基础电信企业网络及信息安全考核要点.docx
《基础电信企业网络及信息安全考核要点.docx》由会员分享,可在线阅读,更多相关《基础电信企业网络及信息安全考核要点.docx(7页珍藏版)》请在冰点文库上搜索。
基础电信企业网络及信息安全考核要点
附件22021根底电信企业网络与信息平安责任考核检查要点
综合管理局部
检查容
检查要点
检查方式及要求
检查结果
1.党委〔党组〕
责任落实
检查企业落实党委〔党组〕
责任体制机制。
1.检查公司落实党委〔党组〕责任落实发文
2.检查党委〔党组〕会议记录、纪要
1.关于印发?
联通网络与信息平安管理实施细那么?
的通知2.公司党委议纪要〔20210409〕
2.信息平安专职人员履职、培训
1.人员是否具备履职能力;
2.人员机制建立是否合理
2.公司是否拟制培训方案,或已开展相关培训。
1.检查公司发文、检查公司KPI文件和部门KPI打分情况等台账资料;2.通过在线测试,考察信安专员相关工作知识、技能掌握情况;3.通过人员访谈,了解其对考核政策的理解程度和执行情况;
4.检查培训方案或开展情况。
1.扣分表,人资留存一份〔主要为实名制扣分〕2.在线考试4.培训材料
3.重大活动保障
重大活动期间〔如全国两会等国家级重大活动和省开展大会等省级重大活动〕是否在管理、技术、人员等方面履行应急保障责任
1.检查公司人员值班情况;
2.检查自主防护情况。
3.检查系统保障情况;4.检查应急处置情况.
春节、两会、高考、上合峰会重保期间网信安值班表、总结。
季度应急演练
4.活动配合
检查世界电信日、网络平安宣传周等宣传活动和网络伴我成长等正面引导活动配合情况。
1.核查公司线上线下〔如“两微一端〞、营业厅等〕是否进展宣传;2.核查公司相关活动总结。
1.1月份反恐惧宣传〔资料全〕2.电信日〔反诈骗宣传,多增加宣传照片〕3.网络伴我成长〔校园营业厅宣传缺照片〕4.防非法集资宣传〔正在进展中〕
信息平安局部
检查容
检查要点
检查方式及要求
检查结果
1.移动上网日志留存
企业移动上网日志留存系统功能、性能是否符合规。
现场拨测〔考虑拨测反应时间因素,建议在听取汇报时同时进展〕。
用手机拨测工具现场拨测假设干网页,告诉企业手机号,请其2小时提供手机上网的网页记录,核对是否完整;检查日志是否满足6个月留存标准。
2.接入资源管理
是否合规提供IDC、CDN、云计算等接入资源。
1.检查接入用户是否实名验证;
2.检查资源分配台账;
3.核查有无超围经营、超地域、层层转租等违规情况;
4.检查接入效劳持证企业是否通过部信安系统评测。
3.备案管理
是否主动并按照管局要求开展备案管理
1.检查是否按时限完成系统下发的未备案〔1日〕、未报备〔7日〕等的报备或中断接入工作;2.核查市公司月度备案拨测情况。
4.互联网专项行动
是否认真开展各类专项行动
1.通过询问专职人员及查询台账资料,检查管局今年以来下发的各类专项行动是否布置到地市公司。
2.对于各类专项行动,是否有方案〔包括转发的〕、有方案、有落实、有小结,是否符合报送时限要求。
3.抽查排查容拨测〔如网页url、IP地址、属性、拨测时间〕等工作记录。
1.开展STRUTS2系列漏洞专项整治工作2.2021扫黄打非
5.信安系统使用
是否按照部省要求使用信安系统。
1.核查管局侧下发任务的执行情况;
2.现场核验IDC用户信息;
3.检查信安系统的使用情况,核查登录日志。
网络平安局部
检查容
检查要点
检查方式及要求
检查结果
1.网络平安组织机构和人员配备
1.是否明确1名公司主管领导统筹协调网络平安各项工作。
2.是否明确本公司网络平安的主要目标、根本要求、工作任务、保护措施。
3.是否明确一个网络平安管理部门,明确部门职责,配备一名专职人员。
1.查看相关文件,文件中需指明公司网络平安的主要目标、根本要求、工作任务、保护措施以及网络平安管理部门、专职人员的职责。
2.与专职人员访谈,检查日常工作情况。
2.网络平安三同步、定级备案、符合性评测和风险评估
1.在工程工程设计中是否包含网络平安保障设施相关容;网络平安保障设施是否完成同步验收;网络平安保障设施是否同步投入运行。
2.针对重点网络单元,是否进展定级备案、符合性评测及风险评估工作。
1.查看工程工程相关台账是否满足三同步要求。
2.登陆.mii-aqfh.系统查看具体备案单元息是否准确;
3.风险评估报告容需包含扫描结果、整改建议、复查结果等容。
3.重要数据和用户个人电子信息保护情况
1.是否正式发文明确个人信息保护的责任部门及管理职责,建立用户个人信息保护责任制和平安管理制度。
2.是否记录企业部人员、外包效劳人员对个人信息的访问操作日志,并定期审计。
3.是否开展了个人电子信息保护情况自查。
1.查看用户个人电子信息相关制度及台账,管理制度未包括个人信息分级分类管理、访问控制、日志记录、应急响应等容。
2.记录个人信息访问操作日志,日志应包括用户ID、时间、访问操作对象、操作类型等字段。
3.查看个人电子信息保护自查及整改相关情况。
4.网络平安事件应急处置情况
1.是否制定符合本企业实际情况并与电信主管部要求相衔接的网络平安应急预案;
2.是否组织开展本企业的网络平安应急演练。
1.查看应急预案,确定是否与地市企业实际情况相符,预案需保存版本更迭情况;
2.查看应急演练材料,确定演练容、参与人员等是否适宜。
演练需与预案相配套比对预案有所反应。
5.互联网IP地址核查
1.是否及时对管局侧IP管理系统比对发现的异常数据进展更新;
2.对于企业自用IP地址,利用技术手段核查是否存在漏报、错报的现象。
对各企业IP比对异常结果进展通报。
6.平安效劳可管可控情况
1.2021年新采购的平安效劳工程〔网络平安设计与集成、风险评估、应急响应、平安培训效劳〕中,是否选用通过有关行业组织网络平安效劳能力评定的单位开展有关工作。
2.是否对网络平安效劳机构实际提供效劳人员的信息进展备案管理。
1.查看企业工程管理系统,核实新采购的平安效劳工程是否满足要求。
2.查看备案信息台账,应包括人员、号、资质证书、工程经历等。
7.4A系统建立运行情况
是否已按照?
账号、授权、认证和审计〔4A〕集中管理系统技术要求?
〔2021-0706T-YD〕所要求的集中账号管理、集中认证管理、集中授权管理和集中审计管理能力覆盖所有三级及以上网络和系统。
根据.mii-aqfh.系统中企业定级备案台账,核查4A系统是否已覆盖三级及以上网元全部设备。
8.数据保护技术手段建立运行情况
1.是否部署通过国家互联网应急中心Acheron平安测评认证的数据防泄漏系统。
2.是否及时有效的对系统发现的平安事件进展处置。
1.查看系统部署情况。
2.查看系统告警事件的处置情况。
9.网络平安远程检测情况
选取局部企业静态自用IP地址进展网络平安远程检测。
通报检测结果。
升级会员 