网络与信息安全保障措施-山西通信管理局

宽带接入网网络与信息安全保障措施网络与信息安全责任人填写本表单中“网络与信息安全管理人员配备情况及相应资质”栏目中“信息安全负责人”联系电话（手机）网络与信息安全应急联络人联系电话（手机）网络与信息安全管理组织机构设置及工作职责本栏请填写本公司负责网络信息安全工作的相关内容如下：1.企业负责人（法人/总经理）XX为网络与信息安全第一责任人，全面负责企业网络与信息安全工作。2.网络与信息安全管理组织架构。应明确本企业网络与信息安全主管部门，明确涉及的其他主体或部门，并有明确的安全职责及分工。本项包含但不限于以下内容：（1）网络与信息安全主管部门名称；（2）网络与信息安全主管部门负责人姓名与职务等信息；（3)网络与信息安全主管部门配置人数；（4）网络与信息安全主管部门工作职责（须含但不限于信息安全管理责任制、有害信息发现受理处置机制、有害信息投诉受理处置机制、重大信息安全事件应急处置和报告制度、信息安全管理政策和业务培训制度、网络安全管理责任制度、网络安全防护制度、网络安全事件应急处置和报告制度、有害信息发现和过滤技术手段、用户日志留存所采用的技术手段、网络安全防护技术手段、安全联络员变动承诺制度等）。（5）网络与信息安全涉及的其他主体或部门名称及职责。3.制定网络与信息安全监督检查制度。该制度应包含但不限于以下内容：（1）实施监督检查工作的责任部门及人员；（2）检查范围：对企业的网络与信息安全工作和措施制度的落实、执行情况进行监督检查；（3）检查的周期和比例，检查可以是定期检查和不定期抽查相接合；（4）检查发现问题的处理：及时完善健全网络与信息安全管理措施和制度，对发生网络与信息安全事件的责任部门、责任人员进行处理。网络与信息安全管理人员配备情况及相应资质本栏请填写本公司网络与信息安全管理人员情况：1.申请企业应至少配备3名或以上网络与信息安全管理人员，并注明管理人员姓名、联系方式、职责分工，附管理人员身份证及资质证书复印件；网络安全人员应具有相应的专业技术资格（网络与信息安全从业资质或通信、计算机相关专业本科及以上学历证明）；3．提供网站接入时：每接入1万个网站至少配备2名专职信息安全工作人员；接入不足1万个网站的，按1万个计算。要求这两个人应不与下表中所列的网络与信息安全责任人重复。责任人姓名职务办公电话手机身份证号码职责邮箱第一责任人(公司法人/总经理）信息安全负责人网络安全负责人7*24小时应急联系电话传真电话网络与信息安全管理责任制本栏请填写本公司依据《电信条例》、《互联网信息服务管理办法》、《电信业务经营许可管理办法》等政策法规制定和建立的企业内部信息安全管理责任制度，该制度应包含但不限于以下内容：：信息安全管理责任制度。（1）企业应制定信息安全管理责任制度。通过文件形式明确信息安全主管部门及其他相关部门的工作职责。其中信息安全主管部门职责至少包括制定信息安全年度工作计划、制定信息安全相关工作制度、负责信息安全事件的响应、处置、协调、负责网络与信息安全教育培训及应急演练，依法配合通信行业主管部门开展违法信息的处置、净化网络环境等相关工作；（2）建立企业内部责任追究制度。明确违反信息安全相关规定的责任部门责任人的相应处罚措施；（3）明确信息安全主管部门及其他相关部门、岗位均应签署网络与信息安全责任书。2.信息安全责任书（模板）。（1）制定企业内部信息安全责任书模板，责任书应明确信息安全应遵守的规定、承担的责任、履行的义务，及违反规定相应具体处罚措施；（2）要求信息安全主管部门及其他相关部门、岗位均应签署信息安全责任书；（3）责任书签订周期：应当每年签一次，有人员调整变动，人员变动时应及时签。监管配合机制网络与信息安全事件应急处置信息安全技术保障措施（根据具体业务开展和监管配合情况配套建设相应的技术保障措施）网络安全防护制度网络安全防护技术手段本栏请填写本公司依据《通信网络安全防护管理办法》、《通信网络安全防护系列标准》、《公共互联网网络安全应急预案》和《互联网网络安全信息通报实施办法》、《增值电信企业网络单元定级流程及方法》等，制定本公司网路安全防护举措。该相关制度举措应包含但不限于以下内容：网络安全系统防护重点解决操作系统、数据库和各个服务器，例如WEB服务器及WAP服务器等系统安全问题，以建立一个安全的系统运行平台，有效抵抗黑客利用系统的安全缺陷对系统进行攻击，主要措施包括：1.应采用与网络安全防护等级相适应的防火墙等技术手段有效保护本地网络安全。简述本企业防火墙设备型号，功能及本企业防火墙采取的相关安全防护措施，如对外屏蔽重要设备地址、关闭与本身服务不相关的端口等。2.操作系统安全保障措施。（1）系统安全防护能力。文件访问控制(系统内文件访问权限要进行分级)用户权限级别（根据系统使用情况，系统不同用户授予不同范围的最小权限）防病毒软件/硬件（系统要具备防病毒功能的软件、硬件）。（2）操作日志记录。对系统的操作要有日志记录，重要操作要有审批流程，并列出审批内容。（3）要有专人负责定期对系统或软件进行升级和补丁。（4）对操作系统进行密码管理，要体现密码更换的时间，密码的复杂程度（密码设置不能使用纯数字等简单密码，须使用英文字母加数字或符号的混合密码）等内容，如企业制定了相关密码管理制度，此处可参照执行。（5）定期开展系统安全检测。定期对系统进行安全漏洞扫描，并在扫描检测完成后，编写检测报告，详细记录漏洞检测结果及实施的补救措施与安全策略，并整理归档备查。3.数据库安全保障措施。（1）数据库存取权限。对数据库存取访问要有权限分级，通过设置不用级别的权限,控制用户对数据库的存取，主要是严格控制访问机制、实现数据库所有操作内容的的可审计。（2）口令安全管理。数据库访问应设置口令保护，对口令日常定期更换、复杂程度等制定管理制度，避免出现弱口令等网络安全隐患，以确保数据库数据安全。（3）数据库安全功能。经授权的数据库系统管理员需定期对数据库安全功能、用户和数据库操作权限进行有效管理，确保数据库安全。（4）数据库定期备份。数据库数据应定期进行备份和转储等操作。（5）操作日志记录。数据库的所有操作均应有操作日志记录，重要操作需进行审批，以备安全审计使用。（6）故障恢复能力等。描述对数据库出现各种人为故障、软件故障和硬件故障时，如何进行恢复的能力，确保发生故障后能恢复全部数据内容。网络与信息安全管理政策和业务培训制度本栏填写本公司依据《电信条例》、《互联网信息服务管理办法》等政策法规制定和建立的企业内部信息安全教育培训制度，该制度应包含但不限于以下内容：1.通过文件形式制定网络与信息安全教育培训制度，明确培训组织部门、培训对象、培训频率、培训方法等；2.每年应制定本年度培训计划、培训内容；3.对培训效果进行考核、检查，建立企业培训档案；4.培训不合格不得上岗。安全联络员变动承诺本栏填写以下内容：本公司承诺切实履行网络信息安