基础电信企业网络与信息安全考核要点.docx
《基础电信企业网络与信息安全考核要点.docx》由会员分享,可在线阅读,更多相关《基础电信企业网络与信息安全考核要点.docx(7页珍藏版)》请在冰豆网上搜索。
基础电信企业网络与信息安全考核要点
附件22018基础电信企业网络与信息安全责任考核检查要点
综合管理部分
检查内容
检查要点
检查方式及要求
检查结果
1.党委(党组)
责任落实
检查企业落实党委(党组)
责任体制机制。
1.检查公司落实党委(党组)责任落实发文
2.检查党委(党组)会议记录、纪要
1.关于印发《连云港联通网络与信息安全管理实施细则》的通知2.公司党委议纪要()
2.信息安全专职人员履职、培训
1.人员是否具备履职能力;
2.人员机制建设是否合理
2.公司是否拟制培训计划,或已开展相关培训。
1.检查公司发文、检查公司KPI文件和部门KPI打分情况等台账资料;
2.通过在线测试,考察信安专员相关工作知识、技能掌握情况;
3.通过人员访谈,了解其对考核政策的理解程度和执行情况;
4.检查培训计划或开展情况。
1.扣分表,人资留存一份(主要为实名制扣分)2.在线考试4.培训材料
3.重大活动保障
重大活动期间(如全国两会等国家级重大活动和江苏省发展大会等省级重大活动)是否在管理、技术、人员等方面履行应急保障责任
1.检查公司人员值班情况;
2.检查自主防护情况。
3.检查系统保障情况;
4.检查应急处置情况.
春节、两会、高考、青岛上合峰会重保期间网信安值班表、总结。
季度应急演练
4.活动配合
检查世界电信日、网络安全宣传周等宣传活动和阳光网络伴我成长等正面引导活动配合情况。
1.核查公司线上线下(如“两微一端”、营业厅等)是否进行宣传;
2.核查公司相关活动总结。
月份反恐怖宣传(资料全)2.电信日(反诈骗宣传,多增加宣传照片)3.阳光网络伴我成长(校园营业厅宣传缺照片)4.防范非法集资宣传(正在进行中)
信息安全部分
检查内容
检查要点
检查方式及要求
检查结果
1.移动上网日志留存
企业移动上网日志留存系统功能、性能是否符合规范。
现场拨测(考虑拨测反馈时间因素,建议在听取汇报时同时进行)。
用手机拨测工具现场拨测若干网页,告诉企业手机号,请其2小时内提供手机上网的网页记录,核对是否完整;检查日志是否满足6个月留存标准。
2.接入资源管理
是否合规提供IDC、CDN、云计算等接入资源。
1.检查接入用户是否实名验证;
2.检查资源分配台账;
3.核查有无超范围经营、超地域、层层转租等违规情况;
4.检查接入服务持证企业是否通过部信安系统评测。
3.备案网站管理
是否主动并按照管局要求开展备案网站管理
1.检查是否按时限完成系统下发的未备案网站(1日内)、未报备网站(7日内)等网站的报备或中断接入工作;
2.核查市公司月度备案拨测情况。
4.互联网专项行动
是否认真开展各类专项行动
1.通过询问专职人员及查询台账资料,检查管局今年以来下发的各类专项行动是否布置到地市公司。
2.对于各类专项行动,是否有方案(包括转发的)、有计划、有落实、有小结,是否符合报送时限要求。
3.抽查排查网站内容拨测(如网页url、IP地址、网站属性、拨测时间)等工作记录。
1.开展STRUTS2系列漏洞专项整治工作扫黄打非
5.信安系统使用
是否按照部省要求使用信安系统。
1.核查管局侧下发任务的执行情况;
2.现场核验IDC用户信息;
3.检查信安系统的使用情况,核查登录日志。
网络安全部分
检查内容
检查要点
检查方式及要求
检查结果
1.网络安全组织机构和人员配备
1.是否明确1名公司主管领导统筹协调网络安全各项工作。
2.是否明确本公司网络安全的主要目标、基本要求、工作任务、保护措施。
3.是否明确一个网络安全管理部门,明确部门职责,配备一名专职人员。
1.查看相关文件,文件中需指明公司网络安全的主要目标、基本要求、工作任务、保护措施以及网络安全管理部门、专职人员的职责。
2.与专职人员访谈,检查日常工作情况。
2.网络安全三同步、定级备案、符合性评测和风险评估
1.在工程项目设计中是否包含网络安全保障设施相关内容;网络安全保障设施是否完成同步验收;网络安全保障设施是否同步投入运行。
2.针对重点网络单元,是否进行定级备案、符合性评测及风险评估工作。
1.查看工程项目相关台账是否满足三同步要求。
2.登陆系统查看具体备案单元中信息是否准确;
3.风险评估报告内容需包含扫描结果、整改建议、复查结果等内容。
3.重要数据和用户个人电子信息保护情况
1.是否正式发文明确个人信息保护的责任部门及管理职责,建立用户个人信息保护责任制和安全管理制度。
2.是否记录企业内部人员、外包服务人员对个人信息的访问操作日志,并定期审计。
3.是否开展了个人电子信息保护情况自查。
1.查看用户个人电子信息相关制度及台账,管理制度未包括个人信息分级分类管理、访问控制、日志记录、应急响应等内容。
2.记录个人信息访问操作日志,日志应包括用户ID、时间、访问操作对象、操作类型等字段。
3.查看个人电子信息保护自查及整改相关情况。
4.网络安全事件应急处置情况
1.是否制定符合本企业实际情况并与电信主管部要求相衔接的网络安全应急预案;
2.是否组织开展本企业的网络安全应急演练。
1.查看应急预案,确定是否与地市企业实际情况相符,预案需保留版本更迭情况;
2.查看应急演练材料,确定演练内容、参与人员等是否合适。
演练需与预案相配套比对预案有所反馈。
5.互联网IP地址核查
1.是否及时对管局侧IP管理系统比对发现的异常数据进行更新;
2.对于企业自用IP地址,利用技术手段核查是否存在漏报、错报的现象。
对各企业IP比对异常结果进行通报。
6.安全服务可管可控情况
年新采购的安全服务项目(网络安全设计与集成、风险评估、应急响应、安全培训服务)中,是否选用通过有关行业组织网络安全服务能力评定的单位开展有关工作。
2.是否对网络安全服务机构实际提供服务人员的信息进行备案管理。
1.查看企业项目管理系统,核实新采购的安全服务项目是否满足要求。
2.查看备案信息台账,应包括人员姓名、身份证号、资质证书、项目经验等。
系统建设运行情况
是否已按照《账号、授权、认证和审计(4A)集中管理系统技术要求》(2015-0706T-YD)所要求的集中账号管理、集中认证管理、集中授权管理和集中审计管理能力覆盖所有三级及以上网络和系统。
根据系统中企业定级备案台账,核查4A系统是否已覆盖三级及以上网元全部设备。
8.数据保护技术手段建设运行情况
1.是否部署通过国家互联网应急中心Acheron安全测评认证的数据防泄漏系统。
2.是否及时有效的对系统发现的安全事件进行处置。
1.查看系统部署情况。
2.查看系统告警事件的处置情况。
9.网络安全远程检测情况
选取部分企业静态自用IP地址进行网络安全远程检测。
通报检测结果。