省级基础电信企业网络与信息安全工作考核要点与评分标准.docx
《省级基础电信企业网络与信息安全工作考核要点与评分标准.docx》由会员分享,可在线阅读,更多相关《省级基础电信企业网络与信息安全工作考核要点与评分标准.docx(28页珍藏版)》请在冰豆网上搜索。
省级基础电信企业网络与信息安全工作考核要点与评分标准
2019年省级基础电信企业网络与信息安全工作考核要点与评分标准
说明:
2019年考核分为扣分项和加分项。
一是考核扣分总分值为6分(按600分计)。
其中,属地化考核占1分,采用扣分形式,直至1分扣完为止;其他各项共占5分,均采用扣分形式,直至5分扣完为止。
二是考核加分总分值为1分(按100分计),在集团公司对各省公司绩效考核体系中最高可加1分。
指标类别
考核指标
指标要求
单项评分标准
备注
一、属地化网络与信息安全考核(1分,按100分计)
各通信管理局(以下简称管局)根据属地工作实际,参考部网络安全管理局(以下简称网安局)2019年工作要点,明确考核要求及评分标准(注1,注2)。
对于未按要求完成配合监管工作的,通信管理局应出具书面扣分说明及处理意见。
注1:
各管局应于2019年5月31日前将相关考核要求及评分标准向部网安局报备。
注2:
对于未按要求完成配合监管工作的,管局应出具书面扣分说明及处理意见。
二、网络与信息安全组织保障
专职机构设置、人员配备和教育培训
依据《工业和信息化部关于印发<基础电信企业信息安全责任管理办法(试行)>的通知》(工信部保〔2009〕713号)和《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号),设置省级公司网络与信息安全专职二级管理部门,加强专职人员配备;建立健全网络与信息安全教育培训制度,提升专职人员职业技能。
(1)网络与信息安全管理部门不符合专职机构设置要求的,扣50分。
(2)未按要求配备网络与信息安全专职人员并明确人员岗位职责的,每违反一项扣10分。
(3)全年组织网络与信息安全教育培训次数少于两次的,扣10分。
注:
专职人员岗位职责和教育培训内容应包括技术手段建设、数据安全管理、新技术新业务安全评估、网络安全防护、网络安全应急与威胁治理、防范治理电信网络诈骗、特殊通信配合、电话实名制、重大活动保障等。
三、网络与信息安全技术手段建设
系统建设、“三同步”和配套保障工作要求
1.互联网信息安全管理系统(简称信安系统)功能、性能和使用管理等符合相关标准与电信主管部门要求(注1,注2)。
1.部网安局按月对企业侧信安系统日常运行、功能、数据、“三同步”、配套保障等情况进行巡查抽测和问题通报,并根据通报结果进行考核扣分。
(1)系统运行问题,每发现一次企业系统与电信主管部门系统对接中断或严重的系统故障问题扣10分(注3)。
(2)系统功能、数据问题,每发现一次企业因同一问题被重复通报的扣2分。
(3)“三同步”问题,未落实“三同步”及电信主管部门的要求,或向不符合要求的增值接入服务企业提供网络接入和通信资源的,每发现一次扣5分(注4,注5)。
(4)配套保障问题,信安系统使用管理、运行维护、安全防护等工作不符合相关标准与电信主管部门要求,或出现重大安全漏洞与风险、数据泄漏、毁损、丢失等情况的,每发现一次扣10分(注6)。
2.各管局根据实际情况对企业信安系统进行监督检查或技术检测,内容及扣分标准同上(注7)。
注1:
互联网信安系统包括IDC/ISP(包括互联网资源协作及互联网专线业务)、CDN等信安系统。
注2:
技术测试由部网安局、各管局自行或委托中国信息通信研究院开展。
注3:
其中因系统升级改造且已向电信主管部门以正式文件报备的不扣分。
注4:
基础电信企业应做好对机房/节点资源、网络接入资源的定期核查上报工作,在合同条款中明确资源用途及相关要求,并在为增值接入服务企业开通业务前核查其信安系统评测结果通知单。
注5:
不符合信安系统要求的增值接入服务企业问题包括:
未完成信安系统建设、未通过信安系统技术评测、业务许可范围或开通的网络带宽超出信安系统评测结果等。
注6:
为确保信安系统安全可靠,企业侧系统需通过专线或VPN方式与部、省信安系统进行对接。
注7:
对于同一问题,部省不重复扣分。
2.移动上网日志留存系统功能、性能和操作使用符合规范要求。
各管局在每半年对企业移动上网日志留存系统进行抽测。
部网安局随机抽取企业,进行4G(对于尚未开通4G网络的省份则为3G)上网日志留存情况的抽测。
扣分标准参照2018年考核标准。
注:
由部网安局、各管局自行或委托相关单位进行检查。
3.某系统企业侧上报日志数据的准确性符合规定要求。
部网安局组织相关单位对各省某系统企业侧上报日志数据的准确率开展拨测工作,拨测数据准确率≥99%,不扣分;每降低1个百分点扣1分,最多扣30分。
4.根据《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号),加强网络安全威胁信息共享、监测处置等技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。
(1)针对恶意网络资源,发现不具备及时和准确监测能力,扣5分;发现不具备有效处置能力,扣5分(注1、注2)。
(2)针对恶意程序,发现不具备及时和准确监测能力,扣5分(注1、注3)。
(3)对于木马、病毒和僵尸网络的监测能力,省内出入口网络流量分析率要各达到7%以上,优先在省内出口带宽较大的城市覆盖;发现不满足覆盖要求,扣5分。
注1:
技术测试由各管局自行或委托中国信息通信研究院开展。
注2:
恶意IP地址、域名、URL、僵尸网络控制端等恶意网络资源,应在90分钟内显示告警。
处置成功率不低于50%。
注3:
若在监测能力覆盖范围内企业指定链路上拨测木马、病毒和僵尸程序,应在120分钟内显示告警,监测准确率应不低于40%;若在非企业指定链路上拨测,应在180分钟内显示告警,监测准确率应不低于5%。
以上两种拨测方式至少选择一种。
移动恶意程序应在120分钟内显示告警,监测准确率应不低于40%。
5.按照《通信网络安全防护管理办法》(工信部令第11号)及《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)有关要求,建设和运行通信网络安全监测系统,落实网络安全保障设施与主体工程三同步要求。
(1)企业应完成资产安全管理平台的立项,未完成立项的,扣10分(注1)。
(2)企业应完成网络安全态势感知平台的立项,未完成立项的,扣10分(注2)。
(3)企业在工程项目设计中无网络安全保障设施相关内容的,每发现1个扣10分;未对网络安全保障设施完成同步验收的,每发现1个扣10分;已验收或投产的工程项目中,网络安全保障设施未同步投入运行的,每发现1个扣10分(注3)。
注1:
资产安全管理平台实现对资产信息的动态采集和资产脆弱性的管理,该平台技术指南由部网安局统一编制。
注2:
网络安全态势感知平台技术指南由部网安局统一编制。
注3:
应出具验收报告和上线前的风险评估报告,验收报告中应对网络安全保障设施建设情况做出详细说明,并与设计内容相对应;风险评估报告应对检测方法和检测结果做出详细说明。
6.按照有关规定和管局要求,做好特殊通信技术接口配备和系统建设工作
(1)每出现一次因企业自身原因导致特殊通信系统建设进度滞后的扣4分。
(2)网元未购置技术接口,或检查时接口不能正常启用,每发现一个扣2分。
(3)网元接口个别功能不符合标准要求,每发现一个扣1分。
(4)检查时提供虚假数据或虚假被测网元,每发现一次扣10分。
(5)企业侧建设的特通系统安全管理不严,在检查时每发现一个特通系统可能被非法使用的风险扣4分(注1)。
注1:
如特通系统操作人员没有授权,没有审批及操作记录,可远程接入等。
四、网络与信息安全监管工作
(一)数据安全管理
按照《网络安全法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于加强基础电信企业数据安全管理规范清理数据对外合作工作的通知》(工信厅网安函〔2018〕315号)《信息技术个人信息安全规范》等,完善数据安全组织保障体系,建立健全数据安全制度,有效落实数据安全管理责任,配套数据安全技术保障措施,加强数据安全和用户个人信息保护。
按照相关法律法规及电信主管部门要求,落实数据安全管理责任:
(1)明确数据安全管理牵头责任部门,建立完善数据安全管理制度,配套数据安全技术保障措施,开展内部权限管理和安全审计,建立重大突发数据安全事件应急响应机制,对重大数据安全事件及时采取有效补救措施并向电信主管部门报告(注1)。
(2)落实315号文件要求,与数据业务合作方签订数据安全协议,对合作方数据安全风险进行监督管理,业务合作结束后应采取有效措施督促业务合作方依照合同约定删除数据(注2)。
(3)按照电信主管部门要求及相关标准规范,对数据安全管理和用户个人信息保护情况开展数据安全合规性评估。
(4)
未落实上述要求的,每发现一项扣5分。
注1:
数据安全管理及用户个人信息保护制度应涵盖收集、使用、传输、存储、共享、删除等环节,包含分级分类、访问控制、日志记录、操作审计、应急响应、责任追究等内容。
注2:
安全协议应明确合作方的数据使用权限、期限、安全保护责任、必要的安全保护措施以及违约责任和处罚条款。
不符合上述要求的,视作未签订安全协议。
(二)新技术新业务安全评估
依据互联网新技术新业务安全评估相关规章或文件要求,督导企业开展安全评估有关工作,有效防范安全风险,持续健全保障措施。
(1)存在应评估未评估的业务,每发现一项,扣10分(注1)。
(2)未识别网络信息安全等重大风险,或业务安全管理与技术保障措施不到位,或未完成整改复核继续运营的业务,每发现一项,扣10分(注2)。
(3)对于电信主管部门监测发现安全评估责任未落实或落实不到位的,每发现一项,扣10分。
注1:
业务重点关注云计算、大数据及合作类、物联网、通信能力开放平台相关应用及服务等。
注2:
新业务或在线运营业务如存在重大安全问题,整改未完成、隐患未消除前应不予上线或限制经营。
(三)网络安全远程检测及现场抽查
按照《网络安全法》《通信网络安全防护管理办法》(工信部令第11号)相关要求,做好网络安全防护工作,接受电信主管部门的网络安全检查,及时消除重大网络安全隐患。
(1)部省两级电信主管部门组织开展远程检测,对发现网络安全问题的企业进行通报,首次通报企业不扣分,再次通报同一企业时,每1个问题扣2分;发现已通报但仍未整改的网络安全问题,1个扣4分;发现未与业务合作方划分明确安全责任,导致存在网络安全问题,首次通报企业不扣分,再次通报同一企业时,每1个问题扣2分(注1、注2、注3)。
(2)部省两级电信主管部门对重点网络单元开展现场抽查,发现:
①未按要求进行定级备案、符合性评测或风险评估等法律法规问题,每1处扣2分。
②行业标准不达标,每1处扣1分。
③安全漏洞,每1处高危扣2分、中危扣1分、弱口令扣1分;若位于重要设备上,扣分加倍;发现重大安全漏洞,每1处扣5分;发现存在恶意代码或后门程序未处置,或从网络单元外获取网络单元内设备的管理员权限或重要数据,扣10分。
④未建立集中化网络安全问题闭环管理机制手段,实现定期巡查、整改核验、考核问责等要求的,扣5分(注3、注4、注5、注6、注7)。
注1:
部省两级电信主管部门每月分别对基础电信企业进行专项远程检测,每月督促企业反馈整改和问责。
注2:
检查对象包括基础企业自有系统和合作系统,范围包括生产系统、自用系统、试运行系统、测试系统、已停止业务的未下线系统等。
注3:
网络安全问题包括高危漏洞、弱口令、未定级备案、定级备案不准确不及时、符合性评测和风险评估不及时或结果不准确不完整等。
注4:
定级备案网络单元应包括所有上线运行的自有和合作类网络和系统,符合性评测和风险评估的范围包括所有二级及以上的网络单元。
注5:
高中危安全漏洞的判断标准参考权威CVE、CNVD漏洞库标识、OWASPTop10漏洞列表等。
注6:
重要设备包括:
内外网隔离设备、内部安全域划分设备、互联网直连设备、网络业务核心设备等。
注
升级会员 