省级基础电信企业网络与信息安全工作考核要点与评分标准.docx
- 文档编号:25610323
- 上传时间:2023-06-10
- 格式:DOCX
- 页数:20
- 大小:72.58KB
省级基础电信企业网络与信息安全工作考核要点与评分标准.docx
《省级基础电信企业网络与信息安全工作考核要点与评分标准.docx》由会员分享,可在线阅读,更多相关《省级基础电信企业网络与信息安全工作考核要点与评分标准.docx(20页珍藏版)》请在冰豆网上搜索。
省级基础电信企业网络与信息安全工作考核要点与评分标准
2020年省级基础电信企业网络与信息安全工作考核要点与评分标准
说明:
2020年考核分为扣分项和加分项。
一是考核扣分总分值为6分(按600分计),采用扣分形式,直至扣完为止。
二是考核加
分总分值为1分(按100分计),在集团公司对各省公司绩效考核体系中最高可加1分。
三是对于进行混合所有制改革的省公司,
应在改革方茱或合作协议中明确安全责任传导与问责机制;具体改革方条在征得属地通仕管理局同意后,由集团公耳报部网络安全
管理局批准同意后实施。
指标类别
考核指标
指标要求
单项评分标准
备注
—、属地
各通信管理局(以下简称管局)根据属地工作实际,参考部网络安全管理局(以
注1:
属地化考核指标设定标准:
化网络与
下简称网安局)2020工作要点,根据前期报送的属地化考核指标,明确考核要
①紧扣网络与信息安全重点工作,
信息安全
求及评分标准(注1、注2L
②有力支撑属地提升监管效能,
考核(1
③对于已列入部统一考核的指标,原则
分,按
上不纳入属地化考核指标。
100分
注2:
对于未按要求完成配合监管工作
计)
的,管局应出具书面扣分说明及处理意
见。
二、网络
安全责任
制
(—)制度建设、专业力量和资金投入
严格落实网络安全责任制,设置首席网络安全官、网络与信息安全专职管理部门,加强专业力量和资金投入力度。
(1)未明确一名领导班子成员作为首席网络安全官的,扣50分(注"
(2)网络与信息安全管理部门不符合专职机构设置要求的f扣50分。
(3床有效建立并落实网络与信息安全资金投入制度,或未按照属地电信主管部门要求报告年度网络与信息安全资金投入情况的,扣50分(注2L
(4)对于进行混合所有制改革的省公司,未按要求上报改革方案的,扣50分;方案中未明确网络与信息安全责任传导与问责机制的,扣20分(注3L
注1:
首席网络安全官主要职责包括但不限于规划企业网络与信息安全中长期发展战略、管理策略,统筹协调企业内部网络与信息安全责任落实。
注2:
集团公司应及时将年度网络与信息安全资金投入总体情况报部网安局。
注3:
已启动混合所有制改革的省公司应于2020年8月31日前报送改革方
(二)重大网络与信息安全事件
L发生特别重大网络安全或数据安全事件的,发生一次扣IOO分;发生重大网络安全或数据安全事件的,发生一次扣75分;发生较大网络安全或数据安全事件的,发生一次扣50分;发生一般网络安全或数据安全事件的,发生一次扣25分(注I,注2'
2.因发生网络安全或数据安全事件,受到电信主管部门行政处罚或通报批评的,被通报一次扣25分,被处罚一次扣50分(注2L
3.发生违规接入特通系统事件的,发生一次扣50分。
4.违反特通保密管理制度,发生泄密事件的,发生一次扣50分。
5.发生违规开展通信管制的,发生一次扣50分。
注1:
参见《工业和信息化部关于印发<公共互联网网络安全突发事件应急预案>的通知》(工信部网安〔201刀281号),包括网络中断、系统瘫痪、网络数据及用户个人信息泄露等情况。
注2:
如同时满足其他扣分指标,以扣分分值最高项为准。
三、网络
系统建
1•互联网信息安全管理系(1那网安局按月对企业侧信安系统日
注1互联网信安系统包括IDC/ISH包
与信息安
设、“二冋
统(简称信安系统)功能、常运行、功能、数据、"三同步"、资
括互联网资源协作及互联网专线业
全技术手
步"和配
性能和使用管理等符合相源管理、配套保障等(S况进行巡杳抽测
务LCDN等信安系统。
段建设
套保障工
关标准与电信主管部门要和问题通报,并根据通报结果进行考核
注2:
技术测试由部网安局、各管局自
作要求
求(注1,注2L
扣分。
(2启管局根据实际情况对企业信安系统进行监督检查或技术检测。
(3)具体要求及扣分标准参照2019年考核标准,且对于同_问题部省不重复扣分。
行或委托相关单位开展。
2.移动上网日志留存系统功能、性能和操作使用符合规范要求。
(1)各管局每半年对企业3G/4G移动上网日志留存系统进行测试,于年底刖对企业5G移动上网日志留存系统进行测试;部网安局随机抽取企业进行测试,内容包括日志留存准确率、留存内容(注1,注2'
(2)日志留存准确率:
应不小于99%,
注1:
技术测试由部网安局、各管局自
行或委托相关单位开展。
注2:
5G日志留存内容参见相关标准。
每降低一个百分点扣3分。
(3溜存内容:
应留存完整的日志记录,
不满足的扣5分(注2'
3.按照《关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函%工网安函
(2019)1494号),建设资产安全管理平台。
企业应完成资产安全管理平台的需求说明书和建设方案编制工作,在本年度完成平台建设的招投标工作并开工建设。
建设方案应包括对在网资产指纹信息的采集,并基于采集信息的分析结果进行异常资产和资产脆弱性告警。
不满足以上要求扣10分(注“
注1:
采集信息应覆盖不少于60%在网资产。
资产脆弱性分析应支持对特定漏洞威胁信息所影响资产范围的分析,应在监测发现后显示告警。
异常资产的判定规则可根据企业管理实际要求自定义,应在发现后显示告警。
4.按照《关于印发基础电信企业资产安全管理平台和网络安全态势感知平台
企业应完成网络安全态势感知平台的需
求说明书和建设方案编制工作,具备弓
上级平台的指令接收和数据上报接口,
注1:
数据源收集应满足完整性,需包含资产信息、系统日志、僵木蠕、恶意程序、网络攻击、安全漏洞等数据。
网
建设指南的函风工网安函
(2019)1494号),建设
网络安全态势感知平台。
在本年度完成平台建设的招投标工作并开工建设。
建设方卒应包括对数据源的收集,并基于网络安全态势分析进行预警。
不满足以上要求,扣10分(注1、注2L
络安全态势分析包括对网络攻击情况、网络异常流量情况以及恶意程序传播情况的分析,应在发现上述情况后显示告警。
注2:
向上级平台上报的数据应包括分析研判后的数据。
5•根据《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号),加强网络安全威胁监测处置技术手段建设,不断提高网络安全威胁监测与处置的及时性、
(1)针对恶意网络资源,发现不具备及时和准确监测能力,扣5分;发现不具备有效处置能力,扣5分(注1、注2、注3、注4)
(2)木马、病毒和僵尸网络的监测能力覆盖城域网出口抽样流量及重点工业互联网企业专线流量,总带宽不低于省网
注1:
技术测试由各管局自行或委托相关单位开展。
注2:
及时性方面Z恶意网络资源、恶
意程序应分别在90分钟、120分钟内显示告警;
注3:
准确性方面Z针对拨测样本,木马、病毒和僵尸网络监测准确率在指定
准确性和有效性,逐步提升网络安全公共服务能力。
出入口带宽7%;发现不满足覆盖要求Z扣5分。
(3膠动恶意程序的监测和处置能力应覆盖2G∕3G∕4G∕5G(NSA)网络;发现不满足覆盖要求,扣5分。
链路测试和随机链路作路由牵引后测试的准确率分别不低于50%、10%;
移动恶意程序监测准确率不低于40%;
注4:
有效性方面,恶意网络资源处置成功率不低于50%o
6.落实“三同步”要求Z按照有关规定和管局要求,做好5G网络等特通技术接口配备和相关特通系统建设工作。
(1海出现一次因企业自身原因导致特通系统建设进度滞后的,扣4分。
(2)网元未购置技术接口,或检查时接口不能正常启用Z每发现一个扣2分。
(3)网元接口个别功能不符合标准要求,每发现一个扣1分。
(4并佥查时提供虚假数据或虚假被测网
注1:
如特通系统操作人员没有授权,没有审批及操作记录,可远程接入,网元操作日志丢失或人为删除等。
元,每发现一次扣10分。
(5症业侧建设的特通系统安全管理不严,在检杳时每发现一个特通系统可能存在被非法使用的风险扣4分(注IL
四、网络与信息安全监管工
作
(—)数
据安全管
理
按照《网络安全法》《电信和互联网用户个人信息保护规定》《工业和信息化部办公厅关于做好2020年电信和互联网行业网络数据安全管理工作的通知》(工信厅网安函〔2020〕103号),洛实电信和互联网行业网络数据安全管理
数据安全管理责任部门会同业务管理运营、系统支撑运维等数据安全管理相关部门,按照《电信和互联网企业网络数据安全合规性评估要点(2020年版)》,明确责任分工,完成数据安全合规性评估并形成评估报告。
未形成合规性评估报告的Z每发现一例扣10分;未在报告中说明评估要点对标情况、保障措施配备情况与佐证材料、问题分析和改进
重点工作任务,提升企业整体数据安全保护能力和水平。
措施的Z每发现一项扣1-5分。
(二)新技术新业务安全评估
依据互联网新技术新业务安全评估相关要求,组织开展重大关键技术安全风险识别,深入开展安全评估工作,有效防范安全风险,持续健全安全保障措施。
(1)存在评估清单动态更新不及时、定期核查(验)和风险台账管理未落实到位的每发现一项扣10分(注1、注2L
(2)未识别网络信息安全重大风险,或安全保障措施不到位,或存在评估发现安全风险未落实整改而继续运营的,每发现一项扣10分(注3L
注1:
业务重点关注5G、人工智能、区块链、大数据、物联网等相关业务,集团公司可在此基础上进一步划定省公司业务评估范围,划定评估业务类型不少于3类。
注2:
合作类业务包括合作开发、合作运宮类业务,省公刁提供渠道并推广类业务。
合作方可选择具备评估资质的第二方实现安全评估实践能力并提供安全评估报告。
注3:
新业务或在线运宫业务如存在重大安全风险,整改未完成前应不予上线或限制运营。
(三)网络安全远程检测及现场抽杳
按照《网络安全法》《通信网络安全防护管理办法》(工信部令第11号)相关要求,做好网络安全防护工作,接受电信主管部门的网络安全检杳,及时消除重大网络安全隐患。
(1溶收省两级电信主管部门组织开展远程检测,对发现网络安全问题的企业进行通报,首次通报企业不扣分,再次通报同一企业时Z每1个问题扣1分;发现已通报但仍未整改的网络安全问题II个扣2分(注1、注2)0
(2那省两级电信主管部门对重点网络单元开展现场抽查,发现:
①未按要求进行定级备案、符合性评测或风险评估等法律法规问题,每1处扣2分。
②行
注1:
检杳对象包括基础企业自有系统和合作系统,范围包括生产系统、自用系统、试运行系统、测试系统、已停止业务的未下线系统等。
注2:
网络安全问题包括高危漏洞、弱口令、未定级备案、定级备案不准确不及时、符合性评测和风险评估不及时或结果不准确不完整等。
注3:
定级备案网络单元应包括所有上线运行的自有和合作类网络和系统,符
业标准不达标,每1处扣1分。
③安全漏洞,每1处高危扣1分、中危扣0.5分、弱口令扣1分;若位于重要设备上f扣分加倍;发现存在恶意代码或后门程序未处置,或从网络单兀外获取网络单元内设备的管理员权限或重要数据,扣5分(注3、注4、注5,
合性评测和风险评估的范围包括所有二级及以上的网络单元。
注4:
高中危安全漏洞的判断标准参考权威CVESCNVD漏洞库标识、OWASPTOPlO漏洞列表等。
注5:
重要设备包括:
内外网隔离设备、内部安全域划分设备、互联网直连设备、网络业务核心设备等。
(四)关
键设备安
全
该考核项的具体指标要求
另文发布。
该考核项的具体指标要求另文发布。
检杳方式:
各管局组织力量对企业关键
设备安全情况进行检杳。
(五)网
络安全服
依据《网络安全法》及《工
业和信息化部关于加强电
采购未通过网络安全服务能力评定的机
构提供的安全服务的,每发现1个扣3
注1:
安全服务是指网络安全设计与集成、风险评估、应急响应、安全培训服
务规范
信和互联网行业网络安全工作的指导意见%工信部保(2014)368号)有关要求,规范安全服务管理,防范服务过程中的风险。
分(注IL
务
(六)依
法查询保
障
按照有关规定和通信管理局工作安排,规范做好依法杳询调取保障工作。
(1)未建立完善企业内部依法杳询调取协作相关管理制度、工作机制、保密要求的,扣2分。
(2)因企业自身原因,导致依法杳询协作系统建设任务未如期完成的扣2分。
(3海出现一次违规配合或未及时开展配合查询调取工作的,扣1分。
(4床经电信主管部门同意向其他部门
提供数据采集接口的,扣4分。
五、网络
(―)防
L结合基础电信企业电信
(1)对于评价指数中相关指标问题突出
注1:
评价指数中相关指标问题突出的
环境治理
范治理电
网络诈骗治理评价指数,
的,或通报检杳等发现存在违规的,每
情况:
工作
信网络诈
加强通报检沓■和考核追
次扣5分(注“
①手机号码百万用户举报率排名连续3
骗专项工
⅛f强化企∖∣l沖体青仟落
(2)因问题突出被电信主管部门约谈整
个冃付干刖石目月环比卜升两次尺以
作
实。
改的,每次扣10分;被电信主管部门
上的(举报率≥1且举报件次≥20);
约谈且经复核检杳后整改效果不明显
②诈骗短信预留电话号码被举报件次
的,再扣10分。
(≥20)连续3个月位于前五的。
(3床将本企业电信网络诈骗治理成效
注2:
①从疑似涉诈号码发起呼叫到关
纳入市场、渠道等相关部门纟磁考核的Z
停该号码间隔不得超过2个小时。
扣5分。
②涉诈号码的关停准确率应》95%。
(4)对漫游到重点地区号码不具备及时
关停准确率二(I-投诉数/关停数)
精准监测和依法依规处置能力的,扣5
*100%,其中关停数、投诉数分别为利
分(注2L
(5床按要求及时对通报的诈骗电话号码、域名、APP、网址链接准确核查处置的,每发现一次扣3分。
(6)未按要求及时完整准确向部、省互联网反诈系统上报涉诈相关信息的,每发现一次扣2分。
用大数据系统对漫游到重点地区涉诈号码关停数量、由此引发的用户投诉数量。
2.根据部有关部署安排,做好IMS诈骗电话防范系统建设工作。
(1)0企业自身原因未按要求在2020年10月底前完成IMS诈骗电话防范系统建设并与管局对接的,扣30分。
(2)2020年12月底,系统覆盖比例不低于90%,每低1%扣5分。
(3)2020年12月底,发现功能未达
注:
(2)(3)两项合计扣分不超过30分。
到有关标准要求的,系统功能每缺失1项,扣10分。
(二)网络安全威胁治理专项工作
落实《公共互联网网络安全威胁监测与处置办法》,及时减轻或消除网络威胁的危害和影响。
(1症业未及时准确定位电信主管部门或工信部网络安全威胁信息共享平台下发的恶意IP地址,每发现一次扣3分;未及时处置电信主管部门或工信部网络安全威胁信息共孚平台下发的网络安全威胁,每发现一次扣3分;未预留线上接收处理上级部门处置指令接口的,扣5分(注IL
(2)企业未报经电信主管部门同意,按照其他部门或单位通报要求对恶意IPS恶意域名、恶意程序等采取停止服务或
注1:
企业应按照电信主管部门要求或工信部网络安全威胁信息共享平台下发规定的时间要求进行反馈。
如果是处置情况反馈,应包括企业接入用户的威胁整改情况。
屏蔽措施的,每发现一次扣3分。
(三)电
1•按照国家相关法律法规
(1)电话用户实名登记准确率未达
扣分依据:
话用户实
和政策要求,加强电话用
98%的每差0.1个百分点扣10分(注
工业和信息化部、各管局的通报及行政
名登记工
户实名登记管理。
Do
处罚,各基础电信企业集团公司检杳通
作
(2)2017年1月1日后新入网电话用
报。
户入网环节人证一致率未达98%的,每
注1:
电话用户实名登记准确率是指如
差0.1个百分点,扣2分(注2)。
实登记证件类别、证件上所载姓名、号
(3)2017年1月1日后同一用户在同
码、住址信息,并且通过公安机关联网
—企业全国范围内办理使用的移动电话
核验的比率。
卡达到5张的,该企业不得为其办理新
注2:
电话用户人证一致率是指用户办
卡。
每发生一起"一证五卡"违规的,
理入网手续时所持证件与本人一致通
扣2分。
过公安联网核验的比率。
2.按照部有关要求,加大
在部省组织的监督检杳、公安通报、媒
注3:
电信企业应按要求在规定时限内
实名制违规责任倒查,巩
固工作成效。
体报道以及用户举报中,每发现一起违规办理实名登记手续的,或跨部门信息共享倒查发现实名制违规的,扣2分。
配合提取监督检查数据。
(四)物联网卡安全管理
洛实物联网卡安全管理要求,加强源头治理、销售管理和使用监测。
(1)未使用专用号段发售物联网卡,或发售前未严格评估用户安全风险的,每发现一起扣2分。
(2)未规范登记用户身份信息、未加强合同约束、或者未实施最小功能限制的Z每发现一起扣2分。
(3床加强使用监测并及时处置违规使用物联网的,每发现一起扣2分。
(4)公安等部门通报、媒体报道用于实施违法犯罪活动的物联网卡涉及企业落
扣分依据:
工业和信息化部、各管局的通报及行政处罚,各基础电信企业集团公司检杳通报。
示范项目推广立项的,推广企业和立项企业视情予以加分。
参与国家网络安全产业园区建设和发展有突出表现的,视情予以加分。
在通信行业防范治理电信网络诈骗创新示范项目、防范治理评价指数、提示提醒等方面有突出表现的,
视情予以加分。
注2:
聚焦具有前沿性信息通信领域关键重大技术及业务(如5G、人工智能、区块链、大数据、物联网等)安全热点态势,组织开展安全风险评估,形成重大技术安全评估报告并被部网安局采编的,视情予以加分。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 省级 基础 电信企业 网络 信息 安全 工作 考核 要点 评分标准