工业和信息化部办公厅关于印发《2017年省级基础电信企业网络与信息安全工作考核要点与评分标准》的通知

分享:
发布时间:2017-02-08   

工信厅网安〔201714


各省、自治区、直辖市通信管理局,中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,国家计算机网络与信息安全管理中心,中国信息通信研究院:

按照《工业和信息化部国务院国有资产监督管理委员会关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》(工信部联保〔2012551号)有关要求,现将《2017年省级基础电信企业网络与信息安全工作考核要点与评分标准》印发你们,请认真贯彻执行。

工业和信息化部办公厅

2017125

2017年省级基础电信企业网络与信息安全工作考核要点与评分标准

说明:1、考核总分值为6分(按600分计),信息安全管理、网络安全管理和重要通信管理三部分均采用扣分形式,直至5分扣完为止。2、部分单项评分计算方法另文通知。3、省级铁通公司网络与信息安全工作情况纳入省级移动公司统一考核。

指标类别

考核指标

指标要求

单项评分标准

备注

一、2016年度安全考核责任落实

切实落实2016年度安全考核有关要求,对于2016年度考核扣分项目及时完成整改,并于2017630日前向所在地通信管理局报备,未及时完成整改并报备的,扣100分。

二、属地化网络信息安全监管(100分)

各通信管理局根据属地化工作实际,可考虑将信息安全机构运行情况、网络与信息安全专职人员教育培训情况、通讯信息诈骗与“扫黄打非”等专项、手段建设、网络安全重大活动保障、通信管制等相关网络信息安全工作纳入该项,并进一步细化明确考核要求及评分标准。对于未按要求完成配合监管工作的,通信管理局应出具书面扣分说明及处理意见。

1、各通信管理局应于2017331日前将相关考核要求向部网络安全管理局报备。

2、对于未按要求完成配合监管工作的,通信管理局应出具书面扣分说明及处理意见。

三、信息安全管理

(一)信息安全组织保障

1、信息安全专职人员教育培训

定期组织信息安全管理部门、市场和网络等与信息安全管理密切相关的部门、各地市级公司等专职信息安全人员开展教育培训工作。

发现一名专职信息安全人员不掌握信息安全相关法规和制度要求,未具备必要的信息安全管理技能的,扣2分。

注、培训内容需涵盖信息安全管理、信息安全技术手段建设、通讯信息诈骗专项工作、新技术新业务安全评估等。

(二)信息安全技术手段建设

1、IDC/ISP信息安全技术管理系统

1)系统建设。企业系统功能与运行可靠性(含对接)应符合标准要求,且实现对IDC/ISP业务(含互联网专线业务)链路的全覆盖。

系统功能:在20173月至12月期间,部网安局与各省管局分别利用部、省信安系统对企业系统的核心功能进行随机抽测(每月抽测12次),每次发现一项不达标的系统功能,扣2分。

1、以被测企业为单位,随机选择现网资源进行抽测,抽测对象尽量不重复。

2、部网安局委托中国信息通信研究院开展部抽测,各省管局可自行或委托中国信息通信研究院开展管局抽测。

3、系统功能测试要求参考2015年度《基础电信企业IDC/ISP信息安全管理系统现网技术评测规范》。

4、当企业系统由于自身原因出现运行不稳定与接口异常,如与省级系统对接中断、指令交互异常等情况时,则为可靠性不合格。

5、企业应委托具备测试资质的测试机构对新建、扩容、改造的信安系统(以机房为单位)进行评测,并具备评测合格报告。

系统可靠性:在20173月至12月期间,部网安局与各省管局分别利用部、省信安系统对企业系统的可靠性进行随机抽测(每月抽测12次)。每发现一次企业系统可靠性不合格,扣5分。

系统同步配套:各企业应在2017630日前覆盖所有互联网专线业务(暂不包含家庭宽带互联网专线与点到点数据专线业务),同时确保信安系统与IDC/ISP(含互联网专线)业务发展同步配套。

部网安局与各省管局对企业信安系统的业务覆盖率,以及新建、扩容、改造评测情况进行检查(全年至少一次),发现一次不合格扣10分。

2)基础数据。企业应按照有关要求,做好基础数据和活跃资源数据管理、核验与上报,并确保数据准确完整;能够按照电信管理机构要求,改正与更新有关异常数据。

20173月至12月期间,部网安局与各省管局分别利用部、省信安系统对企业系统上报的基础数据进行随机抽查(每月抽查12次),每发现一条不合格数据,扣2分。

企业未按照电信管理机构要求,对异常数据进行更新上报的,发现一次扣5分。

1、基础数据包括经营单位信息、机房信息、客户信息或活跃资源数据。单条数据的评判方法见工网安函[2016]467号文。

2、当发现未上报真实信息、与实际情况不符、活跃资源未报备等情况时,则为不合格数据。

3)系统使用及安全。企业应按照相关法律法规以及电信主管部门的有关要求,规范做好企业信安系统的使用管理与运行维护,符合相关网络安全防护要求,并确保数据安全。

1、企业未按要求制定完善的系统使用及运行维护管理实施细则的,扣5分。

2、企业未按要求明确系统使用管理部门、配备与业务规模相匹配的专职系统使用人员(至少两名)的,扣5分。

3、对于电信管理机构下发的任务企业拒不执行或不配合的,发现一次扣3分。

4、企业未对违法违规网站及时处置的,发现一次扣3分。

5、企业未按要求落实7*24小时运维监测、故障修复、改造上报等要求的,发现一次扣3分。

6、企业未按要求对系统工作人员实施权限管理、记录操作日志并定期审计的,发现一次扣2分。

7、企业未按要求对信安系统进行网络安全防护的,发现一次扣2分。

8、企业未按要求采取数据安全保护措施的,或者未与相关技术支撑厂商签订数据安全保护协议的,发现一次扣2分。

9、若出现未经电信管理机构允许,私自利用本企业系统对外提供服务的,发现一次扣10分。

10、企业信安系统出现重大安全漏洞与风险的,或者出现用户数据、日志信息和任务信息等数据泄漏、毁损、丢失的,发现一次扣10分。

1、各省管局按照《互联网信息安全管理系统使用及运行维护管理办法(试行)》(以下简称《办法》),对企业系统的使用情况进行监督与检查。

2、企业配备的专职人员应能够熟练掌握相关管理要求并能够熟练操作信安系统。相关人员每年至少有两次系统操作使用的培训与学习记录。

3、企业的网络安全防护与数据安全保护协议须提供书面证明文件。

2、移动上网日志留存工作

企业移动上网日志留存系统功能、性能和操作使用符合规范要求。

各省管局在每季度对各企业移动上网日志留存系统功能与性能进行抽测。

部网安局在每季度随机抽取企业,进行4G(对于尚未开通4G网络的省份则为3G)或WLAN上网方式日志留存情况的抽测。

如发生违规使用或发生用户信息(日志信息)泄露,一次扣5分。

1、部网安局委托中国信息通信研究院开展部抽测,各省管局可自行或委托中国信息通信研究院开展管局抽测。

2、抽测内容和形式同2016年考核要求,对于发现的问题直接进行扣分。

3、部抽测的时间、地点、省份、企业和内容随机而定。

3、某系统相关工作

某系统企业侧配套支撑系统上报的日志数据的准确性。

按时完成某系统二期扩容升级工程建设,确保企业侧配套支撑系统上报日志数据的准确率达到99%以上。全年得分为各次拨测的平均分。具体为:

1、拨测完整率≥99%,不扣分;

290%≤拨测完整率<99%,每降低1个百分点扣3分;

3、拨测完整率<90%,扣30分。

检查方式:各通信管理局组织各地安全分中心,在2017年下半年,对该系统企业侧配套支撑系统上报的日志准确率进行拨测(拨测工具另行下发)。

由于该系统涉密,具体工作另行发文部署。

(三)通讯信息诈骗专项工作

1、工作机制

按照《关于防范打击电信网络诈骗犯罪的通告》(以下简称《通告》)、《实施意见》和601号文有关要求,建立防范打击通讯信息诈骗专项相关工作机制。

存在以下问题,每发现一项扣5分:

1)未按要求成立省公司防范打击通讯信息诈骗工作领导小组及办公室、制定2017年工作计划并明确责任部门;未定期召开领导小组及办公室专题会议。

2)未按要求建立防范打击通讯信息诈骗安全管理制度及安全评估、举报受理、信息通报等机制。

1、《实施意见》:《工业和信息化部关于进一步防范和打击通讯信息诈骗工作的实施意见》(工信部网安函〔2016452号);注2601号文:《工业和信息化部关于进一步做好防范打击通讯信息诈骗相关工作的通知》(工信部网安函〔2015601号)。

2、监督检查和考核追责

1)监督检查和考核追责。严格落实《通告》、《实施意见》和601号文有关要求,建立责任追究机制、强化企业主体责任落实。

存在以下问题,每发现一项扣5分:

1)未建立监督检查制度规范并定期开展防范打击工作自查自纠。

2)未按要求建立防范打击通讯信息诈骗责任追究机制。

3)未对全部通报号码进行核实和处置,

未对发现的问题进行整改或整改不力。

注、企业应及时对自查自纠、公安通报、用户举报通报、行业主管部门通报等涉及的违法违规问题进行整改,并对责任部门和责任人进行考核追责。

2)举报通报电话呼叫快速倒查。按照《实施意见》和1086号文有关要求,对举报通报电话呼叫进行快速倒查。

存在以下问题,每发现一项扣5分:

1)未按要求建立虚假呼叫源头倒查和打击机制。

2)未按要求进行虚假呼叫源头倒查,导致倒查中断。

注、1086号文:《关于对举报通报电话呼叫进行快速倒查有关要求的通知》(工网安函〔20161086号)

3、技术手段

按照《通告》、《实施意见》和601号文有关要求,建成防范打击通讯信息诈骗电信业务信息管理系统和用户终端侧安全提示服务技术手段,全面建成网内和网间不良呼叫号码监测处置系统。

存在以下问题,每发现一项扣5分:

1201711日前未按要求建设防范打击通讯信息诈骗业务管理系统的,或功能不符合相关要求的。

2201711日前未按要求提供用户终端侧安全提示服务的。

3201741日前未按求建设网内和网间不良呼叫号码监测处置系统的,或系统功能性能不符合要求的。

1、业务管理系统应具备对重点电信业务开办、审核、复查、监督检查、考核追责等的信息记录功能。

2、网内和网间不良呼叫号码监测处置系统应满足《基础电信企业防范打击通讯信息诈骗不良呼叫号码处置技术能力要求》(工信厅网安〔2016143号)相关要求。

4、举报通报

严格落实《通告》、《实施意见》和601号文中有关要求。

1)对于通过用户举报、公安通报和督导检查等发现的重点电信业务违规问题,发现1起扣2分,发现2起及以上扣5分。

2)自20171月起,举报通报排名连续3个月位于全国前五名的,每次扣5分。

注、重点电信业务主要包括:语音专线、“400”、“一号通”、“商务总机”等。

5、其他

1)如有国务院打击治理电信网络新型违法犯罪工作部际联席会议办公室通报的、或经行业主管部门和集团公司及其他渠道查实的涉及企业责任的违法违规案件的,每次扣5分。

2)未能按照规定配合电信主管部门开展相关工作的,每次扣5分。

1、各管局分别在3月、6月、9月和12月底前对属地企业进行专项督导检查,扣分情况及时上传部安全考核评分系统。

2、对企业违法违规问题要及时进行考核扣分、追责处罚,并督促指导企业严肃整改。

(四)新技术新业务信息安全评估

1、工作机制

1)将安全评估工作要求纳入企业新业务上线全周期管理流程。

建立“业务部门初评+信安部门复审”二级安全评估工作流程。

未在630日前完成系统建设或改造升级的,扣5分。(注1

每发现一项新业务未完成安全评估即上线,扣2分。

业务部门或信安部门未按要求践行安全评估责任,发现一项扣2分。(注2

1、企业相关业务信息化管理系统中应体现新业务从立项、安全评估流程、上线前审批、定期核查的管理过程。

2、企业业务部门应在新业务上线申请环节提交安全评估报告。

2)制定电信业务安全评估清单。

每发现一项业务应纳入电信业务安全评估清单未纳入,扣0.5分。(注1

每发现一项业务未按照电信业务安全评估清单拟定流程制定,扣3分。(注2

未按规定时间要求上报电信业务信息安全评估清单的,扣2分。(注3

1、重点存量业务应完整包含:1语音专线、“400”、“一号通”和“商务总机”等重点电信业务;2“一卡双号”、“融合通信”、“短信营业厅”等可能引发通讯信息诈骗风险的存量业务;3信息服务业务(搜索引擎、社交网络、移动应用商店);4互联网数据中心业务(互联网资源协作服务业务)、内容分发服务业务、国内互联网虚拟专用网业务;5三网融合;6基于大数据技术的产品及服务等相关业务。上述业务具体定义详见《电信业务分类目录(2015年版)》。

2、市场部或集客部等业务管理部门牵头组织相关业务部门梳理全量存量业务清单,会同信安部门复核确认。信安部门在此基础上,结合2016年评估清单牵头制定2017年评估清单。

3、企业每季度末上报电信业务安全评估计划清单、评估清单变动情况、年度电信业务信息安全评估清单。

3)建立定期核查机制。

每发现一项业务未按期核查或核查缺失,扣3分。

注、企业应在2017年上半年和下半年各完成一次核查工作,并视情况开展动态评估。

2、工作实践

1)企业应对照电信业务信息安全评估清单,逐项开展安全评估实践。

每发现一项业务存在未识别的重大信息安全风险或存在整改措施未落实的情况,扣0.5分。

每发现一项业务未按规定时间要求上报评估报告,或存在漏报或迟报情况,扣1分。(注1

每发现一份评估报告存在以网络安全风险替代信息内容安全风险的情况,扣10分。

1、企业应于1130日前完成自评估工作,每季度末汇总当季度安全评估报告完成情况,并书面上报地方通信管理局和集团公司。

2、结合2016年安全评估工作基础,开展2017年安全评估实践。

2)企业根据安全评估实践情况梳理形成重大信息安全风险及整改台账信息。

未按要求形成台账信息的,扣4分。(注1

每发现一项重点存量业务在整改期间未按照有关要求(注2)执行的,扣0.5分。

1、台账信息应包含被评估业务名称、类型、信息安全风险点、整改相关情况(整改措施要求、整改后二次评估确认情况、整改期间存量业务经营限制情况)等摘要信息。

2、重点存量业务评估整改期间应暂停发展新用户,限制功能升级直至消除信息安全隐患。

四、网络安全管理

(一)网络安全防护

1、定级备案、符合性评测和风险评估

按照11号令第九条、第十条、第十一条、第十二条以及368号文件的相关要求,开展定级备案,按照频次要求定期对已定级备案的网络单元开展符合性评测和风险评估。

1、企业(省公司)应进行定级备案而未定级备案的网络单元,每个网络单元扣10分;定级备案信息不准确的网络单元,每个网络单元扣5分。(注1

2、企业(省公司)应进行符合性评测而未进行符合性评测的网络单元,每个网络单元扣5分。(注2

3、企业(省公司)应进行风险评估而未进行风险评估的网络单元,每个网络单元扣5分。

1、定级备案网络单元应包括所有上线运行的系统(含试运行系统)。

2、每个被测网络和系统均需单独提交符合性评测和风险评估报告,报告应包括整改情况。

2、网络安全抽查情况

按照11号令第十七、十九条的要求,接受电信主管部门的网络安全检查。

部省两级电信主管部门对部分重点网络单元抽查评分的平均值在100-90(分)之间,相关评分项不扣分;否则,所扣分值为 [ 100(分)- 部省两级电信主管部门对部分重点网络单元抽查评分的平均值 ]。

3、重要数据和用户个人信息保护情况

落实部24号令、368号文有关要求。

1、企业若未开展用户个人信息保护情况自查,扣10分。

2、如违反24号令中关于用户个人信息收集使用和安全保障要求的,发现一项不符合扣2分。

企业需提交本年度用户个人信息保护情况自查报告及整改报告。

4、关键设备安全可控情况

该考核项的具体指标要求另文发布。

该考核项的具体评分标准另行发文部署。

检查方式:各通信管理局组织力量对企业的关键设备安全可靠情况进行检查。

该考核项的具体工作另行发文部署。

5、安全服务可管可控情况

2017年新采购的安全服务项目中,是否选用通过有关行业组织网络安全服务能力评定的单位开展网络安全设计与集成、风险评估、应急响应服务、安全培训等工作。

采购安全服务项目,应当选用通过有关行业协会网络安全服务能力评定的单位所提供的网络安全设计与集成服务、风险评估服务、应急响应服务、安全培训服务,未按以上要求所采购的安全服务项目,每个项目扣10分。

注、具备相应网络安全服务能力的单位名单在有关行业组织的官方网站上发布。

(二)网络安全防护技术手段建设情况

14A系统和抗DDoS手段建设运行情况

按照第11号令第十五条及368号文件的要求,建设和运行网络安全监测系统。

1、企业未按要求建设4A系统的,扣除以下分值:[本企业全部三级及以上网络和系统数量 - 已按照《账号、授权、认证和审计(4A)集中管理系统技术要求》(2015-0706T-YD)所要求的集中账号管理、集中认证管理、集中授权管理和集中审计管理能力所覆盖的三级及以上网络和系统数量]×2。(注1,注2

2、抗拒绝服务攻击手段应能够在骨干网络层面为省内的重点网站或系统提供流量清洗等抗DDoS攻击服务,否则扣10分。(注1,注2

1、由省电信主管部门组织技术力量进行检测验证;

2、对于集团公司在省内统一建设的平台或者系统,具备解决本省内相应网络安全问题的能力以及相应配套工作机制的,并且得到省电信主管部门的认可的,视同符合本项指标要求。

3、省级基础电信企业入选2015年、2016年入选试点示范的项目,或者在已有项目的基础上改扩建试点示范同类的项目视同完成同类型项目的立项建设。

2、试点示范项目推广应用情况

学习借鉴2015年、2016年试点示范项目(统称试点示范项目),完成同类型项目的新增立项建设。

每完成1个试点示范同类型项目的立项建设,加10分。此考核项的所加分数不超过30分,且不超过网安部分考核项的所扣总分。(注1,注2,注3

(三)网络安全应急处置

1、网络安全突发事件报告处置

按照368号文和《公共互联网网络安全应急预案》(工信部保〔2009514号)的要求,做好事件报告、应急演练和重要信息系统保障支撑。

发生以下事件的,发生一次扣10分:

1、未制定企业(省公司)网络安全预案;

2、发生网络安全突发事件时,未按照相关要求(即不得迟报、漏报、瞒报)及时准确向电信主管部门报告,并及时采取应急处置措施;

3、未按照电信主管部门的要求为重要信息系统提供支撑保障。

2、网络安全事件发生

是否因未落实网络安全责任和防护措施而导致发生特重大网络安全事件。

未落实网络安全责任和防护措施而:

1、导致发生特别重大用户个人信息泄露事件的,发生一次扣100分,导致发生由网络攻击造成的网络中断、系统瘫痪等特别重大网络安全事件的,发生一次扣50分;

2、导致发生重大用户个人信息泄露事件的,发生一次扣60分,导致发生由网络攻击造成的网络中断、系统瘫痪等重大网络安全事件的,发生一次扣30分。

五、重要通信管理

(一)电话用户实名登记

1、全部电话用户(含行业用户)实名率

要求全部电话用户(含行业用户)实名率达到100%。

扣分:

各省级基础电信企业全部电话用户实名登记率与目标要求每差0.1个百分点(不足0.1个百分点按0.1个百分点计算),扣10分。

依据:

《工业和信息化部关于进一步防范和打击通讯信息诈骗工作的实施意见》(工信部网安函〔2016452号)

扣分依据:

工业和信息化部、各通信管理局的正式通报及行政处罚。

2、新入网电话用户实名登记管理

按照国家相关法律及政策要求,严格落实新入网电话用户实名登记制度。

扣分:

在工业和信息化部、各通信管理局的监督检查(含暗访)工作中,

1、实体渠道每发现一起违规办理电话用户入网手续的,扣5分;

2、网络渠道每发现一起违规办理电话用户入网手续的,扣5分;

3、每发现一个未在显著位置张贴基础电信企业配发的统一标识和代理编号的社会营销网点(含网络代理),扣2分。

3、从严行业应用卡实名登记管理

按照防范和打击通讯信息诈骗工作要求,从严开展行业应用卡实名登记管理,从源头上杜绝二次转售或挪作他用。

扣分:

在工业和信息化部、各通信管理局的监督检查(含暗访)工作中,

1、电信企业未按要求对行业卡进行实名登记,每发现一张扣5分;

2、电信企业未对行业卡功能、业务范围、使用场景等进行严格限定和绑定,致使可使用合同约定外的业务和功能的,每发现一张扣5分;

3、行业卡号码未按工信部码号资源规划使用的,每发现一张扣5分;

4、电信企业未对行业卡使用情况进行有效监测及处置,致使被二次销售或挪作他用的,每发现一张扣5分。

4、严格限制“一证多卡”用户

同一用户在同一基础企业全国范围内办理使用的移动电话卡达到5张的,该企业不得为其办理新卡。

扣分:

在工业和信息化部、各通信管理局的监督检查(含暗访)工作中,每发生一起“一证多卡”违规的,扣10分。

5、强化通讯信息诈骗犯罪责任倒查

落实六部委《关于防范和打击电信网络诈骗犯罪的通告》精神,对责任落实不到位导致电话卡被不法分子用于实施通讯信息诈骗犯罪的,要依法追究责任。

扣分:

针对公安、媒体移交的电话卡,经核查属企业实名制责任落实不到位被用于通讯信息诈骗犯罪的,每发生一起,根据违规严重程度,分别扣除5分、10分或20分。

(二)特殊通信配合

1、落实特殊通信技术接口配备“三同步”要求

购置电信网络相关网元时,按照相关规定和技术标准要求,同步购置特殊通信技术接口,做好接口运行维护保障工作。

扣分:

在工业和信息化部、通信管理局的监督检查工作中:

1、每发现一个未按要求购置特殊通信技术接口的电信网络网元,扣2分;

2、每发现一个已购置特殊通信技术接口、但接口功能不能正常启用的电信网络网元,扣2分;

3、每发现一个特殊通信技术接口功能可正常启用、但个别功能不符合技术标准要求的电信网络网元,扣1分。

扣分依据:

工业和信息化部、当地通信管理局的正式通报。

2、做好4G、IMS网络特殊通信系统建设配合和运行维护保障工作

建设4G、IMS网络时,根据工业和信息化部有关文件要求和相关部门工作需求,在通信管理局的组织下,同步做好相关特殊通信系统建设工作以及相关运行维护保障工作。

扣分:

1、每出现一次因基础电信企业自身原因导致4G、IMS网络特殊通信系统建设进度滞后的情况,扣2分;

2、每出现一次因基础电信企业自身原因(如调整网络时未考虑特殊通信系统需求、企业侧故障处理不及时)导致的4G、IMS网络特殊通信系统运行故障或其他不符合规范的情况,扣2分。

3、做好移动通信转售相关特殊通信配合工作

根据工业和信息化部工网安函[2016]929号文件要求和相关部门工作需求,在通信管理局的组织下,同步做好移动通信转售相关特殊通信工作。

扣分:

未按照工网安函[2016]929号文件要求采集有关数据,配合专门机关做好移动通信转售相关特殊通信配合工作的,扣10分。

扣分依据:

依据工业和信息化部组织的抽测结果为准。

4、规范、高效做好特殊通信配合工作。

按照有关规定和通信管理局要求,规范高效配合专门机关做好特殊通信配合工作。

扣分:

每出现一次违规或不及时配合开展特殊通信工作的情况,扣4分。

注、发生一次违规接入特殊通信系统的,扣除50分;违反保密管理制度,发生泄密事件的,每发现一次扣除50分。

扫一扫在手机打开当前页
【打印】 【关闭】

中国政府网中央国家机关举报网站 网站地图

主办单位:中华人民共和国工业和信息化部地址: 中国北京西长安街13号邮编: 100804

版权所有:中华人民共和国工业和信息化部网站标识码:bm07000001 京ICP备 04000001号 京公网安备 11040102700068号