网络与信息安全,考核方案(云公司)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
依据证明文件认定 依据材料认定
是否具有明确的系统使用管理部门(2分) 2、云业务信息 安全管理系统 (100分)
依据证明文件认定
是否具有与业务规模相匹配的专职系统操作使用人员 依据材料认定(至少两 (至少两名),且能够熟练掌握相关管理要求并能够熟 名) 练操作与使用信息安全管理系统(3分)
系统使用与 运行维护 (20分)
系统功能、性能不符合标准要求的情况共□项 (发现一项扣5分)
依据测试报告或材料认定
发生系统故障对信息安全管理造成影响,或企业单方面 造成的与部级信息安全管理系统对接中断的情况共□次 依据证明文件认定 (发生一次扣5分) 基础数据填报不符合标准要求的情况共□项 (发生一次扣5分) 发现系统漏覆盖云业务机房的情况共□次 (发生一次扣5分) 是否具有完善的系统使用管理实施细则(3分) 依据证明文件认定
依据文件认定
依据文件认定
依据文件认定
6、网络安全应 急 (30分)
依据文件认定
50.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章)
依据材料认定ቤተ መጻሕፍቲ ባይዱ
是否建立网络安全突发事件应急处置机制(5分)
依据材料认定
系统功能、性能不符合标准要求或因企业单方面原因造 成与部级信息安全管理系统对接中断的情况共□项 依据测试报告或材料认定 (次)(发现一项扣5分) 系统建设情 况 (80分) 基础数据填报不符合标准要求的情况共□项(发现一项 依据证明文件认定 扣5分) 发现系统漏覆盖CDN业务节点的情况共□次(发现一项扣 依据证明文件认定 5分) 是否具有完善的系统使用管理实施细则(3分) 依据材料认定
26.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 或测试报告 27.相关制度文件(应包含信息安全 管理系统与网络同步配套制度) 28.工信部测试报告或证明材料(须 由分管网络与信息安全的公司领导 签字并盖公司章)
是否建立信息安全管理系统与网络同步配套制度(2分) 依据制度文件认定 (二)信 息安全管 理 (2分,按 200分计) 系统建设情 况 (80分)
系统使用与 运行维护 (20分)
23.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 24.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 25.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章)
(二)信 息安全管 理 (2分,按 200分计)
系统网络安全防护情况是否符合有关管理规定和通信行 依据证明文件或测试报告 业标准要求,并确保系统数据安全(2分) 认定
2017年网络与信息安全责任考核方案(云公司)
指标类别 考核指标 指标完成情况 是否明确一个部门统筹负责本企业CDN/云业务网络与信息安全管理工 作(40分) 是否明确一名主管领导统一负责企业网络与信息安全领导工作(40 分) 已配备专职信息安全管理人员数量□人 (应不少于五人,每少一人扣30/9分,直至30分扣完为止) 已配备专职网络安全管理人员数量□人 (应不少于三人,每少一人扣30/9分,直至30分扣完为止) 2、网络与信息 安全专职人员配 已配备其他相关业务部门网络与信息安全工作安全员数量□人 备与教育培训 (应不少于一人,每少一人扣30/9分,直至30分扣完为止) (60分) 年内组织专职网络与信息安全人员开展教育培训□次 (应不少于两次,每少一次扣10分,直至20分扣完为止) 培训记录是否已经上报工信部或集团公司(10分) (一)组 织机构与 制度建设 (2分,按 200分计) 建立企业业务经营情况报备机制,企业应每季度向部网络安全管理局 与集团公司报备企业业务开展情况,包括人员机构情况、业务经营范 围、业务系统功能性能、提供服务的客户列表等情况。本年度共报备 □次。(应为三次,少报一次扣5分) 是否建立信息安全事件报告制度(5分) 评分标准 需提交的材料 依据文件认定 1.负责网络与信息安全工作部门职 (部门职责须明确统筹负责 责的正式文件 网络与信息安全管理工作) 依据文件认定 (有主管领导统一负责网络 2.分管领导的职责分工正式文件 与信息安全工作) 依据名单核实并认定数量 3.专职信息安全管理人员名单(至 少包括姓名、部门、电话) 4.专职网络安全管理人员名单(至 少包括姓名、部门、电话) 5.其他部门网络与信息安全工作人 员名单(至少包括姓名、部门、电 话) 6.培训证明材料(含PPT课件、签到 表) 7.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 8.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 9.相关制度文件(应包含信息安全 事件报告制度)
是否具有明确的系统使用管理部门(2分)
依据证明文件认定
21.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 说明:证明文件应包含系统使用管 理部门名称 22.专职系统操作使用人员名单(须 由公司分管网络与信息安全的公司 领导签字并盖公司章)
1、CDN信息安全 管理系统 (100分)
是否具有与业务规模相匹配的专职系统操作使用人员 依据材料认定(至少两 (至少两名),且能够熟练掌握相关管理要求并能够熟 名) 练操作与使用信息安全管理系统(3分) 是否能够利用信安系统对所加速的网站和信息进行自主 监测,并对发现的违法违规网站(如:未备案网站、黑 依据证明文件认定 名单网站等)与信息进行及时处置且留存相应记录(2 分) 是否按要求执行部级系统下达的违法信息监测与处置要 依据证明文件认定 求(3分) 是否对本系统的运行和对接情况进行7*24小时实时监 测,及时修复系统故障(3分) 依据证明文件认定
部统一组织技术力量进行检测验证,符合相关标准监测能力的程度 为: 3、CDN系统网络 □100%符合; 安全监测和防护 □75%符合; 能力建设 □50%符合; (30分) □25%符合; □不符合。 (三)网 络安全管 理(2分, 按200分 计) 部统一组织技术力量进行检测验证,符合相关标准监测能力的程度 为: 4、云服务网络 □100%符合; 安全监测和防护 □75%符合; 能力建设 □50%符合; (30分) □25%符合; □不符合。 是否建立了重要数据和用户个人电子信息安全管理制度(10分) 5、重要数据和 是否建立了重要数据和用户个人电子信息保护的技术防护手段(10 用户个人电子信 分) 息保护 (30分) 是否在开展数据合作中涉及泄露、出售用户个人电子信息等违规行为 (10分) 发生网络安全突发事件时,未按照相关要求(即不得迟报、漏报、瞒 报)及时准确向电信主管部门报告的次数□ (一次扣10分,直至本项扣完为止) 发生网络安全突发事件时,未按照电信主管部门的要求,及时采取应 急处置措施的次数□ (一次扣10分,直至本项扣完为止)
35.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章)
36.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 37.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 38.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 或测试报告 39.相关制度文件(应包含信息安全 管理系统与网络同步配套制度) 40.工信部抽查评分材料 41.工信部抽查评分材料 42.工信部抽查评分材料 43.工信部抽查评分材料
依据证明文件认定
系统网络安全防护情况是否符合有关管理规定和通信行 依据证明文件或测试报告 业标准要求,并确保系统数据安全(2分) 认定
是否建立信息安全管理系统与网络同步配套制度(2分) 依据制度文件认定 部级电信主管部门对业务基地的网络安全定级备案准确率抽查评分 1、CDN系统网络 (20分) 安全防护工作情 况(40分) 部级电信主管部门对业务基地的网络安全情况抽查评分(20分) 部级电信主管部门对业务基地的网络安全定级备案准确率抽查评分 2、云服务网络 (20分) 安全防护工作情 况(40分) 部级电信主管部门对业务基地的网络安全情况抽查评分(20分) 依据材料认定 依据材料认定 依据材料认定 依据材料认定
1、网络与信息 安全机构设置 (80分)
依据名单核实并认定数量
依据名单核实并认定数量
依据材料认定次数
依据证明文件认定
依据证明文件认定次数
依据材料认定
制度建设 (2分,按 200分计)
是否制定信息安全事件专项应急预案(5分)
依据材料认定
10.相关制度文件(应包含信息安全 事件专项应急预案) 11.相关制度文件(应包含信息安全 突发事件应急处置机制) 12.相关制度文件(应包含企业内部 信息安全考核和奖惩制度) 13.相关制度文件(应包含重大信息 安全风险评估制度) 14.相关制度文件(应包含网络安全 事件报告制度) 15.相关制度文件(应包含网络安全 事件专项应急预案) 16.相关制度文件(应包含网络安全 突发事件应急处置机制) 17.工信部测试报告或证明材料(须 由分管网络与信息安全的公司领导 签字并盖公司章) 18.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 19.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 20.系统使用管理实施细则
2、云业务信息 安全管理系统 (100分)
系统使用与 运行维护 (20分)
是否能够充分利用信安系统对所接入的网站和信息进行 自主监测,并对发现的违法违规网站(如:未备案网站 依据证明文件认定 、黑名单网站等)与信息进行及时处置且留存相应记录 (2分) 是否按要求执行部级系统下达的违法信息监测与处置要 依据证明文件认定 求(3分) 是否对本系统的运行和对接情况进行7*24小时实时监 测,及时修复系统故障(3分)
3、网络与信息 安全管理制度建 设与完善 是否建立企业内部信息安全考核和奖惩制度(5分) (60分) 是否建立重大信息安全风险评估制度(5分)
是否建立信息安全突发事件应急处置机制(5分)
依据材料认定
依据材料认定
依据材料认定
是否建立网络安全事件报告制度(5分)
依据材料认定
是否制定网络安全事件专项应急预案(5分)
依据材料认定
44.工信部检测验证材料
依据材料认定
45.工信部检测验证材料
依据文件认定
46.相关制度文件 47.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司 章),说明:证明文件应包含相关 技术防护手段情况介绍 48.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 49.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章)
29.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 30.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 31.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司章) 32.系统使用管理实施细则 33.证明文件(须由分管网络与信息 安全的公司领导签字并盖公司 章),说明:证明文件应包含系统 使用管理部门名称 34.专职系统操作使用人员名单(须 由分管网络与信息安全的公司领导 签字并盖公司章)