基础电信企业网络与信息安全考核要点
电信运营商网络质量控制考核评分标准完整版
电信运营商网络质量控制考核评分标准完整版介绍本文档旨在为电信运营商提供一份完整的网络质量控制考核评分标准。
该标准将帮助电信运营商评估并改进其网络的质量,以提供更好的服务。
评分标准以下是电信运营商网络质量控制考核评分标准的主要内容:1. 延迟:评估网络传输数据的延迟情况。
低延迟表示网络传输速度快,优秀质量得分。
2. 带宽:评估网络提供的带宽大小。
较大的带宽表示网络能够支持更多用户及数据传输,优秀质量得分。
3. 包丢失率:评估网络数据包在传输过程中丢失的比例。
低丢包率表示网络稳定性高,优秀质量得分。
4. 故障恢复时间:评估网络故障发生后的恢复时间。
较短的恢复时间表示网络可靠性高,优秀质量得分。
5. 服务可用性:评估网络的可用性,即网络提供的服务是否持续稳定。
较高的可用性表示网络稳定性好,优秀质量得分。
6. 投诉处理及时性:评估电信运营商对用户投诉的处理及时性。
及时解决用户投诉表示电信运营商服务质量高,优秀质量得分。
评分等级根据以上评分标准,电信运营商网络质量控制考核评分将分为以下等级:1. 优秀:在所有评分标准上表现出色,得分达到90分以上。
2. 良好:在大部分评分标准上表现良好,得分达到70-89分。
3. 一般:在部分评分标准上表现一般,得分达到50-69分。
4. 不合格:在多个评分标准上表现不佳,得分低于50分。
结论通过使用电信运营商网络质量控制考核评分标准,电信运营商可以全面评估自身网络的质量,并制定相应的改进措施。
这将有助于提升网络服务质量,满足用户的需求,提高用户满意度。
2019年子公司网络与信息安全通用考核要点与评分标准
本单位要做好网络与系统安全防护, 并对工信部等主管部门和集团公司通 报的网络安全问题及系统漏洞及时处 置整改。
首次被通报系统安全问题不扣 分,再次发现问题时,每发现1 项扣2分;若发现已通报但仍未 整改的问题,每发现1项扣4分 。
5、网络安全问 题与系统漏洞
处置
按照第十七条、第十九条的要 求,接受电信主管部门和集团 公司网络安全远程检测和现场 检查。
估等法律法规问题,扣2分; 项同时符合扣分条件
2、每发现1项标准不达标扣1 的,按照从高的原则
分;
扣分;
3、每发现1处安全漏洞,高危 2、全年无扣分事项
扣2分、中危扣1分、弱口令扣1 发生的,年度考核成
分;若位于重要设备上,扣分 绩加30分,但不超过
加倍;发现重大安全漏洞可导 总扣分值
致用户信息泄漏、设备服务器
支付公司、大数据公司不少于5人;其 处置)未明确负责人员的,每缺 单须于6月30日前提
它单位不少于3人;
一项扣5分。
交集团公司信息安
全部)
落实网络与信息安全培训制度,年内 组织网络与信息安全人员开展教育培 每少一次扣5分。 训次数不少于2次。
须提供培训记录
二、网络 信息安全 责任制 (40分)
网络与信息安 全管理制度
2019年子公司网络与信息安全通用考核要点与评分标准
说明:总分为600分,在线、云数据、国际和物联网公司满分折合为3分(考核总分/200),其它单位满分折合为6分(考核总分/100)。
考核指标
指标描述
考核要求
评分标准
备注
明确网络与信息安全管理部
1、网络与信息 安全机构
门,负责本公司网络与信息安 全工作,制定网络与信息安全 规章制度,组织开展监督检查
2019年子公司网络与信息安全通用考核要点与评分标准
应当按照第十七条、第十九条的要 求,接受电信主管部门的网络安全远 程检测和现场检查。 说明:现场检查重点检查法律法规的 落实情况、网络安全防护系列标准的 达标情况、评估网络安全漏洞问题的 风险情况
现场检查发现问题:
1、每发现1项未按要求进行定 1、本项与“网络与
级备案、符合性评测或风险评 系统安全防护”1至4
依据《基础电信企业信息安全 责任管理办法(试行)》、全管理工 作机制和制度。
须建立如下制度: 1、网络与信息安全责任管理制度; 2、网络与信息安全事件报告制度; 3、网络与信息安全应急预案; 4、网络与信息安全突发事件(含数据 和用户信息泄露)应急处置机制; 5、网络与信息安全考核和奖惩制度。 6、网络与系统安全问题(含漏洞)闭环 每少一项扣5分。 管理制度 7、数据安全和用户个人信息保护管理 制度(应涵盖数据收集、使用、传输 、存储、共享、删除等环节,包含分 级分类、访问控制、日志记录、操作 审计、应急响应、责任追究等内容 。)
明确数据安全管理牵头责任部门及职
责;建立数据安全和用户个人信息保
按照《网络安全法》《电信和 互联网用户个人信息保护规定 》《工业和信息化部关于加强 基础电信企业数据安全管理 规 范清理数据对外合作工作的通 知》(工信厅网安函〔2018〕 315号)的相关要求,开展数据 安全和用户个人信息保护工作 。
受控、业务中断、网络中断
等,每1处扣5分;
4、发现存在恶意代码或后门程
序未处置,或从网络单元外获
取网络单元内设备的管理员权
限或重要数据,扣10分;
5、未建立集中化网络安全问题
闭环管理机制,实现定期巡查
、整改核验、考核问责等要求
的,扣5分。
六、个人 信息保护 (60分)
网络与信息安全考核评分标准
网络与信息安全考核评分标准近年来,随着互联网的快速发展,网络安全和信息安全变得愈加重要。
为确保各类网络和信息系统的安全,提高网络安全意识和信息安全水平,许多组织和机构都推出了网络与信息安全考核评分标准。
本文将探讨网络与信息安全考核评分标准的重要性以及其在实际应用中的作用。
一、网络与信息安全的重要性网络与信息安全是指通过各种技术手段,对网络和信息系统进行保护,防止恶意攻击、数据泄露和信息破坏等事件发生。
在当今数字化时代,大量的数据和信息都存储在网络中,涉及到个人隐私、商业机密以及国家安全等重要方面。
网络与信息安全的重要性体现在以下几个方面:1. 个人隐私保护:网络和信息系统中存储了大量的个人信息,包括身份证号、手机号码、银行账号等。
如果这些信息泄露或被盗用,将会给个人带来巨大的损失。
2. 商业机密保护:在商业领域,各类组织机构都有其独特的商业模式和运营机制,这些机密信息是企业竞争力的核心。
如果这些商业机密泄露给竞争对手,将会给企业带来无法估量的损失。
3. 国家安全防护:在现代社会中,信息安全已成为国家安全的重要组成部分。
各国政府密切关注网络安全问题,加强国家信息系统的保护,以防范敌对势力的攻击和渗透。
二、网络与信息安全考核评分标准的作用为了确保网络与信息安全水平并促进各类单位和组织的安全发展,网络与信息安全考核评分标准应运而生。
网络与信息安全考核评分标准的作用主要体现在以下几个方面:1. 提供明确的安全标准:网络与信息安全考核评分标准规定了安全管理的具体要求和指南,包括技术安全、控制措施和应急管理等方面。
这为各类单位和组织提供了明确的安全标准,使其能够更好地进行安全管理和评估。
2. 指导安全措施实施:网络与信息安全考核评分标准提供了有效的指导,帮助各类单位和组织制定并实施安全措施。
这些措施包括安全培训、网络监控、防火墙的配置等,有助于提高网络和信息系统的安全性。
3. 促进安全水平提升:网络与信息安全考核评分标准采用分数制度进行评估,通过定期的考核和评分,能够推动各类单位和组织提高其网络和信息安全水平。
2020年省级基础电信企业网络与信息安全工作考核要点与评分标准
(2)日志留存准确率:应不小于99%,每降低一个百分点扣3分。
(3)留存内容:应留存完整的日志记录,不满足的扣5分(注2)。
2.因发生网络安全或数据安全事件,受到电信主管部门行政处罚或通报批评的,被通报一次扣25分,被处罚一次扣50分(注2)。
3.发生违规接入特通系统事件的,发生一次扣50分。
4.违反特通保密管理制度,发生泄密事件的,发生一次扣50分。
5.发生违规开展通信管制的,发生一次扣50分。
注1:参见《工业和信息化部关于印发<公共互联网网络安全突发事件应急预案>的通知》(工信部网安〔2017〕281号),包括网络中断、系统瘫痪、网络数据及用户个人信息泄露等情况。
(2)木马、病毒和僵尸网络的监测能力覆盖城域网出口抽样流量及重点工业互联网企业专线流量,总带宽不低于省网出入口带宽7%;发现不满足覆盖要求,扣5分。
(3)移动恶意程序的监测和处置能力应覆盖2G/3G/4G/5G(NSA)网络;发现不满足覆盖要求,扣5分。
注1:技术测试由各管局自行或委托相关单位开展。
(五)网络安全服务规范
依据《网络安全法》及《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)有关要求,规范安全服务管理,防范服务过程中的风险。
采购未通过网络安全服务能力评定的机构提供的安全服务的,每发现1个扣3分(注1)。
注1:安全服务是指网络安全设计与集成、风险评估、应急响应、安全培训服务
(三)网络安全远程检测及现场抽查
26AM03--网络安全工作考核要点和评分标准解读
二、网络安全环境 治理
1.移动互联网 恶意程序监测 处置平台建设
情况
40%
2.木马和僵尸 网络监测处置 平台建设情况
40%
3.日常监测和 处置工作落实
情况
20%
考核指标
移动互联网恶意 程序监测处置平
台建设
木马和僵尸网络 监测处置平台建
设
日常监测和处置 工作落实
重点考核内容
是否对移动互联网恶意程序具备疑似样本捕获、 发现省内用户感染和处置的能力
考核指标设立依据 2014年考核指标变化情况 2014年考核指标解读
重点问题解答
2014年考核指标变化情况
突出重点,推动难点
-安全机构设置、手段建设等指标进行了细化要求;
优化精简,突出实效
-对定级、备案、自评测和自评估等指标进行了精简和整合;
2019年基础电信企业专业公司网络与信息安全工作考核要点与评分标准
2.国际来源诈骗电话情况通报
严格落实《通告》《实施意见》《通知》和通报等文件有关要求,强化企业主体责任落实。
(1)对于通过国际来源诈骗电话情况通报、用户举报和督导检查等发现的违规问题发现1次扣5分。
(2)自2019年1月起,国际来源诈骗电话情况通报中,连续2个月万次国际来话监测出诈骗电话次数超过50(含)的,每次扣5分。
4.发生特别重大网络安全或数据安全事件的,发生一次扣100分;发生重大网络安全或数据安全事件的,发生一次扣75分;发生较大网络安全或数据安全事件的,发生一次扣50分;发生一般网络安全或数据安全事件的,发生一次扣25门行政处罚或通报批评的,被通报一次扣50分;被处罚一次扣100分(注4)。
指标类别
考核要求
备注
一、涉及经营电信业务的专业公司通用考核要求(6分)(注1、注2)
1.网络与信息安全机构人员、网络与信息安全责任制、突发事件应急响应处置、网络与信息安全技术保障措施、新技术新业务安全评估有关要求同2018年。
2.数据安全和用户个人信息保护:应按照《网络安全法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于加强基础电信企业数据安全管理 规范清理数据对外合作工作的通知》(工信厅网安函〔2018〕315号)要求,明确数据安全管理牵头责任部门及职责,建立数据安全和用户个人信息保护管理制度,健全完善安全防护技术措施,按照电信主管部门相关标准完成合规性评估。定期(至少每年一次)对工作人员进行用户个人信息保护相关知识、技能和安全责任的相关培训;每年至少开展一次个人信息保护情况自查,及时消除自查中发现的安全隐患;健全重大突发数据安全事件应急响应机制,对重大数据安全事件要立即采取有效补救措施,及时向电信主管部门报告。
电信行业网络信息安全标准
电信行业网络信息安全标准人类社会的快速发展离不开信息技术的支撑,而电信行业作为信息技术的重要组成部分,为各行各业提供了广阔的沟通交流平台。
然而,网络信息安全问题也随之而来,对个人和社会的稳定产生了威胁。
因此,建立一套严格的电信行业网络信息安全标准是至关重要的。
一、网络设备安全标准网络设备是构建电信网络的基础,确保网络设备的安全性非常重要。
网络设备应具备以下特点:1. 防火墙与入侵检测系统:网络设备应配置有防火墙与入侵检测系统,及时发现并阻止对网络的非法入侵。
2. 身份验证及访问控制:网络设备应具备身份验证及访问控制功能,只允许经过授权的用户和设备访问网络。
3. 安全升级机制:网络设备应定期进行安全升级,及时修补已知漏洞,以提高系统的安全性。
二、网络通信安全标准网络通信过程中的信息传输是网络信息安全的关键环节,需要制定一系列规范来确保信息传输的安全与完整:1. 数据加密与解密标准:应采用可靠的加密算法对通信数据进行加密,并保证传输过程中数据的完整性。
2. 身份验证与用户授权:网络通信双方应在通信开始前进行身份验证,并根据不同用户的权限进行访问控制。
3. 传输协议标准:网络通信应采用安全的传输协议,如HTTPS等,以确保通信过程中数据不被窃取或篡改。
三、信息存储与备份安全标准电信行业涉及海量的用户信息和业务数据,对信息存储和备份进行合理的规范可以有效地防范数据泄露和丢失:1. 数据存储加密:对敏感的用户信息和业务数据进行加密存储,确保安全性。
2. 备份与恢复策略:建立完善的数据备份与恢复策略,定期对重要数据进行备份,并确保备份的可靠性和及时性。
3. 存储介质管理:对数据存储介质进行严格管理,包括访问控制、定期巡检、更新等,以确保数据的完整性和可用性。
四、网络安全管理标准网络安全管理是电信行业保障网络信息安全的重要环节,需要制定一系列标准来规范网络安全管理:1. 安全策略与流程:明确网络安全管理的目标和原则,建立相应的安全策略和流程,指导安全管理工作的开展。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.人员是否具备履职能力;
2.人员机制建设是否合理
2.公司是否拟制培训计划,或已开展相关培训。
1.检查公司发文、检查公司KPI文件和部门KPI打分情况等台账资料;
2.通过在线测试,考察信安专员相关工作知识、技能掌握情况;
3.通过人员访谈,了解其对考核政策的理解程度和执行情况;
2.接入资源管理
是否合规提供IDC、CDN、云计算等接入资源。
1.检查接入用户是否实名验证;
2.检查资源分配台账;
3.核查有无超范围经营、超地域、层层转租等违规情况;
4.检查接入服务持证企业是否通过部信安系统评测。
3.备案网站管理
是否主动并按照管局要求开展备案网站管理
1.检查是否按时限完成系统下发的未备案网站(1日内)、未报备网站(7日内)等网站的报备或中断接入工作;
附件2 2018基础电信企业网络与信息安全责任考核检查要点
综合管理部分
检查内容
检查要点
检查方式及要求
检查结果
1.党委(党组)
责任落实
检查企业落实党委(党组落实发文
2.检查党委(党组)会议记录、纪要
1.关于印发《连云港联通网络与信息安全管理实施细则》的通知2.公司党委议纪要()
1.在工程项目设计中是否包含网络安全保障设施相关内容;网络安全保障设施是否完成同步验收;网络安全保障设施是否同步投入运行。
2.针对重点网络单元,是否进行定级备案、符合性评测及风险评估工作。
1.查看工程项目相关台账是否满足三同步要求。
2.登陆系统查看具体备案单元中信息是否准确;
3.风险评估报告内容需包含扫描结果、整改建议、复查结果等内容。
4.检查培训计划或开展情况。
1.扣分表,人资留存一份(主要为实名制扣分)2.在线考试4.培训材料
3.重大活动保障
重大活动期间(如全国两会等国家级重大活动和江苏省发展大会等省级重大活动)是否在管理、技术、人员等方面履行应急保障责任
1.检查公司人员值班情况;
2.检查自主防护情况。
3.检查系统保障情况;
4.检查应急处置情况.
2.是否明确本公司网络安全的主要目标、基本要求、工作任务、保护措施。
3.是否明确一个网络安全管理部门,明确部门职责,配备一名专职人员。
1.查看相关文件,文件中需指明公司网络安全的主要目标、基本要求、工作任务、保护措施以及网络安全管理部门、专职人员的职责。
2.与专职人员访谈,检查日常工作情况。
2.网络安全三同步、定级备案、符合性评测和风险评估
3.重要数据和用户个人电子信息保护情况
1.是否正式发文明确个人信息保护的责任部门及管理职责,建立用户个人信息保护责任制和安全管理制度。
2.是否记录企业内部人员、外包服务人员对个人信息的访问操作日志,并定期审计。
3.是否开展了个人电子信息保护情况自查。
1.查看用户个人电子信息相关制度及台账,管理制度未包括个人信息分级分类管理、访问控制、日志记录、应急响应等内容。
2.记录个人信息访问操作日志,日志应包括用户ID、时间、访问操作对象、操作类型等字段。
3.查看个人电子信息保护自查及整改相关情况。
4.网络安全事件应急处置情况
1.是否制定符合本企业实际情况并与电信主管部要求相衔接的网络安全应急预案;
2.是否组织开展本企业的网络安全应急演练。
1.查看应急预案,确定是否与地市企业实际情况相符,预案需保留版本更迭情况;
春节、两会、高考、青岛上合峰会重保期间网信安值班表、总结。 季度应急演练
4.活动配合
检查世界电信日、网络安全宣传周等宣传活动和阳光网络伴我成长等正面引导活动配合情况。
1.核查公司线上线下(如“两微一端”、营业厅等)是否进行宣传;
2.核查公司相关活动总结。
月份反恐怖宣传(资料全)2.电信日(反诈骗宣传,多增加宣传照片)3.阳光网络伴我成长(校园营业厅宣传 缺照片)4.防范非法集资宣传(正在进行中)
1.是否部署通过国家互联网应急中心Acheron安全测评认证的数据防泄漏系统。
2.是否及时有效的对系统发现的安全事件进行处置。
1.查看系统部署情况。
2.查看系统告警事件的处置情况。
9.网络安全远程检测情况
选取部分企业静态自用IP地址进行网络安全远程检测。
通报检测结果。
2.核查市公司月度备案拨测情况。
4.互联网专项行动
是否认真开展各类专项行动
1.通过询问专职人员及查询台账资料,检查管局今年以来下发的各类专项行动是否布置到地市公司。
2.对于各类专项行动,是否有方案(包括转发的)、有计划、有落实、有小结,是否符合报送时限要求。
3.抽查排查网站内容拨测(如网页url、IP地址、网站属性、拨测时间)等工作记录。
信息安全部分
检查内容
检查要点
检查方式及要求
检查结果
1.移动上网日志留存
企业移动上网日志留存系统功能、性能是否符合规范。
现场拨测(考虑拨测反馈时间因素,建议在听取汇报时同时进行)。用手机拨测工具现场拨测若干网页,告诉企业手机号,请其2小时内提供手机上网的网页记录,核对是否完整;检查日志是否满足6个月留存标准。
2.查看应急演练材料,确定演练内容、参与人员等是否合适。演练需与预案相配套比对预案有所反馈。
5.互联网IP地址核查
1.是否及时对管局侧IP管理系统比对发现的异常数据进行更新;
2.对于企业自用IP地址,利用技术手段核查是否存在漏报、错报的现象。
对各企业IP比对异常结果进行通报。
6.安全服务可管可控情况
年新采购的安全服务项目(网络安全设计与集成、风险评估、应急响应、安全培训服务)中,是否选用通过有关行业组织网络安全服务能力评定的单位开展有关工作。
2.是否对网络安全服务机构实际提供服务人员的信息进行备案管理。
1.查看企业项目管理系统,核实新采购的安全服务项目是否满足要求。
2.查看备案信息台账,应包括人员姓名、身份证号、资质证书、项目经验等。
系统建设运行情况
是否已按照《账号、授权、认证和审计(4A)集中管理系统技术要求》(2015-0706T-YD)所要求的集中账号管理、集中认证管理、集中授权管理和集中审计管理能力覆盖所有三级及以上网络和系统。
根据系统中企业定级备案台账,核查4A系统是否已覆盖三级及以上网元全部设备。
8.数据保护技术手段建设运行情况
1.开展STRUTS 2系列漏洞专项整治工作 扫黄打非
5.信安系统使用
是否按照部省要求使用信安系统。
1.核查管局侧下发任务的执行情况;
2.现场核验IDC用户信息;
3.检查信安系统的使用情况,核查登录日志。
网络安全部分
检查内容
检查要点
检查方式及要求
检查结果
1.网络安全组织机构和人员配备
1.是否明确1名公司主管领导统筹协调网络安全各项工作。