2018年基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全考核要點(diǎn)

1、附件2 2018基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核檢查要點(diǎn)綜合管理部分檢查內(nèi)容檢查要點(diǎn)檢查方式及要求檢查結(jié)果1. 黨委（黨組）責(zé)任落實(shí)檢查企業(yè)落實(shí)黨委（黨組）責(zé)任體制機(jī)制。1.檢查公司落實(shí)黨委（黨組）責(zé)任落實(shí)發(fā)文2.檢查黨委（黨組）會(huì)議記錄、紀(jì)要1.關(guān)于印發(fā)連云港聯(lián)通網(wǎng)絡(luò)與信息安全管理實(shí)施細(xì)則的通知2.公司黨委議紀(jì)要（）2.信息安全專職人員履職、培訓(xùn)1.人員是否具備履職能力；2.人員機(jī)制建設(shè)是否合理2.公司是否擬制培訓(xùn)計(jì)劃，或已開展相關(guān)培訓(xùn)。1.檢查公司發(fā)文、檢查公司KPI文件和部門KPI打分情況等臺(tái)賬資料；2.通過在線測(cè)試，考察信安專員相關(guān)工作知識(shí)、技能掌握情況；3.通過人員訪談，了解其對(duì)考

2、核政策的理解程度和執(zhí)行情況；4.檢查培訓(xùn)計(jì)劃或開展情況。1.扣分表，人資留存一份（主要為實(shí)名制扣分）2.在線考試4.培訓(xùn)材料3.重大活動(dòng)保障重大活動(dòng)期間（如全國(guó)兩會(huì)等國(guó)家級(jí)重大活動(dòng)和江蘇省發(fā)展大會(huì)等省級(jí)重大活動(dòng)）是否在管理、技術(shù)、人員等方面履行應(yīng)急保障責(zé)任1. 檢查公司人員值班情況；2.檢查自主防護(hù)情況。3.檢查系統(tǒng)保障情況；4.檢查應(yīng)急處置情況.春節(jié)、兩會(huì)、高考、青島上合峰會(huì)重保期間網(wǎng)信安值班表、總結(jié)。 季度應(yīng)急演練4.活動(dòng)配合檢查世界電信日、網(wǎng)絡(luò)安全宣傳周等宣傳活動(dòng)和陽光網(wǎng)絡(luò)伴我成長(zhǎng)等正面引導(dǎo)活動(dòng)配合情況。1.核查公司線上線下（如“兩微一端”、營(yíng)業(yè)廳等）是否進(jìn)行宣傳；2.核查公司相關(guān)活動(dòng)總

3、結(jié)。1.1月份反恐怖宣傳（資料全）2.電信日（反詐騙宣傳，多增加宣傳照片）3.陽光網(wǎng)絡(luò)伴我成長(zhǎng)（校園營(yíng)業(yè)廳宣傳 缺照片）4.防范非法集資宣傳（正在進(jìn)行中）信息安全部分檢查內(nèi)容檢查要點(diǎn)檢查方式及要求檢查結(jié)果1.移動(dòng)上網(wǎng)日志留存企業(yè)移動(dòng)上網(wǎng)日志留存系統(tǒng)功能、性能是否符合規(guī)范?，F(xiàn)場(chǎng)撥測(cè)（考慮撥測(cè)反饋時(shí)間因素，建議在聽取匯報(bào)時(shí)同時(shí)進(jìn)行）。用手機(jī)撥測(cè)工具現(xiàn)場(chǎng)撥測(cè)若干網(wǎng)頁，告訴企業(yè)手機(jī)號(hào)，請(qǐng)其2小時(shí)內(nèi)提供手機(jī)上網(wǎng)的網(wǎng)頁記錄，核對(duì)是否完整;檢查日志是否滿足6個(gè)月留存標(biāo)準(zhǔn)。2.接入資源管理是否合規(guī)提供IDC、CDN、云計(jì)算等接入資源。1.檢查接入用戶是否實(shí)名驗(yàn)證；2.檢查資源分配臺(tái)賬；3.核查有無超范圍經(jīng)營(yíng)、

4、超地域、層層轉(zhuǎn)租等違規(guī)情況；4.檢查接入服務(wù)持證企業(yè)是否通過部信安系統(tǒng)評(píng)測(cè)。3.備案網(wǎng)站管理是否主動(dòng)并按照管局要求開展備案網(wǎng)站管理1.檢查是否按時(shí)限完成系統(tǒng)下發(fā)的未備案網(wǎng)站（1日內(nèi)）、未報(bào)備網(wǎng)站（7日內(nèi)）等網(wǎng)站的報(bào)備或中斷接入工作；2.核查市公司月度備案撥測(cè)情況。4.互聯(lián)網(wǎng)專項(xiàng)行動(dòng)是否認(rèn)真開展各類專項(xiàng)行動(dòng)1.通過詢問專職人員及查詢臺(tái)賬資料，檢查管局今年以來下發(fā)的各類專項(xiàng)行動(dòng)是否布置到地市公司。2.對(duì)于各類專項(xiàng)行動(dòng)，是否有方案（包括轉(zhuǎn)發(fā)的）、有計(jì)劃、有落實(shí)、有小結(jié)，是否符合報(bào)送時(shí)限要求。3.抽查排查網(wǎng)站內(nèi)容撥測(cè)（如網(wǎng)頁url、IP地址、網(wǎng)站屬性、撥測(cè)時(shí)間）等工作記錄。1.開展STRUTS 2系列

5、漏洞專項(xiàng)整治工作 2.2017掃黃打非5.信安系統(tǒng)使用是否按照部省要求使用信安系統(tǒng)。1.核查管局側(cè)下發(fā)任務(wù)的執(zhí)行情況；2.現(xiàn)場(chǎng)核驗(yàn)IDC用戶信息；3.檢查信安系統(tǒng)的使用情況，核查登錄日志。網(wǎng)絡(luò)安全部分檢查內(nèi)容檢查要點(diǎn)檢查方式及要求檢查結(jié)果1.網(wǎng)絡(luò)安全組織機(jī)構(gòu)和人員配備1.是否明確1名公司主管領(lǐng)導(dǎo)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全各項(xiàng)工作。2.是否明確本公司網(wǎng)絡(luò)安全的主要目標(biāo)、基本要求、工作任務(wù)、保護(hù)措施。3.是否明確一個(gè)網(wǎng)絡(luò)安全管理部門，明確部門職責(zé)，配備一名專職人員。1.查看相關(guān)文件，文件中需指明公司網(wǎng)絡(luò)安全的主要目標(biāo)、基本要求、工作任務(wù)、保護(hù)措施以及網(wǎng)絡(luò)安全管理部門、專職人員的職責(zé)。2.與專職人員訪談，檢查

6、日常工作情況。2.網(wǎng)絡(luò)安全三同步、定級(jí)備案、符合性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估1.在工程項(xiàng)目設(shè)計(jì)中是否包含網(wǎng)絡(luò)安全保障設(shè)施相關(guān)內(nèi)容；網(wǎng)絡(luò)安全保障設(shè)施是否完成同步驗(yàn)收；網(wǎng)絡(luò)安全保障設(shè)施是否同步投入運(yùn)行。2.針對(duì)重點(diǎn)網(wǎng)絡(luò)單元，是否進(jìn)行定級(jí)備案、符合性評(píng)測(cè)及風(fēng)險(xiǎn)評(píng)估工作。1.查看工程項(xiàng)目相關(guān)臺(tái)賬是否滿足三同步要求。2.登陸系統(tǒng)查看具體備案單元中信息是否準(zhǔn)確;3.風(fēng)險(xiǎn)評(píng)估報(bào)告內(nèi)容需包含掃描結(jié)果、整改建議、復(fù)查結(jié)果等內(nèi)容。3.重要數(shù)據(jù)和用戶個(gè)人電子信息保護(hù)情況1.是否正式發(fā)文明確個(gè)人信息保護(hù)的責(zé)任部門及管理職責(zé)，建立用戶個(gè)人信息保護(hù)責(zé)任制和安全管理制度。2.是否記錄企業(yè)內(nèi)部人員、外包服務(wù)

7、人員對(duì)個(gè)人信息的訪問操作日志，并定期審計(jì)。3.是否開展了個(gè)人電子信息保護(hù)情況自查。1.查看用戶個(gè)人電子信息相關(guān)制度及臺(tái)賬，管理制度未包括個(gè)人信息分級(jí)分類管理、訪問控制、日志記錄、應(yīng)急響應(yīng)等內(nèi)容。2.記錄個(gè)人信息訪問操作日志，日志應(yīng)包括用戶ID、時(shí)間、訪問操作對(duì)象、操作類型等字段。3.查看個(gè)人電子信息保護(hù)自查及整改相關(guān)情況。4.網(wǎng)絡(luò)安全事件應(yīng)急處置情況1.是否制定符合本企業(yè)實(shí)際情況并與電信主管部要求相銜接的網(wǎng)絡(luò)安全應(yīng)急預(yù)案；2.是否組織開展本企業(yè)的網(wǎng)絡(luò)安全應(yīng)急演練。1.查看應(yīng)急預(yù)案，確定是否與地市企業(yè)實(shí)際情況相符，預(yù)案需保留版本更迭情況；2.查看應(yīng)急演練材料，確定演練內(nèi)容、參與人員等是否合適。演

8、練需與預(yù)案相配套比對(duì)預(yù)案有所反饋。5.互聯(lián)網(wǎng)IP地址核查1.是否及時(shí)對(duì)管局側(cè)IP管理系統(tǒng)比對(duì)發(fā)現(xiàn)的異常數(shù)據(jù)進(jìn)行更新;2.對(duì)于企業(yè)自用IP地址，利用技術(shù)手段核查是否存在漏報(bào)、錯(cuò)報(bào)的現(xiàn)象。對(duì)各企業(yè)IP比對(duì)異常結(jié)果進(jìn)行通報(bào)。6.安全服務(wù)可管可控情況1.2018年新采購(gòu)的安全服務(wù)項(xiàng)目（網(wǎng)絡(luò)安全設(shè)計(jì)與集成、風(fēng)險(xiǎn)評(píng)估、應(yīng)急響應(yīng)、安全培訓(xùn)服務(wù)）中，是否選用通過有關(guān)行業(yè)組織網(wǎng)絡(luò)安全服務(wù)能力評(píng)定的單位開展有關(guān)工作。2.是否對(duì)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)實(shí)際提供服務(wù)人員的信息進(jìn)行備案管理。1.查看企業(yè)項(xiàng)目管理系統(tǒng)，核實(shí)新采購(gòu)的安全服務(wù)項(xiàng)目是否滿足要求。2.查看備案信息臺(tái)賬，應(yīng)包括人員姓名、身份證號(hào)、資質(zhì)證書、項(xiàng)目經(jīng)驗(yàn)等。7.4A系統(tǒng)建設(shè)運(yùn)行情況是否已按照賬號(hào)、授權(quán)、認(rèn)證和審計(jì)（4A）集中管理系統(tǒng)技術(shù)要求（2015-0706T-YD）所要求的集中賬號(hào)管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計(jì)管理能力覆蓋所有三級(jí)及以上網(wǎng)絡(luò)和系統(tǒng)。根據(jù)系統(tǒng)中企業(yè)定級(jí)備案臺(tái)賬，核查4A系統(tǒng)是否已覆蓋三級(jí)及以上網(wǎng)元全部設(shè)備。8.數(shù)據(jù)保護(hù)技術(shù)手段建設(shè)運(yùn)行情