| 说明:2020年考核分为扣分项和加分项。一是考核扣分总分值为6分(按600分计),采用扣分形式,直至扣完为止。二是考核加分总分值为1分(按100分计),在集团公司对各省公司绩效考核体系中最高可加1分。三是对于进行混合所有制改革的省公司,应在改革方案或合作协议中明确安全责任传导与问责机制;具体改革方案在征得属地通信管理局同意后,由集团公司报部网络安全管理局批准同意后实施。 | ||||||
| 指标类别 | 考核指标 | 指标要求 | 单项评分标准 | 备注 | ||
| 一、属地化网络与信息安全考核(1分,按100分计) | 各通信管理局(以下简称管局)根据属地工作实际,参考部网络安全管理局(以下简称网安局)2020工作要点,根据前期报送的属地化考核指标,明确考核要求及评分标准(注1、注2)。 对于未按要求完成配合监管工作的,通信管理局应出具书面扣分说明及处理意见。 | 注1:属地化考核指标设定标准: ①紧扣网络与信息安全重点工作, ②有力支撑属地提升监管效能, ③对于已列入部统一考核的指标,原则上不纳入属地化考核指标。 注2:对于未按要求完成配合监管工作的,管局应出具书面扣分说明及处理意见。 | ||||
| 二、网络安全责任制 | (一)制度建设、专业力量和资金投入 | 严格落实网络安全责任制,设置首席网络安全官、网络与信息安全专职管理部门,加强专业力量和资金投入力度。 | (1)未明确一名领导班子成员作为首席网络安全官的,扣50分(注1)。 (2)网络与信息安全管理部门不符合专职机构设置要求的,扣50分。 (3)未有效建立并落实网络与信息安全资金投入制度,或未按照属地电信主管部门要求报告年度网络与信息安全资金投入情况的,扣50分(注2)。 (4)对于进行混合所有制改革的省公司,未按要求上报改革方案的,扣50分;方案中未明确网络与信息安全责任传导与问责机制的,扣20分(注3)。 | 注1:首席网络安全官主要职责包括但不限于规划企业网络与信息安全中长期发展战略、管理策略,统筹协调企业内部网络与信息安全责任落实。 注2:集团公司应及时将年度网络与信息安全资金投入总体情况报部网安局。 注3:已启动混合所有制改革的省公司应于2020年8月31日前报送改革方案。 | ||
| (二)重大网络与信息安全事件 | 1.发生特别重大网络安全或数据安全事件的,发生一次扣100分;发生重大网络安全或数据安全事件的,发生一次扣75分;发生较大网络安全或数据安全事件的,发生一次扣50分;发生一般网络安全或数据安全事件的,发生一次扣25分(注1,注2)。 2.因发生网络安全或数据安全事件,受到电信主管部门行政处罚或通报批评的,被通报一次扣25分,被处罚一次扣50分(注2)。 3.发生违规接入特通系统事件的,发生一次扣50分。 4.违反特通保密管理制度,发生泄密事件的,发生一次扣50分。 5.发生违规开展通信管制的,发生一次扣50分。 | 注1:参见《工业和信息化部关于印发<公共互联网网络安全突发事件应急预案>的通知》(工信部网安〔2017〕281号),包括网络中断、系统瘫痪、网络数据及用户个人信息泄露等情况。 注2:如同时满足其他扣分指标,以扣分分值最高项为准。 | ||||
| 三、网络与信息安全技术手段建设 | 系统建设、“三同步”和配套保障工作要求 | 1.互联息安全管理系统(简称信安系统)功能、性能和使用管理等符合相关标准与电信主管部门要求(注1,注2)。 | (1)部网安局按月对企业侧信安系统日常运行、功能、数据、“三同步”、资源管理、配套保障等情况进行巡查抽测和问题通报,并根据通报结果进行考核扣分。 (2)各管局根据实际情况对企业信安系统进行监督检查或技术检测。 (3)具体要求及扣分标准参照2019年考核标准,且对于同一问题部省不重复扣分。 | 注1:互联安系统包括IDC/ISP(包括互联网资源协作及互联网专线业务)、CDN等信安系统。 注2:技术测试由部网安局、各管局自行或委托相关单位开展。 | ||
| 2.移动上网日志留存系统功能、性能和操作使用符合规范要求。 | (1)各管局每半年对企业3G/4G移动上网日志留存系统进行测试,于年底前对企业5G移动上网日志留存系统进行测试;部网安局随机抽取企业进行测试,内容包括日志留存准确率、留存内容(注1,注2)。 (2)日志留存准确率:应不小于99%,每降低一个百分点扣3分。 (3)留存内容:应留存完整的日志记录,不满足的扣5分(注2)。 | 注1:技术测试由部网安局、各管局自行或委托相关单位开展。 注2:5G日志留存内容参见相关标准。 | ||||
| 3.按照《关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函》(工网安函〔2019〕1494号),建设资产安全管理平台。 | 企业应完成资产安全管理平台的需求说明书和建设方案编制工作,在本年度完成平台建设的招投标工作并开工建设。建设方案应包括对在网资产指纹信息的采集,并基于采集信息的分析结果进行异常资产和资产脆弱性告警。不满足以上要求扣10分(注1)。 | 注1:采集信息应覆盖不少于60%在网资产。资产脆弱性分析应支持对特定漏洞威胁信息所影响资产范围的分析,应在监测发现后显示告警。异常资产的判定规则可根据企业管理实际要求自定义,应在发现后显示告警。 | ||||
| 4.按照《关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函》(工网安函〔2019〕1494号),建设网络安全态势感知平台。 | 企业应完成网络安全态势感知平台的需求说明书和建设方案编制工作,具备与上级平台的指令接收和数据上报接口,在本年度完成平台建设的招投标工作并开工建设。建设方案应包括对数据源的收集,并基于网络安全态势分析进行预警。不满足以上要求,扣10分(注1、注2)。 | 注1:数据源收集应满足完整性,需包含资产信息、系统日志、僵木蠕、恶意程序、网络攻击、安全漏洞等数据。网络安全态势分析包括对网络攻击情况、网络异常流量情况以及恶意程序传播情况的分析,应在发现上述情况后显示告警。 注2:向上级平台上报的数据应包括分析研判后的数据。 | ||||
| 5.根据《公共互联网网络安全威胁监测与处置办法》(工信部网安〔2017〕202号),加强网络安全威胁监测处置技术手段建设,不断提高网络安全威胁监测与处置的及时性、准确性和有效性,逐步提升网络安全公共服务能力。 | (1)针对恶意网络资源,发现不具备及时和准确监测能力,扣5分;发现不具备有效处置能力,扣5分(注1、注2、注3、注4) (2)木马、病毒和僵尸网络的监测能力覆盖城域网出口抽样流量及重点工业互联网企业专线流量,总带宽不低于省网出入口带宽7%;发现不满足覆盖要求,扣5分。 (3)移动恶意程序的监测和处置能力应覆盖2G/3G/4G/5G(NSA)网络;发现不满足覆盖要求,扣5分。 | 注1:技术测试由各管局自行或委托相关单位开展。 注2:及时性方面,恶意网络资源、恶意程序应分别在90分钟、120分钟内显示告警; 注3:准确性方面,针对拨测样本,木马、病毒和僵尸网络监测准确率在指定链路测试和随机链路作路由牵引后测试的准确率分别不低于50%、10%;移动恶意程序监测准确率不低于40%; 注4:有效性方面,恶意网络资源处置成功率不低于50%。 | ||||
| 6.落实“三同步”要求,按照有关规定和管局要求,做好5G网络等特通技术接口配备和相关特通系统建设工作。 | (1)每出现一次因企业自身原因导致特通系统建设进度滞后的,扣4分。 (2)网元未购置技术接口,或检查时接口不能正常启用,每发现一个扣2分。 (3)网元接口个别功能不符合标准要求,每发现一个扣1分。 (4)检查时提供虚假数据或虚假被测网元,每发现一次扣10分。 (5)企业侧建设的特通系统安全管理不严,在检查时每发现一个特通系统可能存在被非法使用的风险扣4分(注1)。 | 注1:如特通系统操作人员没有授权,没有审批及操作记录,可远程接入,网元操作日志丢失或人为删除等。 | ||||
| 四、网络与信息安全监管工作 | (一)数据安全管理 | 按照《网络安全法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于做好2020年电信和互联网行业网络数据安全管理工作的通知》(工信厅网安函〔2020〕103号),落实电信和互联网行业网络数据安全管理重点工作任务,提升企业整体数据安全保护能力和水平。 | 数据安全管理责任部门会同业务管理运营、系统支撑运维等数据安全管理相关部门,按照《电信和互联网企业网络数据安全合规性评估要点(2020年版)》,明确责任分工,完成数据安全合规性评估并形成评估报告。未形成合规性评估报告的,每发现一例扣10分;未在报告中说明评估要点对标情况、保障措施配备情况与佐证材料、问题分析和改进措施的,每发现一项扣1-5分。 | |||
| (二)新技术新业务安全评估 | 依据互联网新技术新业务安全评估相关要求,组织开展重大关键技术安全风险识别,深入开展安全评估工作,有效防范安全风险,持续健全安全保障措施。 | (1)存在评估清单动态更新不及时、定期核查(验)和风险台账管理未落实到位的,每发现一项扣10分(注1、注2)。 (2)未识别网络信息安全重大风险,或安全保障措施不到位,或存在评估发现安全风险未落实整改而继续运营的,每发现一项扣10分(注3)。 | 注1:业务重点关注5G、人工智能、区块链、大数据、物联网等相关业务,集团公司可在此基础上进一步划定省公司业务评估范围,划定评估业务类型不少于3类。 注2:合作类业务包括合作开发、合作运营类业务,省公司提供渠道并推广类业务。合作方可选择具备评估资质的第三方实现安全评估实践能力并提供安全评估报告。 注3:新业务或在线运营业务如存在重大安全风险,整改未完成前应不予上线或运营。 | |||
| (三)网络安全远程检测及现场抽查 | 按照《网络安全法》《通信网络安全防护管理办法》(工信部令第11号)相关要求,做好网络安全防护工作,接受电信主管部门的网络安全检查,及时消除重大网络安全隐患。 | (1)部省两级电信主管部门组织开展远程检测,对发现网络安全问题的企业进行通报,首次通报企业不扣分,再次通报同一企业时,每1个问题扣1分;发现已通报但仍未整改的网络安全问题,1个扣2分(注1、注2)。 (2)部省两级电信主管部门对重点网络单元开展现场抽查,发现:①未按要求进行定级备案、符合性评测或风险评估等法律法规问题,每1处扣2分。②行业标准不达标,每1处扣1分。③安全漏洞,每1处高危扣1分、中危扣0.5分、弱口令扣1分;若位于重要设备上,扣分加倍;发现存在恶意代码或后门程序未处置,或从网络单元外获取网络单元内设备的管理员权限或重要数据,扣5分(注3、注4、注5)。 | 注1:检查对象包括基础企业自有系统和合作系统,范围包括生产系统、自用系统、试运行系统、测试系统、已停止业务的未下线系统等。 注2:网络安全问题包括高危漏洞、弱口令、未定级备案、定级备案不准确不及时、符合性评测和风险评估不及时或结果不准确不完整等。 注3:定级备案网络单元应包括所有上线运行的自有和合作类网络和系统,符合性评测和风险评估的范围包括所有二级及以上的网络单元。 注4:高中危安全漏洞的判断标准参考权威CVE、CNVD漏洞库标识、OWASP Top10漏洞列表等。 注5:重要设备包括:内隔离设备、内部安全域划分设备、互联网直连设备、网络业务核心设备等。 | |||
| (四)关键设备安全 | 该考核项的具体指标要求另文发布。 | 该考核项的具体指标要求另文发布。 | 检查方式:各管局组织力量对企业关键设备安全情况进行检查。 | |||
| (五)网络安全服务规范 | 依据《网络安全法》及《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》(工信部保〔2014〕368号)有关要求,规范安全服务管理,防范服务过程中的风险。 | 采购未通过网络安全服务能力评定的机构提供的安全服务的,每发现1个扣3分(注1)。 | 注1:安全服务是指网络安全设计与集成、风险评估、应急响应、安全培训服务 | |||
| (六)依法查询保障 | 按照有关规定和通信管理局工作安排,规范做好依法查询调取保障工作。 | (1)未建立完善企业内部依法查询调取协作相关管理制度、工作机制、保密要求的,扣2分。 (2)因企业自身原因,导致依法查询协作系统建设任务未如期完成的,扣2分。 (3)每出现一次违规配合或未及时开展配合查询调取工作的,扣1分。 (4)未经电信主管部门同意向其他部门提供数据采集接口的,扣4分。 | ||||
| 五、网络环境治理工作 | (一)防范治理电信网络诈骗专项工作 | 1.结合基础电信企业电信网络诈骗治理评价指数,加强通报检查和考核追责,强化企业主体责任落实。 | (1)对于评价指数中相关指标问题突出的,或通报检查等发现存在违规的,每次扣5分(注1)。 (2)因问题突出被电信主管部门约谈整改的,每次扣10分;被电信主管部门约谈且经复核检查后整改效果不明显的,再扣10分。 (3)未将本企业电信网络诈骗治理成效纳入市场、渠道等相关部门绩效考核的,扣5分。 (4)对漫游到重点地区号码不具备及时精准监测和依法依规处置能力的,扣5分(注2)。 (5)未按要求及时对通报的诈骗电话号码、域名、APP、网址链接准确核查处置的,每发现一次扣3分。 (6)未按要求及时完整准确向部、省互联网反诈系统上报涉诈相关信息的,每发现一次扣2分。 | 注1:评价指数中相关指标问题突出的情况: 手机号码百万用户举报率排名连续3个月位于前五且月环比上升两次及以上的(举报率≥1且举报件次≥20); 诈骗短信预留电话号码被举报件次(≥20)连续3个月位于前五的。 注2: 从疑似涉诈号码发起呼叫到关停该号码间隔不得超过2个小时。 涉诈号码的关停准确率应≥95%。 关停准确率=(1-投诉数/关停数)*100%,其中关停数、投诉数分别为利用大数据系统对漫游到重点地区涉诈号码关停数量、由此引发的用户投诉数量。 | ||
| 2.根据部有关部署安排,做好IMS诈骗电话防范系统建设工作。 | (1)因企业自身原因,未按要求在2020年10月底前完成IMS诈骗电话防范系统建设并与管局对接的,扣30分。 (2)2020年12月底,系统覆盖比例不低于90%,每低1%扣5分。 (3)2020年12月底,发现功能未达到有关标准要求的,系统功能每缺失1项,扣10分。 | 注:(2)(3)两项合计扣分不超过30分。 | ||||
| (二)网络安全威胁治理专项工作 | 落实《公共互联网网络安全威胁监测与处置办法》,及时减轻或消除网络威胁的危害和影响。 | (1)企业未及时准确定位电信主管部门或工信部网络安全威胁信息共享平台下发的恶意IP地址,每发现一次扣3分;未及时处置电信主管部门或工信部网络安全威胁信息共享平台下发的网络安全威胁,每发现一次扣3分;未预留线上接收处理上级部门处置指令接口的,扣5分(注1)。 (2)企业未报经电信主管部门同意,按照其他部门或单位通报要求对恶意IP、恶意域名、恶意程序等采取停止服务或屏蔽措施的,每发现一次扣3分。 | 注1:企业应按照电信主管部门要求或工信部网络安全威胁信息共享平台下发规定的时间要求进行反馈。如果是处置情况反馈,应包括企业接入用户的威胁整改情况。 | |||
| (三)电话用户实名登记工作 | 1.按照国家相关法律法规和要求,加强电话用户实名登记管理。 | (1)电话用户实名登记准确率未达98%的,每差0.1个百分点,扣10分(注1)。 (2)2017年1月1日后新入网电话用户入网环节人证一致率未达98%的,每差0.1个百分点,扣2分(注2)。 (3)2017年1月1日后同一用户在同一企业全国范围内办理使用的移动电话卡达到5张的,该企业不得为其办理新卡。每发生一起“一证五卡”违规的,扣2分。 | 扣分依据: 工业和信息化部、各管局的通报及行政处罚,各基础电信企业集团公司检查通报。 注1:电话用户实名登记准确率是指如实登记证件类别、证件上所载姓名、号码、住址信息,并且通过机关联网核验的比率。 注2:电话用户人证一致率是指用户办理入网手续时所持证件与本人一致通过联网核验的比率。 注3:电信企业应按要求在规定时限内配合提取监督检查数据。 | |||
| 2.按照部有关要求,加大实名制违规责任倒查,巩固工作成效。 | 在部省组织的监督检查、通报、媒体报道以及用户举报中,每发现一起违规办理实名登记手续的,或跨部门信息共享倒查发现实名制违规的,扣2分。 | |||||
| (四)物联网卡安全管理 | 落实物联网卡安全管理要求,加强源头治理、销售管理和使用监测。 | (1)未使用专用号段发售物联网卡,或发售前未严格评估用户安全风险的,每发现一起扣2分。 (2)未规范登记用户身份信息、未加强合同约束、或者未实施最小功能的,每发现一起扣2分。 (3)未加强使用监测并及时处置违规使用物联网的,每发现一起扣2分。 (4)等部门通报、媒体报道用于实施违法犯罪活动的物联网卡涉及企业落实安全管理要求不到位的,每发现一起扣4分。 | 扣分依据: 工业和信息化部、各管局的通报及行政处罚,各基础电信企业集团公司检查通报。 | |||
| 六、加分项 | 创新试点工作 | 企业围绕部网安局2020年工作要点以及疫情防控工作需要,主动承担网络与信息安全管理和技术创新试点工作并有突出表现的,由部网安局视情况予以加分,单项最高加3分(注1,注2)。 | 注1:入选2020年网络安全技术应用试点示范项目、工业互联网试点示范项目(安全方向)、工业互联网创新发展工程(安全方向)的,予以加分。2020年完成前四批网络安全技术应用试点示范项目推广立项的,推广企业和立项企业视情予以加分。参与国家网络安全产业园区建设和发展有突出表现的,视情予以加分。在通信行业防范治理电信网络诈骗创新示范项目、防范治理评价指数、提示提醒等方面有突出表现的,视情予以加分。 注2:聚焦具有前沿性信息通信领域关键重大技术及业务(如5G、人工智能、区块链、大数据、物联网等)安全热点态势,组织开展安全风险评估,形成重大技术安全评估报告并被部网安局采编的,视情予以加分。 | |||
Copyright © 2019-2026 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
