《4533998944关于广东省增值电信运营企业填报网络与信息安全.doc》由会员分享,可在线阅读,更多相关《4533998944关于广东省增值电信运营企业填报网络与信息安全.doc(4页珍藏版)》请在三一办公上搜索。
1、关于广东省增值电信运营企业填报网络与信息安全保障措施的填写指南信息安全负责人须为公司法人联系电话(手机)须填写手机网络与信息安全保障措施信息安全管理组织机构设置及工作职责本栏填写本公司负责网络信息安全工作的相关内容如下:1、部门名称;2、部门负责人姓名与职务等信息(部门负责人须为公司法人)和配置人数;3、部门设立时间;4、部门工作职责(须含但不限于信息安全管理责任制、有害信息发现受理处置机制、有害信息投诉受理处置机制、重大信息安全事件应急处置和报告制度、信息安全管理政策和业务培训制度、网络安全管理责任制度、网络安全防护制度、网络安全事件应急处置和报告制度、有害信息发现和过滤技术手段、用户日志留
2、存所采用的技术手段、网络安全防护技术手段、安全联络员变动承诺制度等)。网络与信息安全管理人员配备情况及相应资质本栏填写本公司网络与信息安全管理人员情况:原则上应不少于3名网络与信息安全管理人员。请提供人员名单(含姓名、性别、学历、专业、毕业院校等)及手机、邮箱等联系方式,信息安全认证资质证书等。信息安全管理责任制本栏填写本公司依据电信条例、互联网信息服务管理办法、电信业务经营许可管理办法等政策法规制定和建立的企业内部信息安全管理制度:1、简要描述本公司的信息安全责任制(须含但不限于有害信息发现受理处置机制、有害信息投诉受理处置机制、重大信息安全事件应急处置和报告制度、信息安全管理政策和业务培训
3、制度等);2、应急处置机制(须含但不限于事故应急的4个逻辑步骤:预防、预备、响应、恢复);3、事件报告制度(相关制度中应明确服从电信主管部门的监管以及信息报告与沟通机制;如信息报送按照“逐级报送与直接报送相结合,即时报送与定期报送相结合”的原则,重大、敏感信息应在2小时以内、紧急信息应在半小时内报送,同时及时续报事态发展、处置措施、原因后果、工作进展和经验教训等);4、简要描述本公司按照国家政策法规和电信主管部门的要求,制定开展净化网络环境的相关工作措施(须含但不限于如开展扫黄打非等工作。如:倡导网络文明、加强对公司网站内容的信息安全管理,规范交互式栏目中互动内容的上传,积极参加和开展互联网行
4、业自律活动等)。有害信息发现受理处置机制本栏填写本公司依据电信条例、互联网信息服务管理办法、电信业务经营许可管理办法等政策法规制定和建立的企业内部有害信息发现受理处置机制。1、有害信息的技术检测、发现及受理工作制度(须含但不限于技术手段发现、人工审核发现、用户投诉发现、管局要求处置等方面发现受理情况);2、发现有害信息后的处置流程(含处置时限、处置方式等)。有害信息投诉受理处置机制本栏填写本公司依据电信条例、互联网信息服务管理办法、电信业务经营许可管理办法等政策法规制定和建立的企业内部有害信息投诉受理处置机制。1、接受用户对本公司网站可能存在的有害信息的投诉及处理流程、管理制度;2、本公司受理
5、有害信息投诉的电话及系统平台等。重大信息安全事件应急处置和报告制度本栏请填写本公司根据电信条例、互联网信息服务管理办法、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法等,制定的重大信息安全事件应急处置工作制度。该制度应包含但不限于以下内容:1、重大信息安全事件应急处理方案:(包括事故应急预防、预备、响应、恢复等处理方案);2、重大信息安全事件报告制度:(如应明确服从电信主管部门的监管以及信息报告与沟通机制;同时及时续报事态发展、处置措施、原因后果、工作进展和经验教训等)。(1)包括事件责任人:(2)处理时限:(3)上报单位: 信息安全管理政策和业务培训制度本栏填写本公司的信息安全培
6、训计划,包含但不限于以下内容:1、 年度培训计划;2、 培训内容;3、 培训人员;4、 上岗制度(未通过不得上岗)等。注:培训内容须含有涉及互联网业务方面及信息安全管理方面培训的法律法规及相关文件(可参考网络安全管理责任制度本栏请填写本公司根据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法等,制定本公司网络安全管理方面的相关制度,该制度应包含但不限于以下内容:1、网络安全管理的工作措施和流程;2、网络安全管理制度。(1)安全责任制: (须包含但不限于网络安全管理责任制度、网络安全防护制度、网络安全事件应急处置和报告制度、有害信息发
7、现和过滤技术手段、用户日志留存所采用的技术手段、网络安全防护技术手段等)(2)应急处置: 须包含但不限于事故应急预防、预备、响应、恢复等(3)事件报告制度等:(如应明确服从电信主管部门的监管以及信息报告与沟通机制;同时及时报事态发展、处置措施、原因后果、工作进展和经验教训等)网络安全防护制度本栏请填写本公司根据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法等,制定本公司网络安全防护制度。该制度应包含但不限于以下内容: 网络安全防护工作是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢
8、失、泄露或者被篡改而开展的工作。1、投入必要的经费和条件;网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。费用额度;2、防护措施: 对通信网络单元的重要线路、设备、系统和数据等进行备份;3、防范意识:网络安全防护工作坚持积极防御、综合防范、分级保护的原则。建立与通信网络单元相适应的安全防护措施,每年进行符合性评测;组织每年对通信网络单元进行安全风险评估,及时消除重大网络安全隐患安全风险评估;4、安全检查:对检查中发现的重大网络安全隐患,应当及时整改安全方案:根据实际情况适时调整通信网络单元的划分和级别;5、安全防御(安全评估、安全加固、网络安全部署)等制度。通过上及项,检验
9、通信网络安全防护措施的有效性,并加固部署。网络安全事件应急处置和报告制度本栏请填写本公司根据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法等,制定本公司网络安全事件应急处置制度。该制度应包含但不限于以下内容:1、网络安全事件应急响应方案:包括事故应急预防、预备、响应、恢复等;2、排查和报告制度(报送的信息分为事件信息和预警信息);3、恢复网络正常运转的方案及时限;4、上报单位及汇报相关事项等(如及时报事态发展、处置措施、原因后果、工作进展和经验教训等)。有害信息发现和过滤技术手段本栏填写本公司以下情况: 1、提供有害信息发现和过滤
10、的相关产品及说明,含软件名称及功能介绍,后台登陆账号及密码(供管局验证);2、过滤产品(软件)放置的机房地址。用户日志留存所采用的技术手段本栏填写本公司以下情况:1、提供用户日志留存所采用的相关产品说明,含软件名称及功能介绍,后台登陆账号及密码(供管局验证);2、日志审计产品(软件)放置的机房地址。网络安全防护技术手段本栏请填写本公司依据通信网络安全防护管理办法、通信网络安全防护系列标准、公共互联网网络安全应急预案和互联网网络安全信息通报实施办法、增值电信企业网络单元定级流程及方法等,制定本公司网路安全防护举措。该相关制度举措应包含但不限于以下内容:1、建立通信网络单元的分级保护制度,本公司网
11、络单元安全等级定级情况(申请增值电信业务的企业一般视情况建议为2-3级);2、简述系统上线前的符合性评测和安全风险评估情况(本公司自我评测或委托第三方评测结果)。请线下提供本单位安全防护措施的符合性评测和安全风险评估自评测或第三方评测情况报告;3、每年网络安全演练计划 (须包含但不限于演练科目、时间、地点、内容、点评等;积极参加电信管理机构组织开展的演练) ;4、应每年年检时向通信网络安全防护管理系统(https:/www.mii-)备案和调整本公司各网络单元情况。安全联络员变动承诺本栏填写以下内容:本公司承诺切实履行网络信息安全责任,遇有安全联络员及联系方式等发生变动时,保证在二个工作日之内以书面形式向广东省通信管理局报告调整情况。否则,因此未能及时接受主管部门紧急事件处置通知而造成的后果(如被断开网络接入等)将由本公司自行承担。备注:上述内容各公司应有正式文件留存或张贴以供通信管理部门进行实地检查。
