资源描述
关于广东省增值电信运营企业填报网络与信息安全保障措施的填写指南(IDC、ISP)信息安全负责人须为公司法定代表人联系电话(手机)须填写手机应急联系人1须为公司固定人员联系电话(手机)须填写手机应急联系人2须为公司固定人员联系电话(手机)须填写手机网络与信息安全保障措施信息安全管理组织机构设置及工作职责本栏应包含但不限于以下内容:1、 机构名称;2、 机构负责人姓名、职务、配置人数等信息(负责人须为公司法人);3、 机构设立时间;4、 机构工作职责:包括建立网络与信息安全管理责任制、有害信息发现受理处置机制、有害信息投诉受理处置机制、重大信息安全事件应急处置和报告制度、信息安全管理政策和业务培训制度、网络安全防护制度、网络安全事件应急处置和报告制度、有害信息发现和过滤技术手段、用户日志留存技术手段、个人用户信息保护措施、网络安全防护技术手段、安全联络员变动承诺制度、不为未备案网站提供接入服务和代收费服务的制度、配合行业主管部门的要求终止或者暂停对违法网站的接入服务制度等。网络与信息安全管理人员配备情况及相应资质本栏应包含但不限于以下内容:原则上应不少于3名网络与信息安全管理人员。请提供人员名单(含姓名、性别、学历、专业、毕业院校等)及手机、邮箱等联系方式,信息安全认证资质证书等。如无相应资质,承诺获得许可证一年内相关管理人员需要取得通信行业的相应资质。信息安全管理责任制依据电信条例、互联网信息服务管理办法、电信业务经营许可管理办法相关要求填写, 应包含但不限于以下内容:1、简要描述本公司的信息安全责任制:如建立租用获得相应经营许可证的基础电信业务经营者提供的网络接入等电信资源从事业务经营活动,不向其他从事网站接入服务的增值电信业务经营者转租所获得的网络接入等电信资源的制度;不为未经许可或未备案的网站提供接入或代收费等服务;按照电信管理机构的规定,建立相应的网站经营许可管理和备案管理的业务管理系统,实现对代报备网站用户信息的动态维护和更新,并定期向电信管理机构报送网站管理所需有关信息;对所接入网站传播违法信息的行为进行监督,发现传播明显属于电信条例第五十七条规定的信息的,应当立即停止接入和代收费等服务,保存有关记录,并向国家有关机关报告。按照电信管理机构的要求终止或者暂停对违法网站的接入服务;2、应急处置机制:包括事故应急的4个逻辑步骤:预防、预备、响应、恢复等;3、事件报告制度:包括相关制度中应明确服从电信主管部门的监管以及信息报告与沟通机制;如信息报送按照“逐级报送与直接报送相结合,即时报送与定期报送相结合”的原则,重大、敏感信息应在2小时以内、紧急信息应在半小时内报送,同时及时续报事态发展、处置措施、原因后果、工作进展和经验教训等;4、简要描述本公司按照国家政策法规和电信主管部门的要求,制定开展净化网络环境的相关工作措施:包括开展扫黄打非等工作、倡导网络文明、加强对公司接入用户的管理,积极参加和开展互联网行业自律活动等。有害信息发现受理处置机制依据电信条例、互联网信息服务管理办法、电信业务经营许可管理办法相关要求填写, 主要是针对机房(接入)用户(网站)传播违法信息的行为进行监督等方面,应包含但不限于以下内容:1、有害信息的技术检测、发现及受理工作制度:包括技术手段发现、人工审核发现、用户投诉发现、管局要求处置等方面的受理情况;2、发现有害信息后的处置流程(含处置时限、处置方式等)。有害信息投诉受理处置机制依据电信条例、互联网信息服务管理办法、电信业务经营许可管理办法等相关要求填写,应包含但不限于以下内容:1、接受用户对本公司机房(接入)用户(网站)可能存在的有害信息的投诉及处理流程、管理制度;针对机房(接入)用户(网站)传播违法信息的行为进行监督等方面的投诉受理处置措施;2、本公司受理有害信息投诉的电话及系统平台等;重大信息安全事件应急处置和报告制度依据电信条例、互联网信息服务管理办法、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法等相关要求填写, 应包含但不限于以下内容:1、重大信息安全事件应急处理方案:如包括事故应急预防、预备、响应、恢复等处理方案含针对机房(接入)用户(网站)传播违法信息的行为进行监督等方面发生重大信息安全事件的应急处置;2、重大信息安全事件报告制度:如应明确服从电信主管部门的监管以及信息报告与沟通机制;同时及时续报事态发展、处置措施、原因后果、工作进展和经验教训等。信息安全管理政策和业务培训制度该制度应包含但不限于以下内容:1、 年度培训计划;2、 培训内容;3、 培训对象;4、 上岗制度(考核未通过不得上岗);5、 培训频次;6、 培训方法等。注:培训内容中涉及网络与信息安全管理方面的法律法规及相关文件可参考网络安全管理责任制度依据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法等相关要求填写, 应包含但不限于以下内容:1、网络安全管理的工作措施和流程;包括建设网络安全应急预案等(含针对机房(接入)用户(网站)发现网络安全的行为进行监督等方面;2、网络安全管理制度:(1)安全责任制: 包括网络安全管理责任制度、网络安全防护制度、网络安全事件应急处置和报告制度、有害信息发现和过滤技术手段、用户日志留存所采用的技术手段、网络安全防护技术手段等;(2)应急处置: 包括事故应急预防、预备、响应、恢复等;(3)事件报告制度:应明确服从电信主管部门的监管以及信息报告与沟通机制;报告事态发展、处置措施、原因后果、工作进展和经验教训等。网络安全防护制度依据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法等相关要求填写, 应包含但不限于以下内容:1、投入必要的经费和条件;包括网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算;投入费用额度;2、防护措施:包括对通信网络单元的重要线路、设备、系统和数据等进行备份;3、防范意识:网络安全防护工作坚持积极防御、综合防范、分级保护的原则。建立与通信网络单元相适应的安全防护措施,每年进行符合性评测;组织每年对通信网络单元进行安全风险评估,及时消除重大网络安全隐患安全风险评估;4、安全检查:对检查中发现的重大网络安全隐患,应当及时整改安全方案:根据实际情况适时调整通信网络单元的划分和级别;5、安全防御(安全加固、网络安全部署):包括通过检验通信网络安全防护措施的有效性,并加固部署。注:网络安全防护工作是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。网络安全事件应急处置和报告制度依据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法等相关要求填写, 应包含但不限于以下内容:1、网络安全事件应急响应方案:包括事故应急预防、预备、响应、恢复等含发现机房(接入)用户(网站)的网络安全事件行为等方面应急处置;2、排查和报告制度(报送的信息分为事件信息和预警信息);3、恢复网络正常运转的方案及时限;4、上报单位及汇报相关事项:如及时报告事态发展、处置措施、原因后果、工作进展和经验教训等。有害信息发现和过滤技术手段本栏填写本公司以下情况: 1、提供有害信息发现和过滤的相关产品及说明,含软件名称及功能介绍,后台登陆账号及密码(供管局验证);2、过滤产品(软件)放置的机房地址。注:以上产品为通过部“技术评测”的系统。用户日志留存所采用的技术手段本栏填写本公司以下情况:1、提供用户日志留存所采用的相关产品说明,含软件名称及功能介绍,后台登陆账号及密码(供管局验证);2、日志审计产品(软件)放置的机房地址。注:以上产品为通过部“技术评测”的系统。网络安全防护技术手段依据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法、增值电信企业网络单元定级流程及方法等相关要求填写, 应包含但不限于以下内容:1、建立通信网络单元的分级保护制度,本公司网络单元安全等级定级情况(申请增值电信业务的企业一般视情况建议为2或3级);2、简述系统的符合性评测或安全风险评估情况(本公司自我评测或委托第三方评测结果)。请线下提供本单位安全防护措施的符合性评测和安全风险评估自评测或第三方评测情况报告;3、网络安全演练计划:包括演练科目、时间、地点、内容、点评等;积极参加电信管理机构组织开展的演练 ;4、应每年年检时向通信网络安全防护管理系统备案和根据实际情况调整本公司各网络单元情况。安全联络员变动承诺本栏填写以下内容:本公司承诺切实履行网络信息安全责任,遇有安全联络员及联系方式等发生变动时,保证在二个工作日之内以书面形式向广东省通信管理局报告调整情况。否则,因此未能及时接受主管部门紧急事件处置通知而造成的后果(如被断开网络接入等)将由本公司自行承担。其他获得许可证后的30日内 将本公司的网站备案管理系统、信息安全管理系统、接入资源管理系统等系统与广东省通信管理局的系统进行互联,联系人: 联系电话:备注:上述内容各公司应有正式文件留存或张贴以供通信管理部门进行实地检查。
展开阅读全文