增值电信企业网络安全年检信息——填写指南
点击下载或查看:增值电信企业网络安全年检信息填写指南
增值电信企业网络安全年检信息
填写指南
工业和信息化部电信研究院
2013年2月
目 录
1 概述. 1
2 制定依据. 1
3 填写内容. 2
4.1 网络安全年检信息表. 2
4.2 网络安全定级备案信息表-企业基本信息表. 4
4.3 网络安全定级备案信息表-网络单元基本信息表. 5
4 填写流程. 6
5 填写要求. 13
5.1 概述: 13
5.2 网络安全年检信息填写说明. 13
6 附件:样表. 19
6.1 网络安全年检信息表样表. 19
6.2 网络安全定级备案信息表–企业基本信息表. 20
6.3 网络安全定级备案信息表–网络单元基本信息表. 21
1 概述
本指南对增值电信企业网络安全年检信息表的填写工作进行说明和指导,明确制订依据、填写内容、填写流程及填写要求,并附有样表。
本指南适用于增值电信企业网络安全年检信息表的填写工作。
2 制定依据
本指南依据如下管理文件和标准进行增值电信企业网络安全年检信息表填写指南的制订:
(一) 管理办法
1)《通信网络安全防护管理办法》(工业和信息化部第11号令);
2)《互联网网络安全信息通报实施办法》(工信部保〔2009〕156号);
(二) 通信网络安全防护系列标准:
1)YD/T 1729-2008《电信网和互联网安全等级保护实施指南》
2)YDB 106-2012《增值电信业务系统安全防护定级和评测实施规范-门户综合网站系统》;
3)YDB 107-2012《增值电信业务系统安全防护定级和评测实施规范-即时通信系统》;
4)YDB 108-2012《增值电信业务系统安全防护定级和评测实施规范-网络交易系统》;
5)YDB 109-2012《增值电信业务系统安全防护定级和评测实施规范-信息社区服务系统》;
6)YDB 110-2012《增值电信业务系统安全防护定级和评测实施规范-邮件系统》;
7)YDB 111-2012《增值电信业务系统安全防护定级和评测实施规范-搜索系统》;
8)YDB 112-2012《增值电信业务系统安全防护定级和评测实施规范-互联网接入服务系统》;
9)YDB 113-2012《域名服务系统安全防护定级和评测实施规范》;
10)YDB 114-2012《互联网内容分发网络安全防护要求》;
11)YDB 115-2012《互联网内容分发网络安全防护检测要求》;
12)YDB 116-2012《互联网数据中心安全防护要求》;
13)YDB 117-2012《互联网数据中心安全防护检测要求》;
3 填写内容
2013年增值电信企业网络安全年检信息表填报工作主要内容是对网络安全年检信息表、网络安全定级备案信息表(含企业基本信息表和网络单元基本信息表)进行填写。
4.1 网络安全年检信息表
|
企业名称 |
||||||
|
电信业务经营许可证号/批复文件编号 |
||||||
|
基本情况 |
||||||
|
是否制定内部网络安全管理制度 |
□是 □否 |
网络安全 专职人员数量 |
(人) | |||
|
本年度网络安全 培训人数 |
(人) |
本年度网络安全 资金投入情况 |
(万元) | |||
|
定级备案情况 |
||||||
|
网络单元列表 |
网络单元1 |
|||||
|
网络单元2 |
||||||
|
…… |
||||||
|
已备案企业信息 是否需变更 |
□是 □否 |
已备案网络单元 信息是否需变更 |
□是 □否 |
|||
|
是否有新增 网络单元 |
□是 □否 |
新增网络单元 是否备案 |
□是 □否 |
|||
|
符合性评测情况(选填) |
||||||
|
网络单元名称 |
是否做过 符合性评测 |
□是 □否 |
||||
|
评测方式 |
□自评测□第三方评测: (请提供名称) | |||||
|
风险评估情况(选填) |
||||||
|
网络单元名称 |
是否做过 风险评估 |
□是 □否 |
||||
|
评估方式 |
□自评估 □第三方评估: (请提供名称) |
|||||
|
网络安全应急管理情况 |
||||||
|
是否制定 网络安全应急预案 |
□是 □否 |
是否开展过 网络安全应急演练 |
□是 □否 |
|||
|
是否发生过 较大网络安全事件 |
□是 □否 |
网络安全事件描述 |
(字数限制500字以内) |
|||
4.2 网络安全定级备案信息表-企业基本信息表
|
企业名称 |
||||
|
电信业务经营许可证号 |
||||
|
业务类型 |
||||
|
网络安全 负责人 |
姓 名 |
职务/职称 |
||
|
办公电话 |
电子邮件 |
|||
|
移动电话 |
||||
|
网络安全 联系人 |
姓 名 |
职务/职称 |
||
|
办公电话 |
电子邮件 |
|||
|
移动电话 |
||||
|
姓 名 |
职务/职称 |
|||
|
办公电话 |
电子邮件 |
|||
|
移动电话 |
||||
|
备 注 |
||||
填表说明:
1) “网络安全”是指网络和系统运行安全、设备安全、数据信息安全(含用户信息安全)、应用安全等;
2) “网络安全负责人”需填写统筹负责本企业网络安全工作的人员(副总经理以上级别);
3) “网络安全联系人”应填写2人,互为备份。
4.3 网络安全定级备案信息表-网络单元基本信息表
|
网络单元名称 |
|
投入运行时间 |
年 月 |
|||
|
网络单元类型 |
门户综合网站、即时通信、网络交易、信息社区服务、邮件系统、搜索系统、互联网接入服务系统、内容分发网络、互联网数据中心、其他 |
|||||
| 主要硬件使用情况 |
类型 |
品牌 |
型号 |
数量 (台) |
维护方式 |
总数量 (台) |
|
应用服务器等 |
|
|
□远程 □本地 |
|
||
|
…… |
|
|
□远程 □本地 |
|||
| 基础软件使用情况 |
类型 |
厂商 |
当前版本 |
套数 |
维护方式 |
是否为正版软件 |
|
操作系统等 |
|
|
|
□远程 □本地 |
□是 □否 |
|
|
…… |
|
|
□远程 □本地 |
□是 □否 |
||
|
应用软件情况 |
□自行开发 □第三方开发: (请提供开发单位名称) |
|||||
|
网络单元使用的 公网IP地址段 |
||||||
|
网络单元使用的 主要协议和端口 |
||||||
|
接入商名称 |
||||||
|
网络单元物理位置 |
||||||
|
接入带宽 |
||||||
|
网络单元所用域名 |
||||||
|
网络单元拓扑图 |
(上传图片) |
|||||
|
自定级别 |
□1级 □2级 □3级 □4级 □5级 |
|||||
|
备注 |
|
|||||
填表说明:
1) 每个网络单元均需填写一份“网络单元基本信息表”。
2) “网络单元”是指由系统和(或)网络构成的,符合业务清晰、边界清晰、责任清晰原则的相对独立的安全域。
3) “主要硬件”包括:应用服务器、数据库服务器、磁盘阵列、防火墙、入侵检测系统、交换机、路由器、VPN设备、负载均衡设备等;
4) “基础软件”包括:操作系统软件、防病毒软件、数据库软件、中间件等;
5) “业务应用软件”包括:自行或委托研发厂商所开发的专用软件或应用系统,如web应用软件等;
6) “主要硬件使用情况”、“基础软件使用情况”、“业务应用软件”可根据实际情况另增行;
7) 请参照《电信网和互联网安全等级保护实施指南》及增值电信业务系统安全防护定级和评测实施系列规范对本企业网络单元进行自定级。
4 填写流程
各增值电信企业需在2012年3月1日至31日期间通过电信业务许可审批年检系统入口https://tsm.miit.gov.cn登陆填写网络安全年检信息,与其他年检材料一并报送。进入年检系统后点击左侧菜单栏:待办事项-年检任务列表,在右侧许可管理-任务查看界面下,点击操作栏下“填写表单”,进入年检申请-表单列表界面。在此界面下,找到序号3“网络安全信息表单”,点击此表单右侧按钮“ 填写”进入网络安全年检信息表填写界面。
图1-年检系统入口
图2-许可管理-任务查看界面
图3-年检信息表-表单列表界面
进入网络安全年检信息表填写界面后,优先编辑企业基本信息表,可通过点击左上角“编辑企业基本信息表”红色按钮来进入编辑。弹出“企业基本信息表”对话框后,点击右上角蓝色按钮“修改”,并逐项填写企业基本信息。填写完成无误后,需点击右上角蓝色按钮进行“保存”。保存后若想对“企业基本信息表”进行修改,可按右上方“修改”按钮重新编辑。若想下载企业基本信息表,可点击“保存”旁的“下载”按钮。
图4-网络安全年检信息表填写界面
图5-企业基本信息表填写界面
完成“企业基本信息表”后,点击右上方“叉号”关闭企业基本信息表编辑界面,回到网络安全年检信息表填写界面继续填写,按照实际情况填写“基本情况”。“是否制定内部网络安全管理制度”可用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
图6-基本情况填写界面
“定级备案情况”网络单元列表的填写需要点击菜单栏里的“增加”按钮来进入编辑界面。在弹出的“网络单元基本信息”界面填写网络安全定级备案表,其中“主要硬件使用情况”和“基础软件使用情况”需要点击各自下方的“编辑”按钮进入编辑界面。逐项填写完成无误后,点击右上角蓝色按钮“保存”来保存已编辑信息,若需下载可点击“下载”按钮。
图7-定级备案情况填写界面
图8-网络单元基本信息填写界面1
图9-网络单元基本信息填写界面2
“网络单元基本信息”保存并点击右上角“叉号”退出后,回到“网络安全年检信息表”界面继续填写。若想对已保存的“网络单元基本信息”进行增加、查看或编辑,可鼠标点击选择定级备案对象,再通过网络单元列表菜单栏的“增加”、“查看”、“修改”、“删除”按钮来完成。
“已备案企业信息是否需变更”、“已备案网络单元信息是否需变更”、“是否有新增网络单元”、“新增网络单元是否备案”情况可用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
图10-定级备案情况填写界面
需填写并保存网络单元基本信息表后,才可对符合性评测情况及风险评估情况进行填写。若选择做过符合性评测或风险评估,则需填写评估方式。评估方式若选择为第三方评测,则需提供第三方机构的名称。可用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
图11-符合性评测情况及风险评估情况填写界面
“网络安全应急管理情况”可根据实际情况用鼠标点击“是”或“否”前的空心圆按钮来完成选择。若发生过网络安全事件,需详细填写说明,未发生则不填。
图12-网络安全应急管理情况填写界面
至此,网络安全信息表填写完成。确认无误后,可点击右上角“保存”按钮进行保存,自行决定何时提交。也可按“提交”按钮,直接完成“保存”并提交。保存或提交后,网络安全年检信息表填写界面会自动关闭,并回到“年检申请-表单列表”界面。若需下载已保存或提交的网络安全信息表,需在此界面下,找到表单名称序号3“网络安全信息表单”,点击此表单右侧按钮“ 填写”再次进入网络安全年检信息表填写界面。进入网络安全年检信息表填写界面后可点击右上角“下载”按钮下载到本地。
图13-网络安全年检信息表保存、提交、下载
5 填写要求
5.1 概述
网络安全年检信息表中,若有任一项内容不符合填写要求(选填内容除外),则认为该表单填写不通过,无法保存并提交审核。需要按照网络安全年检信息表填写指南逐项、完整填写相关信息,核实无误后保存并提交审核。
5.2 网络安全年检信息填写说明
1、 企业基本信息表:
1) 企业名称:不需填写,通过本企业用户名及密码登陆后,系统会自动将企业名称添加到企业基本信息表的企业名称一栏。
2) 电信业务经营许可证号/批复文件编号:不需填写,通过本企业用户名及密码登陆后,系统会自动将电信业务经营许可证号/批复文件编号添加到企业基本信息表的电信业务经营许可证号/批复文件编号一栏。
3) 业务类型:填写本企业运营的增值电信业务类型。
4) 网络安全负责人:需填写统筹负责本企业网络安全工作的人员(副总经理以上级别)。
a) 姓名:填写网络安全负责人真实姓名。
b) 职务/职称:填写网络安全负责人的职务或职称。如总经理、高级工程师等。
c) 办公电话:填写网络安全负责人的办公电话,电话为固话格式,区号为3-4位数字,电话号码为7-8位数字,如010-88888888。
d) 移动电话:填写网络安全负责人的移动电话,必须为11为手机号码格式,如18888888888。
e) 电子邮件:填写网络安全负责人的电子邮件,必须为邮件格式,如xx@xx.com。
5) 网络安全联系人:应填写2人,互为备份。
a) 姓名:填写网络安全联系人真实姓名。
b) 职务/职称:填写网络安全联系人的职务或职称。如总经理、高级工程师等。
c) 办公电话:填写网络安全联系人的办公电话,电话为固话格式,区号为3-4位数字,电话号码为7-8位数字,如010-88888888。
d) 移动电话:填写网络安全联系人的移动电话,必须为11为手机号码格式,如18888888888。
e) 电子邮件:填写网络安全联系人的电子邮件,必须为邮件格式,如xx@xx.com。
6) 备注:填写无法在上述表格中体现的相关信息。
2、 网络安全年检信息表基本情况:
7) 是否制定内部网络安全管理制度:根据实际情况选择“是”或“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
8) 网络安全专职人员数量:根据实际情况选择填写。格式为阿拉伯数字,精确到整数位。
9) 本年度网络安全培训人数:根据实际情况选择填写。格式为阿拉伯数字,精确到整数位。
10) 本年度网络安全资金投入情况:根据实际情况选择填写。格式为阿拉伯数字,可精确到小数点 后2位。
3、 网络单元基本信息/网络安全年检信息表定级备案情况:
11) 网络单元名称:是指由系统和(或)网络构成的,符合业务清晰、边界清晰、责任清晰原则的相对独立的安全域。每个网络单元均需填写一份“网络单元基本信息表”。
12) 投入运行时间:从弹出的日历表中选择投入运行时间。
13) 网络单元类型:从下拉菜单中选择网络单元类型。
14) 主要硬件使用情况:“主要硬件”包括应用服务器、数据库服务器、磁盘阵列、防火墙、入侵检测系统、交换机、路由器、VPN设备、负载均衡设备等。点击“编辑”按钮后,从弹出的对话框中选择硬件类型,填写品牌、数量、型号、维护方式、总数量。添加多个硬件可点击操作栏的蓝色“加号”按钮,删除已添加的硬件可点击操作栏的蓝色“减号”按钮。
15) 基础软件使用情况:“基础软件”包括操作系统软件、防病毒软件、数据库软件、中间件等。点击“编辑”按钮后,从弹出的对话框中选择软件类型,填写厂商、当前版本、套数、维护方式、是否为正版软件。添加多个软件可点击操作栏的蓝色“加号”按钮,删除已添加的软件可点击操作栏的蓝色“减号”按钮。
16) 业务应用软件情况:“业务应用软件”包括自行或委托研发厂商所开发的专用软件或应用系统,如web应用软件等。可选择“自行开发”或“第三方开发”,通过点击白色方框按钮来完成选择。若选择“第三方开发”,需提供开发单位名称。
17) 网络单元使用的公网IP地址段:需输入合法的地址段,如10.0.0.1,10.0.0.5-10.0.0.10。不同地址段之间使用中文逗号“,”隔开。
18) 网络单元使用的主要协议和端口:填写网络单元使用的主要协议和端口。如协议为ftp,端口为20。
19) 接入商名称:使用其带宽的基础电信运营商的名称。如电信(联通或移动)。
20) 网络单元物理位置:具体地址。如XX省XX市XX区XX路XX号。
21) 接入带宽:需提供具体带宽。如100M。
22) 网络单元所用域名:具体域名。如www.baidu.com。
23) 网络单元拓扑图:点击蓝色按钮“上传”进行文件选择及上传,只能上传*.jpg,*.gif,*.jepg,*.bmp,*.png格式的文件。下载或删除已上传网络单元拓扑图可通过文件操作栏下的“下载”或“删除”按钮来完成。
24) 自定义级别:请参照《电信网和互联网安全等级保护实施指南》及增值电信业务系统安全防护定级和评测实施系列规范对本企业网络单元进行自定级。通过点击白色方框按钮来选择自定级别。
25) 备注:填写不能在上述表格中体现的信息。
26) 已备案企业信息是否需变更:根据实际情况选择“是”或“否”,若已提交的企业信息已发生改变,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
27) 已备案网络单元信息是否需变更:根据实际情况选择“是”或“否”,若已提交的网络单元信息已发生改变,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
28) 是否有新增网络单元:根据实际情况选择“是”或“否”,若出现新增的网络单元,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
29) 新增网络单元是否备案:根据实际情况选择“是”或“否”,若新增网络单元还没有备案,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
4、符合性评测情况(选填)
注意:需填写并保存网络单元基本信息表后,才可对符合性评测情况进行填写。
30) 是否做过符合性评测:根据实际情况选择“是”或“否”,若做过符合性评测,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心方框圆来完成选择。
31) 评测方式:根据实际情况选择是否填写。若做过符合性评测,则需填写,否则无需填写。若做过符合性评测且为第三方评测,需提供第三方机构名称。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
5、风险性性评估情况(选填)
注意:需填写并保存网络单元基本信息表后,才可对符合性评测情况进行填写。
32) 是否做过符合性评测:根据实际情况选择“是”或“否”,若做过符合性评测,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
33) 评测方式:根据实际情况选择是否填写。若做过符合性评测,则需填写,否则无需填写。若做过符合性评测且为第三方评测,需提供第三方机构名称。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
6、网络安全应急管理情况
34) 是否制定网络安全应急预案:根据实际情况选择“是”或“否”,若制定了网络安全应急预案,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
35) 是否开展过网络安全应急演练:根据实际情况选择“是”或“否”,若开展过网络安全应急演练,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
36) 是否发生过较大网络安全事件:根据实际情况选择“是”或“否”,若发生过较大网络安全事件,则选择“是”,否则选“否”。用鼠标点击“是”或“否”前的空心圆按钮来完成选择。
37) 网络安全事件描述:根据实际情况进行填写,无则不填。若发生过网络安全事件,需详细填写发生网络安全事件的起因、经过、结果及造成的损失和危害。
6 附件:样表
6.1 网络安全年检信息表样表
|
企业名称 |
XX在线网络技术(北京)有限公司 |
|||||
|
电信业务经营许可证号/批复文件编号 |
||||||
|
基本情况 |
||||||
|
是否制定内部网络安全管理制度 |
□是 □否 |
网络安全 专职人员数量 |
X (人) | |||
|
本年度网络安全 培训人数 |
X (人) |
本年度网络安全 资金投入情况 |
XXX (万元) | |||
|
定级备案情况 |
||||||
|
网络单元列表 |
XX网页搜索系统 | |||||
| XX贴吧系统 | ||||||
|
已备案企业信息 是否需变更 |
□是 □否 |
已备案网络单元 信息是否需变更 |
□是 □否 |
|||
|
是否有新增 网络单元 |
□是 □否 |
新增网络单元 是否备案 |
□是 □否 |
|||
|
符合性评测情况(选填) |
||||||
|
网络单元名称 |
是否做过 符合性评测 |
□是 □否 |
||||
|
评测方式 |
□自评测 | |||||
□第三方评测: (请提供名称)
风险评估情况(选填)
网络单元名称
是否做过
风险评估
□是 □否
评估方式
□自评估
□第三方评估: XXXX公司 (请提供名称)
网络安全应急管理情况
是否制定
网络安全应急预案
□是 □否
是否开展过
网络安全应急演练
□是 □否
是否发生过
较大网络安全事件
□是 □否
网络安全事件描述
(字数限制500字以内)
网络安全定级备案信息表
6.2 网络安全定级备案信息表–企业基本信息表
|
企业名称 |
XXX在线网络技术(北京)有限公司 | |||
|
电信业务经营许可证号 |
京ICP证XXXXXX号 | |||
|
业务类型 |
网页搜索 | |||
|
网络安全 负责人 |
姓 名 |
XXX |
职务/职称 |
XX副总裁 |
|
办公电话 |
010-XXXXXXXX |
电子邮件 |
XXX@baidu.com | |
|
移动电话 |
XXXXXXXXXX | |||
|
网络安全 联系人 |
姓 名 |
XXX |
职务/职称 |
XX公共事务部高级经理 |
|
办公电话 |
010-XXXXXXXX |
电子邮件 |
XXX@baidu.com | |
|
移动电话 |
XXXXXXXXXX | |||
|
姓 名 |
XXX |
职务/职称 |
XXX公共事务部高级经理 | |
|
办公电话 |
010-XXXXXXXX |
电子邮件 |
XXX@baidu.com | |
|
移动电话 |
XXXXXXXXXX | |||
|
备 注 |
||||
6.3 网络安全定级备案信息表–网络单元基本信息表
|
网络单元名称 |
XX网页搜索系统 |
投入运行时间 |
XX年X月X日 | ||||
|
网络单元类型 |
搜索系统 |
||||||
| 主要硬件使用情况 |
类型 |
品牌 |
型号 |
数量 (台) |
维护方式 |
总数量 (台) |
|
|
应用服务器等 |
联想 |
T400 |
1 |
□远程 □本地 |
2 |
||
|
华硕 |
X88V |
1 |
□远程 □本地 |
||||
| 基础软件使用情况 |
类型 |
厂商 |
当前版本 |
套数 |
维护方式 |
是否为正版软件 |
|
|
操作系统等 |
苹果 |
5.3.1 |
1 |
□远程 □本地 |
□是 □否 |
||
|
android |
4.3 |
1 |
□远程 □本地 |
□是 □否 |
|||
|
应用软件情况 |
□自行开发 □第三方开发: (请提供开发单位名称) |
||||||
|
网络单元使用的 公网IP地址段 |
10.0.0.1,10.1.1.5-10.1.1.10 |
||||||
|
网络单元使用的 主要协议和端口 |
主要协议:ftp,端口:20 |
||||||
|
接入商名称 |
中国联通 |
||||||
|
网络单元物理位置 |
XX省XX市XX区XX路XX号 |
||||||
|
接入带宽 |
XXMb/s或XXGb/s |
||||||
|
网络单元所用域名 |
www.baiduiii.com |
||||||
|
网络单元拓扑图 |
(上传图片) |
||||||
|
自定级别 |
□1级 □2级 □3级 □4级 □5级 |
||||||
|
备注 |
|
||||||
