《2022年2021年基础电信企业专业公司网络与信息安全工作考核要点与评分标准 .pdf》由会员分享,可在线阅读,更多相关《2022年2021年基础电信企业专业公司网络与信息安全工作考核要点与评分标准 .pdf(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 1 2019年基础电信企业专业公司网络与信息安全工作考核要点与评分标准说明: 1、各专业公司考核总分值均为6 分。2、国际通信业务、云业务、物联网业务和应用商店业务专业公司由部单独设立专项考核指标,参考集团公司意见,统一开展考核评分;其他专业公司由集团公司(网络和信息安全部门)结合通用考核要求,自行制定考核指标并开展考核评分,部将对考核工作进行指导,并对考核指标和考核结果进行监督。指标类别考核要求备注一、涉及经营电信业务的专业公司通用考核要求(6 分) (注 1、注 2)1. 网络与信息安全机构人员、网络与信息安全责任制、突发事件应急响应处置、网络与信息安全技术保障措施、新技术新业务安全评估
2、有关要求同2018年。2. 数据安全和用户个人信息保护:应按照网络安全法电信和互联网用户个人信息保护规定工业和信息化部关于加强基础电信企业数据安全管理规范清理数据对外合作工作的通知( 工信厅网安函 2018315 号) 要求,明确数据安全管理牵头责任部门及职责,建立数据安全和用户个人信息保护管理制度,健全完善安全防护技术措施,按照电信主管部门相关标准完成合规性评估。定期(至少每年一次)对工作人员进行用户个人信息保护相关知识、技能和安全责任的相关培训;每年至少开展一次个人信息保护情况自查,及时消除自查中发现的安全隐患;健全重大突发数据安全事件应急响应机制,对重大数据安全事件要立即采取有效补救措施
3、,及时向电信主管部门报告。3. 网络安全防护:一是应当按照通信网络安全防护管理办法(工业和信息化部令第 11 号)第九条、第十条、第十一条的要求,将有关自营系统全部进行网络安全定级备案,并开展符合性评测和风险评估。二是应当按照第十七条、第十九条的要求,接受电信主管部门的网络安全远程检测和现场检查。远程检测首次发现存在网络安全问题时只通报不扣分,再次发现问题时, 每发现 1 项扣 2分;若发现已通报但仍未整改的网络安全问题,每发现1 项扣 4 分。现场检查重点检查法律法规的落实情况、网络安全防护系列标准的达标情况、评估网络安全漏洞问题的风险情况,每发现 1 项未按要求进行定级备案、符合性评测或风
4、险评估等法律法规问题,扣2 分。 每发现 1 项标准不达标扣1 分。每注 1:各集团公司应在2019年 5月 31 日前将相关专业公司(含国际通信业务、云业务、物联网业务和应用商店业务公司的通用考核指标)考核要求及评分标准报部网络安全管理局(以下简称网安局)批准后执行。注 2:对于未按要求完成配合监管工作的,集团公司应出具书面扣分说明及处理意见。注 3:参见工业和信息化部关于印发 的通知 (工信部网安 2017281 号) ,包括网络中断、系统瘫痪、 网络数据及用户个人名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - -
5、- - - - - - - - - - - - 第 1 页,共 6 页 - - - - - - - - - 2 发现 1 处安全漏洞, 高危扣 2 分、中危扣 1 分、弱口令扣 1 分;若位于重要设备上,扣分加倍;发现重大安全漏洞可导致用户信息泄漏、设备服务器受控、业务中断、网络中断等, 每 1 处扣 5 分;发现存在恶意代码或后门程序未处置,或从网络单元外获取网络单元内设备的管理员权限或重要数据,扣10 分。企业未建立集中化网络安全问题闭环管理机制,实现定期巡查、整改核验、考核问责等要求的,扣5 分。三是应当按照电信网和互联网信息服务业务系统安全防护要求,公司系统应具备与业务系统重要性相匹配
6、的防DDoS攻击、防入侵、网页防篡改、数据防泄露的能力。4. 发生特别重大网络安全或数据安全事件的,发生一次扣100 分;发生重大网络安全或数据安全事件的,发生一次扣75 分;发生较大网络安全或数据安全事件的,发生一次扣 50 分;发生一般网络安全或数据安全事件的,发生一次扣25分(注 3,注 4) 。5. 因发生网络安全或数据安全事件,受到电信主管部门行政处罚或通报批评的,被通报一次扣 50 分;被处罚一次扣 100 分(注 4) 。信息泄露等情况。注 4:如同时满足其他扣分指标,以扣分分值最高项为准。指标类别考核指标指标要求单项评分标准备注二、国际通信业务专业公司专项考核 (6 分,按60
7、0 分计)(一)通用考核指标(3 分,按 300 分计)由集团公司结合通用考核要求,自行制定。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 2 页,共 6 页 - - - - - - - - - 3 (二)专项考核指标(3分,按300分计)1. 加强对国际合作运营商管理严格落实关于防范打击电信网络诈骗犯罪的通告 (以下简称通告 ) 、 关于进一步防范和打击通讯信息诈骗工作的实施意见 (以下简称 实施意见 ) 、 关于纵深推进防范打击通讯信息诈骗工作的通知(以下简称
8、通知 )和通报(注)等文件有关要求,严格合同约束,加强对国际合作运营商的规范管理。(1)严格合同约束:企业要按照实施意见第九条等相关要求,全量修订本企业与国际合作运营商的国际业务合作协议, 对于未按要求修订并执行的, 每发现 1 份扣5 分。(2)加强规范管理:未建立对问题突出国际合作运营商协商机制的;未对问题突出国际合作运营商督促整改的,或未对整改不力、屡教屡犯国际合作运营商及时终止合作的,每发现1 起扣 5 分。注: 通报包括公安封停号码通报、国际来源诈骗电话通报、用户举报通报等。2. 国 际 来源 诈 骗 电话 情 况 通报严格落实通告 实施意见 通知 和通报等文件有关要求,强化企业主体
9、责任落实。(1)对于通过国际来源诈骗电话情况通报、 用户举报和督导检查等发现的违规问题发现1次扣 5 分。(2)自 2019 年 1 月起,国际来源诈骗电话情况通报中, 连续 2 个月万次国际来话监测出诈骗电话次数超过 50(含)的,每次扣5 分。(3)未按要求对通报号码进行呼叫源头倒查的,每发现 1 起扣 1 分。三、云( CDN )业务专业公司专项考核 (6 分,按(一)通用考核指标(3 分,按 300 分由集团公司结合通用考核要求,自行制定。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - -
10、 - - - - - - 第 3 页,共 6 页 - - - - - - - - - 4 600 分计)计)(2)信安系统基础数据准确完整。(1)利用部级信安系统对企业信安系统上报的相关数据进行随机抽查,每发现一条不合格数据,扣2 分。(2)企业未按照电信主管部门要求,对异常数据进行更新上报的,每发现一次扣 5 分。(3)信安系统的使用管理、运行维护及安全防护符合要求。部网安局依据工信厅网安2016135号要求,在 2019 年 12 月底前对信安系统的使用管理、运行维护、安全防护等情况进行监督与检查。注: 具体评分标准同 2018年。 企业须按照标准要求对信安系统进行网络安全定级与防护,并提
11、供书面证明文件。四、物联网业务专业公司专项考核( 6 分,按600 分计)(一)通用考核指标(3 分,按 300 分计)由集团公司结合通用考核要求,自行制定。(二)专项考核指标(3分,按300 分1. 物联 网行 业卡 安全 监测 和管 理平 台建设工作按照工信部有关要求,做好物联网行业卡安全管理技术手段建设及支撑工作。(1)部平台建设:按照工信部有关要求,配合完成部物联网行业卡安全监测和管理平台技术方案制定,并高效做好系统对接、数据推送等工作。未满足上述工作要求,根据实际完成情况可扣除 10 分、50 分或 100分。名师归纳总结 精品学习资料 - - - - - - - - - - - -
12、 - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 4 页,共 6 页 - - - - - - - - - 5 计)(2)企业内部系统建设:按照有关要求及技术标准,全面完成企业内物联网行业卡安全管理相关技术手段建设工作。未满足上述工作要求,根据实际完成情况可扣除10 分、50 分或 100分。2. 物联 网安 全管 理系 统试 点建设工作配合部省两级电信主管部门开展物联网安全管理系统试点建设工作。(1)试点方案制定:按照关于配合开展物联网安全管理系统试点工作的通知 (工网安函 20181429 号)要求,完成本公司物联网安全管理系统试点方案制
13、定。未满足上述工作要求,根据实际完成情况予以扣分,最高扣50 分。(2)开展试点建设:配合部省两级电信主管部门完成物联网安全管理系统试点建设工作,具备物联网网络基础资源管理、溯源认证管理、数据安全管理、安全监测预警等能力。未满足上述工作要求,根据实际完成情况予以扣分,最高扣 100 分。注: 物联网安全管理系统有关功能、性能指标应符合电信主管部门相关标准规范要求。五、应用商店业务专业公司专项考核 (6 分,按600 分计)(一)通用考核指标(3 分,按 300 分计)由集团公司结合通用考核要求,自行制定。(二)专项考核指标移 动应 用网 络安 全管理(1)按照移动智能终端应用软件预置和分发管理
14、暂行规定、工业和信息化部关于加强电信和互联(1)每发现 1 个应用未做开发者真实身份登记扣 2 分。(2)每发现 1 个应用未做上架前安名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 5 页,共 6 页 - - - - - - - - - 6 (3分,按300 分计)网行业网络安全工作的指导意见,应用商店建立安全备案库,开展移动应用开发者真实身份信息登记、上架前安全审核全审核,扣 2 分。(3)未建立安全备案库扣100 分。(2)按照公共互联网网络安全威胁监测与处置办法(工信部网安2017202 号),按照电信主管部门的通知和时限要求采取相应处置措施,反馈处置结果。未按照通知要求, 在规定时限内采取相关网络安全威胁处置措施的,每发现一次扣 3 分。名师归纳总结 精品学习资料 - - - - - - - - - - - - - - -精心整理归纳 精选学习资料 - - - - - - - - - - - - - - - 第 6 页,共 6 页 - - - - - - - - -