申请ISP增值电信业务经营许可.docVIP

申请ISP增值电信业务经营许可 网络信息安全专项审核材料要求 网络与信息安全保障措施应包含下列制度和措施： 一、信息安全管理组织机构设置及工作职责 企业负责人为网络与信息安全第一责任人，全面负责企业网络与信息安全工作；有明确的机构、职责，负责企业的网络安全与信息安全工作。要建立网络与信息安全监督检查制度，定期对企业的网络与信息安全工作和措施制度的落实、执行情况进行监督检查，及时完善健全网络与信息安全管理措施和制度。对发生网络与信息安全事件的责任部门、责任人员进行处理。 二、网络与信息安全管理人员配备情况及相应资质 申请企业应至少配备3人或以上网络与信息安全管理人员，并注明管理人员姓名、联系方式、职责分工，附管理人员身份证及资质证书复印件。网络安全人员应具有相应的专业技术资格（网络与信息安全从业资质或通信、计算机相关专业本科及以上学历证明）。 责任人 姓名 职务 办公电话 手机 邮箱 第一责任人 (公司负责人) 信息安全责任人 网络安全责任人 7*24小时值班电话 传真电话 三、网络信息安全管理责任制 在企业内部建立网络与信息安全管理责任制，网络与信息安全工作相应部门、岗位、人员均应签署网络与信息安全责任书，并附企业内部网络与信息安全责任书模板。责任书应明确网络与信息安全应遵守的规定、承担的责任、履行的义务，及违反规定相应处罚措施。 四、有害信息发现受理处置机制 应建立相应技术支撑系统，建立网络资源管理制度。为互联网站提供接入的ISP网络资源须从基础电信运营企业获得，不得为其他IDC、为网站提供接入服务的ISP企业提供网络资源；技术支撑系统应具有违法违规网站、信息的发现、处置能力；建立有害信息、关键字动态管理机制；建立网站备案接入流程，严格执行先备案后接入的规定，严禁为未备案网站提供接入备案信息虚假及违法违规网站提供接入，增值电信业务系统相关安全防护定级要求定级 （二）企业自建机房，应建立机房安全管理制度，明确设备清单和安全等级，设备位置安全，电力供应安全，机房出入管理，机房环境管理等内容。 （三）设备操作安全管理制度，应明确岗位操作权限，操作设备范围、操作内容，并建立操作日志记录（含操作内容），实行操作密码管理（专用账户、专用密码，密码应使用英文字母加数字或符号混合设置）等内容。 （四）网络设备运行维护制度，应明确维护部门，维护内容、维护周期，系统功能检测周期，建立重要系统的备份维护管理制度，防火墙等安全措施管理制度，用户日志留存系统维护制度等。 九、网络安全事件应急处置和报告制度 （一）明确网络安全应急处置责任部门和人员； （二）制定网络安全应急预案，在预案中明确网络安全事件处理流程及程序，网络安全应急处置的措施和手段； （三）留存证据并分析事件原因，在有关部门调查时予以提供； （四）重大网络安全事件应于2小时内向政府有关部门报告； （五）如发生重大网络安全事件应第一时间采取措施，将危害影响控制在最小范围，及时进行原因分析，制定解决方案，在安全隐患未彻底消除前，不得恢复系统运行。 十、有害信息发现和过滤技术手段 按照《工业和信息化部关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告 （一）应采用与网络安全防护等级相适应的防火墙等技术手段有效保护本地网络安全，对外屏蔽重要设备地址。 （二）操作系统安全保障措施包含：系统安全防护措施（文件访问控制、用户权限级别、防病毒软件/硬件），操作日志记录，专人定期负责系统、软件的升级和补丁，实行密码管理（密码设置不能使用纯数字等简单密码，须使用英文字母加数字或符号的混合密码，并定期修改），定期进行漏洞扫描，并在扫描检测完成后，建立检测档案，详细记录漏洞检测结果及实施的补救措施与安全策略。 （三）数据库安全保障措施应包含：数据库存取权限，口令安全管理，数据库安全防护，数据库定期备份，操作日志记录，故障恢复能力等。 十三、安全联络员变动承诺 需明确联络员及联络员联系方式，并承诺联络员或联络员联系方式发生变更后两个工作日内主动向山西省通信管理局书面报告。 附件 网络安全防护基本信息表 企业名称 网络单元类型 □门户综合网站系统 □即时通信系统 □ 网络交易系统 □信息社区服务系统 □互联网内容分发网络 □ 搜索系统 □互联网接入服务系统 □互联网数据中心 □邮件系统 □移动互联网应用商店 □域名服务系统 □其他业务系统 网络单元1 定级情况 网络单元 （名称） 项目 赋值 对应详细指标说明 社会影响力 I 社会影响力指标 规模和服务范围R 规模和服务范围指标 所提供服务的重要性V 所提供服务的重要性指标