网络与信息安全,考核方案(云公司)

1、20172017年年网网络络与与信信息息安安全全责责任任考考核核方方案案（云云公公司司）指指标标类类别别考考核核指指标标指指标标完完成成情情况况评评分分标标准准需需提提交交的的材材料料（一）组织机构与制度建设（2分，按200分计）1、网络与信息安全机构设置（80分）是否明确一个部门统筹负责本企业CDN/云业务网络与信息安全管理工作（40分）依据文件认定(部门职责须明确统筹负责网络与信息安全管理工作)1.负责网络与信息安全工作部门职责的正式文件是否明确一名主管领导统一负责企业网络与信息安全领导工作（40分）依据文件认定(有主管领导统一负责网络与信息安全工作)2.分管领导的职责分工正式文件2、网络

2、与信息安全专职人员配备与教育培训（60分）已配备专职信息安全管理人员数量人（应不少于五人，每少一人扣30/9分，直至30分扣完为止）依据名单核实并认定数量3.专职信息安全管理人员名单（至少包括姓名、部门、电话）已配备专职网络安全管理人员数量人（应不少于三人，每少一人扣30/9分，直至30分扣完为止）依据名单核实并认定数量4.专职网络安全管理人员名单（至少包括姓名、部门、电话）已配备其他相关业务部门网络与信息安全工作安全员数量人（应不少于一人，每少一人扣30/9分，直至30分扣完为止）依据名单核实并认定数量5.其他部门网络与信息安全工作人员名单（至少包括姓名、部门、电话）年内组织专职网络与信息安

3、全人员开展教育培训次（应不少于两次，每少一次扣10分，直至20分扣完为止）依据材料认定次数6.培训证明材料（含PPT课件、签到表）培训记录是否已经上报工信部或集团公司（10分）依据证明文件认定7.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）3、网络与信息安全管理制度建设与完善（60分）建立企业业务经营情况报备机制，企业应每季度向部网络安全管理局与集团公司报备企业业务开展情况，包括人员机构情况、业务经营范围、业务系统功能性能、提供服务的客户列表等情况。本年度共报备次。（应为三次，少报一次扣5分）依据证明文件认定次数8.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）是否建

4、立信息安全事件报告制度（5分）依据材料认定9.相关制度文件（应包含信息安全事件报告制度）是否制定信息安全事件专项应急预案（5分）依据材料认定10.相关制度文件（应包含信息安全事件专项应急预案）是否建立信息安全突发事件应急处置机制（5分）依据材料认定11.相关制度文件（应包含信息安全突发事件应急处置机制）是否建立企业内部信息安全考核和奖惩制度（5分）依据材料认定12.相关制度文件（应包含企业内部信息安全考核和奖惩制度）是否建立重大信息安全风险评估制度（5分）依据材料认定13.相关制度文件（应包含重大信息安全风险评估制度）是否建立网络安全事件报告制度（5分）依据材料认定14.相关制度文件（应包含网

5、络安全事件报告制度）是否制定网络安全事件专项应急预案（5分）依据材料认定15.相关制度文件（应包含网络安全事件专项应急预案）是否建立网络安全突发事件应急处置机制（5分）依据材料认定16.相关制度文件（应包含网络安全突发事件应急处置机制）（二）信息安全管理（2分，按200分计）1、CDN信息安全管理系统（100分）系统建设情况（80分）系统功能、性能不符合标准要求或因企业单方面原因造成与部级信息安全管理系统对接中断的情况共项（次）（发现一项扣5分）依据测试报告或材料认定17.工信部测试报告或证明材料（须由分管网络与信息安全的公司领导签字并盖公司章）基础数据填报不符合标准要求的情况共项（发现一项扣

6、5分）依据证明文件认定18.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）发现系统漏覆盖CDN业务节点的情况共次（发现一项扣5分）依据证明文件认定19.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）系统使用与运行维护（20分）是否具有完善的系统使用管理实施细则（3分）依据材料认定20.系统使用管理实施细则（一）组织机构与制度建设（2分，按200分计）3、网络与信息安全管理制度建设与完善（60分）是否具有明确的系统使用管理部门（2分）依据证明文件认定21.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）说明：证明文件应包含系统使用管理部门名称是否具有与业务规模相

7、匹配的专职系统操作使用人员（至少两名），且能够熟练掌握相关管理要求并能够熟练操作与使用信息安全管理系统（3分）依据材料认定（至少两名）22.专职系统操作使用人员名单（须由公司分管网络与信息安全的公司领导签字并盖公司章）是否能够利用信安系统对所加速的网站和信息进行自主监测，并对发现的违法违规网站（如：未备案网站、黑名单网站等）与信息进行及时处置且留存相应记录（2分）依据证明文件认定23.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）是否按要求执行部级系统下达的违法信息监测与处置要求（3分）依据证明文件认定24.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）是否对本系统的运

8、行和对接情况进行7*24小时实时监测，及时修复系统故障（3分）依据证明文件认定25.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）（二）信息安全管理（2分，按200分计）1、CDN信息安全管理系统（100分）系统使用与运行维护（20分）系统网络安全防护情况是否符合有关管理规定和通信行业标准要求，并确保系统数据安全（2分）依据证明文件或测试报告认定26.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）或测试报告是否建立信息安全管理系统与网络同步配套制度（2分）依据制度文件认定27.相关制度文件（应包含信息安全管理系统与网络同步配套制度）2、云业务信息安全管理系统（100分）

9、系统建设情况（80分）系统功能、性能不符合标准要求的情况共项（发现一项扣5分）依据测试报告或材料认定28.工信部测试报告或证明材料（须由分管网络与信息安全的公司领导签字并盖公司章）发生系统故障对信息安全管理造成影响，或企业单方面造成的与部级信息安全管理系统对接中断的情况共次（发生一次扣5分）依据证明文件认定29.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）基础数据填报不符合标准要求的情况共项（发生一次扣5分）依据证明文件认定30.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）发现系统漏覆盖云业务机房的情况共次（发生一次扣5分）依据证明文件认定31.证明文件（须由分管网

10、络与信息安全的公司领导签字并盖公司章）系统使用与运行维护（20分）是否具有完善的系统使用管理实施细则（3分）依据材料认定32.系统使用管理实施细则是否具有明确的系统使用管理部门（2分）依据证明文件认定33.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章），说明：证明文件应包含系统使用管理部门名称是否具有与业务规模相匹配的专职系统操作使用人员（至少两名），且能够熟练掌握相关管理要求并能够熟练操作与使用信息安全管理系统（3分）依据材料认定（至少两名）34.专职系统操作使用人员名单（须由分管网络与信息安全的公司领导签字并盖公司章）（二）信息安全管理（2分，按200分计）1、CDN信息安全管

11、理系统（100分）系统使用与运行维护（20分）是否能够充分利用信安系统对所接入的网站和信息进行自主监测，并对发现的违法违规网站（如：未备案网站、黑名单网站等）与信息进行及时处置且留存相应记录（2分）依据证明文件认定35.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）是否按要求执行部级系统下达的违法信息监测与处置要求（3分）依据证明文件认定36.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）是否对本系统的运行和对接情况进行7*24小时实时监测，及时修复系统故障（3分）依据证明文件认定37.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）系统网络安全防护情况是否符

12、合有关管理规定和通信行业标准要求，并确保系统数据安全（2分）依据证明文件或测试报告认定38.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）或测试报告是否建立信息安全管理系统与网络同步配套制度（2分）依据制度文件认定39.相关制度文件（应包含信息安全管理系统与网络同步配套制度）（三）网络安全管理（2分，按200分计）1、CDN系统网络安全防护工作情况（40分）部级电信主管部门对业务基地的网络安全定级备案准确率抽查评分（20分）依据材料认定40.工信部抽查评分材料部级电信主管部门对业务基地的网络安全情况抽查评分（20分）依据材料认定41.工信部抽查评分材料2、云服务网络安全防护工作情况

13、（40分）部级电信主管部门对业务基地的网络安全定级备案准确率抽查评分（20分）依据材料认定42.工信部抽查评分材料部级电信主管部门对业务基地的网络安全情况抽查评分（20分）依据材料认定43.工信部抽查评分材料（二）信息安全管理（2分，按200分计）2、云业务信息安全管理系统（100分）系统使用与运行维护（20分）3、CDN系统网络安全监测和防护能力建设（30分）部统一组织技术力量进行检测验证，符合相关标准监测能力的程度为：100%符合；75%符合；50%符合；25%符合；不符合。依据材料认定44.工信部检测验证材料4、云服务网络安全监测和防护能力建设（30分）部统一组织技术力量进行检测验证，符

14、合相关标准监测能力的程度为：100%符合；75%符合；50%符合；25%符合；不符合。依据材料认定45.工信部检测验证材料5、重要数据和用户个人电子信息保护（30分）是否建立了重要数据和用户个人电子信息安全管理制度（10分）依据文件认定46.相关制度文件是否建立了重要数据和用户个人电子信息保护的技术防护手段（10分）依据文件认定47.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章），说明：证明文件应包含相关技术防护手段情况介绍是否在开展数据合作中涉及泄露、出售用户个人电子信息等违规行为（10分）依据文件认定48.证明文件（须由分管网络与信息安全的公司领导签字并盖公司章）6、网络安全应急