1、 申請(qǐng)IDC增值電信業(yè)務(wù)經(jīng)營許可網(wǎng)絡(luò)信息安全專項(xiàng)審核材料要求網(wǎng)絡(luò)與信息安全保障措施應(yīng)包含下列制度和措施：一、信息安全管理組織機(jī)構(gòu)設(shè)置及工作職責(zé)企業(yè)負(fù)責(zé)人為網(wǎng)絡(luò)與信息安全第一責(zé)任人，全面負(fù)責(zé)企業(yè)網(wǎng)絡(luò)與信息安全工作；有明確的機(jī)構(gòu)、職責(zé)，負(fù)責(zé)企業(yè)的網(wǎng)絡(luò)安全與信息安全工作。要建立網(wǎng)絡(luò)與信息安全監(jiān)督檢查制度，定期對(duì)企業(yè)的網(wǎng)絡(luò)與信息安全工作和措施制度的落實(shí)、執(zhí)行情況進(jìn)行監(jiān)督檢查，及時(shí)完善健全網(wǎng)絡(luò)與信息安全管理措施和制度。對(duì)發(fā)生網(wǎng)絡(luò)與信息安全事件的責(zé)任部門、責(zé)任人員進(jìn)行處理。二、網(wǎng)絡(luò)與信息安全管理人員配備情況及相應(yīng)資質(zhì)申請(qǐng)企業(yè)應(yīng)至少配備3人或以上網(wǎng)絡(luò)與信息安全管理人員，并注明管理人員姓名、聯(lián)系方式、職責(zé)分工

2、并附上管理人員身份證及資質(zhì)證書復(fù)印件。每接入1萬個(gè)網(wǎng)站至少配備2名專職信息安全工作人員；接入不足1萬個(gè)網(wǎng)站的，按1萬個(gè)計(jì)算。網(wǎng)絡(luò)安全人員應(yīng)具有相應(yīng)的專業(yè)技術(shù)資格（網(wǎng)絡(luò)與信息安全從業(yè)資質(zhì)或通信、計(jì)算機(jī)相關(guān)專業(yè)本科及以上學(xué)歷證明）。責(zé)任人姓名職務(wù)辦公電話手機(jī)郵箱第一責(zé)任人(公司負(fù)責(zé)人)信息安全責(zé)任人網(wǎng)絡(luò)安全責(zé)任人7*24小時(shí)值班電話傳真電話三、網(wǎng)絡(luò)信息安全管理責(zé)任制在企業(yè)內(nèi)部建立網(wǎng)絡(luò)與信息安全管理責(zé)任制，網(wǎng)絡(luò)與信息安全工作相應(yīng)部門、崗位、人員均應(yīng)簽署網(wǎng)絡(luò)與信息安全責(zé)任書，并附企業(yè)內(nèi)部網(wǎng)絡(luò)與信息安全責(zé)任書模板。責(zé)任書應(yīng)明確網(wǎng)絡(luò)與信息安全應(yīng)遵守的規(guī)定、承擔(dān)的責(zé)任、履行的義務(wù)，及違反規(guī)定相應(yīng)的處罰措施。

3、四、有害信息發(fā)現(xiàn)受理處置機(jī)制建立相應(yīng)技術(shù)支撐系統(tǒng)，具有違法違規(guī)網(wǎng)站、信息的發(fā)現(xiàn)、處置能力；建立有害信息、關(guān)鍵字動(dòng)態(tài)管理機(jī)制；建立網(wǎng)站備案接入流程，嚴(yán)格執(zhí)行先備案后接入的規(guī)定，嚴(yán)禁為未備案網(wǎng)站提供接入，嚴(yán)禁為備案信息虛假及違法違規(guī)網(wǎng)站提供接入，嚴(yán)禁為列入黑名單的主體和網(wǎng)站提供接入；建立代報(bào)備網(wǎng)站用戶信息動(dòng)態(tài)維護(hù)更新制度，確保備案信息真實(shí)有效；建立網(wǎng)絡(luò)資源管理制度，網(wǎng)絡(luò)資源須從基礎(chǔ)電信運(yùn)營企業(yè)獲得，不得為其他IDC、為網(wǎng)站提供接入服務(wù)的ISP企業(yè)提供網(wǎng)絡(luò)資源。五、有害信息投訴受理處置機(jī)制有明確的受理方式，包括電話、QQ、電子郵箱等，有明確的受理部門、人員、有害信息處理機(jī)制和流程，并建立相應(yīng)的制度和

4、措施,及時(shí)完善機(jī)制，防止同類問題的再次發(fā)生。六、重大信息安全事件應(yīng)急處置和報(bào)告制度發(fā)生重大信息安全事件后應(yīng)在第一時(shí)間采取有效措施，將危害影響控制在最小范圍。要明確重大信息安全事件處理的責(zé)任部門、人員、流程、采取的措施、處理和報(bào)告的時(shí)限，并做好證據(jù)留存、原因分析、措施完善工作，積極配合有關(guān)部門做好重大信息安全事件的調(diào)查和處理。七、網(wǎng)絡(luò)信息安全管理政策和業(yè)務(wù)培訓(xùn)制度本制度應(yīng)明確網(wǎng)絡(luò)信息安全管理政策和業(yè)務(wù)培訓(xùn)的組織部門，培訓(xùn)的內(nèi)容和計(jì)劃、培訓(xùn)周期、范圍，并對(duì)培訓(xùn)效果進(jìn)行考核、檢查，建立企業(yè)培訓(xùn)檔案。八、網(wǎng)絡(luò)安全防護(hù)制度（一）填寫網(wǎng)絡(luò)安全防護(hù)基本信息表（詳見附件），依據(jù)通信網(wǎng)絡(luò)安全防護(hù)管理辦法（工業(yè)和

5、信息化部令第11號(hào)）要求，根據(jù)系統(tǒng)所屬類型，按照增值電信業(yè)務(wù)系統(tǒng)相關(guān)網(wǎng)絡(luò)安全防護(hù)定級(jí)要求進(jìn)行定級(jí)，并在系統(tǒng)建設(shè)、運(yùn)行、維護(hù)中按照相關(guān)行業(yè)標(biāo)準(zhǔn)執(zhí)行。（二）企業(yè)自建機(jī)房，應(yīng)建立機(jī)房安全管理制度，明確設(shè)備清單和安全等級(jí)，設(shè)備位置安全，電力供應(yīng)安全，機(jī)房出入管理，機(jī)房環(huán)境管理等內(nèi)容。并按照工業(yè)和信息化部關(guān)于進(jìn)一步規(guī)范因特網(wǎng)數(shù)據(jù)中心業(yè)務(wù)和因特網(wǎng)接入服務(wù)業(yè)務(wù)市場(chǎng)準(zhǔn)入工作的通告（工信部電管函2012552號(hào)）要求，通過電信監(jiān)管部門認(rèn)可機(jī)構(gòu)的“IDC機(jī)房運(yùn)行安全”評(píng)測(cè)。（三）設(shè)備操作安全管理制度，應(yīng)明確崗位操作權(quán)限、操作設(shè)備范圍、操作內(nèi)容，并建立操作日志記錄（含操作內(nèi)容），實(shí)行操作密碼管理（專用賬戶、專用密碼

6、，密碼應(yīng)使用英文字母加數(shù)字或符號(hào)混合設(shè)置）等內(nèi)容。（四）網(wǎng)絡(luò)設(shè)備運(yùn)行維護(hù)制度，應(yīng)明確維護(hù)部門，維護(hù)內(nèi)容、維護(hù)周期、系統(tǒng)功能檢測(cè)周期，建立重要系統(tǒng)的備份維護(hù)管理制度，防火墻等安全措施管理制度，用戶日志留存系統(tǒng)維護(hù)制度等。九、網(wǎng)絡(luò)安全事件應(yīng)急處置和報(bào)告制度（一）明確網(wǎng)絡(luò)安全應(yīng)急處置責(zé)任部門和人員；（二）制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，在預(yù)案中明確網(wǎng)絡(luò)安全事件處理流程及程序，網(wǎng)絡(luò)安全應(yīng)急處置的措施和手段；（三）留存證據(jù)并分析事件原因，在有關(guān)部門調(diào)查時(shí)予以提供；（四）重大網(wǎng)絡(luò)安全事件應(yīng)于2小時(shí)內(nèi)向政府有關(guān)部門報(bào)告；（五）如發(fā)生重大網(wǎng)絡(luò)安全事件應(yīng)第一時(shí)間采取措施，將危害影響控制在最小范圍，及時(shí)進(jìn)行原因分析，制定解

7、決方案，在安全隱患未徹底消除前，不得恢復(fù)系統(tǒng)運(yùn)行。十、有害信息發(fā)現(xiàn)和過濾技術(shù)手段按照工業(yè)和信息化部關(guān)于進(jìn)一步規(guī)范因特網(wǎng)數(shù)據(jù)中心業(yè)務(wù)和因特網(wǎng)接入服務(wù)業(yè)務(wù)市場(chǎng)準(zhǔn)入工作的通告（工信部電管函2012552號(hào)）要求和相關(guān)技術(shù)標(biāo)準(zhǔn)，建立 “ICP/IP地址/域名備案系統(tǒng)”、“IDC/ISP接入資源管理平臺(tái)”、“IDC/ISP信息安全管理系統(tǒng)”，并通過電信監(jiān)管部門認(rèn)可機(jī)構(gòu)的評(píng)測(cè)，明確系統(tǒng)的維護(hù)、管理和使用部門，定期對(duì)系統(tǒng)功能進(jìn)行檢測(cè)，確保系統(tǒng)可靠運(yùn)行。十一、用戶日志留存所采用的技術(shù)手段建立用戶日志留存系統(tǒng)，明確系統(tǒng)的維護(hù)管理部門，定期檢測(cè)系統(tǒng)功能，具備用戶日志數(shù)據(jù)備份和恢復(fù)功能，用戶日志留存時(shí)限不得低于60

8、日，并妥善保護(hù)用戶日志留存數(shù)據(jù)，不得發(fā)生侵害用戶隱私、信息泄露等問題。十二、網(wǎng)絡(luò)安全防護(hù)技術(shù)手段網(wǎng)絡(luò)安全防護(hù)重點(diǎn)解決操作系統(tǒng)、數(shù)據(jù)庫和WEB、WAP服務(wù)器等系統(tǒng)安全問題，建立安全的系統(tǒng)運(yùn)行平臺(tái)，有效抵抗黑客利用系統(tǒng)的安全缺陷對(duì)系統(tǒng)進(jìn)行攻擊，主要措施包括：（一）應(yīng)采用與網(wǎng)絡(luò)安全防護(hù)等級(jí)相適應(yīng)的防火墻等技術(shù)手段有效保護(hù)網(wǎng)絡(luò)安全，對(duì)外屏蔽重要設(shè)備地址。（二）操作系統(tǒng)安全保障措施包含：系統(tǒng)安全防護(hù)措施（文件訪問控制、用戶權(quán)限級(jí)別、防病毒軟件/硬件），操作日志記錄，專人定期負(fù)責(zé)系統(tǒng)、軟件的升級(jí)和補(bǔ)丁，實(shí)行密碼管理（密碼設(shè)置不能使用純數(shù)字等簡(jiǎn)單密碼，須使用英文字母加數(shù)字或符號(hào)的混合密碼，并定期修改），定期

9、進(jìn)行漏洞掃描，并在掃描檢測(cè)完成后，建立檢測(cè)檔案，詳細(xì)記錄漏洞檢測(cè)結(jié)果及實(shí)施的補(bǔ)救措施與安全策略。（三）數(shù)據(jù)庫安全保障措施應(yīng)包含：數(shù)據(jù)庫存取權(quán)限，口令安全管理，數(shù)據(jù)庫安全防護(hù)，數(shù)據(jù)庫定期備份，操作日志記錄，故障恢復(fù)能力等。十三、安全聯(lián)絡(luò)員變動(dòng)承諾需明確聯(lián)絡(luò)員及聯(lián)絡(luò)員聯(lián)系方式，并承諾聯(lián)絡(luò)員或聯(lián)絡(luò)員聯(lián)系方式發(fā)生變更后兩個(gè)工作日內(nèi)主動(dòng)向山西省通信管理局書面報(bào)告。附件 網(wǎng)絡(luò)安全防護(hù)基本信息表企業(yè)名稱網(wǎng)絡(luò)單元類型門戶綜合網(wǎng)站系統(tǒng) 即時(shí)通信系統(tǒng) 網(wǎng)絡(luò)交易系統(tǒng)信息社區(qū)服務(wù)系統(tǒng) 互聯(lián)網(wǎng)內(nèi)容分發(fā)網(wǎng)絡(luò) 搜索系統(tǒng)互聯(lián)網(wǎng)接入服務(wù)系統(tǒng) 互聯(lián)網(wǎng)數(shù)據(jù)中心 郵件系統(tǒng)移動(dòng)互聯(lián)網(wǎng)應(yīng)用商店 域名服務(wù)系統(tǒng) 其他業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)單元1定級(jí)情況網(wǎng)絡(luò)單元（名稱） 項(xiàng)目賦值對(duì)應(yīng)詳細(xì)指標(biāo)說明社會(huì)影響力 I社會(huì)影響力指標(biāo)規(guī)模和服務(wù)范圍R規(guī)模和服務(wù)范圍指標(biāo)所提供服務(wù)的重要性V所提供服務(wù)的重要性指標(biāo)網(wǎng)絡(luò)安全等級(jí) （ ）級(jí)（按照管局網(wǎng)站計(jì)算程序計(jì)算結(jié)果）符合性評(píng)測(cè)依據(jù)的行業(yè)標(biāo)準(zhǔn)名稱網(wǎng)絡(luò)單元2定級(jí)情況網(wǎng)絡(luò)單元（名稱）項(xiàng)目賦值