申请ISP增值电信业务经营许可

1、申请ISP增值电信业务经营许可 网络信息安全专项审核材料要求网络与信息安全保障措施应包含下列制度和措施:、信息安全管理组织机构设置及工作职责企业负责人为网络与信息安全第一责任人，全面负责企业网络与信息安全工作；有明确的机构、职责，负责企业的 网络安全与信息安全工作。要建立网络与信息安全监督检查 制度，定期对企业的网络与信息安全工作和措施制度的落 实、执行情况进行监督检查，及时完善健全网络与信息安全 管理措施和制度。对发生网络与信息安全事件的责任部门、 责任人员进行处理。、网络与信息安全管理人员配备情况及相应资质申请企业应至少配备 3人或以上网络与信息安全管理人员，并注明管理人员姓名、联系方式、

2、职责分工，附管理人 员身份证及资质证书复印件。网络安全人员应具有相应的专 业技术资格（网络与信息安全从业资质或通信、计算机相关专业本科及以上学历证明）责任人姓名职务办公电话手机邮箱第责任人（公司负责人）信息安全责任人网络安全责任人7*24小时值班电传真电话话、网络信息安全管理责任制在企业内部建立网络与信息安全管理责任制，网络与信息安全工作相应部门、岗位、人员均应签署网络与信息安全 责任书，并附企业内部网络与信息安全责任书模板。责任书 应明确网络与信息安全应遵守的规定、承担的责任、履行的 义务，及违反规定相应处罚措施。四、有害信息发现受理处置机制应建立相应技术支撑系统，建立网络资源管理制度。为互

3、联网站提供接入的ISP网络资源须从基础电信运营企业获 得，不得为其他IDC、为网站提供接入服务的ISP企业提供网络资源；技术支撑系统应具有违法违规网站、信息的发现、 处置能力；建立有害信息、关键字动态管理机制；建立网站 备案接入流程，严格执行先备案后接入的规定，严禁为未备 案网站提供接入，严禁为备案信息虚假及违法违规网站提供 接入，严禁为列入黑名单的主体和网站提供接入；建立代报 备网站用户信息动态维护更新制度，确保备案信息真实有 效。五、有害信息投诉受理处置机制有明确的受理方式，包括电话、QQ、电子邮箱等，有明确的受理部门、人员、有害信息处理机制和流程，并建立 相应的制度和措施，及时完善机制，

4、防止同类问题的再次发 生。六、重大信息安全事件应急处置和报告制度发生重大信息安全事件后应在第一时间采取有效措施，将危害影响控制在最小范围。要明确重大信息安全事件处理 的责任部门、 人员、 流程、 采取的措施、 处理和报告的时限， 并做好证据留存、原因分析、措施完善工作，积极配合有关 部门做好重大信息安全事件的调查和处理。七、网络信息安全管理政策和业务培训制度本制度应明确网络信息安全管理政策和业务培训的组织部门，培训的内容和计划、培训周期、范围，并对培训效 果进行考核、检查，建立企业培训档案。八、网络安全防护制度一）填写网络安全防护基本信息表 （详见附件） ，依据通信网络安全防护管理办法 （工业

5、和信息化部令第11 号）要求， 根据系统所属类型， 按照增值电信业务系统相 关网络安全防护定级要求进行定级，并在系统建设、运行、 维护中按照相关行业标准执行。二）企业自建机房，应建立机房安全管理制度，明确设备清单和安全等级，设备位置安全，电力供应安全，机房 出入管理，机房环境管理等内容。三）设备操作安全管理制度，应明确岗位操作权限，操作设备范围、操作内容，并建立操作日志记录（含操作内 容），实行操作密码管理（专用账户、专用密码，密码应使 用英文字母加数字或符号混合设置 ）等内容。四）网络设备运行维护制度，应明确维护部门，维护内容、维护周期，系统功能检测周期，建立重要系统的备份 维护管理制度，防

6、火墙等安全措施管理制度，用户日志留存 系统维护制度等。九、网络安全事件应急处置和报告制度一）明确网络安全应急处置责任部门和人员； 二）制定网络安全应急预案，在预案中明确网络安全事件处理流程及程序，网络安全应急处置的措施和手段；三）留存证据并分析事件原因，在有关部门调查时予以提供；四）重大网络安全事件应于 2 小时内向政府有关部门报告；五）如发生重大网络安全事件应第一时间采取措施，将危害影响控制在最小范围，及时进行原因分析，制定解决 方案，在安全隐患未彻底消除前，不得恢复系统运行。、有害信息发现和过滤技术手段按照 工业和信息化部关于进一步规范因特网数据中心业务和因特网接入服务业务市场准入工作的通

7、告工信部建设 “ICP/IP电管函 2012 552 号）要求和相关技术标准， 地址/ 域名备案系统”、“ IDC/ISP 接入资源管理平台”和IDC/ISP 信息安全管理系统”，并通过电信监管部门认可 机构的评测； ISP 业务申请者如果不提供网站接入服务，可 只进行“ IDC/ISP 接入资源管理平台”和“ ICP/IP 地址 /域名备案系统”评测。要明确系统的维护、管理和使用部门， 定期对系统功能进行检测，确保系统可靠运行。、用户日志留存所采用的技术手段建立用户日志留存系统，明确系统的维护管理部门，定 期检测系统功能，具备用户日志数据备份和恢复功能，用户 日志留存时限不得低于 60 日，

8、并妥善保护用户日志留存数 据，不得发生侵害用户隐私、信息泄露等问题。二、网络安全防护技术手段网络安全防护重点解决操作系统、 数据库和 WEB 、WAP 服务器等系统安全问题，建立安全的系统运行平台，有效抵 抗黑客利用系统的安全缺陷对系统进行攻击，主要措施包 括：一）应采用与网络安全防护等级相适应的防火墙等技术手段有效保护本地网络安全，对外屏蔽重要设备地址。二）操作系统安全保障措施包含：系统安全防护措施文件访问控制、用户权限级别、防病毒软件/ 硬件），操作 日志记录，专人定期负责系统、软件的升级和补丁，实行密 码管理（密码设置不能使用纯数字等简单密码，须使 用英文 字母加数字或符号的混合密码 ，

9、并定期修改） ，定期进行漏 洞扫描，并在扫描检测完成后，建立检测档案，详细记录漏 洞检测结果及实施的补救措施与安全策略。三）数据库安全保障措施应包含：数据库存取权限，口令安全管理，数据库安全防护，数据库定期备份，操作日志记录，故障恢复能力等。、安全联络员变动承诺 需明确联络员及联络员联系方式，并承诺联络员或联络员联系方式发生变更后两个工作日内主动向山西省通信管 理局书面报告。附件网络安全防护基本信息表企业名称门户综合网站系统 信息社区服务系统 互联网接入服务系统 移动互联网应用商店网络交易系统搜索系统 邮件系统其他业务系统即时通信系统互联网内容分发网络互联网数据中心域名服务系统网络单元类型网络单元1网络单元定级情况（名称）项目赋值对应详细指标说明社会影响力I社会影响力指标规模和服务范围R规模和服务范围 指标所提供服务的重要性V所提供服务的重 要性指标网络安全等级（）级（按照管局网站计算程序计算结果）符合性评 测依据的 行业标准 名称网络单元2 定级情况网络单元（名称）项目赋值对应