电信公司信息安全管理八项制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关于下发《**电信公司信息安全管理八项制度
(试行)》的通知
县级分公司、公司各部门:
根据中电信黑[2011] 793 号《黑龙江电信信息安全管理八项制度(试行)》,制定了《**电信公司信息安全管理八项制度(试行)》,请认真遵照执行。并将执行过程中出现的新情况,新问题及时反馈至运行维护部。
各相关职能部门要按照本制度规范尽快落实本部门的信息安全工作及责任人。
附件 1:**电信公司业务经营、合作的信息安全评估保障制度附件 2:**电信公司违法违规信息应急处置流程
附件 3:**电信公司信息安全工作(资金、人员)保障制度
附件 4:**电信公司信息安全管理考核和奖惩制度附件 5:**电信公司信息安全技术保障制度
附件 6:**电信公司信息安全事件报告制度
附件 7:**电信公司信息安全事件应急处置制度附件 8:**电信公司信息安全组织机构管理制度
附件 1:
**电信公司基础业务经营、合作的
信息安全评估保障制度
一、公司产品内容上线前应当由专人对相关内容的合法合规性进行审核,做到先审后发,产品中未通过审核的相关内容不得上线运营。需要审核的产品内容包括但不仅限于各产品中以公司名义对外发布的以及客户通过公司自营网站对外发布的图片、文字、流媒体等信息内容。
二、公司自营网站、自营业务业务板块或栏目新增、变更,须经各级公司部门负责人同意,报公司分管领导审批。
三、与合作方(含代收费)进行业务合作前,各部门业务运营部门(中心)应当严格审核其电信业务经营许可证或备案许可证、营业执照等经营资质材料,对其身份信息当面核验、留存有效证件复印件并报公司信息安全业务管理部门复核。在签订合作协议时,必须要求合作方签订《信息安全承诺书》,明确其负责合作涉及业务的信息安全,约定信息安全考核制度和违法违规处罚标准。
四、合作业务涉及合作方需进行 IP 地址和域名备案的,
在业务开通前,必须要求合作方出具 IP 地址和域名已经备案
的书面证明函件。
五、各部门不得为无经营许可证的单位或个人提供用于经营电信业务的电信资源,不得为未办理备案手续的部门或个人提供网络接入服务。在提供 IDC、互联网接入(含专线、虚拟拨号等)等接入类业务时,接入公司网络的部门或个人(以下简称接入方)开展互联网信息服务的,接入服务业务运营部门(中心)应审查其经营许可证或相关备案手续、主体信息和接入信息,对其身份信息当面核验、留存有效证件复印件并报公司信息安全业务管理部门复核。
六、各部门提供网络接入服务时,应当与接入方签订接入服务协议,在协议中约定信息安全考核制度和违法违规处罚标准,并在协议中明确约定以下事项及相应的违约责任:
(一)接入方的网络信息安全责任与义务。
(二)接入方不得向其他从事网站接入服务的增值电信业务经营者转租所获得的网络接入等电信资源。
(三)接入方不得为未经许可或未备案的网站提供接入或代收费等服务。公司分配 IP 地址给接入方的,在接入服务业务开通前,应要求对方出具确认已经报备 IP 地址的书面函件,业务部门应当对 IP 地址是否对应进行核查,核查不符的,不得开通接入服务。
七、业务运营部门应安排专人对自营业务、合自营网站及IDC 和专线等方式接入的网站内容等进行日常监测。发现违法
有害信息和低俗信息,应立即保存有关记录,对相关内容和业
务进行移除或屏蔽,并报信息安全业务管理部门和信息安全工
作办公室,属于合作业务的,立即下线,情节严重的,应停止
合作。信息明显属于《中华人民共和国电信条例》第五十七条
所列内容或明显违反国家相关规定的,应当同时向省公司信息
安全工作办公室办公室、省通信管理局报告。
八、对合作方和接入方违反国家信息安全管理规定的行为
的处理决定由本部门信息安全业务管理部门负责人审核后作出,
并向公司信息安全主管部门备案。信息安全主管部门对处理决
定有异议的,可对处理决定作出变更,并通知信息安全业务主
管部门组织实施。
九、IDC 接入商、IDC 自有客户、专线接入经营性网站、WAP网站合作 SP 等客户的经营资质、信息安全承诺书签订情况、合同名称,并以清单形式列表存档备案。
附件 2:
**电信公司违法违规信息网站应急处置流程
一、市公司成立信息安全牵头部门,信息安全负责人和联络人保持24小时通讯畅通。
二、接收到省公司停止网站接入的处置指令后,立即进行处置,处置完毕时间为接到管局通知的2小时内。接到省通信管理局停止域名解析的处置指令后,在30分钟内停止公司域名服务器对该域名的解析指向。
三、违法违规信息网站应急处置流程
**电信公司信息安全工作(资金、人员)保障制度
一、市分公司各相关部门应设置信息安全专职联系人,负责本部门内部信息安全的管理、协调和对口联络工作,并报市公司信息安全工作领导小组备案。
二、信息安全联系人应保持相对稳定,人员发生变更的,应当做好交接工作,并在变动后的 2 个工作日内报市公司信息安全工作领导小组备案。
三、从事信息安全工作的人员应政治过硬、遵纪守法、恪尽职守;具备较强的政治敏感性、工作责任感和保密意识;应熟练掌握国家相关法律法规和政策以及业务知识,具备较强的问题分析、处理和学习能力。
四、信息安全工作人员应保持 24 小时通信畅通。
五、公司用于日常信息安全管理、技术保障措施建设、人员教育等的配套资金投入应当根据公司规模、网络覆盖、业务范围及用户数量在公司年度预算中相应编制,保证信息安全管理和技术保障手段建设顺利开展。
**电信公司信息安全管理考核和奖惩制度
一、总则
为切实有效落实公司各项信息安全管理制度,加强重大信息安全事的协调组织及相关事件的应急响应处理能力,结合公司实际,制定本考核制度。
二、适用范围
本考核制度适用于**电信公司市公司各部门、下属各区县公司。
三、细则
(一)总体要求:公司信息安全主管部门应当采取定期检查或者抽查方式对各部门信息安全工作开展、落实情况进行指导和监督。
(二)考核管理:公司负责信息安全工作人员的绩效考核应当与信息安全考评结果挂钩。对于信息安全工作综合考评结果不达标的部门,将由信息安全工作领导小组提出考核意见,并按照公司相关考核机制实施处理。
(三)对信息安全管理工作不力、执行不到位,导致信息安全事件的,或发生信息安全事件后迟报、瞒报或谎报的,应当根据事件影响程度,追究相关部门领导责任并可对相关责任