您所在的位置:首页 -> 行业管理 -> 网络安全

2018年电信业务经营信息年报“网络信息安全表”填写要求及常见问题解答

信息来源:     发稿编辑: 发布时间:2018-02-12

 

应急联系人

(请填写有效联系人姓名)

联系方式

(手机号码)

业务情况介绍

1、请简要介绍业务情况:如提供服务描述(如信息服务业务,应具体到信息发布平台和递送服务、信息搜索查询服务、信息社区平台服务等)、业务实现形式(如国内多方通信服务业务,应具体到由多方通信平台和公用通信网实现、多方通信平台和互联网实现等)、业务开通情况(开通区域、开通时间)、业务发展情况(主要是用户规模、月活跃用户数、日活跃用户数等)。

 

填写要求说明:

1)提供本企业及开展业务情况的简要说明。

2)对于基础电信企业,可使用“企业基本信息情况表单”中“公司简介”部分的内容。

3)对于增值电信企业,应说明全部已开展业务的简要情况。各项在营业务(对照电信业务分类目录有关定义和划分)应至少分别列清相应业务的经营区域(全国或特定省/市)、业务用户规模(用户总量、月均/日均活跃数)。对于信息服务业务,应区分信息发布平台和递送服务、信息搜索查询服务、信息社区平台服务、信息即时交互服务。

安全组织机构和人员

1、请写明网络与信息安全主管领导姓名、职务;

2、请说明企业网络与信息安全管理组织架构,以及涉及主体或部门的职责及分工;

3、请写明网络与信息安全管理人员名单、人员所在部门、从业资质情况等;

 

填写要求说明:

1)对于基础电信企业,主管领导应填写集团或省公司内网络与信息安全相关工作负责领导,网络与信息安全管理人员应填写集团或省公司内从事网络与信息安全主要工作人员。

2)对于增值电信企业,主管领导应填写企业分管网络与信息安全工作负责领导;网络与信息安全管理人员应填写企业内从事网络与信息安全主要工作人员。

3)对于分别设置网络安全、信息安全有关管理组织机构和人员岗位的,应进行区分和说明。

安全管理制度建设

信息安全管理制度:包括但不限于信息安全管理责任制、信息安全评估、用户信息安全管理、违法违规互联网信息服务和违法信息的巡查与处置、重大信息安全事件应急处置和报告制度、信息安全教育培训、用户举报和投诉处理等制度,请写明企业内部相关管理制度名称并附制度文本。

 

填写要求说明:

1)企业可提供包含信息安全责任管理、业务信息安全评估、用户信息安全管理、违法违规信息巡查与处置、重大信息安全事件应急处置和报告、信息安全教育培训、用户举报和投诉处理等的内部规章制度建设进行简要说明,或提供涵盖上述方面内容的管理制度文本。

 

企业常见问题:

1)企业建立了相关制度,但未分别成册,是否可以直接在系统上传相关制度文本?制度文本是否要求盖章?

解答:可以采取上传文本方式;如文件大小满足上传限制,可上传包含盖章页扫描文件,此项不做强制要求。

2)企业需要建立哪些规章制度?具体的要求在哪里?

解答:企业需按照特别规定事项要求和许可申请时提交承诺,建立相关规章制度。

网络安全管理制度:包括但不限于网络安全防护工作机制、网络安全事件应急处置和报告制度、网络安全威胁处置制度等,请写明企业内部相关管理制度名称并附制度文本。

网络安全操作规程:包括但不限于制定的信息化及安全相关部门网络安全操作标准规范、采用或使用的网络安全标准等,需写明标准规范名称及主要内容。

 

填写说明:

1)企业可提供包含网络安全防护工作机制、网络安全事件应急处置和报告制度、网络安全威胁处置制度等的简要说明,或提供覆盖上述制度机制内容的文本。

2)网络安全操作规程,企业可提供制定或采用相关的情况,对于企业自定的标准,可提供标准文本;对于采用国际标准、国标或行标的,需提供具体标准号、名称等,并简要说明主要内容。

信息安全技术保障措施

1、需详细介绍企业信息安全技术保障措施的建设运行与使用管理等情况,包括但不限于违法信息监测处置、日志留存等技术手段。

2、对于持有B11B12B14B26-1业务牌照的企业,应按照《互联网信息安全管理系统使用及运行维护管理办法(试行)》(工信厅网安〔2016135号)要求,详细介绍本企业互联网信息安全管理系统的落实情况,并介绍系统业务覆盖情况,具体如下:

序号

覆盖机房/节点位置

覆盖带宽

本年度是否有扩容或变更

如是,请具体说明

 

 

 

 

 

 

 

 

 

 

(该部分内容可上传附件)

 

填写要求说明:

1)第二部分内容仅限于提供B11B12B14B26-1业务牌照(对照电信业务分类目录(2015版))的企业填写,企业应按照《互联网信息安全管理系统使用及运行维护管理办法(试行)》(工信厅网安〔2016135号)要求,严格落实本企业重点业务信息安全管理系统“三同步”要求,对有关系统建设与业务覆盖情况进行说明。

网络安全技术保障措施

1、按照通信网络防护标准,详细介绍企业网络安全防护相关技术保障措施建设情况,包括管理安全、网络系统安全、应用安全、主机安全、数据安全、物理环境安全等。

2、对于持有B11B14B25B26-1业务牌照的企业,应详细介绍本企业针对木马僵尸网络、移动恶意程序、网站仿冒等公共网络安全威胁,采取停止仿冒网站或恶意程序传播、控制服务器的域名解析服务等技术手段或处置措施。

 

填写说明:

1)第一部分参照通信网络安全防护系列标准YD 1728-2008-I~YDT 3158-2016

2)第二部分内容仅限于提供B11B14B25B26-1业务牌照(对照电信业务分类目录(2015版))的企业填写。

企业落实行业信息安全管理要求情况

1、请企业描述针对违法有害信息处置情况(处理XX条,采取XX措施)

2、请描述企业落实新技术新业务安全评估工作情况。(开展XX新业务评估)

 

企业常见问题:

1)企业不涉及上述工作,是否可填写无?

解答:可以

(2)企业是否必须委托第三方开展评估?

解答:不是,企业可自行开展评估。

企业落实行业网络安全管理要求情况

1、企业网络和业务系统定级备案、三同步要求落实情况,需提供定级备案报告、三同步落实情况报告。

2、企业自主开展或委托第三方专业机构开展网络安全防护符合性评测、风险评估的情况,需提供符合性评测及风险评估报告、整改报告等。

3、利用移动应用开展公众服务的企业需提供由第三方专业机构开展移动应用安全的情况,并附评估报告。

 

企业常见问题:

1)哪些业务需要开展定级备案,备案是否向部或者管局提供?三同步要求具体指的是什么?上述两个报告是否必须要有?

解答:该项要求2018年年报不做要求,自2019年起,企业需在部“通信网络安全防护管理系统”中填报定级备案报告、三同步情况报告。

2)网络安全防护符合性评测、风险评估是哪些业务或哪个等级系统需要做?是否必须委托第三方?上述两个报告是否必须要有?

解答:企业定级备案后的系统均需要做符合性评测和风险评估,其中安全等级为二级的系统,每两年做一次符合性评测和风险评估,安全等级为三级的系统,每年做一次符合性评测和风险评估。可以自行开展评估或委托第三方。

(除风险评估外,上述两项都不做强制要求,如果没有的话,就直接填写无即可)

3)移动应用是否必须由第三方专业机构开展移动应用安全评估?

解答:可以自行开展评估或委托第三方。

配合行业主管部门开展安全管理情况

1、请说明企业配合工信部或属地通信管理局依法依规开展“扫黄打非”、防范打击通讯信息诈骗等的情况。

2、请说明企业配合工信部或属地通信管理局依法依规开展网络安全抽查、网络安全专项检查、网络安全应急演练的情况。

 

企业常见问题:

1)企业不涉及上述工作,是否可填写无?

解答:可以

重大信息安全事件

1、请说明企业是否发生过重大网络和信息安全事件,或被媒体报道或行业主管部门通报情况,需要说明事件处置情况、事件向行业主管部门的上报情况、针对事件的整改情况等。

 

企业常见问题:

1)企业不涉及上述工作,是否可填写无?

解答:可以

Copyright©2007. All Rights Reserver
版权所有:辽宁省通信管理局 辽ICP备05000001