增值电信业务经营许可网络信息安全保障审批要求

1、- 1 -云南省增值电信业务网络信息安全保障基本要求根据电信条例、电信服务规范和互联网信息服务管理办法等政策 法规要求，依照电信业务分类目录以及增值电信业务网络信息安全保障基 本要求（YDN126-2007YDN126-2007）,为确保增值电信业务网络信息安全， 特制定我省增值 电信业务网络信息安全基本要求。 在我省申办增值电信业务许可证， 应提交以下 信息安全保障相关材料：一、安全管理制度1信息资源安全保障1.11.1 信息类资产安全管理制度 信息类资产（数据文件、系统文件、操作或执行程序、用户信息档案、业务信息等）清单；确定安全等级（一般信息、重要信息） 、建立相应管理要求。（ 一般信息

2、：不会对业务运行产生重要影响的信息，例如 WEB 服务器上供用户浏览的信 息、用户间传送的信息等；重要信息：影响业务运行的信息，例如系统配置信息、业务网络配 置信息、用户业务日志、用户帐户信息等）1.21.2信息发布安全管理制度 建立专人审核信息发布、有害信息投诉受理机制。1.31.3 信息交换安全管理制度有措施保证信息交换的保密性和完整性。2.硬件设备和环境安全保障2.12.1 机房安全管理制度- 2 -2.22.2 物理设备安全管理制度设备清单和安全等级；设备位置安全；电力供应安全；容量冗余足够。 第三方代为维护的提供维护合同。2.32.3 设备操作安全管理制度 设备操作规范；设备维修记录

3、档案 ; ;设备运行记录编写制度。 托管的，与托管方签订操作安全方面的协议3.网络安全保障措施 应采用防火墙等技术手段有效保护本地网络安全；对外屏蔽重要设备地址； 关闭不相关的端口。托管的应有网络安全保障协议4.平台系统软件保障措施4.14.1 操作系统安全保障措施 系统安全防护能力（文件访问控制、用户权限级别；防病毒软件/ /硬件）；操作日志记录；备份功能；专人定时负责软件升级和补丁；弱口令管理；漏洞扫描 （1 1次/ /月）、备份（ 1 1 次/ /月）。4.24.2 数据库系统安全保障措施 数据库存取权限；口令安全管理；数据库安全功能；备份制度（ 1 1 次/ /每月）； 操作日志记录；

4、故障恢复能力。4.34.3 业务应用系统安全保障措施4.3.14.3.1 通用性要求访问权限分级；口令安全管理；日志记录；重要业务数据备份（ 1 1 次/ /每月）； 业务系统备份。- 3 -4.3.24.3.2 业务安全管理安全管理员联系方式；与主管部门建立处置机制；用户安全管理制度（与用 户签订信息安全责任协议、用户资质证明）4.3.34.3.3 不同业务类型的业务安全管理（见附录）二、安全事件应急处理预案安全事件分级； 安全事件监测和记录制度； 高等级安全事件的应对处置措施； 执行应急预案的联系人及联系方式；预案更新和演练制度。附录 依照申请增值电信业务的不同，还需在业务系统性能方面满足

5、以下要求： 1ISP业务可用性99.99%99.99%业务平均恢复时间w 8 8小时，最长不超过1212小时 业务日志至少保存 6060 天 提供有效可靠的用户接入认证、授权和计费机制。 保存用户 IPIP 地址配置信息 2信息服务业务业务可用性99.99%99.99%业务平均恢复时间w 8 8小时，最长不超过1212小时ICPICP 企业要遵守互联网信息服务管理办法 ，建立有害信息过滤、屏蔽、删除 和关闭机制CPCP、 SPSP 设立专人和网络资源接受、处理垃圾短信投诉机制 建立用户业务认证、授权和计费机制 信息发布日志记录至少保存 6060 天 用户使用日志记录至少保存 6060 天 3国

6、内多方通信服务 具备有效机制保证发布合法信息 业务日志记录至少保存 6060 天 4在线数据处理与交易处理业务 业务可用性99.99%99.99%业务平均恢复时间w 4 4小时，最长不超过8 8小时 - 4 -采用加密和验证技术保证业务数据传输和存储安全 采用数字签名技术保证业务真实性 用户业务日志至少保存 3 3 个月 5存储转发类业务业务可用性99.99%99.99%业务平均恢复时间w 4 4小时，最长不超过8 8小时 用户业务日志至少保存 6060 天 6因特网数据中心（ IDC ）业务 业务可用性99.95%99.95%业务平均恢复时间w 4 4小时，最长不超过8 8小时 用户信息类资产安全保护措施 数据容灾备份方案 租用者信息审查和更新制度能够提供信息发布安全检查技术支