網(wǎng)絡與信息安全保障措施-山西通信管理局

網(wǎng)絡與信息安全保障措施-山西通信管理局寬帶接入網(wǎng)網(wǎng)絡與信息安全保障措施網(wǎng)絡與信息安全責任人填寫本表單中“網(wǎng)絡與信息安全管理人員配備情況及相應資質(zhì)”欄目中“信息安全負責人”聯(lián)系電話（手機）網(wǎng)絡與信息安全應急聯(lián)絡人聯(lián)系電話（手機）網(wǎng)絡與信息安全管理組織機構(gòu)設置及工作職責本欄請?zhí)顚懕竟矩撠熅W(wǎng)絡信息安全工作的相關內(nèi)容如下：1.企業(yè)負責人（法人/總經(jīng)理）XX為網(wǎng)絡與信息安全第一責任人，全面負責企業(yè)網(wǎng)絡與信息安全工作。2.網(wǎng)絡與信息安全管理組織架構(gòu)。應明確本企業(yè)網(wǎng)絡與信息安全主管部門，明確涉及的其他主體或部門，并有明確的安全職責及分工。本項包含但不限于以下內(nèi)容：（1）網(wǎng)絡與信息安全主管部門名稱；（2）網(wǎng)絡與信息安全主管部門負責人姓名與職務等信息；（3)網(wǎng)絡與信息安全主管部門配置人數(shù)；（4）網(wǎng)絡與信息安全主管部門工作職責（須含但不限于信息安全管理責任制、有害信息發(fā)現(xiàn)受理處置機制、有害信息投訴受理處置機制、重大信息安全事件應急處置和報告制度、信息安全管理政策和業(yè)務培訓制度、網(wǎng)絡安全管理責任制度、網(wǎng)絡安全防護制度、網(wǎng)絡安全事件應急處置和報告制度、有害信息發(fā)現(xiàn)和過濾技術手段、用戶日志留存所采用的技術手段、網(wǎng)絡安全防護技術手段、安全聯(lián)絡員變動承諾制度等）。（5）網(wǎng)絡與信息安全涉及的其他主體或部門名稱及職責。3.制定網(wǎng)絡與信息安全監(jiān)督檢查制度。該制度應包含但不限于以下內(nèi)容：（1）實施監(jiān)督檢查工作的責任部門及人員；（2）檢查范圍：對企業(yè)的網(wǎng)絡與信息安全工作和措施制度的落實、執(zhí)行情況進行監(jiān)督檢查；（3）檢查的周期和比例，檢查可以是定期檢查和不定期抽查相接合；（4）檢查發(fā)現(xiàn)問題的處理：及時完善健全網(wǎng)絡與信息安全管理措施和制度，對發(fā)生網(wǎng)絡與信息安全事件的責任部門、責任人員進行處理。網(wǎng)絡與信息安全管理人員配備情況及相應資質(zhì)本欄請?zhí)顚懕竟揪W(wǎng)絡與信息安全管理人員情況：1.申請企業(yè)應至少配備3名或以上網(wǎng)絡與信息安全管理人員，并注明管理人員姓名、聯(lián)系方式、職責分工，附管理人員身份證及資質(zhì)證書復印件；網(wǎng)絡安全人員應具有相應的專業(yè)技術資格（網(wǎng)絡與信息安全從業(yè)資質(zhì)或通信、計算機相關專業(yè)本科及以上學歷證明）；網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第1頁。3．提供網(wǎng)站接入時：每接入1萬個網(wǎng)站至少配備2名專職信息安全工作人員；接入不足1萬個網(wǎng)站的，按1萬個計算。要求這兩個人應不與下表中所列的網(wǎng)絡與信息安全責任人重復。網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第1頁。責任人姓名職務辦公電話手機身份證號碼職責郵箱第一責任人(公司法人/總經(jīng)理）信息安全負責人網(wǎng)絡安全負責人7*24小時應急聯(lián)系電話傳真電話網(wǎng)絡與信息安全管理責任制本欄請?zhí)顚懕竟疽罁?jù)《電信條例》、《互聯(lián)網(wǎng)信息服務管理辦法》、《電信業(yè)務經(jīng)營許可管理辦法》等政策法規(guī)制定和建立的企業(yè)內(nèi)部信息安全管理責任制度，該制度應包含但不限于以下內(nèi)容：：信息安全管理責任制度。（1）企業(yè)應制定信息安全管理責任制度。通過文件形式明確信息安全主管部門及其他相關部門的工作職責。其中信息安全主管部門職責至少包括制定信息安全年度工作計劃、制定信息安全相關工作制度、負責信息安全事件的響應、處置、協(xié)調(diào)、負責網(wǎng)絡與信息安全教育培訓及應急演練，依法配合通信行業(yè)主管部門開展違法信息的處置、凈化網(wǎng)絡環(huán)境等相關工作；（2）建立企業(yè)內(nèi)部責任追究制度。明確違反信息安全相關規(guī)定的責任部門責任人的相應處罰措施；（3）明確信息安全主管部門及其他相關部門、崗位均應簽署網(wǎng)絡與信息安全責任書。2.信息安全責任書（模板）。（1）制定企業(yè)內(nèi)部信息安全責任書模板，責任書應明確信息安全應遵守的規(guī)定、承擔的責任、履行的義務，及違反規(guī)定相應具體處罰措施；（2）要求信息安全主管部門及其他相關部門、崗位均應簽署信息安全責任書；（3）責任書簽訂周期：應當每年簽一次，有人員調(diào)整變動，人員變動時應及時簽。網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第2頁。監(jiān)管配合機制網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第2頁。本欄請?zhí)顚懕竟疽罁?jù)《電信條例》、《互聯(lián)網(wǎng)信息服務管理辦法》、《電信業(yè)務經(jīng)營許可管理辦法》等政策法規(guī)制定和建立的企業(yè)內(nèi)部信息安全監(jiān)管配合制度：應明確面向用戶的有害信息受理處置機制，內(nèi)容應包括：有明確的受理方式，包括電話、QQ、電子郵箱等；有明確的受理部門、人員、有害信息受理機制和流程；針對發(fā)現(xiàn)問題，建立相應制度和措施的完善機制，防止同類問題的再次發(fā)生。建立監(jiān)管配合機制，內(nèi)容包括：明確網(wǎng)絡與信息安全主管部門為監(jiān)管工作配合部門，指定該部門負責人及一名業(yè)務主管作為配合工作日常聯(lián)絡人，依法配合通信行業(yè)主管部門開展違法信息的處置等相關工作；企業(yè)對發(fā)現(xiàn)的（技術手段發(fā)現(xiàn)、人工審核發(fā)現(xiàn)、用戶投訴發(fā)現(xiàn)）正在傳輸?shù)倪`法信息，應立即停止傳輸并上報政府主管部門。網(wǎng)絡與信息安全事件應急處置本欄請?zhí)顚懕竟疽罁?jù)《電信條例》、《互聯(lián)網(wǎng)信息服務管理辦法》、《通信網(wǎng)絡安全防護管理辦法》、《通信網(wǎng)絡安全防護系列標準》、《公共互聯(lián)網(wǎng)網(wǎng)絡安全應急預案》和《互聯(lián)網(wǎng)網(wǎng)絡安全信息通報實施辦法》等政策法規(guī)制定和建立的企業(yè)內(nèi)部網(wǎng)絡與信息安全事件應急處置報告制度。該制度應包含但不限于以下內(nèi)容：1.企業(yè)應明確網(wǎng)絡與信息安全應急處置責任部門、人員及24小時應急值班電話。2.制定企業(yè)網(wǎng)絡與信息安全應急預案。預案應明確網(wǎng)絡與信息安全事件范圍、級別及處置流程，網(wǎng)絡與信息安全應急處置的措施和手段。當出現(xiàn)《電信條例》所規(guī)定“九不準”有害信息內(nèi)容和網(wǎng)絡安全威脅時，應立即啟動應急預案。3.恢復系統(tǒng)正常運轉(zhuǎn)的方案及時限。如發(fā)生網(wǎng)絡與信息安全事件應第一時間采取措施，及時消除非法信息和網(wǎng)絡威脅，無法迅速消除、影響較大時實施緊急關閉，將危害影響控制在最小范圍；及時進行原因分析，制定解決方案，在有害信息和安全隱患未徹底消除前，不得恢復系統(tǒng)運行；留存證據(jù)并分析事件原因，在有關部門調(diào)查時予以提供。4.應急處置報告制度。應及時向有關部門報送事態(tài)發(fā)展、處置措施、原因分析、工作進展和經(jīng)驗教訓等，重大網(wǎng)絡與信息安全事件應于2小時內(nèi)向政府有關部門報告。5.網(wǎng)絡與信息安全應急演練。每年應組織開展網(wǎng)絡與信息安全應急演練，須包含但不限于演練科目、時間、地點、內(nèi)容、點評等，同時要積極參加電信管理機構(gòu)組織開展的演練。信息安全技術保障措施（根據(jù)具體業(yè)務開展和監(jiān)管配合情況配套建設相應的技術保障措施）本欄請?zhí)顚懕竟疽罁?jù)《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》、《電信條例》、《互聯(lián)網(wǎng)信息服務管理辦法》等政策法規(guī)及通信行業(yè)主管部門有關要求配套建設的信息安全技術手段，同步落實與業(yè)務發(fā)展相適應的安全保障措施。1.用戶信息保護、有害信息發(fā)現(xiàn)和過濾、日志留存等方面的網(wǎng)絡信息安全技術手段的詳細材料，包括系統(tǒng)軟件名稱及功能目的、技術方案、處置流程、保障措施等。2.用戶信息保護、有害信息發(fā)現(xiàn)和過濾、日志留存等系統(tǒng)（設備、軟件）放置的機房地址。網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第3頁。3.明確以上系統(tǒng)的維護、管理和使用部門，定期檢測系統(tǒng)功能，確保系統(tǒng)可靠運行。確保不發(fā)生侵害用戶隱私、信息泄露等；確保有害信息及時發(fā)現(xiàn)和過濾、處置；用戶日志留存完整準確，留存時限不得低于60日。網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第3頁。網(wǎng)絡安全防護制度本欄請?zhí)顚懕竟靖鶕?jù)《通信網(wǎng)絡安全防護管理辦法》、《通信網(wǎng)絡安全防護系列標準》、《公共互聯(lián)網(wǎng)網(wǎng)絡安全應急預案》和《互聯(lián)網(wǎng)網(wǎng)絡安全信息通報實施辦法》等，制定本公司網(wǎng)絡安全防護制度。該制度應包含但不限于以下內(nèi)容：網(wǎng)絡安全防護工作是指為防止通信網(wǎng)絡阻塞、中斷、癱瘓或者被非法控制，以及為防止通信網(wǎng)絡中傳輸、存儲、處理的數(shù)據(jù)信息丟失、泄露或者被篡改而開展的工作。網(wǎng)絡安全防護工作堅持積極防御、綜合防范、分級保護的原則。建立與通信網(wǎng)絡單元相適應的安全防護措施，并根據(jù)實際情況適時調(diào)整通信網(wǎng)絡單元的劃分和級別；每年對網(wǎng)絡單元進行符合性評測；每年對通信網(wǎng)絡單元開展安全風險評估，及時消除重大網(wǎng)絡安全隱患；投入必要的經(jīng)費和條件；網(wǎng)絡安全保障設施的新建、改建、擴建費用，應當納入本單位建設項目概算和費用額度；對檢查中發(fā)現(xiàn)的重大網(wǎng)絡安全隱患，應當及時進行整改。1.填寫《網(wǎng)絡安全防護基本信息表》（系統(tǒng)上傳文字內(nèi)容，表格版提交紙質(zhì)材料時提供）。依據(jù)《通信網(wǎng)絡安全防護管理辦法》（工業(yè)和信息化部令第11號）要求，根據(jù)業(yè)務系統(tǒng)所屬類型，按照增值電信業(yè)務系統(tǒng)相關網(wǎng)絡安全防護定級要求進行定級（定級方法和流程參見管局官方網(wǎng)站首頁—專題工作—寬帶接入網(wǎng)業(yè)務試點工作—增值電信企業(yè)網(wǎng)絡單元定級流程及方法、\o"山西省通信管理局增值業(yè)務許可網(wǎng)絡單元定級軟件"山西省通信管理局增值業(yè)務許可網(wǎng)絡單元定級軟件），并在系統(tǒng)建設、運行、維護中按照相關行業(yè)標準開展定級備案、符合性評測、風險評估等網(wǎng)絡安全防護工作。（此處內(nèi)容若因字數(shù)限制填寫不下，可在“其他欄目中填寫”）2.機房管理制度（1）如企業(yè)有自建機房，應建立機房安全管理制度，制度內(nèi)容應包含但不限于：機房設備清單（為機房所有設備建立資產(chǎn)清單（臺帳），設備型號、數(shù)量、進出庫時間等）機房設備安全等級（根據(jù)設備的重要性劃分設備的安全等級）機房內(nèi)設備位置安全（根據(jù)設備的重要性劃分設備在機房內(nèi)的位置安全）?電力供應安全?機房出入管理?機房環(huán)境管理等內(nèi)容。（2）企業(yè)沒有自建機房，與其他企業(yè)簽署托管或代維協(xié)議的，機房設備清單（為機房所有設備建立資產(chǎn)清單（臺帳），設備型號、數(shù)量、進出庫時間等）需提供托管協(xié)議或代維協(xié)議中涉及機房管理、環(huán)境及電力供應等相關內(nèi)容，紙質(zhì)材料審核時需提供托管或代維協(xié)議的原件及復印件（蓋章）。3.設備操作安全管理制度。制度應對不同崗位設備操作權限進行分級，明確不同權限可操作設備的范圍，設備操作內(nèi)容并進行操作日志記錄（記錄中要包含設備操作內(nèi)容和審批流程等內(nèi)容），建立設備密碼管理相關制度（明確設置專用賬戶、專用密碼，密碼復雜程度（如數(shù)字和字母組合）、密碼更換周期等內(nèi)容。)4.網(wǎng)絡設備運行維護制度。制度應明確維護的部門，設備運行維護的內(nèi)容、周期以及系統(tǒng)相關功能檢測的周期。網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第4頁。5.重要系統(tǒng)的備份維護管理制度。主要指對重要系統(tǒng)或設備（服務器、數(shù)據(jù)庫等）進行備份維護制定相應制度，應明確維護周期，并在維護時采取相應數(shù)據(jù)保護措施（如：數(shù)據(jù)轉(zhuǎn)貯、卸下磁盤磁帶等）。在對系統(tǒng)進行預防維修或故障維修時，應記錄故障原因、維修對象、維修內(nèi)容和維修前后狀況等信息.應建立完整的維護記錄檔案。網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第4頁。6.防火墻等安全措施管理制度。制度應明確防火墻安全管理和維護周期，以及企業(yè)內(nèi)部防火墻管理方面的流程、規(guī)范等內(nèi)容。7.用戶日志留存系統(tǒng)維護制度。制度應包含用戶日志留存系統(tǒng)的維護周期、維護內(nèi)容、維護規(guī)范管理等內(nèi)容。網(wǎng)絡安全防護技術手段本欄請?zhí)顚懕竟疽罁?jù)《通信網(wǎng)絡安全防護管理辦法》、《通信網(wǎng)絡安全防護系列標準》、《公共互聯(lián)網(wǎng)網(wǎng)絡安全應急預案》和《互聯(lián)網(wǎng)網(wǎng)絡安全信息通報實施辦法》、《增值電信企業(yè)網(wǎng)絡單元定級流程及方法》等，制定本公司網(wǎng)路安全防護舉措。該相關制度舉措應包含但不限于以下內(nèi)容：網(wǎng)絡安全系統(tǒng)防護重點解決操作系統(tǒng)、數(shù)據(jù)庫和各個服務器，例如WEB服務器及WAP服務器等系統(tǒng)安全問題，以建立一個安全的系統(tǒng)運行平臺，有效抵抗黑客利用系統(tǒng)的安全缺陷對系統(tǒng)進行攻擊，主要措施包括：1.應采用與網(wǎng)絡安全防護等級相適應的防火墻等技術手段有效保護本地網(wǎng)絡安全。簡述本企業(yè)防火墻設備型號，功能及本企業(yè)防火墻采取的相關安全防護措施，如對外屏蔽重要設備地址、關閉與本身服務不相關的端口等。2.操作系統(tǒng)安全保障措施。（1）系統(tǒng)安全防護能力。文件訪問控制(系統(tǒng)內(nèi)文件訪問權限要進行分級)用戶權限級別（根據(jù)系統(tǒng)使用情況，系統(tǒng)不同用戶授予不同范圍的最小權限）防病毒軟件/硬件（系統(tǒng)要具備防病毒功能的軟件、硬件）。（2）操作日志記錄。對系統(tǒng)的操作要有日志記錄，重要操作要有審批流程，并列出審批內(nèi)容。（3）要有專人負責定期對系統(tǒng)或軟件進行升級和補丁。（4）對操作系統(tǒng)進行密碼管理，要體現(xiàn)密碼更換的時間，密碼的復雜程度（密碼設置不能使用純數(shù)字等簡單密碼，須使用英文字母加數(shù)字或符號的混合密碼）等內(nèi)容，如企業(yè)制定了相關密碼管理制度，此處可參照執(zhí)行。（5）定期開展系統(tǒng)安全檢測。定期對系統(tǒng)進行安全漏洞掃描，并在掃描檢測完成后，編寫檢測報告，詳細記錄漏洞檢測結(jié)果及實施的補救措施與安全策略，并整理歸檔備查。3.數(shù)據(jù)庫安全保障措施。（1）數(shù)據(jù)庫存取權限。對數(shù)據(jù)庫存取訪問要有權限分級，通過設置不用級別的權限,控制用戶對數(shù)據(jù)庫的存取，主要是嚴格控制訪問機制、實現(xiàn)數(shù)據(jù)庫所有操作內(nèi)容的的可審計。（2）口令安全管理。數(shù)據(jù)庫訪問應設置口令保護，對口令日常定期更換、復雜程度等制定管理制度，避免出現(xiàn)弱口令等網(wǎng)絡安全隱患，以確保數(shù)據(jù)庫數(shù)據(jù)安全。網(wǎng)絡與信息安全保障措施-山西通信管理局全文共6頁，當前為第5頁。（3）數(shù)據(jù)庫安全功能。經(jīng)授權的數(shù)據(jù)庫系統(tǒng)管理員需定期對數(shù)據(jù)庫安全功能、用戶和數(shù)據(jù)庫操作權限進行有效管理，確保數(shù)據(jù)庫安全。網(wǎng)絡與信息安全保障