2019年子公司网络与信息安全通用考核要点与评分标准
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019年子公司网络与信息安全通用考核要点与评分标准
说明:总分为600分,在线、云数据、国际和物联网公司满分折合为3分(考核总分/200),其它单位满分折合为6分(考核总分/100)。
考核指标
指标描述
考核要求
评分标准
备注
明确网络与信息安全管理部
1、网络与信息 安全机构
门,负责本公司网络与信息安 全工作,制定网络与信息安全 规章制度,组织开展监督检查
与责任考核工作。
须正式印发文件来明确本单位网络与 信息安全工作的管理部门。
1、正式印发文件且发文不晚于 6月30日,不扣分; 2、正式印发文件但发文晚于6 月30日,扣20分; 3、已明确管理部门但未正式印 发文件,扣40分; 4、未明确管理部门,扣60分
一、网络
信息安全
机构人员
(120分)
配备相应网络与信息安全专职
2、网络与信息 工作人员,负责相关技术手段
安全专职人员 建设及使用管理、系统安全防
配备与培训 护、安全应急保障、开展教育
培训工作。
专职人员须明确岗位
依据用户与业务规模、系统平台数 1、完全满足不扣分;
职责,岗位职责至少
量与重要性,各单位网络与信息安全 2、有但少于100%扣30分;
包括数据安全管理、
专职人员配备要求:
3、无专职人员扣50分。
新技术新业务安全评
联通在线公司、云数据公司、国际 4、4项职责(数据安全管理、新 估、系统安全防护、
公司、(联通在线)小沃科技公司、物 技术新业务安全评估、系统安 网络与信息安全应急
联网公司、集成公司、软件研究院、 全防护、网络与信息安全应急 处置。(上述岗位名
支付公司、大数据公司不少于5人;其 处置)未明确负责人员的,每缺 单须于6月30日前提
它单位不少于3人;
一项扣5分。
交集团公司信息安
全部)
落实网络与信息安全培训制度,年内 组织网络与信息安全人员开展教育培 每少一次扣5分。 训次数不少于2次。
须提供培训记录
二、网络 信息安全 责任制 (40分)
网络与信息安 全管理制度
依据《基础电信企业信息安全 责任管理办法(试行)》、《 关于加强电信和互联网行业网 络安全工作的指导意见》,建 立企业网络与信息安全管理工 作机制和制度。
须建立如下制度: 1、网络与信息安全责任管理制度; 2、网络与信息安全事件报告制度; 3、网络与信息安全应急预案; 4、网络与信息安全突发事件(含数据 和用户信息泄露)应急处置机制; 5、网络与信息安全考核和奖惩制度。 6、网络与系统安全问题(含漏洞)闭环 每少一项扣5分。 管理制度 7、数据安全和用户个人信息保护管理 制度(应涵盖数据收集、使用、传输 、存储、共享、删除等环节,包含分 级分类、访问控制、日志记录、操作 审计、应急响应、责任追究等内容 。)
须有正式印发文件且 发文不晚于6月30日
三、新技 术新业务 安全评估 (80分)
依据《中国联通互联网新业务
1、制度体系建 设
安全评估管理办法》规定,和 工信部相关要求将安全评估工 作要求纳入企业新业务上线全
周期管理流程。
应按照工信部、集团公司管理
2、新业务安全 办法和本单位规定,对互联网
评估实践
新业务开展安全评估实践。并
建立评估台账。
须对以下要求建立相应制度: 1.本单位评估管理办法,明确牵头部 门、评估流程,并体现工信部和集团 公司评估的相关要求; 2.将业务安全评估工作纳入新业务上 线审批流程,不评估不能上线运营。
按照要求对互联网新业务(含上线运 营三年内的业务)开展安全评估实 践,并建立评估台账。
1、有正式印发文件,括号中的
5项每少一项扣5分(牵头部门、 评估流程、将业务安全评估工 作纳入新业务上线管理流程、 业务重大变化定期核查);
须有正式印发文件 (发文不晚于6月30 日)
2、无正式印发文件的扣30分。
1、新业务未完成安全评估即上
线,每发现一项扣10分。
2、未按照行业主管部门要求开
展评估实践的,每发生一起扣 1、评估台账模板另
10分。
发;
3、已上线业务未定期自查,每 2、每半年向集团提
发现一项扣5分。
交。
4、评估台账不完整或不准确扣
5分;
5、无评估台账,扣10分。
应当按照《电信网和互联网信
息服务业务系统安全防护要求
四、网络 信息安全
1、系统安全防 护能力
》和集团公司有关系统防护 要,具备与业务系统重要性相 匹配的防DDoS攻击、防入侵、
技术保障
网页防篡改、数据防泄露的能
措施(60
力。
分)
2、落实三同步 要求
网络信息安全与业务发展应同 步规划、同步建设、同步运行 。
业务系统和具有公网访问地址的系统 均需具备防入侵、网页防篡改、数据 防泄漏的能力。
网络与信息安全管理技术手段对运营 网络和业务要求全覆盖
1、完全符合不扣分; 2、基本符合扣15分; 3、不符合扣30分。
每发现一次未同步覆盖,扣5 分,扣完为止。
1、定级
按照工信部和集团公司运行维 护部要求对上线运营的网络单 元进行定级。
按照运行维护【2018】67号要求完成 定级备案。
应进行定级而未定级的网络单 元,每发现1个扣5分;
2、备案
按照工信部和集团公司运行维 护部要求对已定级的网络单元 进行备案。
按照运行维护【2018】67号要求完成 定级备案。
1、应进行备案而未备案的网络 单元,每发现1个扣5分; 2、备案信息不准确的网络单 元,每发现1个扣3分。
3、符合性评测 对已定级备案的网络单元开展 符合性评测。
按照工信部和集团公司运行维护部要 求,对已定级备案的网络单元开展符 合性评测。
应进行符合性评测自查而未评 测的网络单元,每发现1个扣5 分。
4、风险评估
对已定级备案的网络单元开展 安全风险评估。
按照工信部和集团公司运行维护部要 求,对已定级备案的网络单元开展安 全风险评估。
应进行风险评估自查而未评估 的网络单元,每发现1个扣5分 。
五、网络 与系统安 全防护 (160分)
五、网络 与系统安 全防护 (160分)
对工信部等主管部门和集团公 司通报的网络安全问题及系统 漏洞要按照要求处置整改
本单位要做好网络与系统安全防护, 并对工信部等主管部门和集团公司通 报的网络安全问题及系统漏洞及时处 置整改。
首次被通报系统安全问题不扣 分,再次发现问题时,每发现1 项扣2分;若发现已通报但仍未 整改的问题,每发现1项扣4分 。
5、网络安全问 题与系统漏洞
处置
按照第十七条、第十九条的要 求,接受电信主管部门和集团 公司网络安全远程检测和现场 检查。
应当按照第十七条、第十九条的要 求,接受电信主管部门的网络安全远 程检测和现场检查。 说明:现场检查重点检查法律法规的 落实情况、网络安全防护系列标准的 达标情况、评估网络安全漏洞问题的 风险情况
现场检查发现问题:
1、每发现1项未按要求进行定 1、本项与“网络与
级备案、符合性评测或风险评 系统安全防护”1至4
估等法律法规问题,扣2分; 项同时符合扣分条件
2、每发现1项标准不达标扣1 的,按照从高的原则
分;
扣分;
3、每发现1处安全漏洞,高危 2、全年无扣分事项
扣2分、中危扣1分、弱口令扣1 发生的,年度考核成
分;若位于重要设备上,扣分 绩加30分,但不超过
加倍;发现重大安全漏洞可导 总扣分值
致用户信息泄漏、设备服务器
受控、业务中断、网络中断
等,每1处扣5分;
4、发现存在恶意代码或后门程
序未处置,或从网络单元外获
取网络单元内设备的管理员权
限或重要数据,扣10分;
5、未建立集中化网络安全问题
闭环管理机制,实现定期巡查
、整改核验、考核问责等要求
的,扣5分。
六、个人 信息保护 (60分)
数据安全和用 户个人信息保 护(60分)
明确数据安全管理牵头责任部门及职
责;建立数据安全和用户个人信息保
按照《网络安全法》《电信和 互联网用户个人信息保护规定 》《工业和信息化部关于加强 基础电信企业数据安全管理 规 范清理数据对外合作工作的通 知》(工信厅网安函〔2018〕 315号)的相关要求,开展数据 安全和用户个人信息保护工作 。
护管理制度;健全完善安全防护技术 措施;按照电信主管部门相关标准和 集团公司要求完成合规性评估;定期 (至少每年一次)对工作人员进行用 户个人信息保护相关知识、技能和安 全责任的相关培训;每年至少开展一 次数据安全和个人信息保护情况自 查,及时消除自查中发现的安全隐 患;健全重大突发数据安全事件应急 响应机制;对重大数据安全事件要立
即采取有效补救措施,及时向电信主
管部门和集团公司报告。
1、用户数据安全和
用户信息保护情况自
以下情况,每发生一项扣5分。 查报告应包括本单位
1、未在6月30日前正式发文明 的用户信息类型和数
确数据安全和用户信息保护的 量统计、用户信息出
责任部门及职责的;
境的类型和数量统计
2、未完成数据安全和用户信息 、自查发现的安全隐
保护合规性评估的;
患、整改情况。不符
3、未对工作人员进行用户个人 合上述要求的,视作
信息保护相关知识、技能和安 未自查。
全责任的相关培训的;
2、合作安全协议应
4、未开展数据安全和用户信息 明确合作方的数据使
保护情况自查的;
用权限、期限、安全
5、对外合作涉及敏感数据和用 保护责任、必要的安
户信息(含业务使用信息)不 全保护措施以及违约
签订安全协议的。
责任和处罚条款,不
符合上述要求的,视
作未签订安全协议。
七、突发 事件应急 处置(80 分)
突发事件报告 处置
做好事件报告、应急处置和重 要信息系统保障支撑。
发生以下事件的,发生一次扣20分,最多扣80分: (1)发生安全突发事件时,未按照相关要求(即不得迟报、漏报、瞒 报)及时准确向集团公司报告,并及时采取应急处置措施; (2)未按照电信主管部门或集团公司要求做好应急处置等保障工作。
八、网络 与信息安 全事故
网络与信息安 全事件发生
是否因未落实网络与信息安全 责任和防护措施而导致发生特 重大网络安全事件。
发生以下事件的,对照事件分值扣分: (1)发生特别重大网络与信息安全事件,发生一次扣100分; (2)发生特别重大网络与信息安全事件,发生一次扣75分; (3)发生较大网络与信息安全事件,发生一次扣50分; (4)发生一般网络与信息安全事件,发生一次扣25分; 另外,因发生网络安全或数据安全事件,受到电信主管部门行政处罚 或通报批评的(含集团公司通报批评),被通报一次扣50分;被处罚 一次扣100分(注4)。
1、安全事件分级标 准参见《工业和信息 化部关于印发<公共 互联网网络安全突发 事件应急预案>的通 知》(工信部网安〔 2017〕281号); 2、如同时满足多项 扣分指标,以扣分分 值最高项为准。
说明:总分为600分,在线、云数据、国际和物联网公司满分折合为3分(考核总分/200),其它单位满分折合为6分(考核总分/100)。
考核指标
指标描述
考核要求
评分标准
备注
明确网络与信息安全管理部
1、网络与信息 安全机构
门,负责本公司网络与信息安 全工作,制定网络与信息安全 规章制度,组织开展监督检查
与责任考核工作。
须正式印发文件来明确本单位网络与 信息安全工作的管理部门。
1、正式印发文件且发文不晚于 6月30日,不扣分; 2、正式印发文件但发文晚于6 月30日,扣20分; 3、已明确管理部门但未正式印 发文件,扣40分; 4、未明确管理部门,扣60分
一、网络
信息安全
机构人员
(120分)
配备相应网络与信息安全专职
2、网络与信息 工作人员,负责相关技术手段
安全专职人员 建设及使用管理、系统安全防
配备与培训 护、安全应急保障、开展教育
培训工作。
专职人员须明确岗位
依据用户与业务规模、系统平台数 1、完全满足不扣分;
职责,岗位职责至少
量与重要性,各单位网络与信息安全 2、有但少于100%扣30分;
包括数据安全管理、
专职人员配备要求:
3、无专职人员扣50分。
新技术新业务安全评
联通在线公司、云数据公司、国际 4、4项职责(数据安全管理、新 估、系统安全防护、
公司、(联通在线)小沃科技公司、物 技术新业务安全评估、系统安 网络与信息安全应急
联网公司、集成公司、软件研究院、 全防护、网络与信息安全应急 处置。(上述岗位名
支付公司、大数据公司不少于5人;其 处置)未明确负责人员的,每缺 单须于6月30日前提
它单位不少于3人;
一项扣5分。
交集团公司信息安
全部)
落实网络与信息安全培训制度,年内 组织网络与信息安全人员开展教育培 每少一次扣5分。 训次数不少于2次。
须提供培训记录
二、网络 信息安全 责任制 (40分)
网络与信息安 全管理制度
依据《基础电信企业信息安全 责任管理办法(试行)》、《 关于加强电信和互联网行业网 络安全工作的指导意见》,建 立企业网络与信息安全管理工 作机制和制度。
须建立如下制度: 1、网络与信息安全责任管理制度; 2、网络与信息安全事件报告制度; 3、网络与信息安全应急预案; 4、网络与信息安全突发事件(含数据 和用户信息泄露)应急处置机制; 5、网络与信息安全考核和奖惩制度。 6、网络与系统安全问题(含漏洞)闭环 每少一项扣5分。 管理制度 7、数据安全和用户个人信息保护管理 制度(应涵盖数据收集、使用、传输 、存储、共享、删除等环节,包含分 级分类、访问控制、日志记录、操作 审计、应急响应、责任追究等内容 。)
须有正式印发文件且 发文不晚于6月30日
三、新技 术新业务 安全评估 (80分)
依据《中国联通互联网新业务
1、制度体系建 设
安全评估管理办法》规定,和 工信部相关要求将安全评估工 作要求纳入企业新业务上线全
周期管理流程。
应按照工信部、集团公司管理
2、新业务安全 办法和本单位规定,对互联网
评估实践
新业务开展安全评估实践。并
建立评估台账。
须对以下要求建立相应制度: 1.本单位评估管理办法,明确牵头部 门、评估流程,并体现工信部和集团 公司评估的相关要求; 2.将业务安全评估工作纳入新业务上 线审批流程,不评估不能上线运营。
按照要求对互联网新业务(含上线运 营三年内的业务)开展安全评估实 践,并建立评估台账。
1、有正式印发文件,括号中的
5项每少一项扣5分(牵头部门、 评估流程、将业务安全评估工 作纳入新业务上线管理流程、 业务重大变化定期核查);
须有正式印发文件 (发文不晚于6月30 日)
2、无正式印发文件的扣30分。
1、新业务未完成安全评估即上
线,每发现一项扣10分。
2、未按照行业主管部门要求开
展评估实践的,每发生一起扣 1、评估台账模板另
10分。
发;
3、已上线业务未定期自查,每 2、每半年向集团提
发现一项扣5分。
交。
4、评估台账不完整或不准确扣
5分;
5、无评估台账,扣10分。
应当按照《电信网和互联网信
息服务业务系统安全防护要求
四、网络 信息安全
1、系统安全防 护能力
》和集团公司有关系统防护 要,具备与业务系统重要性相 匹配的防DDoS攻击、防入侵、
技术保障
网页防篡改、数据防泄露的能
措施(60
力。
分)
2、落实三同步 要求
网络信息安全与业务发展应同 步规划、同步建设、同步运行 。
业务系统和具有公网访问地址的系统 均需具备防入侵、网页防篡改、数据 防泄漏的能力。
网络与信息安全管理技术手段对运营 网络和业务要求全覆盖
1、完全符合不扣分; 2、基本符合扣15分; 3、不符合扣30分。
每发现一次未同步覆盖,扣5 分,扣完为止。
1、定级
按照工信部和集团公司运行维 护部要求对上线运营的网络单 元进行定级。
按照运行维护【2018】67号要求完成 定级备案。
应进行定级而未定级的网络单 元,每发现1个扣5分;
2、备案
按照工信部和集团公司运行维 护部要求对已定级的网络单元 进行备案。
按照运行维护【2018】67号要求完成 定级备案。
1、应进行备案而未备案的网络 单元,每发现1个扣5分; 2、备案信息不准确的网络单 元,每发现1个扣3分。
3、符合性评测 对已定级备案的网络单元开展 符合性评测。
按照工信部和集团公司运行维护部要 求,对已定级备案的网络单元开展符 合性评测。
应进行符合性评测自查而未评 测的网络单元,每发现1个扣5 分。
4、风险评估
对已定级备案的网络单元开展 安全风险评估。
按照工信部和集团公司运行维护部要 求,对已定级备案的网络单元开展安 全风险评估。
应进行风险评估自查而未评估 的网络单元,每发现1个扣5分 。
五、网络 与系统安 全防护 (160分)
五、网络 与系统安 全防护 (160分)
对工信部等主管部门和集团公 司通报的网络安全问题及系统 漏洞要按照要求处置整改
本单位要做好网络与系统安全防护, 并对工信部等主管部门和集团公司通 报的网络安全问题及系统漏洞及时处 置整改。
首次被通报系统安全问题不扣 分,再次发现问题时,每发现1 项扣2分;若发现已通报但仍未 整改的问题,每发现1项扣4分 。
5、网络安全问 题与系统漏洞
处置
按照第十七条、第十九条的要 求,接受电信主管部门和集团 公司网络安全远程检测和现场 检查。
应当按照第十七条、第十九条的要 求,接受电信主管部门的网络安全远 程检测和现场检查。 说明:现场检查重点检查法律法规的 落实情况、网络安全防护系列标准的 达标情况、评估网络安全漏洞问题的 风险情况
现场检查发现问题:
1、每发现1项未按要求进行定 1、本项与“网络与
级备案、符合性评测或风险评 系统安全防护”1至4
估等法律法规问题,扣2分; 项同时符合扣分条件
2、每发现1项标准不达标扣1 的,按照从高的原则
分;
扣分;
3、每发现1处安全漏洞,高危 2、全年无扣分事项
扣2分、中危扣1分、弱口令扣1 发生的,年度考核成
分;若位于重要设备上,扣分 绩加30分,但不超过
加倍;发现重大安全漏洞可导 总扣分值
致用户信息泄漏、设备服务器
受控、业务中断、网络中断
等,每1处扣5分;
4、发现存在恶意代码或后门程
序未处置,或从网络单元外获
取网络单元内设备的管理员权
限或重要数据,扣10分;
5、未建立集中化网络安全问题
闭环管理机制,实现定期巡查
、整改核验、考核问责等要求
的,扣5分。
六、个人 信息保护 (60分)
数据安全和用 户个人信息保 护(60分)
明确数据安全管理牵头责任部门及职
责;建立数据安全和用户个人信息保
按照《网络安全法》《电信和 互联网用户个人信息保护规定 》《工业和信息化部关于加强 基础电信企业数据安全管理 规 范清理数据对外合作工作的通 知》(工信厅网安函〔2018〕 315号)的相关要求,开展数据 安全和用户个人信息保护工作 。
护管理制度;健全完善安全防护技术 措施;按照电信主管部门相关标准和 集团公司要求完成合规性评估;定期 (至少每年一次)对工作人员进行用 户个人信息保护相关知识、技能和安 全责任的相关培训;每年至少开展一 次数据安全和个人信息保护情况自 查,及时消除自查中发现的安全隐 患;健全重大突发数据安全事件应急 响应机制;对重大数据安全事件要立
即采取有效补救措施,及时向电信主
管部门和集团公司报告。
1、用户数据安全和
用户信息保护情况自
以下情况,每发生一项扣5分。 查报告应包括本单位
1、未在6月30日前正式发文明 的用户信息类型和数
确数据安全和用户信息保护的 量统计、用户信息出
责任部门及职责的;
境的类型和数量统计
2、未完成数据安全和用户信息 、自查发现的安全隐
保护合规性评估的;
患、整改情况。不符
3、未对工作人员进行用户个人 合上述要求的,视作
信息保护相关知识、技能和安 未自查。
全责任的相关培训的;
2、合作安全协议应
4、未开展数据安全和用户信息 明确合作方的数据使
保护情况自查的;
用权限、期限、安全
5、对外合作涉及敏感数据和用 保护责任、必要的安
户信息(含业务使用信息)不 全保护措施以及违约
签订安全协议的。
责任和处罚条款,不
符合上述要求的,视
作未签订安全协议。
七、突发 事件应急 处置(80 分)
突发事件报告 处置
做好事件报告、应急处置和重 要信息系统保障支撑。
发生以下事件的,发生一次扣20分,最多扣80分: (1)发生安全突发事件时,未按照相关要求(即不得迟报、漏报、瞒 报)及时准确向集团公司报告,并及时采取应急处置措施; (2)未按照电信主管部门或集团公司要求做好应急处置等保障工作。
八、网络 与信息安 全事故
网络与信息安 全事件发生
是否因未落实网络与信息安全 责任和防护措施而导致发生特 重大网络安全事件。
发生以下事件的,对照事件分值扣分: (1)发生特别重大网络与信息安全事件,发生一次扣100分; (2)发生特别重大网络与信息安全事件,发生一次扣75分; (3)发生较大网络与信息安全事件,发生一次扣50分; (4)发生一般网络与信息安全事件,发生一次扣25分; 另外,因发生网络安全或数据安全事件,受到电信主管部门行政处罚 或通报批评的(含集团公司通报批评),被通报一次扣50分;被处罚 一次扣100分(注4)。
1、安全事件分级标 准参见《工业和信息 化部关于印发<公共 互联网网络安全突发 事件应急预案>的通 知》(工信部网安〔 2017〕281号); 2、如同时满足多项 扣分指标,以扣分分 值最高项为准。