通信网络安全服务能力评定管理办法第一章总则
通信网络安全管理制度
第一章总则第一条为加强通信网络安全管理,保障通信网络的安全稳定运行,维护国家利益和用户合法权益,根据《中华人民共和国网络安全法》等相关法律法规,制定本制度。
第二条本制度适用于本单位的通信网络,包括但不限于数据通信网、语音通信网、移动互联网等。
第三条本制度遵循以下原则:1. 预防为主,防治结合;2. 统一管理,分级负责;3. 安全可靠,持续改进。
第二章组织与管理第四条成立通信网络安全管理领导小组,负责统筹规划、组织协调、监督指导通信网络安全管理工作。
第五条设立通信网络安全管理部门,负责日常通信网络安全管理工作,包括:1. 制定和实施通信网络安全管理制度;2. 监测通信网络安全状况;3. 组织开展通信网络安全检查和评估;4. 处理通信网络安全事件;5. 提供通信网络安全技术支持。
第三章安全管理措施第六条通信网络安全管理部门应采取以下安全管理措施:1. 制定通信网络安全策略,明确网络安全等级保护要求;2. 对通信网络设备和系统进行安全配置,确保其符合安全要求;3. 对通信网络进行定期安全检查,发现安全隐患及时整改;4. 加强网络安全防护,包括防火墙、入侵检测、病毒防护等;5. 定期对通信网络安全进行风险评估,制定相应的应对措施。
第七条通信网络设备和系统应满足以下安全要求:1. 具备安全防护功能,防止非法入侵、篡改、破坏;2. 数据传输加密,确保数据安全;3. 系统日志记录详尽,便于追踪和审计;4. 具备应急响应能力,及时处理网络安全事件。
第八条通信网络用户应遵守以下规定:1. 不得利用通信网络从事违法活动;2. 不得传播有害信息;3. 不得恶意攻击他人通信网络;4. 不得擅自修改通信网络配置。
第四章安全事件处理第九条通信网络安全管理部门应建立健全网络安全事件应急预案,确保在发生网络安全事件时能够及时、有效地进行处置。
第十条发生网络安全事件时,通信网络安全管理部门应立即启动应急预案,采取以下措施:1. 评估事件影响,确定事件等级;2. 及时通知相关部门和用户,采取应急措施;3. 对事件进行调查,找出原因,采取措施防止类似事件再次发生;4. 对事件进行总结,完善应急预案。
通信网络安全服务能力评定
通信网络安全服务能力评定通信网络安全服务能力评定随着信息技术的迅速发展,通信网络已经成为人们日常生活和工作中不可或缺的一部分。
然而,通信网络的安全问题也日益引人关注。
为了确保通信网络的稳定运行和信息安全,许多公司和组织提供了通信网络安全服务。
本文旨在对通信网络安全服务能力进行评定。
通信网络安全服务的能力主要可从以下几个方面进行评定:1. 网络安全威胁识别和防御能力:通信网络安全服务提供商应具备对网络安全威胁进行识别和分析的能力,能够及时发现潜在的威胁,并采取相应的防御措施,比如设置防火墙、网络入侵检测系统等。
同时,他们还应定期更新威胁情报,保持对新出现的威胁的了解,并及时升级防御措施。
2. 数据加密和隐私保护能力:通信网络安全服务应提供强大的数据加密算法和技术,确保数据在传输和存储过程中不被窃取和篡改。
此外,他们还应制定隐私保护策略,采取必要的措施保护用户个人信息的安全,防止数据泄露和滥用。
3. 网络应急响应能力:通信网络安全服务提供商应具备应急响应能力,能够及时处理网络安全事件,减少损失和影响。
他们应建立完善的应急响应机制,配备专业人员,能够快速定位并处置安全事件,并提供相应的恢复方案和建议。
4. 服务质量和可靠性:通信网络安全服务提供商应具备良好的服务质量和可靠性,能够为用户提供稳定的网络安全服务。
他们应具备完备的网络基础设施,具备高效的故障排除能力,确保网络的连续运行和安全性。
综上所述,通信网络安全服务能力评定主要包括网络安全威胁识别和防御能力、数据加密和隐私保护能力、网络应急响应能力以及服务质量和可靠性等方面。
用户在选择通信网络安全服务提供商时应综合考虑以上因素,并参考相关认证和评价结果,以确保自身网络的安全和稳定。
同时,通信网络安全服务提供商也应不断提升自身能力,积极应对新威胁和挑战,为用户提供更加强大和可信赖的网络安全服务。
中国通信企业协会通信网络安全服务能力评定准则(试行)
中国通信企业协会通信网络安全服务能力评定准则(试行)1 通信网络安全服务概述1.1 概念本准则所述的通信网络包括通信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。
1.2 类型本准则涉及到的通信网络安全服务可以分为二个类型:风险评估、安全设计与集成。
a)风险评估运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据。
b)安全设计与集成对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固与整改或其它的安全技术和咨询服务。
2 通信网络安全服务能力等级的评判原则通信网络安全服务能力是对通信网络安全服务提供商的客观评价,直接反应了通信网络安全服务提供商的服务资格、水平和能力。
通信网络安全服务能力要求分别针对每一类服务提供商分为基本要求和分类要求,基本要求是指所有通信网络安全服务提供商都必须要达到的安全能力要求;分类要求是指对不同类型的通信网络安全服务提供商提出了不同的能力要求,其中风险评估、安全设计与集成类服务分别提出了三级能力要求,由高到低依次是甲级、乙级、丙级能力。
在本准则中,高等级能力的要求涵盖了低等级能力要求的所有方面。
通信网络安全服务能力评定要求是对通信网络安全服务提供商的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。
3 通信网络安全服务能力等级基本要求3.1 法律要求a)在中华人民共和国境内注册成立(港澳台地区除外);b)由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外);c)从事涉密的通信网络安全服务提供商必须满足国家保密机关的相关要求;d)从事通信网络安全服务工作一年以上,无违法记录;e)法人及主要业务、技术人员无犯罪记录。
通信网络安全服务能力评定管理办法第一章总则
通信网络安全服务能力评定管理办法第一章总则通信网络安全服务能力评定管理办法第一章总则第一条为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的指导,依据《通信网络安全防护管理办法》,制定本办法。
第二条本办法适用于对中华人民共和国境内的通信网络安全服务单位提供安全服务的能力进行评定,可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务单位改进自身能力的指导。
第三条通信网络安全服务能力评定(以下简称能力评定)是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况、获得奖励情况等要素。
第四条通信网络安全服务单位经过能力评定可取得《中国通信企业协会通信网络安全服务能力资格证书》(以下简称证书)。
第二章能力评定类型与等级第五条通信网络安全服务能力分为两种类型:风险评估、安全设计与集成。
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,并提出有针对性的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据;安全设计与集成是指对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。
第六条通信网络安全服务能力分为三个级别,由低至高依次是:一级、二级和三级。
第七条对各级别能力的具体要求可参见《通信网络安全服务能力评定准则》的有关规定。
第三章能力评定组织管理第八条中国通信企业协会负责能力评定的发证工作,中国通信企业协会通信网络安全专业委员会(以下简称通信安委会)负责能力评定一级级别组织专家评审工作;二级及以上级别申请的协调和管理工作,包括组织技术专家评定1、组织专家评审2、公布能力评定结果和管理证后监督。
通信网络安全服务能力评定准则1.通信网络安全服务概述
通信网络安全服务能力评定准则1. 通信网络安全服务概述1.1概念本准则所述的通信网络包括电信网和互联网,所涉及的安全服务是指为了适应通信网络安全管理的需要,运用科学的方法和手段,通过有效的措施来保障通信网络的正常运行,为企业提供全面或部分安全评估、设计与集成的服务,包含从安全体系到具体的技术解决措施。
1.2类型本准则涉及到的通信网络安全服务可以分为两种类型:风险评估、安全设计与集成。
1)风险评估运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据。
2)安全设计与集成对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。
2. 通信网络安全服务能力等级的评判原则通信网络安全服务能力是对通信网络安全服务单位的客观评价,直接反应了通信网络安全服务单位的服务资格、水平和能力。
通信网络安全服务能力要求分别针对每一类服务单位分为基本要求和分类要求,基本要求是指所有通信网络安全服务单位都必须要达到的安全能力要求;分类要求是指对不同类型的通信网络安全服务单位提出了不同的能力要求,其中风险评估、安全设计与集成类服务分别提出了三级能力要求,由高到低依次是三级、二级、一级能力。
在本准则中,高等级能力的要求涵盖了低等级能力要求的所有方面。
通信网络安全服务能力评定要求是对通信网络安全服务单位的资格状况、经济实力、技术能力、服务队伍、服务过程能力等方面的具体衡量和评价。
3. 通信网络安全服务能力等级基本要求3.1法律要求1) 在中华人民共和国境内注册成立(港澳台地区除外);2) 由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外);3) 从事涉密的通信网络安全服务单位必须满足国家保密机关的相关要求;4) 从事通信网络安全服务工作一年以上且无违法记录;5) 法人及主要业务、技术人员无犯罪记录。
《互联网信息服务管理办法》
中华人民共和国电信条例(中华人民共和国国务院令第291号)第一章总则第一条为了规范电信市场秩序,维护电信用户和电信业务经营者的合法权益,保障电信网络和信息的安全,促进电信业的健康发展,制定本条例。
第二条在中华人民共和国境内从事电信活动或者与电信有关的活动,必须遵守本条例。
本条例所称电信,是指利用有线、无线的电磁系统或者光电系统,传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。
第三条国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。
省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下,依照本条例的规定对本行政区域内的电信业实施监督管理。
第四条电信监督管理遵循政企分开、破除垄断、鼓励竞争、促进发展和公开、公平、公正的原则。
电信业务经营者应当依法经营,遵守商业道德,接受依法实施的监督检查。
第五条电信业务经营者应当为电信用户提供迅速、准确、安全、方便和价格合理的电信服务。
第六条电信网络和信息的安全受法律保护。
任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。
第二章电信市场第一节电信业务许可第七条国家对电信业务经营按照电信业务分类,实行许可制度。
经营电信业务,必须依照本条例的规定取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。
未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。
第八条电信业务分为基础电信业务和增值电信业务。
基础电信业务,是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务。
增值电信业务,是指利用公共网络基础设施提供的电信与信息服务的业务。
电信业务分类的具体划分在本条例所附的《电信业务分类目录》中列出。
国务院信息产业主管部门根据实际情况,可以对目录所列电信业务分类项目作局部调整,重新公布。
第九条经营基础电信业务,须经国务院信息产业主管部门审查批准,取得《基础电信业务经营许可证》。
第二条本办法适用于对中华人民共和国境内的通信网络企业
通信网络安全服务能力评定管理办法第一章总则第一条为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的指导,依据《通信网络安全防护管理办法》,制定本办法。
第二条本办法适用于对中华人民共和国境内的通信网络安全服务单位提供安全服务的能力进行评定,可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务单位改进自身能力的指导。
第三条通信网络安全服务能力评定(以下简称能力评定)是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况、获得奖励情况等要素。
第四条通信网络安全服务单位经过能力评定可取得《中国通信企业协会通信网络安全服务能力资格证书》(以下简称证书)。
第二章能力评定类型与等级第五条通信网络安全服务能力分为两种类型:风险评估、安全设计与集成。
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,并提出有针对性的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据;安全设计与集成是指对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。
第六条通信网络安全服务能力分为三个级别,由低至高依次是:一级、二级和三级。
第七条对各级别能力的具体要求可参见《通信网络安全服务能力评定准则》的有关规定。
第三章能力评定组织管理第八条中国通信企业协会负责能力评定的发证工作,中国通信企业协会通信网络安全专业委员会(以下简称通信安委会)负责能力评定一级级别组织专家评审工作;二级及以上级别申请的协调和管理工作,包括组织技术专家评定1、组织专家评审2、公布能力评定结果和管理证后监督。
中国移动网络与信息安全风险评估管理办法V1.0
中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
第二条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
第三条本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
第五条涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求第六条风险评估内容及组织方式1(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
通信网络安全服务能力评定管理办法第一章总则第一条为提高通信网络安全服务质量,确保服务过程的安全可控性,促进通信网络安全服务行业的健康发展,协助政府主管部门加强对通信网络安全服务的指导,依据《通信网络安全防护管理办法》,制定本办法。
第二条本办法适用于对中华人民共和国境内的通信网络安全服务单位提供安全服务的能力进行评定,可作为电信管理机构把握通信网络安全服务整体情况的参考,可作为电信运营企业选择通信网络安全服务的依据,也可以作为通信网络安全服务单位改进自身能力的指导。
第三条通信网络安全服务能力评定(以下简称能力评定)是指对通信网络安全服务单位从事通信网络安全服务综合能力的评定,包括技术能力、服务能力、质量保证能力、人员构成与素质、经营业绩、资产状况、获得奖励情况等要素。
第四条通信网络安全服务单位经过能力评定可取得《中国通信企业协会通信网络安全服务能力资格证书》(以下简称证书)。
第二章能力评定类型与等级第五条通信网络安全服务能力分为两种类型:风险评估、安全设计与集成。
风险评估是指运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及其存在的脆弱性,评估安全事件可能造成的危害程度,并提出有针对性的防护对策和安全措施,防范和化解通信网络及相关系统安全风险,将风险控制在可接受的水平,为最大限度地保障通信网络及相关系统的安全提供科学依据;安全设计与集成是指对所服务的通信网络的安全框架进行设计,形成安全建设规划,并对计划实施的安全策略细化,在安全解决方案的基础上,实施安全产品集成、安全软件定制开发、安全加固或其它的安全技术和咨询服务。
第六条通信网络安全服务能力分为三个级别,由低至高依次是:一级、二级和三级。
第七条对各级别能力的具体要求可参见《通信网络安全服务能力评定准则》的有关规定。
第三章能力评定组织管理第八条中国通信企业协会负责能力评定的发证工作,中国通信企业协会通信网络安全专业委员会(以下简称通信安委会)负责能力评定一级级别组织专家评审工作;二级及以上级别申请的协调和管理工作,包括组织技术专家评定1、组织专家评审2、公布能力评定结果和管理证后监督。
1由通信安委会组建技术专家库,由来自通信行业政府、事业单位、运营企业的安全技术专家组成,每批评定工作从专家库随机抽取至少3名专家进行评定;2由通信安委会专家指导组成员组成,每批评审随机抽取4名(一级)/5名(二级和三级)专家进行评审,评审专家具有一票否决权。
第九条中国通信企业协会委托省、自治区、直辖市通信行业协会(以下简称行协),依据本办法的规定实行能力评定的属地化管理,负责本行政区域内相应等级的能力评定组织、协调和监督工作,包括受理评定申请,组织一级级别的技术专家评定3、公布能力评定结果、管理证后监督和维持换证工作。
第四章能力评定申请与评审第十条通信网络安全服务单位申请能力评定应具备以下基本条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的,具有独立法人资格及相关部门颁发的合法经营资格的企事业单位(港澳台地区除外);(三)拥有健全的组织与管理体系,有专门从事通信网络安全服务的部门或团队;(四)具有固定的办公场所;具有专门从事通网络安全服务的相关工具或软件;具有安全服务所必须的实验环境;(五)具有系统的对员工进行安全技术、项目管理、保密规章制度的培训机制和计划,并能有效组织实施与考核;(六)建立并落实质量管理体系;具体条件可参见《准则》的有关规定。
第十一条通信网络安全服务单位申请能力评定,需逐级3由各地通信行业协会自行组建技术专家库,每批评定工作从专家库随机抽取至少3名专家进行评定。
申请,即对照《准则》要求从一级开始逐级申请,获得一级证书后满一年可对照《准则》要求,提出升级申请。
获得二级证书后满两年可对照《准则》要求,提出升级申请。
第十二条通信网络安全服务单位申请能力评定,应当提交以下材料:(一)《中国通信企业协会通信网络安全服务能力评定申请书》;(二)《企业法人营业执照》或《事业单位法人登记证书》副本(或上级主管部门批准成立的文件副本,需有年检标识)复印件;(三)组织机构代码证副本(需有年检标识)复印件;(四)税务登记证副本(需有年检标识)复印件;(五)法人或负责人身份证复印件;(六)固定办公场所证明材料。
前款材料中信息发生变化的,通信网络安全服务单位应当自信息变化之日起一个月内向单位注册地行协申请变更。
通信网络安全服务单位提交材料的信息应当真实、完整。
第十三条通信网络安全服务单位申请能力评定等级为一级的,能力评定按下列程序进行:(一)应当将申请材料提交到单位注册地行协,由单位注册地行协进行材料的形式审查,审查合格后,由单位注册地行协组织技术专家对其能力条件进行书面、现场评定,出具能力评定报告,提交通信安委会。
(二)通信安委会组织专家对申请单位的申请材料和能力评定报告首先进行评审,在必要时针对递交材料可能提出的问题,申请单位需以答辩的方式解答,最终形成评审结果。
(三)通信安委会将评审结果在官方网站上公示,公示期结束后,申请单位签订《通信网络安全服务承诺书》,由通信安委会报送中国通信企业协会并由其颁发证书。
第十四条通信网络安全服务单位申请能力评定等级为三级或二级的,应当将申请材料提交到单位注册地行协,能力评定按下列程序进行:(一)通信网络安全服务单位的申请材料由单位注册地行协进行材料的形式审查,审查合格后,将申请材料及材料的形式审查报告提交通信安委会,由通信安委会组织技术专家对其能力条件进行书面、现场评定,出具能力评定报告。
(二)通信安委会组织专家对通信网络安全服务单位的申请材料和能力评定报告进行评审,通信网络安全服务单位以答辩形式解答评审专家针对提交材料可能提出的问题,最终形成评审结果。
(三)通信安委会将评审结果在官方网站上公示,公示期结束后,申请单位签订《通信网络安全服务承诺书》,由通信安委会报送中国通信企业协会并由其颁发证书。
第五章能力评定监督管理第十五条能力评定监督管理是指对获证的通信网络安全服务单位能力保持的监督检查和能力变更的管理。
第十六条所有等级证书有效期为三年。
单位注册地行协对获证单位每年进行一次年检,通信安委会每年抽取部分获证单位进行必要的核查。
获证单位在证书到期前提交证书维持申请。
第十七条证书维持工作按以下程序进行:(一)申请维持的通信网络安全服务单位在证书到期前三个月向单位注册地行协提交《中国通信企业协会通信网络安全服务能力评定证书维持申请表》、证书原件、《企业法人营业执照》或《事业单位法人登记证书》复印件。
(二)按照本办法证书维持的相关规定对通信网络安全服务单位进行证书维持审查,审查通过的,发放新的证书。
第十八条年检工作按以下程序进行:(一)获证的通信网络安全服务单位向单位注册地行协提交证书和《中国通信企业协会通信网络安全服务能力评定年度调查表》(以下简称《调查表》),《调查表》内容必须真实可靠,如有质量事故或用户投诉,必须及时向单位注册地行协报告;(二)单位注册地行协对获证的通信网络安全服务单位进行年检,年检包括二个方面:通信网络安全服务单位的能力和当地基础电信运营企业对安全服务单位的服务情况的反馈;(三)单位注册地行协在年检合格的单位的证书上加盖年检合格章。
对于年检未合格的单位,单位注册地行协将年度调查表转交通信安委会。
第十九条证书有效期届满前三个月内,由获证单位提出维持申请。
证书原评定单位对维持申请单位进行评定,内容包括:申请单位获证期间通信网络安全服务能力维持情况、通信网络安全服务项目实施情况、通信网络安全服务质量保证情况等内容,以确定申请单位符合通信网络安全服务能力相应等级要求的持续性。
第二十条证书维持评定结论分为“通过”、“降级”、“取消”三种。
对于评定结论为“降级”的通信网络安全服务单位,将根据相适应等级换发新的证书;对于检查结论为“取消”的通信网络安全服务单位,将收回其证书,一级证书检查结论为“降级”的通信网络安全服务单位,将视同“取消”。
第二十一条未接受监督检查或证书有效期届满未申请证书维持或评定等级升级的通信网络安全服务单位,视为自动放弃资格,其证书予以收回。
第二十二条凡申请能力评定等级升级的通信网络安全服务单位,应向单位注册地行协提出申请,按照本办法第四章办理。
评定等级升级未通过的单位,不影响其原证书的维持和年检工作。
第二十三条获证的通信网络安全服务单位发生分立、合并后原有证书应交由单位注册地行协重新审查。
第二十四条获证的通信网络安全服务单位变更名称、地址、法人、技术负责人等信息,应在变更内容发生之日起一个月内向单位注册地行协报告变更情况,并根据实际情况决定是否重新审核其能力。
第六章罚则第二十五条获证单位提供通信网络安全服务造成严重安全事件或被电信管理机构投诉、检查发现重大问题的,给予停止使用证书三至六个月、降级、直至收回证书的处罚。
第二十六条通信网络安全服务单位在申请能力评定或能力评定监督检查中,采取弄虚作假、行贿等不正当手段虚报能力评定条件或有关资料的,通信安委会和单位注册地行协除应严格按照能力评定等级标准对其重新核定能力外,对情节严重的,给予停止使用证书六至十二个月、降级、直至收回证书的处罚。
第二十七条获证的通信网络安全服务单位应保守客户商业秘密,正确理解与宣传通信网络安全服务能力评定制度,正确使用证书。
对于涂改、伪造、出借、转让或出卖证书的将给予警告、停止使用或收回证书的处罚;对于情节严重构成犯罪的,由相关部门追究其法律责任。
第二十八条所有从事能力评定工作的人员在评定过程中必须坚持公正、科学的原则。
对于在工作中严重失职、索贿、受贿或者侵害企业合法权益的,管理机构将取消其专家库专家身份,并通报其原单位;对于情节严重构成犯罪的,由相关部门追究其法律责任。
第七章公布第二十九条通信安委会对通信网络安全服务能力评定结果和监督检查结果通过通信安委会官方网站向社会公布结果。
第三十条获证的通信网络安全服务单位遗失证书,须通知单位注册地行协提交补证申请,通信安委会通过官方网站向社会声明作废后,方可申请补领。
第三十一条通信安委会设立专门的公布网页和查询电话,社会各界可通过指定的网站和电话,查询能力评定的各项情况。
第八章附则第三十二条本办法由中国通信企业协会通信网络安全专业委员会负责解释。