省级基础电信企业网络与信息安全工作考核要点与评分标准

省级基础电信公司网络与信息安全工作考核要点与评分原则阐明：考核分为扣分项和加分项。一是考核扣分总分值为6分（按600分计），采用扣分形式，直至扣完为止。二是考核加分总分值为1分（按100分计），在集团公司对各省公司绩效考核体系中最高可加1分。三是对于进行混合全部制改革的省公司，应在改革方案或合作合同中明确安全责任传导与问责机制；具体改革方案在征得属地通信管理局同意后，由集团公司报部网络安全管理局同意同意后实施。指标类别考核指标指标规定单项评分原则备注一、属地化网络与信息安全考核（1分，按100分计）各通信管理局（下列简称管局）根据属地工作实际，参考部网络安全管理局（下列简称网安局）工作要点，根据前期报送的属地化考核指标，明确考核规定及评分原则（注1、注2）。 对于未按规定完毕配合监管工作的，通信管理局应出具书面扣分阐明及解决意见。注1：属地化考核指标设定原则：①紧紧围绕网络与信息安全重点工作，②有力支撑属地提高监管效能，③对于已列入部统一考核的指标，原则上不纳入属地化考核指标。注2：对于未按规定完毕配合监管工作的，管局应出具书面扣分阐明及解决意见。二、网络安全责任制（一）制度建设、专业力量和资金投入严格贯彻网络安全责任制，设立首席网络安全官、网络与信息安全专职管理部门，加强专业力量和资金投入力度。未明确一名领导班子组员作为首席网络安全官的，扣50分（注1）。网络与信息安全管理部门不符合专职机构设立规定的，扣50分。（3）未有效建立并贯彻网络与信息安全资金投入制度，或未按照属地电信主管部门规定报告年度网络与信息安全资金投入状况的，扣50分（注2）。（4）对于进行混合全部制改革的省公司，未按规定上报改革方案的，扣50分；方案中未明确网络与信息安全责任传导与问责机制的，扣20分（注3）。注1：首席网络安全官重要职责涉及但不限于规划公司网络与信息安全中长久发展战略、管理方略，统筹协调公司内部网络与信息安全责任贯彻。注2：集团公司应及时将年度网络与信息安全资金投入总体状况报部网安局。注3：已启动混合全部制改革的省公司应于8月31日前报送改革方案。（二）重大网络与信息安全事件1.发生特别重大网络安全或数据安全事件的，发生一次扣100分；发生重大网络安全或数据安全事件的，发生一次扣75分；发生较大网络安全或数据安全事件的，发生一次扣50分；发生普通网络安全或数据安全事件的，发生一次扣25分（注1，注2）。2.因发生网络安全或数据安全事件，受到电信主管部门行政处分或通报批评的，被通报一次扣25分，被处分一次扣50分（注2）。3.发生违规接入特通系统事件的，发生一次扣50分。4.违反特通保密管理制度，发生泄密事件的，发生一次扣50分。5.发生违规开展通信管制的，发生一次扣50分。注1：参见《工业和信息化部有关印发<公共互联网网络安全突发事件应急预案>的告知》（工信部网安〔〕281号），涉及网络中断、系统瘫痪、网络数据及顾客个人信息泄露等状况。注2：犹如时满足其它扣分指标，以扣分分值最高项为准。三、网络与信息安全技术手段建设系统建设、“三同时”和配套保障工作规定1.互联网信息安全管理系统（简称信安系统）功效、性能和使用管理等符合有关原则与电信主管部门规定（注1，注2）。（1）部网安局按月对公司侧信安系统日常运行、功效、数据、“三同时”、资源管理、配套保障等状况进行巡逻抽测和问题通报，并根据通报成果进行考核扣分。（2）各管局根据实际状况对公司信安系统进行监督检查或技术检测。（3）具体规定及扣分原则参考考核原则，且对于同一问题部省不重复扣分。注1：互联网信安系统涉及IDC/ISP（涉及互联网资源协作及互联网专线业务）、CDN等信安系统。注2：技术测试由部网安局、各管局自行或委托有关单位开展。2.移动上网日志留存系统功效、性能和操作使用符合规范规定。（1）各管局每六个月对公司3G/4G移动上网日志留存系统进行测试，于年终前对公司5G移动上网日志留存系统进行测试；部网安局随机抽取公司进行测试，内容涉及日志留存精确率、留存内容（注1，注2）。（2）日志留存精确率：应不不大于99%，每减少一种百分点扣3分。（3）留存内容：应留存完整的日志统计，不满足的扣5分（注2）。注1：技术测试由部网安局、各管局自行或委托有关单位开展。注2:5G日志留存内容参见有关原则。3.按照《有关印发基础电信公司资产安全管理平台和网络安全态势感知平台建设指南的函》（工网安函〔〕1494号），建设资产安全管理平台。公司应完毕资产安全管理平台的需求阐明书和建设方案编制工作，在本年度完毕平台建设的招投标工作并开工建设。建设方案应涉及对在网资产指纹信息的采集，并基于采集信息的分析成果进行异常资产和资产脆弱性告警。不满足以上规定扣10分（注1）。注1：采集信息应覆盖不少于60%在网资产。资产脆弱性分析应支持对特定漏洞威胁信息所影响资产范畴的分析，应在监测发现后显示告警。异常资产的鉴定规则可根据公司管理实际规定自定义，应在发现后显示告警。4.按照《有关印发基础电信公司资产安全管理平台和网络安全态势感知平台建设指南的函》（工网安函〔〕1494号），建设网络安全态势感知平台。公司应完毕网络安全态势感知平台的需求阐明书和建设方案编制工作，含有与上级平台的指令接受和数据上报接口，在本年度完毕平台建设的招投标工作并开工建设。建设方案应涉及对数据源的收集，并基于网络安全态势分析进行预警。不满足以上规定，扣10分（注1、注2）。注1：数据源收集应满足完整性，需包含资产信息、系统日志、僵木蠕、恶意程序、网络攻击、安全漏洞等数据。网络安全态势分析涉及对网络攻击状况、网络异常流量状况以及恶意程序传输状况的分析，应在发现上述状况后显示告警。注2：向上级平台上报的数据应涉及分析研判后的数据。5.根据《公共互联网网络安全威胁监测与处置方法》（工信部网安〔〕202号），加强网络安全威胁监测处置技术手段建设，不停提高网络安全威胁监测与处置的及时性、精确性和有效性，逐步提高网络安全公共服务能力。（1）针对恶意网络资源，发现不含有及时和精确监测能力，扣5分；发现不含有有效处置能力，扣5分（注1、注2、注3、注4）（2）木马、病毒和僵尸网络的监测能力覆盖城域网出口抽样流量及重点工业互联网公司专线流量，总带宽不低于省网出入口带宽7%；发现不满足覆盖规定，扣5分。（3）移动恶意程序的监测和处置能力应覆盖2G/3G/4G/5G（NSA）网络；发现不满足覆盖规定，扣5分。注1：技术测试由各管局自行或委托有关单位开展。注2：及时性方面，恶意网络资源、恶意程序应分别在90分钟、120分钟内显示告警；注3：精确性方面，针对拨测样本，木马、病毒和僵尸网络监测精确率在指定链路测试和随机链路作路由牵引后测试的精确率分别不低于50%、10%；移动恶意程序监测精确率不低于40%；注4：有效性方面，恶意网络资源处置成功率不低于50%。6.贯彻“三同时”规定，按照有关规定和管局规定，做好5G网络等特通技术接口配备和有关特通系统建设工作。（1）每出现一次因公司本身因素造成特通系统建设进度滞后的，扣4分。（2）网元未购置技术接口，或检查时接口不能正常启用，每发现一种扣2分。（3）网元接口个别功效不符合原则规定，每发现一种扣1分。（4）检查时提供虚假数据或虚假被测网元，每发现一次扣10分。（5）公司侧建设的特通系统安全管理不严，在检查时每发现一种特通系统可能存在被非法使用的风险扣4分（注1）。注1：如特通系统操作人员没有授权，没有审批及操作统计，可远程接入，网元操作日志丢失或人为删除等。四、网络与信息安全监管工作（一）数据安全管理按照《网络安全法》《电信和互联网顾客个人信息保护规定》《工业和信息化部办公厅有关做好电信和互联网行业网络数据安全管理工作的告知》（工信厅网安函〔〕103号），贯彻电信和互联网行业网络数据安全管理重点工作任务，提高公司整体数据安全保护能力和水平。数据安全管理责任部门会同业务管理运行、系统支撑运维等数据安全管理有关部门，按照《电信和互联网公司网络数据安全合规性评定要点（）》，明确责任分工，完毕数据安全合规性评定并形成评定报告。未形成合规性评定报告的，每发现一例扣10分；未在报告中阐明评定要点对标状况、保障方法配备状况与佐证材料、问题分析和改善方法的，每发现一项扣1-5分。（二）新技术新业务安全评定根据互联网新技术新业务安全评定有关规定，组织开展重大核心技术安全风险识别，进一步开展安全评定工作，有效防备安全风险，持续健全安全保障方法。（1）存在评定清单动态更新不及时、定时核查（验）和风险台账管理未贯彻到位的，每发现一项扣10分（注1、注2）。（2）未识别网络信息安全重大风险，或安全保障方法不到位，或存在评定发现安全风险未贯彻整治而继续运行的，每发现一项扣10分（注3）。注1：业务重点关注5G、人工智能、区块链、大数据、物联网等有关业务，集团公司可在此基础上进一步划定省公司业务评定范畴，划定评定业务类型不少于3类。注2：合作类业务涉及合作开发、合作运行类业务，省公司提供渠道并推广类业务。合作方可选择含有评定资质的第三方实现安全评定实践能力并提供安全评定报告。注3：新业务或在线运行业务如存在重大安全风险，整治未完毕前应不予上线或限制运行。（三）网络安全远程检测及现场抽查按照《网络安全法》《通信网络安全防护管理方法》（工信部令第11号）有关规定，做好网络安全防护工作，接受电信主管部门的网络安全检查，及时消除重大网络安全隐患。（1）部省两级电信主管部门组织开展远程检测，对发现网络安全问题的公司进行通报，初次通报公司不扣分，再次通报同一公司时，每1个问题扣1分；发现已通报但仍未整治的网络安全问题，1个扣2分（注1、注2）。（2）部省两级电信主管部门对重点网络单元开呈现场抽查，发现：①未按规定进行定级备案、符合性评测或风险评定等法律法规问题，每1处扣2分。②行业原则不达标，每1处扣1分。③安全漏洞，每1处高危扣1分、中危扣0.5分、弱口令扣1分；若位于重要设备上，扣分加倍；发现存在恶意代码或后门程序未处置，或从网络单元外获取网络单元内设备的管理员权限或重要数据，扣5分（注3、注4、注5）。注1：检核对象涉及基础公司自有系统和合作系统，范畴涉及生产系统、自用系统、试运行系统、测试系统、已停止业务的未下线系统等。注2：网络安全问题涉及高危漏洞、弱口令、未定级备案、定级备案不精确不及时、符合性评测和风险评定不及时或成果不精确不完整等。注3：定级备案网络单元应涉及全部上线运行的自有和合作类网络和系统，符合性评测和风险评定的范畴涉及全部二级及以上的网络单元。注4：高中危安全漏洞的判断原则参考权威CVE、CNVD漏洞库标记、OWASPTop10漏洞列表等。注5：重要设备涉及：内外网隔离设备、内部安全域划分设备、互联网直连设备、网络业务核心设备等。（四）核心设备安全该考核项的具体指标规定另文公布。该考核项的具体指标规定另文公布。检查方式：各管局组织力量对公司核心设备安全状况进行检查。（五）网络安全服务规范根据《网络安全法》及《工业和信息化部有关加强电信和互联网行业网络安全工作的指导意见》（工信部保〔〕368号）有关规定，规范安全服务管理，防备服务过程中的风险。采购未通过网络安全服务能力评定的机构提供的安全服务的，每发现1个扣3分（注1）。注1：安全服务是指网络安全设计与集成、风险评定、应急响应、安全培训服务（六）依法查询保障按照有关规定和通信管理局工作安排，规范做好依法查询调取保障工作。未建立完善公司内部依法查询调取协作有关管理制度、工作机制、保密规定的，扣2分。因公司本身因素，造成依法查询协作系统建设任务未如期完毕的，扣2分。（3）每出现一次违规配合或未及时开展配合查询调取工作的，扣1分。（4）未经电信主管部门同意向其它部门提供数据采集接口的，扣4分。五、网络环境治理工作（一）防备治理电信网络诈骗专项工作1.结合基础电信公司电信网络诈骗治理评价指数，加强通报检查和考核追责，强化公司主体责任贯彻。（1）对于评价指数中有关指标问题突出的，或通报检查等发现存在违规的，每次扣5分（注1）。（2）因问题突出被电信主管部门约谈整治的，每次扣10分；被电信主管部门约谈且经复核检查后整治效果不明显的，再扣10分。（3）未将本公司电信网络诈骗治理成效纳入市场、渠道等有关部门绩效考核的，扣5分。（4）对漫游到重点地区号码不含有及时精确监测和依法依规处置能力的，扣5分（注2）。（5）未按规定及时对通报的诈骗电话号码、域名、APP、网址链接精确核查处置的，每发现一次扣3分。（6）未按规定及时完整精确向部、省互联网反诈系统上报涉诈有关信息的，每发现一次扣2分。注1：评价指数中有关指标问题突出的状况：手机号码百万顾客举报率排名持续3个月位于前五且月环比上升两次及以上的（举报率≥1且举报件次≥20）；诈骗短信预留电话号码被举报件次（≥20）持续3个月位于前五的。注2：从疑似涉诈号码发起呼喊到关停该号码间隔不得超出2个小时。涉诈号码的关停精确率应≥95%。关停精确率=（1-投诉数/关停数）*100%，其中关停数、投诉数分别为运用大数据系统对漫游到重点地区涉诈号码关停数量、由此引发的顾客投诉数量。2.根据部有关布署安排，做好IMS诈骗电话防备系统建设工作。（1）因公司本身因素，未按规定在10月底前完毕IMS诈骗电话防备系统建设并与管局对接的，扣30分。（2）12月底，系统覆盖比例不低于90%，每低1%扣5分。（3）12月底，发现功效未达成有关原则规定的，系统功效每缺失1项，扣10分。注：（2）（3）两项累计扣分不超出30分。（二）网络安全威胁治理专项工作贯彻《公共互联网网络安全威胁监测与处置方法》，及时减轻或消除网络威胁的危害和影响。（1）公司未及时精拟定位电信主管部门或工信部网络安全威胁信息共享平台下发的恶意IP地址，每发现一次扣3分；未及时处置电信主管部门或工信部网络安全威胁信息共享平台下发的网络安全威胁，每发现一次扣3分；未预留线上接受解决上级部门处置指令接口的，扣5分（注1）。（2）公司未报经电信主管部门同意，按照其它部门或单位通报规定对恶意IP、恶意域名、恶意程序等采用停止服务或屏蔽方法的，每发现一次扣3分。注1：公司应按照电信主管部门规定或工信部网络安全威胁信息共享平台下发规定的时间规定进行反馈。如果是处置状况反馈，应涉及公司接入顾客的威胁整治状况。（三）电话顾客实名登记工作1.按照国家有关法律法规和政策规定，加强电话顾客实名登记管理。（1）电话顾客实名登记精确率未达98%的，每差0.1个百分点，扣10分（注1）。（2）1月1后来新入网电话顾客入网环节人证一致率未达98%的，每差0.1个百分点，扣2分（注2）。（3）1月1后来同一顾客在同一公司全国范畴内办理使用的移动电话卡达成5张的，该公司不得为其办理新卡。每发生一起“一证五卡”违规的，扣2分。扣分根据：工业和信息化部、各管局的通报及行政处分，各基础电信公司集团公司检查通报。注1：电话顾客实名登记精确率是指如实登记证件类别、证件上所载姓名、号码、住址信息，并且通过公安机关联网核验的比率。注2：电话顾客人证一致率是指顾客办理入网手续时所持证件与本人一致通过公安联网核验的比率。注3：电信公司应按规定在规定时限内配合提取监督检查数据。2.按照部有关规定，加大实名制违规责任倒查，巩