说明:2019年考核分为扣分项和加分项。一是考核扣分总分值为6分(按600分计)。其中,属地化考核占1分,采用扣分形式,直至1分扣完为止;其他各项共占5分,均采用扣分形式,直至5分扣完为止。二是考核加分总分值为1分(按100分计),在集团公司对各省公司绩效考核体系中最高可加1分。 | ||||||
指标类别 | 考核指标 | 指标要求 | 单项评分标准 | 备注 | ||
一、属地化网络与信息安全考核(1分,按100分计) | 对于未按要求完成配合监管工作的,通信管理局应出具书面扣分说明及处理意见。 | 注1:各管局应于2019年5月31日前将相关考核要求及评分标准向部网安局报备。 注2:对于未按要求完成配合监管工作的,管局应出具书面扣分说明及处理意见。 | ||||
二、网络与信息安全组织保障 | 专职机构设置、人员配备和教育培训 | 依据《工业和信息化部关于印发<基础电信企业信息安全责任管理办法(试行)>的通知》(工信部保〔2009〕713号)和《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号),设置省级公司网络与信息安全专职二级管理部门,加强专职人员配备;建立健全网络与信息安全教育培训制度,提升专职人员职业技能。 | 是什么(1)网络与信息安全管理部门不符合专职机构设置要求的,扣50分。 (2)未按要求配备网络与信息安全专职人员并明确人员岗位职责的,每违反一项扣10分。 (3)全年组织网络与信息安全教育培训次数少于两次的,扣10分。 | 注:专职人员岗位职责和教育培训内容应包括技术手段建设、数据安全管理、新技术新业务安全评估、网络安全防护、网络安全应急与威胁治理、防范治理电信网络、特殊通信配合、电话实名制、重大活动保障等。 | ||
三、网络与信息安全技术手段建设 | 1.互联网信息安全管理系统(简称信安系统)功能、性能和使用管理等符合相关标准与电信主管部门要求(注1,注2)。 | 1.部网安局按月对企业侧信安系统日常运行、功能、数据、“三同步”、配套保障等情况进行巡查抽测和问题通报,并根据通报结果进行考核扣分。 (1)系统运行问题,每发现一次企业系统与电信主管部门系统对接中断或严重的系统故障问题扣10分(注3)。 (2)系统功能、数据问题,每发现一次企业因同一问题被重复通报的扣2分。 (3)“三同步”问题,未落实“三同步”及电信主管部门的要求,或向不符合要求的增值接入服务企业提供网络接入和通信资源的,每发现一次扣5分(注4,注5)。 (4)配套保障问题,信安系统使用管理、运行维护、安全防护等工作不符合相关标准与电信主管部门要求,或出现重大安全漏洞与风险、数据泄漏、毁损、丢失等情况的,每发现一次扣10分(注6)。 2.各管局根据实际情况对企业信安系统进行监督检查或技术检测,内容及扣分标准同上(注7)。 | 注1:互联网信安系统包括IDC/ISP(包括互联网资源协作及互联网专线业务)、CDN等信安系统。 注2:技术测试由部网安局、各管局自行或委托中国信息通信研究院开展。 注3:其中因系统升级改造且已向电信主管部门以正式文件报备的不扣分。 注4:基础电信企业应做好对机房/节点资源、网络接入资源的定期核查上报工作,在合同条款中明确资源用途及相关要求,并在为增值接入服务企业开通业务前核查其信安系统评测结果通知单。 注5:不符合信安系统要求的增值接入服务企业问题包括:未完成信安系统建设、未通过信安系统技术评测、业务许可范围或开通的网络带宽超出信安系统评测结果等。 注6:为确保信安系统安全可靠,企业侧系统需通过专线或VPN方式与部、省信安系统进行对接。 注7:对于同一问题,部省不重复扣分。 | |||
2.移动上网日志留存系统功能、性能和操作使用符合规范要求。 | 各管局在每半年对企业移动上网日志留存系统进行抽测。 部网安局随机抽取企业,进行4G(对于尚未开通4G网络的省份则为3G)上网日志留存情况的抽测。 扣分标准参照2018年考核标准。 | 注:由部网安局、各管局自行或委托相关单位进行检查。 | ||||
3.某系统企业侧上报日志数据的准确性符合规定要求。 | 部网安局组织相关单位对各省某系统企业侧上报日志数据的准确率开展拨测工作,拨测数据准确率≥99%,不扣分;每降低1个百分点扣1分,最多扣30分。 | |||||
4.根据《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号),加强网络安全威胁信息共享、监测处置等技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性。 | (1)针对恶意网络资源,发现不具备及时和准确监测能力,扣5分;发现不具备有效处置能力,扣5分(注1、注2)。 (2)针对恶意程序,发现不具备及时和准确监测能力,扣5分(注1、注3)。 (3)对于木马、病毒和僵尸网络的监测能力,省内出入口网络流量分析率要各达到7%以上,优先在省内出口带宽较大的城市覆盖;发现不满足覆盖要求,扣5分。 | 注1:技术测试由各管局自行或委托中国信息通信研究院开展。 注2:恶意IP地址、域名、URL、僵尸网络控制端等恶意网络资源,应在90分钟内显示告警。处置成功率不低于50%。 注3:若在监测能力覆盖范围内企业指定链路上拨测木马、病毒和僵尸程序,应在120分钟内显示告警,监测准确率应不低于40%;若在非企业指定链路上拨测,应在180分钟内显示告警,监测准确率应不低于5%。以上两种拨测方式至少选择一种。移动恶意程序应在120分钟内显示告警,监测准确率应不低于40%。 | ||||
5.按照《通信网络安全防护管理办法》(工信部令第11号)及《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)有关要求,建设和运行通信网络安全监测系统,落实网络安全保障设施与主体工程三同步要求。 | (1)企业应完成资产安全管理平台的立项,未完成立项的,扣10分(注1)。 (2)企业应完成网络安全态势感知平台的立项,未完成立项的,扣10分(注2)。 (3)企业在工程项目设计中无网络安全保障设施相关内容的,每发现1个扣10分;未对网络安全保障设施完成同步验收的,每发现1个扣10分;已验收或投产的工程项目中,网络安全保障设施未同步投入运行的,每发现1个扣10分(注3)。 | 注1:资产安全管理平台实现对资产信息的动态采集和资产脆弱性的管理,该平台技术指南由部网安局统一编制。 注2:网络安全态势感知平台技术指南由部网安局统一编制。 注3:应出具验收报告和上线前的风险评估报告,验收报告中应对网络安全保障设施建设情况做出详细说明,并与设计内容相对应;风险评估报告应对检测方法和检测结果做出详细说明。 | ||||
6.按照有关规定和管局要求,做好特殊通信技术接口配备和系统建设工作 | (1)每出现一次因企业自身原因导致特殊通信系统建设进度滞后的扣4分。 (2)网元未购置技术接口,或检查时接口不能正常启用,每发现一个扣2分。 (3)网元接口个别功能不符合标准要求,每发现一个扣1分。 (4)检查时提供虚假数据或虚假被测网元,每发现一次扣10分。 (5)企业侧建设的特通系统安全管理不严,在检查时每发现一个特通系统可能被非法使用的风险扣4分(注1)。 | 注1:如特通系统操作人员没有授权,没有审批及操作记录,可远程接入等。 | ||||
四、网络与信息安全监管工作 | (一)数据安全管理 | 按照《网络安全法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于加强基础电信企业数据安全管理 规范清理数据对外合作工作的通知》(工信厅网安函〔2018〕315号)《信息技术 个人信息安全规范》等,完善数据安全组织保障体系,建立健全数据安全制度,有效落实数据安全管理责任,配套数据安全技术保障措施,加强数据安全和用户个人信息保护。 | 按照相关法律法规及电信主管部门要求,落实数据安全管理责任: (1)明确数据安全管理牵头责任部门,建立完善数据安全管理制度,配套数据安全技术保障措施,开展内部权限管理和安全审计,建立重大突发数据安全事件应急响应机制,对重大数据安全事件及时采取有效补救措施并向电信主管部门报告(注1)。 (2)落实315号文件要求,与数据业务合作方签订数据安全协议,对合作方数据安全风险进行监督管理,业务合作结束后应采取有效措施督促业务合作方依照合同约定删除数据(注2)。一什么小山 (3)按照电信主管部门要求及相关标准规范,对数据安全管理和用户个人信息保护情况开展数据安全合规性评估。 (4) 未落实上述要求的,每发现一项扣5分。 | 注1:数据安全管理及用户个人信息保护制度应涵盖收集、使用、传输、存储、共享、删除等环节,包含分级分类、访问控制、日志记录、操作审计、应急响应、责任追究等内容。 注2:安全协议应明确合作方的数据使用权限、期限、安全保护责任、必要的安全保护措施以及违约责任和处罚条款。不符合上述要求的,视作未签订安全协议。 | ||
(二)新技术新业务安全评估 | 依据互联网新技术新业务安全评估相关规章或文件要求,督导企业开展安全评估有关工作,有效防范安全风险,持续健全保障措施。 | (1)存在应评估未评估的业务,每发现一项,扣10分(注1)。 (2)未识别网络信息安全等重大风险,或业务安全管理与技术保障措施不到位,或未完成整改复核继续运营的业务,每发现一项,扣10分(注2)。 (3)对于电信主管部门监测发现安全评估责任未落实或落实不到位的,每发现一项,扣10分。 | 注1:业务重点关注云计算、大数据及合作类、物联网、通信能力开放平台相关应用及服务等。 注2:新业务或在线运营业务如存在重大安全问题,整改未完成、隐患未消除前应不予上线或限制经营。 | |||
(三)网络安全远程检测及现场抽查 | 按照《网络安全法》《通信网络安全防护管理办法》(工信部令第11号)相关要求,做好网络安全防护工作,接受电信主管部门的网络安全检查,及时消除重大网络安全隐患。 | (1)部省两级电信主管部门组织开展远程检测,对发现网络安全问题的企业进行通报,首次通报企业不扣分,再次通报同一企业时,每1个问题扣2分;发现已通报但仍未整改的网络安全问题,1个扣4分;发现未与业务合作方划分明确安全责任,导致存在网络安全问题,首次通报企业不扣分,再次通报同一企业时,每1个问题扣2分(注1、注2、注3)。 (2)部省两级电信主管部门对重点网络单元开展现场抽查,发现:①未按要求进行定级备案、符合性评测或风险评估等法律法规问题,每1处扣2分。②行业标准不达标,每1处扣1分。③安全漏洞,每1处高危扣2分、中危扣1分、弱口令扣1分;若位于重要设备上,扣分加倍;发现重大安全漏洞,每1处扣5分;发现存在恶意代码或后门程序未处置,或从网络单元外获取网络单元内设备的管理员权限或重要数据,扣10分。④未建立集中化网络安全问题闭环管理机制手段,实现定期巡查、整改核验、考核问责等要求的,扣5分(注3、注4、注5、注6、注7)。 | 注1:部省两级电信主管部门每月分别对基础电信企业进行专项远程检测,每月督促企业反馈整改和问责。 注2:检查对象包括基础企业自有系统和合作系统,范围包括生产系统、自用系统、试运行系统、测试系统、已停止业务的未下线系统等。 注3:网络安全问题包括高危漏洞、弱口令、未定级备案、定级备案不准确不及时、符合性评测和风险评估不及时或结果不准确不完整等。 注4:定级备案网络单元应包括所有上线运行的自有和合作类网络和系统,符合性评测和风险评估的范围包括所有二级及以上的网络单元。 注5:高中危安全漏洞的判断标准参考权威CVE、CNVD漏洞库标识、OWASP Top10漏洞列表等。 注6:重要设备包括:内外网隔离设备、内部安全域划分设备、互联网直连设备、网络业务核心设备等。 注7:重大安全漏洞,指可导致用户信息或数据泄漏、设备服务器受控、网络或业务中断等。 | |||
(四)关键设备安全可控 | 该考核项的具体指标要求另文发布。 | 该考核项的具体指标要求另文发布。 | 检查方式:各管局组织力量对企业关键设备安全可控情况进行检查。 | |||
(五)网络安全服务可管可控 | 依据《网络安全法》及《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)有关要求,规范安全服务管理,防范服务过程中的风险。 | (1)采购未通过网络安全服务能力评定的机构提供的安全服务的,每发现1个扣3分(注1)。 (2)企业未对网络安全服务机构实际提供服务人员的信息进行备案管理的,每发现1个扣3分(注2)。 | 注1:安全服务是指网络安全设计与集成、风险评估、应急响应、安全培训服务 注2:通过评定的具备相应网络安全服务能力的机构名单在有关行业组织上发布。备案信息包括人员姓名、身份证号、资质证书、项目经验等。 | |||
(六)特殊通信配合 | 按照有关规定和管局要求,规范高效做好特殊通信配合工作。 | (1)企业未建立配合工作的管理制度、未明确配合工作管理流程和要求的,扣10分。 (2)企业每出现一次违规配合的,扣4分。 (3)企业不及时配合开展特殊通信工作的,扣4分。 | ||||
五、网络环境治理工作 | (一)防范治理电信网络专项工作 | 1.按照有关工作要求,加强通报检查和考核追责,强化企业主体责任落实。 | (1)对于举报通报中相关指标突出的,或通报检查等发现存在违规的,每次扣5分(注1)。 (2)因举报通报问题突出被电信主管部门约谈或复核检查后整改效果不明显的,每次扣10分。 (3)未按要求利用大数据模型对漫游到案件输出重点地区号码进行监测预警和依法依规处置的,扣5分(注2)。 (4)未按要求及时对通报号码、短信、网站依法依规核查处置的,每出现一次扣2分。 | 注1:举报通报中相关指标突出的情况: 手机号码百万用户举报率排名连续3个月位于前五且月环比上升两次及以上的(举报率≥1且举报件次≥20); 省际系统问题号码处置次数连续3个月位于前五且月被处置次数均高于5000的; ③短信预留电话号码被举报件次(≥20)连续3个月位于前五的。 整改效果不明显被部里约谈整改的,一次扣3次。 注2:大数据模型基本要求: 充分考虑被叫离散度、主叫占比、接入数、呼叫频率、通话时长、漫游地区以及开卡时间、套餐类型等因素。 | ||
2.根据部有关部署安排,做好IMS电话防范系统建设工作。 | 各省IMS电话防范系统未完成集团公司或省内的系统立项工作的,扣30分。 | 注:系统建设标准参考后续工作部署文件。 | ||||
(二)网络安全威胁治理专项工作 | 落实《公共互联网网络安全威胁监测与处置办法》,及时减轻或消除网络威胁的危害和影响 | 双脉冲发动机未按照管局通知要求,在规定时限内采取相关网络安全威胁处置措施的,每发现一次扣3分。 | ||||
(三)电话用户实名登记工作 | 1.按照国家相关法律规定及政策要求,做好电话用户实名登记管理。 | 药物靶标 (1)电话用户实名登记准确率未达98%的,每差0.1个百分点,扣10分(注1)。 (2)2017年1月1日后新入网电话用户入网环节人证一致率未达98%的,每差0.1个百分点,扣2分(注2)。 (3)2017年1月1日后同一用户在同一企业全国范围内办理使用的移动电话卡达到5张的,该企业不得为其办理新卡。每发生一起“一证五卡”违规的,扣2分。 | 扣分依据: 工业和信息化部、各管局的通报及行政处罚,各基础电信企业集团公司检查通报。 注1:电话用户实名登记准确率是指如实登记证件类别、证件上所载姓名、号码、住址信息,并且通过公安机关联网核验的比率。 注2:电话用户人证一致率是指用户办理入网手续时所持证件与本人一致的比率。 | |||
2.按照有关工作要求,强化监督检查及违规处罚,巩固实名制成效。 | (1)在工业和信息化部、各管局组织的监督检查、公安通报、媒体报道以及用户举报中,每发现一起违规办理电话入网手续的,扣2分; (2)因电话实名制落实不到位导致电话卡被不法分子用于实施违法犯罪的,要从严追责。每发生一起,根据违规程度,可扣除5分、10分或20分。 | |||||
(四)物联网行业卡安全管理 | 1.按照物联网行业卡安全管理要求,从严实名登记管理。 | 未按照有关管理要求,做好物联网行业卡实名登记的,每发现一起扣2分。 | 扣分依据: 工业和信息化部、各管局的通报及行政处罚,各基础电信企业集团公司检查通报。 | |||
2.加强技术手段建设,做好物联网行业卡使用监测管理 | (1)未使用专用号段、专用网络发展物联网行业卡业务的,每发现一起扣2分; (2)未采取有效的技术措施落实行业卡“功能最小化”(含定向访问、机卡绑定等)管理要求、开展行业卡使用监测处置的,每发现一起扣2分; (3)未按照有关要求,规范做好物联网行业卡登记信息录入等工作,每发现一起扣2分。 | |||||
3.加大监督检查及违规处罚 | (1)未按要求组织开展物联网行业卡安全管理监督检查的,扣5分; (2)在工业和信息化部、各管局组织的监督检查、公安通报、媒体报道以及用户举报中,每发现一起违规办理物联网行业卡入网手续的,扣2分。失歌症测试 | |||||
本文发布于:2024-09-25 17:18:02,感谢您对本站的认可!
本文链接:https://www.17tex.com/xueshu/223970.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议