1、附件2 2018基礎電信企業網絡與信息安全責任考核檢查要點綜合管理部分檢查內容檢查要點檢查方式及要求檢查結果1. 黨委（黨組）責任落實檢查企業落實黨委（黨組）責任體制機制。1.檢查公司落實黨委（黨組）責任落實發文2.檢查黨委（黨組）會議記錄、紀要1.關于印發連云港聯通網絡與信息安全管理實施細則的通知2.公司黨委議紀要（20180409）2.信息安全專職人員履職、培訓1.人員是否具備履職能力；2.人員機制建設是否合理2.公司是否擬制培訓計劃，或已開展相關培訓。1.檢查公司發文、檢查公司KPI文件和部門KPI打分情況等臺賬資料；2.通過在線測試，考察信安專員相關工作知識、技能掌握情況；3.通過人員

2、訪談，了解其對考核政策的理解程度和執行情況；4.檢查培訓計劃或開展情況。1.扣分表，人資留存一份（主要為實名制扣分）2.在線考試4.培訓材料3.重大活動保障重大活動期間（如全國兩會等國家級重大活動和江蘇省發展大會等省級重大活動）是否在管理、技術、人員等方面履行應急保障責任1. 檢查公司人員值班情況；春節、兩會、高考、青島上合峰會重保期間網信安值班表、總結。推薦精選2.檢查自主防護情況。3.檢查系統保障情況；4.檢查應急處置情況. 季度應急演練4.活動配合檢查世界電信日、網絡安全宣傳周等宣傳活動和陽光網絡伴我成長等正面引導活動配合情況。1.核查公司線上線下（如“兩微一端”、營業廳等）是否進行宣傳

3、；2.核查公司相關活動總結。1.1月份反恐怖宣傳（資料全）2.電信日（反詐騙宣傳，多增加宣傳照片）3.陽光網絡伴我成長（校園營業廳宣傳 缺照片）4.防范非法集資宣傳（正在進行中）推薦精選推薦精選信息安全部分檢查內容檢查要點檢查方式及要求檢查結果1.移動上網日志留存企業移動上網日志留存系統功能、性能是否符合規范。現場撥測（考慮撥測反饋時間因素，建議在聽取匯報時同時進行）。用手機撥測工具現場撥測若干網頁，告訴企業手機號，請其2小時內提供手機上網的網頁記錄，核對是否完整;檢查日志是否滿足6個月留存標準。2.接入資源管理是否合規提供IDC、CDN、云計算等接入資源。1.檢查接入用戶是否實名驗證；2.檢

4、查資源分配臺賬；3.核查有無超范圍經營、超地域、層層轉租等違規情況；推薦精選4.檢查接入服務持證企業是否通過部信安系統評測。3.備案網站管理是否主動并按照管局要求開展備案網站管理1.檢查是否按時限完成系統下發的未備案網站（1日內）、未報備網站（7日內）等網站的報備或中斷接入工作；2.核查市公司月度備案撥測情況。4.互聯網專項行動是否認真開展各類專項行動1.通過詢問專職人員及查詢臺賬資料，檢查管局今年以來下發的各類專項行動是否布置到地市公司。2.對于各類專項行動，是否有方案（包括轉發的）、有計劃、有落實、有小結，是否符合報送時限要求。3.抽查排查網站內容撥測（如網頁url、IP地址、網站屬性、撥

5、測時間）等工作記錄。1.開展STRUTS 2系列漏洞專項整治工作 2.2017掃黃打非5.信安系統使用是否按照部省要求使用信安系統。1.核查管局側下發任務的執行情況；2.現場核驗IDC用戶信息；3.檢查信安系統的使用情況，核查登錄日志。推薦精選推薦精選網絡安全部分檢查內容檢查要點檢查方式及要求檢查結果1.網絡安全組織機構和人員配備1.是否明確1名公司主管領導統籌協調網絡安全各項工作。2.是否明確本公司網絡安全的主要目標、基本要求、工作任務、保護措施。3.是否明確一個網絡安全管理部門，明確部門職責，配備一名專職人員。1.查看相關文件，文件中需指明公司網絡安全的主要目標、基本要求、工作任務、保護措

6、施以及網絡安全管理部門、專職人員的職責。2.與專職人員訪談，檢查日常工作情況。推薦精選2.網絡安全三同步、定級備案、符合性評測和風險評估1.在工程項目設計中是否包含網絡安全保障設施相關內容；網絡安全保障設施是否完成同步驗收；網絡安全保障設施是否同步投入運行。2.針對重點網絡單元，是否進行定級備案、符合性評測及風險評估工作。1.查看工程項目相關臺賬是否滿足三同步要求。2.登陸www.mii-系統查看具體備案單元中信息是否準確;3.風險評估報告內容需包含掃描結果、整改建議、復查結果等內容。3.重要數據和用戶個人電子信息保護情況1.是否正式發文明確個人信息保護的責任部門及管理職責，建立用戶個人信息保

7、護責任制和安全管理制度。2.是否記錄企業內部人員、外包服務人員對個人信息的訪問操作日志，并定期審計。3.是否開展了個人電子信息保護情況自查。1.查看用戶個人電子信息相關制度及臺賬，管理制度未包括個人信息分級分類管理、訪問控制、日志記錄、應急響應等內容。2.記錄個人信息訪問操作日志，日志應包括用戶ID、時間、訪問操作對象、操作類型等字段。3.查看個人電子信息保護自查及整改相關情況。推薦精選4.網絡安全事件應急處置情況1.是否制定符合本企業實際情況并與電信主管部要求相銜接的網絡安全應急預案；2.是否組織開展本企業的網絡安全應急演練。1.查看應急預案，確定是否與地市企業實際情況相符，預案需保留版本更

8、迭情況；2.查看應急演練材料，確定演練內容、參與人員等是否合適。演練需與預案相配套比對預案有所反饋。5.互聯網IP地址核查1.是否及時對管局側IP管理系統比對發現的異常數據進行更新;2.對于企業自用IP地址，利用技術手段核查是否存在漏報、錯報的現象。對各企業IP比對異常結果進行通報。推薦精選6.安全服務可管可控情況1.2018年新采購的安全服務項目（網絡安全設計與集成、風險評估、應急響應、安全培訓服務）中，是否選用通過有關行業組織網絡安全服務能力評定的單位開展有關工作。2.是否對網絡安全服務機構實際提供服務人員的信息進行備案管理。1.查看企業項目管理系統，核實新采購的安全服務項目是否滿足要求。2.查看備案信息臺賬，應包括人員姓名、身份證號、資質證書、項目經驗等。7.4A系統建設運行情況是否已按照賬號、授權、認證和審計（4A）集中管理系統技術要求（2015-0706T-YD）所要求的集中賬號管理、集中認證管理、集中授權管理和集中審計管理能力覆蓋所有三級及以上網絡和系統。根據www.mii-系統中企業定級備案臺賬，核查4A系統是否已覆蓋三級及以上網元全部設備。8.數據保護技術手段建設運行情況1.是否部署通過國家互聯網應急中心Acheron安全測評認證