1、申請呼叫中心增值電信業務經營許可 網絡信息安全專項審核材料要求網絡與信息安全保障措施應包含下列制度和措施：一、信息安全管理組織機構設置及工作職責企業負責人為網絡與信息安全第一責任人，全面負責企 業網絡與信息安全工作；有明確的機構、職責，負責企業的 網絡安全與信息安全工作。要建立網絡與信息安全監督檢查 制度，定期對企業的網絡與信息安全工作和措施制度的落 實、執行情況進行監督檢查，及時完善健全網絡與信息安全 管理措施和制度。對發生網絡與信息安全事件的責任部門、 責任人員進行處理。二、網絡與信息安全管理人員配備情況及相應資質申請企業應至少配備 3人或以上網絡與信息安全管理人 員，并注明管理人員姓名、

2、聯系方式、職責分工，附管理人 員身份證及資質證書復印件。網絡安全人員應具有相應的專 業技術資格（網絡與信息安全從業資質或通信、計算機相關 專業本科及以上學歷證明）。責任人姓名職務辦公電話手機郵箱第一責任人 （公司負責人）信息安全責任人網絡安全責任人7*24小時值班電話傳真電話三、網絡信息安全管理責任制在企業內部建立網絡與信息安全管理責任制，網絡與信 息安全工作相應部門、崗位、人員均應簽署網絡與信息安全 責任書，并附企業內部網絡與信息安全責任書模板。責任書 應明確網絡與信息安全應遵守的規定、承擔的責任、履行的 義務，及違反規定相應的處罰措施。四、有害信息發現處置機制要建立業務服務模板服務制度，按

3、照業務服務內容模板提供服務，業務服務模板須經審核方可上線使用；在服務過程中要嚴格按照模板內容提供相應服務，建立服務內容抽查監聽機制，定期對服務內容和質量進行抽查，及時發現違法違 規問題；建立服務內容錄存制度，錄存日志保存期限不低于 60日，并對錄存日志按比例抽查， 對存在問題及時發現處理。五、有害信息投訴受理處置機制有明確的受理方式，包括電話、QQ、電子郵箱等，有明確的受理部門、人員、有害信息處理機制和流程，并建立 相應的制度和措施，及時完善機制，防止同類問題的再次發 生。六、重大信息安全事件應急處置和報告制度發生重大信息安全事件后應在第一時間采取有效措施，將危害影響控制在最小范圍。要明確重大

4、信息安全事件處理 的責任部門、 人員、 流程、 采取的措施、 處理和報告的時限，并做好證據留存、原因分析、措施完善工作，積極配合有關部門做好重大信息安全事件的調查和處理。七、網絡信息安全管理政策和業務培訓制度本制度應明確網絡信息安全管理政策和業務培訓的組織部門，培訓的內容和計劃、培訓周期、范圍，并對培訓效果進行考核、檢查，建立企業培訓檔案。八、網絡安全防護制度（一）填寫網絡安全防護基本信息表 （詳見附件） ，依據通信網絡安全防護管理辦法 （工業和信息化部令第11 號） 要求， 根據系統所屬類型， 按照增值電信業務系統相關網絡安全防護定級要求進行定級，并在系統建設、運行、維護中按照相關行業標準執

5、行。（二）企業自建機房，應建立機房安全管理制度，明確設備清單和安全等級，設備位置安全，電力供應安全，機房出入管理，機房環境管理等內容。（三）設備操作安全管理制度，應明確崗位操作權限、操作設備范圍、操作內容，并建立操作日志記錄（含操作內容） ，實行操作密碼管理（專用賬戶、專用密碼，密碼應使用英文字母加數字或符號混合設置 ）等內容。（四）網絡設備運行維護制度，應明確維護部門，維護內容、維護周期、系統功能檢測周期，建立重要系統的備份維護管理制度，防火墻等安全措施管理制度，用戶日志留存 系統維護制度等。九、網絡安全事件應急處置和報告制度（一）明確網絡安全應急處置責任部門和人員；（二）制定網絡安全應急預

6、案，在預案中明確網絡安全事件處理流程及程序，網絡安全應急處置的措施和手段；（三）留存證據并分析事件原因，在有關部門調查時予以提供；（四） 重大網絡安全事件應于 2 小時內向政府有關部門報告；（五）如發生重大網絡安全事件應第一時間采取措施，將危害影響控制在最小范圍，及時進行原因分析，制定解決方案，在安全隱患未徹底消除前，不得恢復系統運行。十、有害信息發現和過濾技術手段建立服務過程監聽檢查和服務日志錄存內容的抽查檢查制度，明確抽查檢查的責任部門、職責、人員、抽查的頻次和比例等，及時發現和處理違規問題。十一、用戶日志留存所采用的技術手段建立用戶日志留存系統，明確系統的維護管理部門，定期檢測系統功能，

7、具備用戶日志數據備份和恢復功能，用戶60 日，并妥善保護用戶日志留存數據，不得發生侵害用戶隱私、信息泄露等問題。十二、網絡安全防護技術手段網絡安全防護重點解決操作系統、 數據庫和 WEB 、 WAP服務器等系統安全問題，建立安全的系統運行平臺，有效抵抗黑客利用系統的安全缺陷對系統進行攻擊，主要措施包括：（一） 應采用與網絡安全防護等級相適應的防火墻等技術手段有效保護網絡安全，對外屏蔽重要設備地址。（二）操作系統安全保障措施包含：系統安全防護措施（文件訪問控制、用戶權限級別、防病毒軟件 / 硬件） ，操作日志記錄，專人定期負責系統、軟件的升級和補丁，實行密碼管理（密碼設置不能使用純數字等簡單密碼

8、，須使用英文字母加數字或符號的混合密碼 ，并定期修改） ，定期進行漏洞掃描，并在掃描檢測完成后，建立檢測檔案，詳細記錄漏洞檢測結果及實施的補救措施與安全策略。（三）數據庫安全保障措施應包含：數據庫存取權限，口令安全管理，數據庫安全防護，數據庫定期備份，操作日志記錄，故障恢復能力等。十三、安全聯絡員變動承諾需明確聯絡員及聯絡員聯系方式，并承諾聯絡員或聯絡員聯系方式發生變更后兩個工作日內向山西省通信管理局書面報告。附件網絡安全防護基本信息表企業名稱網絡單元門戶綜合網站系統口即時通信系統口網絡交易系統信息社區服務系統互聯網內容分發網絡口搜索系統互聯網接入服務系統 口互聯網數據中心口郵件系統口移動互聯網應用商店 口域名服務系統其他業務系統其他業務請備注說明：網絡單元1 定級情況網絡單元 （名稱）項目賦值對應詳細指標說明社會影響力I社會影響力指標規模和服務范圍R規模和服務范圍 指標所提供服務的 重要性V所提供服務的重 要性指標網絡安全等級（）級（按照管局網站計算程序計算結果）網絡單元2 定級情況網絡單元 （名稱）項目賦值對