工业和信息化部办公厅关于印发《2017年基础电信企业CDN/云计算业务基地(专业公司)网络与信息安全工作考核要点与评分标准》的通知

分享:
发布时间:2017-02-08   

工信厅网安〔201715


中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司,中国信息通信研究院:

    按照《工业和信息化部国务院国有资产监督管理委员会关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》(工信部联保〔2012551号)中明确的“将集团公司所属其他相关业务经营单位网络与信息安全责任落实情况纳入集团公司内部绩效考核体系”有关要求,部定于2017年开展基础电信企业CDN/云计算业务基地(专业公司)网络与信息安全责任考核试点工作,将网络与信息安全责任考核指标作为扣分指标纳入集团公司对经营CDN/云计算业务的基地(专业公司)绩效考核体系,考核扣减分分值占最终绩效考核满分分值的6%,由部统一进行考核评分。现将《2017年基础电信企业CDN/云计算业务基地(专业公司)网络与信息安全工作考核要点与评分标准》印发你们,请认真贯彻执行。

工业和信息化部办公厅

2017125


2017年基础电信企业CDN/云基地(公司)网络与信息安全工作考核要点与评分标准

说明:1、考核总分值为6分。2、部分单项评分计算方法另文通知。

指标类别

考核指标

指标要求

单项评分标准

备注

(一)组织机构与制度建设(2分,按200分计)

1、网络与信息安全机构设置(80分)

设立网络与信息安全管理部门,负责统筹协调CDN/云业务网络与信息安全工作,制定网络与信息安全规章制度和预案,组织开展监督检查与责任考核工作。(80分)

0-40分:明确一个部门统筹负责本企业CDN/云业务网络与信息安全管理工作;

0-40分:明确一名主管领导统一负责企业网络与信息安全领导工作。

须有正式印发文件;须提供部门名称、设立时间和部门职责;须有主管领导任职文件。

2、网络与信息安全专职人员配备与教育培训(60分)

配备相应网络与信息安全专职工作人员,负责CDN/云业务信息安全相关技术手段建设及使用管理、网络安全防护、网络安全应急保障等工作,组织开展教育培训工作。(60分)

0-30分:按要求配备专职网络与信息安全人员数量。得分计算方法:已配备人数/应配备人数×30(分);

0-30分:落实网络与信息安全教育培训上岗制度,年内组织专职网络与信息安全人员开展教育培训次数不少于2次,须提供当地通信管理局认可的培训记录。

专职网络与信息安全管理人员配备数量:

专职信息安全管理人员5人、专职网络安全管理人员3人,其他相关业务部门配备1名网络与信息安全工作安全员,须提供正式印发文件和工作责任分工。

3、网络与信息安全管理制度建设与完善(60分)

依据《工业和信息化部关于印发<基础电信企业信息安全责任管理办法(试行)>的通知》(工信部保〔2009713号)、《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014368号),建立企业网络与信息安全管理工作机制和制度。(60分)

0-20分:建立企业业务经营情况报备机制,企业应每季度向部网络安全管理局与集团公司报备企业业务开展情况,包括人员机构情况、业务经营范围、业务系统功能性能、提供服务的客户列表等情况。未按要求报送的,一次扣5分,直至20分扣完为止。

5分:建立信息安全事件报告制度;

5分:制定信息安全事件专项应急预案;

5分:建立信息安全突发事件应急处置机制;

5分:建立企业内部信息安全考核和奖惩制度;

5分:建立重大信息安全风险评估制度;

5分:建立网络安全事件报告制度;

5分:制定网络安全事件专项应急预案;

5分:建立网络安全突发事件应急处置机制。

(二)信息安全管理(2分,按200分计)

1、CDN信息安全管理系统(100分)

1)系统建设情况。按照《内容分发网络服务信息安全管理系统技术要求》(YD/T 3165-2016)、《内容分发网络信息安全管理系统接口规范》,企业信息安全管理系统功能、性能达标,基础数据填报准确完整,与部级信息安全管理系统对接稳定,并覆盖所有CDN业务节点。(80分)

0-30分:系统功能、性能满足标准要求,与部级信息安全管理系统对接稳定;

0-30分:基础数据填报符合标准要求且数据完整、准确;

0-20分:系统覆盖所有CDN业务节点。若发现一次漏覆盖问题扣5分,直到扣完为止。

1、由部在201712月底前对基础企业CDN信息安全管理系统进行全面检查与考核打分。

2、CDN加速节点等资源的覆盖情况将以业务基地牌照的许可范围与部级信息安全管理系统监测结果作为依据进行核查。

3、如发生系统故障对信息安全管理造成影响,或企业单方面造成的与部级信息安全管理系统对接中断的,一次扣5分,直至本项扣完为止。

4、如发生违反使用管理要求或发生数据泄露事件的,本项不得分。

2)系统使用与运行维护。符合《互联网信息安全管理系统使用及运行维护管理办法(试行)》要求。(20分)

3分:具有完善的系统使用管理实施细则;

2分:具有明确的系统使用管理部门;

3分:具有与业务规模相匹配的专职系统操作使用人员(至少两名),且能够熟练掌握相关管理要求并能够熟练操作与使用信息安全管理系统;

2分:能够充分利用信安系统对所加速的网站和信息进行自主监测,并对发现的违法违规网站(如:未备案网站、黑名单网站等)与信息进行及时处置且留存相应记录;

3分:能够按要求执行部级系统下达的违法信息监测与处置要求;

3分:能够对本系统的运行和对接情况进行7*24小时实时监测,及时修复系统故障;

2分:系统网络安全防护情况符合有关管理规定和通信行业标准要求,并确保系统数据安全;

2分:建立信息安全管理系统与网络同步配套制度,并符合有关要求。

2、云业务信息安全管理系统(100分)

1)系统建设情况。按照《互联网资源协作服务信息安全管理系统技术要求》(YD/T 3164-2016)、《互联网资源协作服务信息安全管理系统接口规范》,企业信息安全管理系统功能、性能达标,基础数据填报准确完整,与部级信息安全管理系统对接稳定,并覆盖所有云业务机房。(80分)

0-30分:系统功能、性能满足标准要求,与部级信息安全管理系统对接稳定;

0-30分:基础数据填报符合标准要求且数据完整、准确;

0-20分:系统覆盖所有云业务机房。若发现一次漏覆盖问题扣5分,直到扣完为止。

1、由部在201712月底前对基础企业云业务信息安全管理系统进行全面检查与考核打分。

2、云业务机房等资源的覆盖情况将以业务基地牌照的许可范围与部级信息安全管理系统监测结果作为依据进行核查。

3、如发生系统故障对信息安全管理造成影响,或企业单方面造成的与部级信息安全管理系统对接中断的,一次扣5分,直至本项扣完为止。

4、如发生违反使用管理要求或发生数据泄露事件的,本项不得分。

2)系统使用与运行维护。符合《互联网信息安全管理系统使用及运行维护管理办法(试行)》要求。(20分)

3分:具有完善的系统使用管理实施细则;

2分:具有明确的系统使用管理部门;

3分:具有与业务规模相匹配的专职系统操作使用人员(至少两名),且能够熟练掌握相关管理要求并能够熟练操作与使用信息安全管理系统;

2分:能够充分利用信安系统对所接入的网站和信息进行自主监测,并对发现的违法违规网站(如:未备案网站、黑名单网站等)与信息进行及时处置且留存相应记录;

3分:能够按要求执行部级系统下达的违法信息监测与处置要求;

3分:能够对本系统的运行和对接情况进行7*24小时实时监测,及时修复系统故障;

2分:系统网络安全防护情况符合有关管理规定和通信行业标准要求,并确保系统数据安全;

2分:建立信息安全管理系统与网络同步配套制度,并符合有关要求。

(三)网络安全管理(2分,按200分计)

1、CDN系统网络安全防护工作情况(40分)

1)按照11号令第十七、十九条的要求,开展业务基地网络单元网络安全定级备案。(20分)

0-20分:[部级电信主管部门对业务基地的网络安全定级备案准确率抽查评分/10020

检查方式:部统一组织对备案准确率、网络安全防护等进行检查。

2)按照11号令第十七、十九条的要求,接受电信主管部门的网络安全监督检查。(20分)

0-20分:[部级电信主管部门对业务基地的网络安全情况抽查评分/10020

检查方式:部统一组织对备案准确率、网络安全防护等进行检查。

2、云服务网络安全防护工作情况(40分)

1)按照11号令第十七、十九条的要求,开展业务基地网络单元网络安全定级备案。(20分)

0-20分:[部级电信主管部门对业务基地的网络安全定级备案准确率抽查评分/10020

检查方式:部统一组织对备案准确率、网络安全防护等进行检查。

2)按照11号令第十七、十九条的要求,接受电信主管部门的网络安全监督检查。(20分)

0-20分:[部级电信主管部门对业务基地的网络安全情况抽查评分/10020

检查方式:部统一组织对备案准确率、网络安全防护等进行检查。

3、CDN系统网络安全监测和防护能力建设(30分)

按照《内容分发网(CDN)安全防护要求》(YD/T 2589-2013),企业CDN系统应落实数据一致性保护措施,具备防DDoS攻击、防入侵、网页防篡改、DNS防污染劫持、数据防泄漏的能力。(30分)

部统一组织技术力量进行检测验证,根据具备符合相关标准监测能力的程度进行评分

100%(30分):100%符合;

75%(22.5分):75%符合;

50%(15分):50%符合;

25%(7.5分):25%符合;

0分:不符合。

4、云服务网络安全监测和防护能力建设(30分)

按照《公有云服务安全防护要求》(已报批未发布),企业云服务应落实网络安全隔离和防护措施,具备防DDoS攻击、防入侵、防病毒、数据防泄漏的能力。(30分)

部统一组织技术力量进行检测验证,根据具备符合相关标准监测能力的程度进行评分

100%(30分):100%符合;

75%(22.5分):75%符合;

50%(15分):50%符合;

25%(7.5分):25%符合;

0分:不符合。

5、重要数据和用户个人电子信息保护(30分)

1)建立重要数据和用户个人电子信息安全管理制度。(10分)

10分:建立用户个人电子信息收集、使用等安全管理制度。

可依据部24号令等政策文件,《电信和互联网用户个人电子信息保护通用技术要求和管理要求》( YD/T 2692-2014)等标准。

2)建立重要数据和用户个人电子信息保护的技术防护手段。(10分)

10分:建立用户个人电子信息保护的技术防护手段。

可依据部24号令等政策文件,《电信和互联网用户个人电子信息保护通用技术要求和管理要求》( YD/T 2692-2014)等标准。

3)严控用户个人电子信息泄露等安全事件发生。(10分)

若在开展数据合作中涉及泄露、出售用户个人电子信息等违规行为,此项不得分。

可依据部24号令等政策文件,《电信和互联网用户个人电子信息保护通用技术要求和管理要求》( YD/T 2692-2014)等标准。

6、网络安全应急(30分)

发生网络安全突发事件时,企业应按照相关要求(即不得迟报、漏报、瞒报)及时准确向电信主管部门报告,并及时采取应急处置措施。(30分)

发生网络安全突发事件时,若未按照相关要求(即不得迟报、漏报、瞒报)及时准确向电信主管部门报告的,一次扣10分,直至本项扣完为止。

发生网络安全突发事件时,未按照电信主管部门的要求,及时采取应急处置措施的,一次扣10分,直至本项扣完为止。

     



扫一扫在手机打开当前页
【打印】 【关闭】

中国政府网中央国家机关举报网站 网站地图

主办单位:中华人民共和国工业和信息化部地址: 中国北京西长安街13号邮编: 100804

版权所有:中华人民共和国工业和信息化部网站标识码:bm07000001 京ICP备 04000001号 京公网安备 11040102700068号