2019年基础电信企业专业公司网络与信息安全工作考核要点与评分标准
说明:1、各专业公司考核总分值均为6分。2、国际通信业务、云业务、物联网业务和应用商店业务专业公司由部单独设立专项考核指标,参考集团公司意见,统一开展考核评分;其他专业公司由集团公司(网络和信息安全部门)结合通用考核要求,自行制定考核指标并开展考核评分,部将对考核工作进行指导,并对考核指标和考核结果进行监督。 | ||||||||||
指标类别 | 考核要求 | 备注 | ||||||||
一、涉及经营电信业务的专业公司通用考核要求(6分)(注1、注2) | 1.网络与信息安全机构人员、网络与信息安全责任制、突发事件应急响应处置、网络与信息安全技术保障措施、新技术新业务安全评估有关要求同2018年。 2.数据安全和用户个人信息保护:应按照《网络安全法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于加强基础电信企业数据安全管理 规范清理数据对外合作工作的通知》(工信厅网安函〔2018〕315号)要求,明确数据安全管理牵头责任部门及职责,建立数据安全和用户个人信息保护管理制度,健全完善安全防护技术措施,按照电信主管部门相关标准完成合规性评估。定期(至少每年一次)对工作人员进行用户个人信息保护相关知识、技能和安全责任的相关培训;每年至少开展一次个人信息保护情况自查,及时消除自查中发现的安全隐患;健全重大突发数据安全事件应急响应机制,对重大数据安全事件要立即采取有效补救措施,及时向电信主管部门报告。 3.网络安全防护:一是应当按照《通信网络安全防护管理办法》(工业和信息化部令第11号)第九条、第十条、第十一条的要求,将有关自营系统全部进行网络安全定级备案,并开展符合性评测和风险评估。二是应当按照第十七条、第十九条的要求,接受电信主管部门的网络安全远程检测和现场检查。远程检测首次发现存在网络安全问题时只通报不扣分,再次发现问题时,每发现1项扣2分;若发现已通报但仍未整改的网络安全问题,每发现1项扣4分。现场检查重点检查法律法规的落实情况、网络安全防护系列标准的达标情况、评估网络安全漏洞问题的风险情况,①每发现1项未按要求进行定级备案、符合性评测或风险评估等法律法规问题,扣2分。②每发现1项标准不达标扣1分。③每发现1处安全漏洞,高危扣2分、中危扣1分、弱口令扣1分;若位于重要设备上,扣分加倍;发现重大安全漏洞可导致用户信息泄漏、设备服务器受控、业务中断、网络中断等,每1处扣5分;发现存在恶意代码或后门程序未处置,或从网络单元外获取网络单元内设备的管理员权限或重要数据,扣10分。④企业未建立集中化网络安全问题闭环管理机制,实现定期巡查、整改核验、考核问责等要求的,扣5分。三是应当按照《电信网和互联网信息服务业务系统安全防护要求》,公司系统应具备与业务系统重要性相匹配的防DDoS攻击、防入侵、网页防篡改、数据防泄露的能力。 4.发生特别重大网络安全或数据安全事件的,发生一次扣100分;发生重大网络安全或数据安全事件的,发生一次扣75分;发生较大网络安全或数据安全事件的,发生一次扣50分;发生一般网络安全或数据安全事件的,发生一次扣25分(注3,注4)。 5.因发生网络安全或数据安全事件,受到电信主管部门行政处罚或通报批评的,被通报一次扣50分;被处罚一次扣100分(注4)。 | 注1:各集团公司应在2019年5月31日前将相关专业公司(含国际通信业务、云业务、物联网业务和应用商店业务公司的通用考核指标)考核要求及评分标准报部网络安全管理局(以下简称网安局)批准后执行。 注2:对于未按要求完成配合监管工作的,集团公司应出具书面扣分说明及处理意见。 注3:参见《工业和信息化部关于印发<公共互联网网络安全突发事件应急预案>的通知》(工信部网安〔2017〕281号),包括网络中断、系统瘫痪、网络数据及用户个人信息泄露等情况。 注4:如同时满足其他扣分指标,以扣分分值最高项为准。 | ||||||||
指标类别 | 考核指标 | 指标要求 | 单项评分标准 | 备注 | ||||||
二、国际通信业务专业公司专项考核(6分,按600分计) | (一)通用考核指标(3分,按300分计) | 由集团公司结合通用考核要求,自行制定。 | ||||||||
(二)专项考核指标(3分,按300分计) | 1.加强对国际合作运营商管理 | 严格落实《关于防范打击电信网络犯罪的通告》(以下简称《通告》)、《关于进一步防范和打击通讯信息工作的实施意见》(以下简称《实施意见》)、《关于纵深推进防范打击通讯信息工作的通知》(以下简称《通知》)和通报(注)等文件有关要求,严格合同约束,加强对国际合作运营商的规范管理。 | (1)严格合同约束:企业要按照《实施意见》第九条等相关要求,全量修订本企业与国际合作运营商的国际业务合作协议,对于未按要求修订并执行的,每发现1份扣5分。 (2)加强规范管理:未建立对问题突出国际合作运营商协商机制的;未对问题突出国际合作运营商督促整改的,或未对整改不力、屡教屡犯国际合作运营商及时终止合作的,每发现1起扣5分。 | 注:通报包括公安封停号码通报、国际来源电话通报、用户举报通报等。 | ||||||
2.国际来源电话情况通报 | 严格落实《通告》《实施意见》《通知》和通报等文件有关要求,强化企业主体责任落实。 | (1)对于通过国际来源电话情况通报、用户举报和督导检查等发现的违规问题发现1次扣5分。 (2)自2019年1月起,国际来源电话情况通报中,连续2个月万次国际来话监测出电话次数超过50(含)的,每次扣5分。 (3)未按要求对通报号码进行呼叫源头倒查的,每发现1起扣1分。 | ||||||||
三、云(CDN)业务专业公司专项考核(6分,按600分计) | (一)通用考核指标(3分,按300分计) | 由集团公司结合通用考核要求,自行制定。 | ||||||||
(2)信安系统基础数据准确完整。 | (1)利用部级信安系统对企业信安系统上报的相关数据进行随机抽查,每发现一条不合格数据,扣2分。 2019电信最新套餐介绍(2)企业未按照电信主管部门要求,对异常数据进行更新上报的,每发现一次扣5分。 | |||||||||
(3)信安系统的使用管理、运行维护及安全防护符合要求。 | 部网安局依据工信厅网安〔2016〕135号要求,在2019年12月底前对信安系统的使用管理、运行维护、安全防护等情况进行监督与检查。 | 注:具体评分标准同2018年。企业须按照标准要求对信安系统进行网络安全定级与防护,并提供书面证明文件。 | ||||||||
四、物联网业务专业公司专项考核(6分,按600分计) | (一)通用考核指标(3分,按300分计) | 由集团公司结合通用考核要求,自行制定。 | ||||||||
(二)专项考核指标(3分,按300分计) | 1.物联网行业卡安全监测和管理平台建设工作 | 按照工信部有关要求,做好物联网行业卡安全管理技术手段建设及支撑工作。 | (1)部平台建设:按照工信部有关要求,配合完成部物联网行业卡安全监测和管理平台技术方案制定,并高效做好系统对接、数据推送等工作。未满足上述工作要求,根据实际完成情况可扣除10分、50分或100分。 (2)企业内部系统建设:按照有关要求及技术标准,全面完成企业内物联网行业卡安全管理相关技术手段建设工作。未满足上述工作要求,根据实际完成情况可扣除10分、50分或100分。 | |||||||
2.物联网安全管理系统试点建设工作 | 配合部省两级电信主管部门开展物联网安全管理系统试点建设工作。 | (1)试点方案制定:按照《关于配合开展物联网安全管理系统试点工作的通知》(工网安函〔2018〕1429号)要求,完成本公司物联网安全管理系统试点方案制定。未满足上述工作要求,根据实际完成情况予以扣分,最高扣50分。 (2)开展试点建设:配合部省两级电信主管部门完成物联网安全管理系统试点建设工作,具备物联网网络基础资源管理、溯源认证管理、数据安全管理、安全监测预警等能力。未满足上述工作要求,根据实际完成情况予以扣分,最高扣100分。 | 注:物联网安全管理系统有关功能、性能指标应符合电信主管部门相关标准规范要求。 | |||||||
五、应用商店业务专业公司专项考核(6分,按600分计) | (一)通用考核指标(3分,按300分计) | 由集团公司结合通用考核要求,自行制定。 | ||||||||
(二)专项考核指标(3分,按300分计) | 移动应用网络安全管理 | (1)按照《移动智能终端应用软件预置和分发管理暂行规定》、《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》,应用商店建立安全备案库,开展移动应用开发者真实身份信息登记、上架前安全审核 | (1)每发现1个应用未做开发者真实身份登记扣2分。 (2)每发现1个应用未做上架前安全审核,扣2分。 (3)未建立安全备案库扣100分。 | |||||||
(2)按照《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号),按照电信主管部门的通知和时限要求采取相应处置措施,反馈处置结果。 | 未按照通知要求,在规定时限内采取相关网络安全威胁处置措施的,每发现一次扣3分。 | |||||||||
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论