网络与信息安全保障措施应包含下列制度和措施-山西省通信管理局.docVIP

申请ICP增值电信业务经营许可 网络信息安全专项审核材料要求 网络与信息安全保障措施应包含下列制度和措施： 一、信息安全管理组织机构设置及工作职责 企业负责人为网络与信息安全第一责任人，全面负责企业网络与信息安全工作；有明确的机构、职责，负责企业的网络安全与信息安全工作。要建立网络与信息安全监督检查制度，定期对企业的网络与信息安全工作和措施制度的落实、执行情况进行监督检查，及时完善健全网络与信息安全管理措施和制度。对发生网络与信息安全事件的责任部门、责任人员进行处理。 二、网络与信息安全管理人员配备情况及相应资质 申请企业应至少配备3人或以上网络与信息安全管理人员，并注明管理人员姓名、联系方式、职责分工，附管理人员身份证及资质证书复印件。网络安全人员应具有相应的专业技术资格（网络与信息安全从业资质或通信、计算机相关专业本科及以上学历证明）。 责任人 姓名 职务 办公电话 手机 邮箱 第一责任人 (公司负责人) 信息安全责任人 网络安全责任人 7*24小时值班电话 传真电话 三、网络信息安全管理责任制 在企业内部建立网络与信息安全管理责任制，网络与信息安全工作相应部门、岗位、人员均应签署网络与信息安全责任书，并附企业内部网络与信息安全责任书模板。责任书应明确网络与信息安全应遵守的规定、承担的责任、履行的义务，及违反规定相应的处罚措施。 四、有害信息发现受理处置机制 要具有信息审核发布制度，明确信息审核人员和审核标准、审核流程，建立信息审核发布日志；建立信息内容巡查制度，明确巡查人员、巡查周期、巡查范围，并建立对巡查发现问题的处理机制和流程。 五、有害信息投诉受理处置机制 有明确的受理方式，包括电话、QQ、电子邮箱等，有明确的受理部门、人员、有害信息处理机制和流程，并建立相应的制度和措施,及时完善机制，防止同类问题的再次发生。 六、重大信息安全事件应急处置和报告制度 发生重大信息安全事件后应在第一时间采取有效措施，将危害影响控制在最小范围。要明确重大信息安全事件处理的责任部门、人员、流程、采取的措施、处理和报告的时限，并做好证据留存、原因分析、措施完善工作，积极配合有关部门做好重大信息安全事件的调查和处理。 七、网络信息安全管理政策和业务培训制度 本制度应明确网络信息安全管理政策和业务培训的组织部门，培训的内容和计划、培训周期、范围，并对培训效果进行考核、检查，建立企业培训档案。 八、网络安全防护制度 （一）填写《网络安全防护基本信息表》（详见附件），依据《通信网络安全防护管理办法》（工业和信息化部令第11号）要求，根据系统所属类型，按照增值电信业务系统相关网络安全防护定级要求进行定级，并在系统建设、运行、维护中按照相关行业标准执行。 （二）企业自建机房，应建立机房安全管理制度，明确设备清单和安全等级，设备位置安全，电力供应安全，机房出入管理，机房环境管理等内容。 （三）设备操作安全管理制度，应明确岗位操作权限、操作设备范围、操作内容，并建立操作日志记录（含操作内容），实行操作密码管理（专用账户、专用密码，密码应使用英文字母加数字或符号混合设置）等内容。 （四）网络设备运行维护制度，应明确维护部门，维护内容、维护周期、系统功能检测周期，建立重要系统的备份维护管理制度，防火墙等安全措施管理制度，用户日志留存系统维护制度等。 九、网络安全事件应急处置和报告制度 （一）明确网络安全应急处置责任部门和人员； （二）制定网络安全应急预案，在预案中明确网络安全事件处理流程及程序，网络安全应急处置的措施和手段； （三）留存证据并分析事件原因，在有关部门调查时予以提供； （四）重大网络安全事件应于2小时内向政府有关部门报告； （五）如发生重大网络安全事件应第一时间采取措施，将危害影响控制在最小范围，及时进行原因分析，制定解决方案，在安全隐患未彻底消除前，不得恢复系统运行。 十、有害信息发现和过滤技术手段 要建立信息内容、关键词过滤系统，建立关键词的维护管理机制，明确系统的维护、管理和使用部门，并定期对过滤功能进行检测。 十一、用户日志留存所采用的技术手段 建立用户日志留存系统，明确系统的维护管理部门，定期检测系统功能，具备用户日志数据备份和恢复功能，用户日志留存时限不得低于60日，并妥善保护用户日志留存数据，不得发生侵害用户隐私、信息泄露等问题。 十二、网络安全防护技术手段 网络安全防护重点解决操作系统、数据库和WEB、WAP服务器等系统安全问题，建立安全的系统运行平台，有效抵抗黑客利用系统的安全缺陷对系统进行攻击，主要措施包括： （一）应采用与网络安全防护等级相适应的防火墙等技术手段有效保护网络安全，对外屏蔽重要设备地址。 （二）操作系统安全保障措施包含：系统安全防护措施（文件访问控制、用户权限级别、