2018年基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全考核要點

1、附件2 2018基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核檢查要點綜合管理部分檢查內(nèi)容檢查要點檢查方式及要求檢查結(jié)果1. 黨委（黨組）責(zé)任落實檢查企業(yè)落實黨委（黨組）責(zé)任體制機(jī)制。1.檢查公司落實黨委（黨組）責(zé)任落實發(fā)文2.檢查黨委（黨組）會議記錄、紀(jì)要1.關(guān)于印發(fā)連云港聯(lián)通網(wǎng)絡(luò)與信息安全管理實施細(xì)則的通知2.公司黨委議紀(jì)要（）2.信息安全專職人員履職、培訓(xùn)1.人員是否具備履職能力；2.人員機(jī)制建設(shè)是否合理2.公司是否擬制培訓(xùn)計劃，或已開展相關(guān)培訓(xùn)。1.檢查公司發(fā)文、檢查公司KPI文件和部門KPI打分情況等臺賬資料；2.通過在線測試，考察信安專員相關(guān)工作知識、技能掌握情況；3.通過人員訪談，了解其對考

2、核政策的理解程度和執(zhí)行情況；4.檢查培訓(xùn)計劃或開展情況。1.扣分表，人資留存一份（主要為實名制扣分）2.在線考試4.培訓(xùn)材料3.重大活動保障重大活動期間（如全國兩會等國家級重大活動和江蘇省發(fā)展大會等省級重大活動）是否在管理、技術(shù)、人員等方面履行應(yīng)急保障責(zé)任1. 檢查公司人員值班情況；2.檢查自主防護(hù)情況。3.檢查系統(tǒng)保障情況；4.檢查應(yīng)急處置情況.春節(jié)、兩會、高考、青島上合峰會重保期間網(wǎng)信安值班表、總結(jié)。 季度應(yīng)急演練4.活動配合檢查世界電信日、網(wǎng)絡(luò)安全宣傳周等宣傳活動和陽光網(wǎng)絡(luò)伴我成長等正面引導(dǎo)活動配合情況。1.核查公司線上線下（如“兩微一端”、營業(yè)廳等）是否進(jìn)行宣傳；2.核查公司相關(guān)活動總

3、結(jié)。1.1月份反恐怖宣傳（資料全）2.電信日（反詐騙宣傳，多增加宣傳照片）3.陽光網(wǎng)絡(luò)伴我成長（校園營業(yè)廳宣傳 缺照片）4.防范非法集資宣傳（正在進(jìn)行中）信息安全部分檢查內(nèi)容檢查要點檢查方式及要求檢查結(jié)果1.移動上網(wǎng)日志留存企業(yè)移動上網(wǎng)日志留存系統(tǒng)功能、性能是否符合規(guī)范?，F(xiàn)場撥測（考慮撥測反饋時間因素，建議在聽取匯報時同時進(jìn)行）。用手機(jī)撥測工具現(xiàn)場撥測若干網(wǎng)頁，告訴企業(yè)手機(jī)號，請其2小時內(nèi)提供手機(jī)上網(wǎng)的網(wǎng)頁記錄，核對是否完整;檢查日志是否滿足6個月留存標(biāo)準(zhǔn)。2.接入資源管理是否合規(guī)提供IDC、CDN、云計算等接入資源。1.檢查接入用戶是否實名驗證；2.檢查資源分配臺賬；3.核查有無超范圍經(jīng)營、

4、超地域、層層轉(zhuǎn)租等違規(guī)情況；4.檢查接入服務(wù)持證企業(yè)是否通過部信安系統(tǒng)評測。3.備案網(wǎng)站管理是否主動并按照管局要求開展備案網(wǎng)站管理1.檢查是否按時限完成系統(tǒng)下發(fā)的未備案網(wǎng)站（1日內(nèi)）、未報備網(wǎng)站（7日內(nèi)）等網(wǎng)站的報備或中斷接入工作；2.核查市公司月度備案撥測情況。4.互聯(lián)網(wǎng)專項行動是否認(rèn)真開展各類專項行動1.通過詢問專職人員及查詢臺賬資料，檢查管局今年以來下發(fā)的各類專項行動是否布置到地市公司。2.對于各類專項行動，是否有方案（包括轉(zhuǎn)發(fā)的）、有計劃、有落實、有小結(jié)，是否符合報送時限要求。3.抽查排查網(wǎng)站內(nèi)容撥測（如網(wǎng)頁url、IP地址、網(wǎng)站屬性、撥測時間）等工作記錄。1.開展STRUTS 2系列

5、漏洞專項整治工作 2.2017掃黃打非5.信安系統(tǒng)使用是否按照部省要求使用信安系統(tǒng)。1.核查管局側(cè)下發(fā)任務(wù)的執(zhí)行情況；2.現(xiàn)場核驗IDC用戶信息；3.檢查信安系統(tǒng)的使用情況，核查登錄日志。網(wǎng)絡(luò)安全部分檢查內(nèi)容檢查要點檢查方式及要求檢查結(jié)果1.網(wǎng)絡(luò)安全組織機(jī)構(gòu)和人員配備1.是否明確1名公司主管領(lǐng)導(dǎo)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全各項工作。2.是否明確本公司網(wǎng)絡(luò)安全的主要目標(biāo)、基本要求、工作任務(wù)、保護(hù)措施。3.是否明確一個網(wǎng)絡(luò)安全管理部門，明確部門職責(zé)，配備一名專職人員。1.查看相關(guān)文件，文件中需指明公司網(wǎng)絡(luò)安全的主要目標(biāo)、基本要求、工作任務(wù)、保護(hù)措施以及網(wǎng)絡(luò)安全管理部門、專職人員的職責(zé)。2.與專職人員訪談，檢查

6、日常工作情況。2.網(wǎng)絡(luò)安全三同步、定級備案、符合性評測和風(fēng)險評估1.在工程項目設(shè)計中是否包含網(wǎng)絡(luò)安全保障設(shè)施相關(guān)內(nèi)容；網(wǎng)絡(luò)安全保障設(shè)施是否完成同步驗收；網(wǎng)絡(luò)安全保障設(shè)施是否同步投入運行。2.針對重點網(wǎng)絡(luò)單元，是否進(jìn)行定級備案、符合性評測及風(fēng)險評估工作。1.查看工程項目相關(guān)臺賬是否滿足三同步要求。2.登陸系統(tǒng)查看具體備案單元中信息是否準(zhǔn)確;3.風(fēng)險評估報告內(nèi)容需包含掃描結(jié)果、整改建議、復(fù)查結(jié)果等內(nèi)容。3.重要數(shù)據(jù)和用戶個人電子信息保護(hù)情況1.是否正式發(fā)文明確個人信息保護(hù)的責(zé)任部門及管理職責(zé)，建立用戶個人信息保護(hù)責(zé)任制和安全管理制度。2.是否記錄企業(yè)內(nèi)部人員、外包服務(wù)

7、人員對個人信息的訪問操作日志，并定期審計。3.是否開展了個人電子信息保護(hù)情況自查。1.查看用戶個人電子信息相關(guān)制度及臺賬，管理制度未包括個人信息分級分類管理、訪問控制、日志記錄、應(yīng)急響應(yīng)等內(nèi)容。2.記錄個人信息訪問操作日志，日志應(yīng)包括用戶ID、時間、訪問操作對象、操作類型等字段。3.查看個人電子信息保護(hù)自查及整改相關(guān)情況。4.網(wǎng)絡(luò)安全事件應(yīng)急處置情況1.是否制定符合本企業(yè)實際情況并與電信主管部要求相銜接的網(wǎng)絡(luò)安全應(yīng)急預(yù)案；2.是否組織開展本企業(yè)的網(wǎng)絡(luò)安全應(yīng)急演練。1.查看應(yīng)急預(yù)案，確定是否與地市企業(yè)實際情況相符，預(yù)案需保留版本更迭情況；2.查看應(yīng)急演練材料，確定演練內(nèi)容、參與人員等是否合適。演

8、練需與預(yù)案相配套比對預(yù)案有所反饋。5.互聯(lián)網(wǎng)IP地址核查1.是否及時對管局側(cè)IP管理系統(tǒng)比對發(fā)現(xiàn)的異常數(shù)據(jù)進(jìn)行更新;2.對于企業(yè)自用IP地址，利用技術(shù)手段核查是否存在漏報、錯報的現(xiàn)象。對各企業(yè)IP比對異常結(jié)果進(jìn)行通報。6.安全服務(wù)可管可控情況1.2018年新采購的安全服務(wù)項目（網(wǎng)絡(luò)安全設(shè)計與集成、風(fēng)險評估、應(yīng)急響應(yīng)、安全培訓(xùn)服務(wù)）中，是否選用通過有關(guān)行業(yè)組織網(wǎng)絡(luò)安全服務(wù)能力評定的單位開展有關(guān)工作。2.是否對網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)實際提供服務(wù)人員的信息進(jìn)行備案管理。1.查看企業(yè)項目管理系統(tǒng)，核實新采購的安全服務(wù)項目是否滿足要求。2.查看備案信息臺賬，應(yīng)包括人員姓名、身份證號、資質(zhì)證書、項目經(jīng)驗等。7.4A系統(tǒng)建設(shè)運行情況是否已按照賬號、授權(quán)、認(rèn)證和審計（4A）集中管理系統(tǒng)技術(shù)要求（2015-0706T-YD）所要求的集中賬號管理、集中認(rèn)證管理、集中授權(quán)管理和集中審計管理能力覆蓋所有三級及以上網(wǎng)絡(luò)和系統(tǒng)。根據(jù)系統(tǒng)中企業(yè)定級備案臺賬，核查4A系統(tǒng)是否已覆蓋三級及以上網(wǎng)元全部設(shè)備。8.數(shù)據(jù)保護(hù)技術(shù)手段建設(shè)運行情