2019年基础电信企业专业公司网络与信息安全工作考核要点与评分标准.docx

2019 年基础电信企业专业公司网络与信息安全工作考核要点与评分标准说明：1、各专业公司考核总分值均为 6 分2、国际通信业务、云业务、物联网业务和应用商店业务专业公司由部单独设立专项考核指标，参考集团公司意见，统一开展考核评分；其他专业公司由集团公司（网络和信息安全部门）结合通用考核要求，自行制定考核指标并开展考核评分，部将对考核工作进行指导，并对考核指标和考核结果进行监督指标类别 考核要求 备注一、涉及经营电信业务 1.网络与信息安全机构人员、网络与信息安全责任制、突发事件应急响应处置、 注 1：各集团公司应在的专业公司通用考核要 网络与信息安全技术保障措施、新技术新业务安全评估有关要求同 2018 年 2019 年 5 月 31 日前将相求（6 分）（注 1、注 2） 2.数据安全和用户个人信息保护：应按照《网络安全法》《电信和互联网用户个 关专业公司（含国际通信人信息保护规定》《工业和信息化部关于加强基础电信企业数据安全管理 规范 业务、云业务、物联网业清理数据对外合作工作的通知》(工信厅网安函〔2018〕315 号)要求，明确数据 务和应用商店业务公司安全管理牵头责任部门及职责，建立数据安全和用户个人信息保护管理制度， 的通用考核指标）考核要健全完善安全防护技术措施，按照电信主管部门相关标准完成合规性评估。

定 求及评分标准报部网络期（至少每年一次）对工作人员进行用户个人信息保护相关知识、技能和安全 安全管理局（以下简称网责任的相关培训；每年至少开展一次个人信息保护情况自查，及时消除自查中 安局）批准后执行发现的安全隐患；健全重大突发数据安全事件应急响应机制，对重大数据安全 注 2：对于未按要求完成事件要立即采取有效补救措施，及时向电信主管部门报告 配合监管工作的，集团公3.网络安全防护：一是应当按照《通信网络安全防护管理办法》（工业和信息化 司应出具书面扣分说明部令第 11 号）第九条、第十条、第十一条的要求，将有关自营系统全部进行网 及处理意见络安全定级备案，并开展符合性评测和风险评估二是应当按照第十七条、第 注 3：参见《工业和信息十九条的要求，接受电信主管部门的网络安全远程检测和现场检查远程检测 化部关于印发<公共互联首次发现存在网络安全问题时只通报不扣分，再次发现问题时，每发现 1 项扣 2 网网络安全突发事件应分；若发现已通报但仍未整改的网络安全问题，每发现 1 项扣 4 分现场检查 急预案>的通知》（工信部重点检查法律法规的落实情况、网络安全防护系列标准的达标情况、评估网络 网安〔2017〕281 号），安全漏洞问题的风险情况，①每发现 1 项未按要求进行定级备案、符合性评测 包括网络中断、系统瘫或风险评估等法律法规问题，扣 2 分。

②每发现 1 项标准不达标扣 1 分③每 痪、网络数据及用户个人— 6 —发现 1 处安全漏洞，高危扣 2 分、中危扣 1 分、弱口令扣 1 分；若位于重要设备上，扣分加倍；发现重大安全漏洞可导致用户信息泄漏、设备服务器受控、业务中断、网络中断等，每 1 处扣 5 分；发现存在恶意代码或后门程序未处置， 或从网络单元外获取网络单元内设备的管理员权限或重要数据，扣 10 分④企业未建立集中化网络安全问题闭环管理机制，实现定期巡查、整改核验、考核 问责等要求的，扣 5 分三是应当按照《电信网和互联网信息服务业务系统安全防护要求》，公司系统应具备与业务系统重要性相匹配的防 DDoS 攻击、防入侵、网页防篡改、数据防泄露的能力4. 发生特别重大网络安全或数据安全事件的，发生一次扣 100 分；发生重大网络安全或数据安全事件的，发生一次扣 75 分；发生较大网络安全或数据安全事件的，发生一次扣50 分；发生一般网络安全或数据安全事件的，发生一次扣25 分（注 3，注 4）5. 因发生网络安全或数据安全事件，受到电信主管部门行政处罚或通报批评的， 被通报一次扣 50 分；被处罚一次扣 100 分（注 4）。

指标类别 考核指标 指标要求 单项评分标准信息泄露等情况注 4：如同时满足其他扣分指标，以扣分分值最高项为准备注二、国际通信业务专业（一）通用考核指由集团公司结合通用考核要求，自行制定公司专项考核（6 分，按标（3 分，按 300 分600 分计）计）（二）1.加强对严格落实《关于防范（1）严格合同约束：企业要按照注：通报包括公安封停号专项考国际合作打击电信网络诈骗犯《实施意见》第九条等相关要求，码通报、国际来源诈骗电核指标运营商管罪的通告》（以下简称全量修订本企业与国际合作运营话通报、用户举报通报（3分，按300 分计）理《通告》）、《关于进一步防范和打击通讯信息诈骗工作的实施意见》（以下简称《实施意见》）、《关于纵深推进防范打击通讯信息诈骗工作的通知》（以下简称《通知》）和通报（注）等文件有关要求，严格合同约束， 加强对国际合作运营商的规范管理商的国际业务合作协议，对于未按要求修订并执行的，每发现 1 份扣5 分2）加强规范管理：未建立对问题突出国际合作运营商协商机制 的；未对问题突出国际合作运营商督促整改的，或未对整改不力、屡教屡犯国际合作运营商及时终止 合作的，每发现 1 起扣 5 分。

等2. 国际来源诈骗情况通报严格落实《通告》《实施意见》《通知》和通报等文件有关要求， 强化企业主体责任落实1） 对于通过国际来源诈骗情况通报、用户举报和督导检查等发现的违规问题发现 1 次扣 5 分2） 自2019 年 1 月起，国际来源诈骗情况通报中，连续 2 个月万次国际来话监测出诈骗次 数超过 50（含）的，每次扣 5 分3） 未按要求对通报号码进行呼叫源头倒查的，每发现 1 起扣 1 分三、云（CDN）业务专业公司专项考核（6 分，按（一）通用考核指标（3 分，按 300 分由集团公司结合通用考核要求，自行制定600 分计） 计）（2） 信安系统基础数据准确完整3） 信安系统的使用管理、运行维护及安全防护符合要求（1） 利用部级信安系统对企业信安系统上报的相关数据进行随机抽查，每发现一条不合格数据，扣 2 分2） 企业未按照电信主管部门要求， 对异常数据进行更新上报的，每发现一次扣 5 分部网安局依据工信厅网安〔2016〕135 号要求，在 2019 年 12 月底前对信安系统的使用管理、运行维护、安全防护等情况进行监督与检查注：具体评分标准同 2018 年企业须按照标准要求对信安系统进行网络安全定级与防护，并提供书面证明文件。

四、物联网业务专业公 （一）通用考核指司专项考核（ 6 分，按 标（3 分，按 300 分600 分计） 计）由集团公司结合通用考核要求，自行制定二） 1. 物联网专项考 行业卡安核指标 全监测和（ 3 管理平台分，按 建设工作300 分按照工信部有关要求，做好物联网行业卡安全管理技术手段建设及支撑工作（1）部平台建设：按照工信部有关要求，配合完成部物联网行业卡安全监测和管理平台技术方案制定，并高效做好系统对接、数据推送等工作未满足上述工作要求，根据实际完成情况可扣除 10 分、50 分或 100 分计）（2）企业内部系统建设：按照有关要求及技术标准，全面完成企业内物联网行业卡安全管理相关技术手段建设工作未满足上述工作要求，根据实际完成情况可扣除 10 分、50 分或 100 分2. 物联网安全管理系统试点建设工作配合部省两级电信主管部门开展物联网安全管理系统试点建设工作1） 试点方案制定：按照《关于配合开展物联网安全管理系统试点工作的 通知》（工网安函〔2018〕1429 号）要求，完成本公司物联网安全管理系统 试点方案制定未满足上述工作要求， 根据实际完成情况予以扣分，最高扣 50 分。

2） 开展试点建设：配合部省两级电信主管部门完成物联网安全管理系统试点建设工作，具备物联网网络基础资源管理、溯源认证管理、数据安全管理、安全监测预警等能力未满足上述工作要求，根据实际完成情况予以扣分，最高扣 100 分注：物联网安全管理系统有关功能、性能指标应符合电信主管部门相关标准规范要求五、应用商店业务专业 （一）通用考核指公司专项考核（6 分，按 标（3 分，按 300 分600 分计） 计）由集团公司结合通用考核要求，自行制定二） 移动应用 （1）按照《移动智能终端应用软件 （1）每发现 1 个应用未做开发者真专项考 网络安全 预置和分发管理暂行规定》、《工 实身份登记扣 2 分核指标 管理 业和信息化部关于加强电信和互联 （2）每发现 1 个应用未做上架前安（3网行业网络安全工作的指导意见》， 全审核，扣 2 分分，按300 分计）应用商店建立安全备案库，开展移动应用开发者真实身份信息登记、上架前安全审核（2）按照《公共互联网网络安全威胁监测与处置办法》（工信部网安〔2017〕202 号），按照电信主管部门的通知和时限要求采取相应处置措施，反馈处置结果3）未建立安全备案库扣 100 分。

未按照通知要求，在规定时限内采取相关网络安全威胁处置措施的，每发现一次扣 3 分。