申请IDC增值电信业务经营许可.docVIP

PAGE \* MERGEFORMAT 7 申请IDC增值电信业务经营许可 网络信息安全专项审核材料要求 网络与信息安全保障措施应包含下列制度和措施： 一、信息安全管理组织机构设置及工作职责 企业负责人为网络与信息安全第一责任人，全面负责企业网络与信息安全工作；有明确的机构、职责，负责企业的网络安全与信息安全工作。要建立网络与信息安全监督检查制度，定期对企业的网络与信息安全工作和措施制度的落实、执行情况进行监督检查，及时完善健全网络与信息安全管理措施和制度。对发生网络与信息安全事件的责任部门、责任人员进行处理。 二、网络与信息安全管理人员配备情况及相应资质 申请企业应至少配备3人或以上网络与信息安全管理人员，并注明管理人员姓名、联系方式、职责分工并附上管理人员身份证及资质证书复印件。每接入1万个网站至少配备2名专职信息安全工作人员；接入不足1万个网站的，按1万个计算。网络安全人员应具有相应的专业技术资格（网络与信息安全从业资质或通信、计算机相关专业本科及以上学历证明）。 责任人 姓名 职务 办公电话 手机 邮箱 第一责任人 (公司负责人) 信息安全责任人 网络安全责任人 7*24小时值班电话 传真电话 三、网络信息安全管理责任制 在企业内部建立网络与信息安全管理责任制，网络与信息安全工作相应部门、岗位、人员均应签署网络与信息安全责任书，并附企业内部网络与信息安全责任书模板。责任书应明确网络与信息安全应遵守的规定、承担的责任、履行的义务，及违反规定相应的处罚措施。 四、有害信息发现受理处置机制 建立相应技术支撑系统，具有违法违规网站、信息的发现、处置能力；建立有害信息、关键字动态管理机制；建立网站备案接入流程，严格执行先备案后接入的规定，严禁为未备案网站提供接入，严禁为备案信息虚假及违法违规网站提供接入，严禁为列入黑名单的主体和网站提供接入；建立代报备网站用户信息动态维护更新制度，确保备案信息真实有效；建立网络资源管理制度，网络资源须从基础电信运营企业获得，不得为其他IDC、为网站提供接入服务的ISP企业提供网络资源。 五、有害信息投诉受理处置机制 有明确的受理方式，包括电话、QQ、电子邮箱等，有明确的受理部门、人员、有害信息处理机制和流程，并建立相应的制度和措施,及时完善机制，防止同类问题的再次发生。 六、重大信息安全事件应急处置和报告制度 发生重大信息安全事件后应在第一时间采取有效措施，将危害影响控制在最小范围。要明确重大信息安全事件处理的责任部门、人员、流程、采取的措施、处理和报告的时限，并做好证据留存、原因分析、措施完善工作，积极配合有关部门做好重大信息安全事件的调查和处理。 七、网络信息安全管理政策和业务培训制度 本制度应明确网络信息安全管理政策和业务培训的组织部门，培训的内容和计划、培训周期、范围，并对培训效果进行考核、检查，建立企业培训档案。 八、网络安全防护制度 （一）填写《网络安全防护基本信息表》（详见附件），依据《通信网络安全防护管理办法》（工业和信息化部令第11号）要求，根据系统所属类型，按照增值电信业务系统相关网络安全防护定级要求进行定级，并在系统建设、运行、维护中按照相关行业标准执行。 （二）企业自建机房，应建立机房安全管理制度，明确设备清单和安全等级，设备位置安全，电力供应安全，机房出入管理，机房环境管理等内容。并按照《工业和信息化部关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》（工信部电管函〔2012〕552号）要求，通过电信监管部门认可机构的“IDC机房运行安全”评测。 （三）设备操作安全管理制度，应明确岗位操作权限、操作设备范围、操作内容，并建立操作日志记录（含操作内容），实行操作密码管理（专用账户、专用密码，密码应使用英文字母加数字或符号混合设置）等内容。 （四）网络设备运行维护制度，应明确维护部门，维护内容、维护周期、系统功能检测周期，建立重要系统的备份维护管理制度，防火墙等安全措施管理制度，用户日志留存系统维护制度等。 九、网络安全事件应急处置和报告制度 （一）明确网络安全应急处置责任部门和人员； （二）制定网络安全应急预案，在预案中明确网络安全事件处理流程及程序，网络安全应急处置的措施和手段； （三）留存证据并分析事件原因，在有关部门调查时予以提供； （四）重大网络安全事件应于2小时内向政府有关部门报告； （五）如发生重大网络安全事件应第一时间采取措施，将危害影响控制在最小范围，及时进行原因分析，制定解决方案，在安全隐患未彻底消除前，不得恢复系统运行。 十、有害信息发现和过滤技术手段 按照《工业和信息化部关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通告》（工信部电管函〔2012〕552号）要求和相关技术标准，建立 “ICP/IP地址/