2018年基础电信企业网络与信息安全考核要点.docx

2018年基础电信企业网络与信息安全考核要点

?一、引言

随着信息技术的飞速发展，基础电信企业在国民经济和社会发展中的地位日益重要，其网络与信息安全状况直接关系到国家安全、经济安全和社会稳定。为进一步加强基础电信企业网络与信息安全管理，提升网络与信息安全保障能力，制定2018年基础电信企业网络与信息安全考核要点具有重要意义。

二、考核目标

本次考核旨在推动基础电信企业落实网络与信息安全责任，完善网络与信息安全管理体系，提升网络与信息安全防护水平，有效防范和应对各类网络与信息安全风险，保障基础电信网络稳定运行和用户信息安全。

三、考核内容

（一）网络与信息安全管理体系

1.安全管理制度建设

-企业应建立健全网络与信息安全管理制度，包括安全策略、操作规程、应急处置等方面，确保制度覆盖全面、内容合理、具有可操作性。

-考核要点：检查制度是否完善，是否与国家法律法规和行业标准相符合，制度的执行情况是否良好。

2.安全管理机构与人员

-设立专门的网络与信息安全管理机构，明确各部门和人员的安全职责，配备足够的专业安全管理人员。

-考核要点：查看机构设置文件，人员配备是否满足业务需求，人员安全培训和考核记录是否齐全。

3.安全管理流程

-建立规范的安全管理流程，涵盖安全规划、建设、运行、维护、监督等环节，确保各项安全管理工作有序开展。

-考核要点：审查安全管理流程文档，检查流程的执行是否严格，是否有相应的记录和审计机制。

（二）网络安全防护

1.网络架构安全

-优化网络架构，确保网络拓扑合理，具备冗余备份和安全隔离措施，防止网络攻击导致的全网瘫痪。

-考核要点：评估网络架构的合理性，检查关键节点的冗余备份情况，网络边界的安全隔离效果。

2.网络访问控制

-实施严格的网络访问控制策略，对用户、设备和应用进行身份认证和授权管理，防止非法访问。

-考核要点：检查访问控制策略的配置，身份认证和授权机制的有效性，违规访问的监测和处置情况。

3.网络入侵检测与防范

-部署网络入侵检测系统（IDS）或入侵防范系统（IPS），实时监测和防范网络入侵行为。

-考核要点：查看IDS/IPS的运行情况，入侵事件的检测和阻断能力，系统的误报率和漏报率。

4.网络安全审计

-建立网络安全审计系统，对网络操作和事件进行审计记录，以便及时发现和追溯安全问题。

-考核要点：检查审计系统的功能完整性，审计记录的保存期限和可查询性，审计结果的分析和利用情况。

（三）信息安全防护

1.数据安全保护

-采取数据加密、访问控制、备份恢复等措施，保护用户数据和企业敏感信息的安全。

-考核要点：评估数据加密算法的强度，数据访问控制的精细程度，数据备份的策略和执行情况，数据恢复演练的效果。

2.应用系统安全

-对企业的各类应用系统进行安全评估和加固，防止应用系统漏洞被利用导致信息泄露。

-考核要点：检查应用系统的安全漏洞扫描报告，漏洞修复情况，应用系统的安全配置是否符合要求。

3.移动互联网安全

-加强移动互联网业务的安全管理，包括移动终端安全、移动应用安全等方面。

-考核要点：查看移动终端的安全管控措施，移动应用的安全检测机制，移动互联网业务的安全事件处理情况。

4.物联网安全

-关注物联网设备和业务的安全，建立物联网安全管理体系，防范物联网安全风险。

-考核要点：了解物联网安全管理的相关制度和措施，物联网设备的安全认证和加密机制，物联网安全事件的监测和应对能力。

（四）应急管理

1.应急预案制定

-制定完善的网络与信息安全应急预案，包括应急组织机构、应急响应流程、应急处置措施等内容。

-考核要点：审查应急预案的完整性和可操作性，是否涵盖常见的安全事件类型，是否定期进行修订。

2.应急演练

-定期组织网络与信息安全应急演练，检验和提升应急处置能力。

-考核要点：查看应急演练的计划和记录，演练效果的评估报告，针对演练中发现的问题的改进措施。

3.应急资源保障

-确保应急处置所需的人员、设备、技术等资源充足，能够及时响应和处理安全事件。

-考核要点：检查应急资源的储备情况，应急人员的培训和技能水平，应急技术支持的能力。

（五）行业监