持 24 小时通信畅通。五、公司用于日常信息安全管理、技术保障措施建设、人 员教育等的配套资金投入应当根据公司规模、网络覆盖、业务 范围
10、及用户数量在公司年度预算中相应编制,保证信息安全管 理和技术保障手段建设顺利开展。附件 4:*电信公司信息安全管理考核和奖惩制度一、总则为切实有效落实公司各项信息安全管理制度,加强重大信 息安全事的协调组织及相关事件的应急响应处理能力,结合公 司实际,制定本考核制度。二、适用范围本考核制度适用于*电信公司市公司各部门、下属各区县 公司。三、细则(一)总体要求:公司信息安全主管部门应当采取定期检 查或者抽查方式对各部门信息安全工作开展、落实情况进行指 导和监督。(二)考核管理:公司负责信息安全工作人员的绩效考核 应当与信息安全考评结果挂钩。对于信息安全工作综合考评结 果不达标的部门,将由信息安全
11、工作领导小组提出考核意见, 并按照公司相关考核机制实施处理。(三)对信息安全管理工作不力、执行不到位,导致信息 安全事件的,或发生信息安全事件后迟报、瞒报或谎报的,应 当根据事件影响程度,追究相关部门领导责任并可对相关责任 人员处以警告、记过、记大过直至解除劳动合同。(四)各部门对主动采取有效措施预防并降低信息安全风 险,及时发现并消除重大信息安全隐患,在违规问题及突发事 件处置过程中表现突出的下级部门与个人,应予以表彰奖励。一、各部门要加强本部门信息内容安全技术研究,实施对 归口管理的业务、平台等的信息安全评估,发现安全隐患,及 时整改。二、各部门要以技术手段为支撑,健全信息内容安全管理 和
12、公共信息服务内容日常核查手段,按要求使用相关信息内容 安全系统。三、要提升日常监测系统的能力,增强对新业务形态、网 络突发流量、接入轨迹、协议类型等的数据监测功能,建立分 级预警机制。四、建立并完善本部门部门事前预防、事中管控、事后追 溯的网络信息安全技术保障体系,做到及时发现、快速响应和 处置。附件 6:*电信公司信息安全事件报告制度一、总则为规范和加强*电信公司重大信息安全事件的信息报告管 理工作,及时了解掌握和评估分析重大信息安全事件有关情况 协调组织相关力量进行事件的应急响应处理,从而降低重大信 息安全事件带来的损失和影响,根据有关法律、法规的规定, 结合本公司实际情况,制定本制度。二
13、、适用范围本制度适用于*电信公司各职能部门及区县公司的网络与 信息系统信息安全事件的报告。三、细则本制度所称的信息安全事件是指由于自然灾害、设备软硬 件故障、人为失误或破坏等原因严重影响到本公司网络与信息 系统的正常运行,出现业务中断、系统破坏、数据破坏或信息 失窃密或泄密等,从而在公司名誉、稳定或公众利益等方面造 成不良影响以及造成一定程度直接和间接经济损失的事件。四、根据工业和信息化部的规定,实施信息安全事件等级 制度,按照事件严重性和紧急程度及对社会影响的大小,分为 以下三级:(一)特大信息安全事件:指涉及国家安全和稳定,造成 恶劣影响和严重后果,或被中央有关部门通报,社会反响强烈 的信
14、息安全事件。(二)重大信息安全事件:指涉及国家安全和社会稳定、 造成较大社会影响和较严重后果,或被省级有关部门通报的信 息安全事件。(三)一般信息安全事件:指被大量用户集中投诉等可能 对公司造成一定负面影响的信息安全事件。五、信息安全事件的处理原则统一领导、归口负责、综合 协调、快速处理。六、发生信息安全事件处理具体要求(一)发生特大信息安全事件,当事部门应当在事件发生 后5分钟内将有关情况上报本公司信息安全领导小组,在10分钟 内屏蔽信息源,保留事件的相关材料,并向省公司信息安全领 导小组报告。如属重大事项,并需按照公司的重大事项上报制 度的规定进行上报。当事部门应当在事件发生后12小时内向
15、省 公司信息安全领导小组提交简要书面报告,在相关事件处理结 束后2日内提交专题书面报告。(二)发生重大信息安全事件,当事部门应当在事件发生后15分钟内将有关情况上报本公司信息安全领导小组,在30分钟内屏蔽信息源,保留事件的相关材料,并向省公司信息安全领导小组报告。如属重大事项,并需按照公司的重大事项上报制度的规定进行上报。当事单位应当在事件发生后12小时内向 省公司信息安全领导小组提交简要书面报告,在相关事件处理 结束后2日内提交专题书面报告。(三)发生一般信息安全事件,当事部门应当在30分钟内 屏蔽信息源,保留事件的相关材料,并在事件发生后1小时内将 有关情况报告公司信息安全领导小组。当事单位应在事件发生 后2小时内向省公司信息安全领导小组报告,24小时内作出简要 书面报告,相关事件处理结束后2日内作出专题书面报告。(四)对于被媒体曝光或存在媒体曝光风险的信息安全事 件,公司的信息安全主管部门应向公司的综合部进行事件通报, 由省公司综合部负责组织对信息安全事件的新闻发布及媒体应 对。各部门及个人应当严格执行公司新闻宣传纪律和保密规定, 不得擅自对外发布信息安全事件的
