增值电信业务经营许可网络信息安全保障审批要求.docVIP

云南省增值电信业务网络信息安全保障基本要求 根据《电信条例》、《电信服务规范》和《互联网信息服务管理办法》等政策法规要求，依照《电信业务分类目录》以及《增值电信业务网络信息安全保障基本要求》（YDN126-2007），为确保增值电信业务网络信息安全，特制定我省增值电信业务网络信息安全基本要求。在我省申办增值电信业务许可证，应提交以下信息安全保障相关材料： 一、安全管理制度 1．信息资源安全保障 1.1信息类资产安全管理制度 信息类资产（数据文件、系统文件、操作或执行程序、用户信息档案、业务信息等）清单；确定安全等级（一般信息、重要信息）、建立相应管理要求。 （一般信息：不会对业务运行产生重要影响的信息，例如WEB服务器上供用户浏览的信息、用户间传送的信息等；重要信息：影响业务运行的信息，例如系统配置信息、业务网络配置信息、用户业务日志、用户帐户信息等） 1.2信息发布安全管理制度 建立专人审核信息发布、有害信息投诉受理机制。 1.3信息交换安全管理制度 有措施保证信息交换的保密性和完整性。 2.硬件设备和环境安全保障 2.1机房安全管理制度 2.2物理设备安全管理制度 设备清单和安全等级；设备位置安全；电力供应安全；容量冗余足够。 第三方代为维护的提供维护合同。 2.3设备操作安全管理制度 设备操作规范；设备维修记录档案;设备运行记录编写制度。 托管的，与托管方签订操作安全方面的协议 3.网络安全保障措施 应采用防火墙等技术手段有效保护本地网络安全；对外屏蔽重要设备地址；关闭不相关的端口。 托管的应有网络安全保障协议 4.平台系统软件保障措施 4.1操作系统安全保障措施 系统安全防护能力（文件访问控制、用户权限级别；防病毒软件/硬件）；操作日志记录；备份功能；专人定时负责软件升级和补丁；弱口令管理；漏洞扫描（1次/月）、备份（1次/月）。 4.2数据库系统安全保障措施 数据库存取权限；口令安全管理；数据库安全功能；备份制度（1次/每月）；操作日志记录；故障恢复能力。 4.3业务应用系统安全保障措施 4.3.1通用性要求 访问权限分级；口令安全管理；日志记录；重要业务数据备份（1次/每月）；业务系统备份。 4.3.2业务安全管理 安全管理员联系方式；与主管部门建立处置机制；用户安全管理制度（与用户签订信息安全责任协议、用户资质证明） 4.3.3不同业务类型的业务安全管理（见附录） 二、安全事件应急处理预案 安全事件分级；安全事件监测和记录制度；高等级安全事件的应对处置措施；执行应急预案的联系人及联系方式；预案更新和演练制度。 附录 依照申请增值电信业务的不同，还需在业务系统性能方面满足以下要求： 1．ISP 业务可用性≥99.99% 业务平均恢复时间≤8小时，最长不超过12小时 业务日志至少保存60天 提供有效可靠的用户接入认证、授权和计费机制。 保存用户IP地址配置信息 2．信息服务业务 业务可用性≥99.99% 业务平均恢复时间≤8小时，最长不超过12小时 ICP企业要遵守《互联网信息服务管理办法》，建立有害信息过滤、屏蔽、删除和关闭机制 CP、SP设立专人和网络资源接受、处理垃圾短信投诉机制 建立用户业务认证、授权和计费机制 信息发布日志记录至少保存60天 用户使用日志记录至少保存60天 3．国内多方通信服务 具备有效机制保证发布合法信息 业务日志记录至少保存60天 4．在线数据处理与交易处理业务 业务可用性≥99.99% 业务平均恢复时间≤4小时，最长不超过8小时 采用加密和验证技术保证业务数据传输和存储安全 采用数字签名技术保证业务真实性 用户业务日志至少保存3个月 5．存储转发类业务 业务可用性≥99.99% 业务平均恢复时间≤4小时，最长不超过8小时 用户业务日志至少保存60天 6．因特网数据中心（IDC）业务 业务可用性≥99.95% 业务平均恢复时间≤4小时，最长不超过8小时 用户信息类资产安全保护措施 数据容灾备份方案 租用者信息审查和更新制度 能够提供信息发布安全检查技术支撑（虚拟主机服务IDC） 安全责任合同管理制度 能够准确区分、定位、拦截和中断特定IDC用户不同数据流 记录保存用户IP地址配置信息 用户登录日志至少保存60天 - 1 -