网络与信息安全各部门职责

企业发展部组织机构设立专职网络信息安全二级部门。明确明确一名主管领导统一负责公司网络安全领导工作。明确一个二级部门统一负责本公司的网络安全管理工作，承担统筹协调、监督检查、责任考核等管理职能。地市级公司明确一个网络安全管理部门，并配备至少1名专职网络安全工作人员。要求：（1）设置机构，解决存在问题。（2）在4月中旬完成机构配置，并有正式文件下发。一、部门工作分解人力资源部人员配备信息安全专职机构的专职人员配备（小省5名）。市场部、客服部、集客部、网建部、产创部、信息化部、运维部、七地市专职人信息安全员（至少配备1名）。网络管理二级部门至少配备3名专职网络安全管理人员，具体负责网络安全防护、网络安全威胁治理、网络安全应急保障等管理工作。在网络运行操作部门（如网管中心）至少配备3名专职网络安全技术人员。其它负责生产系统运行维护的部门（如IT部门、数据部等）至少配备1名专职网络安全技术人员。地市级公司配备至少1名专职网络安全工作人员。IDC/ISP信息接入，网站备案至少配备2名专职人员。要求：（1）设置机构，解决存在问题。（2）在4月中旬完成人员配备，OA工作职责体现并有正式文件下发。一、部门工作分解集团客户部IDC/ISP系统信息维护、备案管理

规范使用IDC/ISP信息安全技术管理系统确保系统安全稳定运行，发生系统故障对信息安全管理造成较大影响的，一次扣5分，直至扣完为止。要求：4月20日前提供正式印发执行的IDC/ISP信息安全管理系统使用管理办法和技术保障措施；确保信息准确实时上报；网站备案要求达到100%。数据中心安全防护建设

按照《数据中心安全防护要求》(YD/T2584-2013)具备防DDOS攻击、防病毒、防入侵、虚假源地址过滤等安全防护能力。要求：在11月底前完成系统问题整改，在2015年12月初提供能力自测报告。专项工作

“扫黄打非”工作；通讯信息诈骗治理工作；反恐维稳应急处置；垃圾短信治理工作等。要求：按通信管理局要求配合开展专项治理工作。一、部门工作分解客户服务部专项工作“扫黄打非”工作；通讯信息诈骗治理工作；反恐维稳应急处置工作。要求：按通信管理局要求开展其专项治理工作，投诉登记处理等垃圾短信专项治理接到西藏联通号码关于短信不能发送相关投诉，核实垃圾短信发送，进行统一解释，做好登记、统计等工作。要求：根据集团要求，做好垃圾短信治理，降低用户投诉，做好登记备案工作。一、部门工作分解4市场部(1/2)各类营销渠道规范化管理2015年2月1日至8月31日，每发现一个未实现系统自动识别录入用户身份信息的实体网点，扣2分2015年9月1日起，每发现一个未配备二代身份识别设备对用户身份证件进行核验并实现系统自动识别录入用户身份信息的实体网点，扣2分。2015年2月1日起，每发现一个不具备用户上传居民身份证扫描信息功能或不具备与“全国公民身份信息系统”联网比对能力的网店，扣2分每发现一个未在显著位置张贴基础电信企业配发的统一标识和代理编号的社会营销网点（含网络代理），扣2分从严对新入网用户实施实名登记每发现一个违规为用户办理入网手续的实体网点或网店，扣2分；每发现一次违规为单位办理移动电话入网手续的，扣4分。每发现一个未开展回访工作的电话号码，扣1分。每发现一次未如实、按时上报的漏洞清单，扣1分。一、部门工作分解5市场部（2/2）全面推进未实名老用户补登记截至2015年l2月31日，各省级基础电信企业全部电话用户实名登记率每低于90%一个百分点，扣8分。电话用户实名登记率以工业和信息化部认可的第三方机构的抽测结果为准。截止2015年12月31日，每发现一个自办厅和合作厅未铺设高拍仪的，扣2分。未按要求建设“双照片系统”的扣8分。要求：（1）市场部加大实名制考核力度，切实落实考核要求；加强黑卡管理、老用户实名登记、健全实名登记“双照片”制度；（2）市场部对重点营业点、代理店进行抽查、暗访，严查存在的问题；（3）加强信息同步，发现问题务必告知信息安全部；市场部组织的明察暗访必要情况下喊上信息安全部一同前往，便于了解一线情况。专项工作“扫黄打非”工作；通讯信息诈骗治理工作；反恐维稳应急处置；垃圾短信治理工作等。要求：按通信管理局要求开展其专项治理工作。新技术新业务评估业务清单新业务上线前必须开展评估，未评估的不得上线；在2015年4月底前完成清单确定。一、部门工作分解6产品创新部（1/4）新技术新业务评估电信业务信息安全评估清单由省公司与当地通信管理局和集团公司协商确定；重点存量业务应综合考虑用户规模（大）、业务属性（社交、媒体属性强）、技术实现（基于互联网提供）以及是否涉及互联网接入环节（例如云计算、CDN业务）等因素确定，不含传统的话音业务；新业务上线前必须开展信息安全评估，未评估的不得上线；集团公司统一立项研发的新业务通过省公司支撑运营的，相应省公司也应在当地组织开展信息安全评估。评估中发现的风险要在15个工作日内进行整改，并提交整改报告；管局与各企业建立监督举报机制，各企业间互相监督，发现问题随时举报

要求：（1）信息安全部联合市场部、产品创新部等清理业务清单，在2015年4月中旬前完成清单确定；（2）信息安全部整理、完善新技术新业务评估管理办法；（3）在4月份以后开展的新业务，要在10个工作日内及时上报。一、部门工作分解7产品创新部(2/4)系统“三同步”2014年新建、改建、扩建项目按要求完成上线前风险评估、出具验收报告，平台建设需满足“三同步”要求。抽查重点网元，出现网络安全等问题，进行打分。网元定级备案报及抽查每个被测网络和系统均需单独提交符合性评测和风险评估报告；二级网络单元应每两年进行一次符合性评测和风险评估，三级及三级以上网络单元应每年进行一次符合性评测和风险评估。完成定级、备案工作。管局抽测工作计划在2015年11月底前完成，如各被抽查网络和系统的得分平均值在100－90分之间，则该项得满分。要求：（1）在2015年10月底前完成单独的符合性评测和风险评估报告；（2）在2015年7月底前完成定级备案。（3）在2015年10月份前完成风险评估及问题整改并进行复测。一、部门工作分解8产品创新部(3/4)系统平台保障运行1.IDC/ISP信息安全技术管理系统完成系统建设，实现出口带宽100%覆盖；系统功能性能各项指标符合标准要求。须提供落实“三同步”要求的具体情况报告；建立IDC/ISP业务扩容、改造报告制度。发生系统故障对信息安全管理造成较大影响的，一次扣5分，直至扣完为止。正式印发执行的IDC/ISP信息安全管理系统使用管理办法和技术保障措施要求：（1）配合检测机构出具的正式测试报告；（2）做好系统维护，确保系统安全稳定运行。（3）在2015年4月中旬配合制定IDC/ISP信息安全管理系统使用管理办法和技术保障措施。2.移动互联网恶意程序监测技术手段建设情况是否覆盖4G网络。是否具备对移动互联网恶意程序疑似样本的捕获能力。是否具备发现省内用户感染已知移动互联网恶意程序的能力。是否具备对已知移动互联网恶意程序的传播和控制端IP、域名、URL进行处置的能力（可结合其他平台实现）。要求：（1）对已知样本的拨测成功率应不低于20%，拨测样本和工具由部（通信保障局）统一下发；（2）日常配合：按要求，开展发现、分析、处置及信息报送工作。一、部门工作分解9产品创新部(4/4)3.移动互联网恶意程序监测技术手段建设情况是否具备对木马和僵尸网络疑似样本的捕获能力。是否具备发现省内用户感染已知木马和僵尸的能力；是否开展日常配合工作。是否具备对已知木马和僵尸的传播和控制端IP、域名、URL进行处置的能力（可结合其他平台实现）。要求：（1）由省电信主管部门对“发现省内用户感染已知木马和僵尸网络的能力”进行拨测验证，对已知样本的拨测成功率应不低于10%，拨测样本和工具由部（通信保障局）统一下发；（2）日常配合：按要求，开展发现、分析、处置及信息报送