《网络与信息安全保障措施.docx》由会员分享,可在线阅读,更多相关《网络与信息安全保障措施.docx(16页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、宽带接入网网络与信息安全保障措施网络与信息安全责任人填写本表单中“网络与信息安全管理人员配备情况及相应资质”栏目中“信息安全负责人”联系 (手机)网络与信息安全应急联络人联系 (手机)网络与信息安全管理组织机构设置及工作职责本栏请填写本公司负责网络信息安全工作的相关内容如下:1.企业负责人(法人/总经理)XX为网络与信息安全第一责任人,全面负责企业网络与信息安全工作。2.网络与信息安全管理组织架构。应明确本企业网络与信息安全主管部门,明确涉及的其他主体或部门,并有明确的安全职责及分工。本项包含但不限于以下内容:(1)网络与信息安全主管部门名称;(2)网络与信息安全主管部门负责人姓名与职务等信息
2、;(3) 网络与信息安全主管部门配置人数;(4)网络与信息安全主管部门工作职责(须含但不限于信息安全管理责任制、有害信息发现受理处置机制、有害信息投诉受理处置机制、重大信息安全事件应急处置与报告制度、信息安全管理政策与业务培训制度、网络安全管理责任制度、网络安全防护制度、网络安全事件应急处置与报告制度、有害信息发现与过滤技术手段、用户日志留存所采用的技术手段、网络安全防护技术手段、安全联络员变动承诺制度等)。(5)网络与信息安全涉及的其他主体或部门名称及职责。3.制定网络与信息安全监督检查制度。该制度应包含但不限于以下内容:(1)实施监督检查工作的责任部门及人员; (2)检查范围:对企业的网络
3、与信息安全工作与措施制度的落实、执行情况进行监督检查;(3)检查的周期与比例,检查可以是定期检查与不定期抽查相接合;(4)检查发现问题的处理:及时完善健全网络与信息安全管理措施与制度,对发生网络与信息安全事件的责任部门、责任人员进行处理。网络与信息安全管理人员配备情况及相应资质 本栏请填写本公司网络与信息安全管理人员情况: 1.申请企业应至少配备3名或以上网络与信息安全管理人员,并注明管理人员姓名、联系方式、职责分工,附管理人员身份证及资质证书复印件;2. 网络安全人员应具有相应的专业技术资格(网络与信息安全从业资质或通信、计算机相关专业本科及以上学历证明); 3提供网站接入时:每接入1万个网
4、站至少配备2名专职信息安全工作人员;接入不足1万个网站的,按1万个计算。要求这两个人应不与下表中所列的网络与信息安全责任人重复。责任人姓名职务办公 手机身份证号码职责邮箱第一责任人(公司法人/总经理)信息安全负责人网络安全负责人7*24小时应急联系 网络与信息安全管理责任制 本栏请填写本公司依据电信条例、互联网信息服务管理办法、电信业务经营许可管理办法等政策法规制定与建立的企业内部信息安全管理责任制度,该制度应包含但不限于以下内容:1. 信息安全管理责任制度。(1)企业应制定信息安全管理责任制度。通过文件形式明确信息安全主管部门及其他相关部门的工作职责。其中信息安全主管部门职责至少包括制定信息
5、安全年度工作计划、制定信息安全相关工作制度、负责信息安全事件的响应、处置、协调、负责网络与信息安全教育培训及应急演练,依法配合通信行业主管部门开展违法信息的处置、净化网络环境等相关工作;(2)建立企业内部责任追究制度。明确违反信息安全相关规定的责任部门责任人的相应处罚措施;(3)明确信息安全主管部门及其他相关部门、岗位均应签署网络与信息安全责任书。2.信息安全责任书(模板)。 (1)制定企业内部信息安全责任书模板,责任书应明确信息安全应遵守的规定、承担的责任、履行的义务,及违反规定相应具体处罚措施; (2)要求信息安全主管部门及其他相关部门、岗位均应签署信息安全责任书; (3)责任书签订周期:
6、应当每年签一次,有人员调整变动,人员变动时应及时签。监管配合机制本栏请填写本公司依据电信条例、互联网信息服务管理办法、电信业务经营许可管理办法等政策法规制定与建立的企业内部信息安全监管配合制度:1. 应明确面向用户的有害信息受理处置机制,内容应包括:有明确的受理方式,包括 、QQ、电子邮箱等;有明确的受理部门、人员、有害信息受理机制与流程;针对发现问题,建立相应制度与措施的完善机制,防止同类问题的再次发生。2. 建立监管配合机制,内容包括:明确网络与信息安全主管部门为监管工作配合部门,指定该部门负责人及一名业务主管作为配合工作日常联络人,依法配合通信行业主管部门开展违法信息的处置等相关工作;企
7、业对发现的(技术手段发现、人工审核发现、用户投诉发现)正在传输的违法信息,应立即停止传输并上报政府主管部门。网络与信息安全事件应急处置本栏请填写本公司依据电信条例、互联网信息服务管理办法、通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案与互联网网络安全信息通报实施办法等政策法规制定与建立的企业内部网络与信息安全事件应急处置报告制度。该制度应包含但不限于以下内容: 1.企业应明确网络与信息安全应急处置责任部门、人员及24小时应急值班 。2.制定企业网络与信息安全应急预案。预案应明确网络与信息安全事件范围、级别及处置流程,网络与信息安全应急处置的措施与手段。当出现电信
8、条例所规定“九不准”有害信息内容与网络安全威胁时,应立即启动应急预案。 3.恢复系统正常运转的方案及时限。如发生网络与信息安全事件应第一时间采取措施,及时消除非法信息与网络威胁,无法迅速消除、影响较大时实施紧急关闭,将危害影响控制在最小范围;及时进行原因分析,制定解决方案,在有害信息与安全隐患未彻底消除前,不得恢复系统运行;留存证据并分析事件原因,在有关部门调查时予以提供。 4.应急处置报告制度。应及时向有关部门报送事态发展、处置措施、原因分析、工作进展与经验教训等,重大网络与信息安全事件应于2小时内向政府有关部门报告。5.网络与信息安全应急演练。每年应组织开展网络与信息安全应急演练,须包含但
9、不限于演练科目、时间、地点、内容、点评等,同时要积极参加电信管理机构组织开展的演练。信息安全技术保障措施(根据具体业务开展与监管配合情况配套建设相应的技术保障措施)本栏请填写本公司依据 全国人民代表大会常务委员会关于加强网络信息保护的决定、电信条例、互联网信息服务管理办法等政策法规及通信行业主管部门有关要求配套建设的信息安全技术手段,同步落实与业务发展相适应的安全保障措施。 1.用户信息保护、有害信息发现与过滤、日志留存等方面的网络信息安全技术手段的详细材料,包括系统软件名称及功能目的、技术方案、处置流程、保障措施等。 2.用户信息保护、有害信息发现与过滤、日志留存等系统(设备、软件)放置的机
10、房地址。 3.明确以上系统的维护、管理与使用部门,定期检测系统功能,确保系统可靠运行。确保不发生侵害用户隐私、信息泄露等;确保有害信息及时发现与过滤、处置;用户日志留存完整准确,留存时限不得低于60日。网络安全防护制度本栏请填写本公司根据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案与互联网网络安全信息通报实施办法等,制定本公司网络安全防护制度。该制度应包含但不限于以下内容: 网络安全防护工作是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。网络安全防护工作坚持积极防御、综合防范、分
11、级保护的原则。建立与通信网络单元相适应的安全防护措施,并根据实际情况适时调整通信网络单元的划分与级别;每年对网络单元进行符合性评测;每年对通信网络单元开展安全风险评估,及时消除重大网络安全隐患;投入必要的经费与条件;网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算与费用额度;对检查中发现的重大网络安全隐患,应当及时进行整改。1.填写网络安全防护基本信息表(系统上传文字内容,表格版提交纸质材料时提供)。依据通信网络安全防护管理办法(工业与信息化部令第11号)要求,根据业务系统所属类型,按照增值电信业务系统相关网络安全防护定级要求进行定级(定级方法与流程参见管局官方网站首页专题工
12、作宽带接入网业务试点工作增值电信企业网络单元定级流程及方法、山西省通信管理局增值业务许可网络单元定级软件),并在系统建设、运行、维护中按照相关行业标准开展定级备案、符合性评测、风险评估等网络安全防护工作。(此处内容若因字数限制填写不下,可在“其他栏目中填写”)2.机房管理制度 (1)如企业有自建机房,应建立机房安全管理制度,制度内容应包含但不限于:机房设备清单(为机房所有设备建立资产清单(台帐),设备型号、数量、进出库时间等)机房设备安全等级(根据设备的重要性划分设备的安全等级)机房内设备位置安全(根据设备的重要性划分设备在机房内的位置安全)电力供应安全机房出入管理机房环境管理等内容。 (2)
13、企业没有自建机房,与其他企业签署托管或代维协议的,机房设备清单(为机房所有设备建立资产清单(台帐),设备型号、数量、进出库时间等)需提供托管协议或代维协议中涉及机房管理、环境及电力供应等相关内容,纸质材料审核时需提供托管或代维协议的原件及复印件(盖章)。3.设备操作安全管理制度。制度应对不同岗位设备操作权限进行分级,明确不同权限可操作设备的范围,设备操作内容并进行操作日志记录(记录中要包含设备操作内容与审批流程等内容),建立设备密码管理相关制度(明确设置专用账户、专用密码,密码复杂程度(如数字与字母组合)、密码更换周期等内容。)4.网络设备运行维护制度。制度应明确维护的部门,设备运行维护的内容
14、、周期以及系统相关功能检测的周期。 5.重要系统的备份维护管理制度。主要指对重要系统或设备(服务器、数据库等)进行备份维护制定相应制度,应明确维护周期,并在维护时采取相应数据保护措施(如:数据转贮、卸下磁盘磁带等)。在对系统进行预防维修或故障维修时,应记录故障原因、维修对象、维修内容与维修前后状况等信息.应建立完整的维护记录档案。 6.防火墙等安全措施管理制度。制度应明确防火墙安全管理与维护周期,以及企业内部防火墙管理方面的流程、规范等内容。 7.用户日志留存系统维护制度。制度应包含用户日志留存系统的维护周期、维护内容、维护规范管理等内容。网络安全防护技术手段本栏请填写本公司依据通信网络安全防
15、护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案与互联网网络安全信息通报实施办法、增值电信企业网络单元定级流程及方法等,制定本公司网路安全防护举措。该相关制度举措应包含但不限于以下内容: 网络安全系统防护重点解决操作系统、数据库与各个服务器,例如WEB服务器及WAP服务器等系统安全问题,以建立一个安全的系统运行平台,有效抵抗黑客利用系统的安全缺陷对系统进行攻击,主要措施包括: 1.应采用与网络安全防护等级相适应的防火墙等技术手段有效保护本地网络安全。简述本企业防火墙设备型号,功能及本企业防火墙采取的相关安全防护措施,如对外屏蔽重要设备地址、关闭与本身服务不相关的端口等。 2.操
16、作系统安全保障措施。 (1)系统安全防护能力。文件访问控制(系统内文件访问权限要进行分级)用户权限级别(根据系统使用情况,系统不同用户授予不同范围的最小权限)防病毒软件/硬件(系统要具备防病毒功能的软件、硬件)。 (2)操作日志记录。对系统的操作要有日志记录,重要操作要有审批流程,并列出审批内容。 (3)要有专人负责定期对系统或软件进行升级与补丁。 (4)对操作系统进行密码管理,要表达密码更换的时间,密码的复杂程度(密码设置不能使用纯数字等简单密码,须使用英文字母加数字或符号的混合密码)等内容,如企业制定了相关密码管理制度,此处可参照执行。 (5)定期开展系统安全检测。定期对系统进行安全漏洞扫
17、描,并在扫描检测完成后,编写检测报告,详细记录漏洞检测结果及实施的补救措施与安全策略,并整理归档备查。 3.数据库安全保障措施。 (1)数据库存取权限。对数据库存取访问要有权限分级,通过设置不用级别的权限,控制用户对数据库的存取,主要是严格控制访问机制、实现数据库所有操作内容的的可审计。 (2)口令安全管理。数据库访问应设置口令保护,对口令日常定期更换、复杂程度等制定管理制度,避免出现弱口令等网络安全隐患,以确保数据库数据安全。 (3)数据库安全功能。经授权的数据库系统管理员需定期对数据库安全功能、用户与数据库操作权限进行有效管理,确保数据库安全。 (4)数据库定期备份。数据库数据应定期进行备
18、份与转储等操作。 (5)操作日志记录。数据库的所有操作均应有操作日志记录,重要操作需进行审批,以备安全审计使用。 (6)故障恢复能力等。描述对数据库出现各种人为故障、软件故障与硬件故障时,如何进行恢复的能力,确保发生故障后能恢复全部数据内容。网络与信息安全管理政策与业务培训制度本栏填写本公司依据电信条例、互联网信息服务管理办法等政策法规制定与建立的企业内部信息安全教育培训制度,该制度应包含但不限于以下内容: 1.通过文件形式制定网络与信息安全教育培训制度,明确培训组织部门、培训对象、培训频率、培训方法等; 2.每年应制定本年度培训计划、培训内容; 3.对培训效果进行考核、检查,建立企业培训档案; 4.培训不合格不得上岗。 安全联络员变动承诺本栏填写以下内容:本公司承诺切实履行网络信息安全责任,遇有安全联络员及联系方式等发生变动时,保证在二个工作日之内以书面形式向山西省通信管理局报告调整情况。否则,因此未能及时接受主管部门紧急事件处置通知而造成的后果(如被断开网络接入等)将由本公司自行承担。其他网络与信息安全保障措施上传网络与信息安全承诺书文字内容,系统通过后纸质材料提交时需提交原件(签字盖章)。第 16 页