寬帶接入網網絡與信息安全保障措施全責任人填寫本表單中“網絡與信息

安全管理人員配備情況及機）相應資質”欄目中“信息安網絡與信息安全負責人”聯系電話（手全應急聯絡人網絡與信息安全應急聯絡人網絡與信息安全管理組織機構設置及工作職責網絡與信息安全管理人員配備情況及相應資質機）本欄請填寫本公司負責網絡信息安全工作的相關內容如下：企業負責人（法人/總經理）XX為網絡與信息安全第一責任全面負責企業網絡與信息安全工作。網絡與信息安全管理組織架構。應明確本企業網絡與信息安全主管部門，明確涉及的其他主體或部門，并有明確的安全職責及分工。本項包含但不限于以下內容：（1） 網絡與信息安全主管部門名稱；（2） 網絡與信息安全主管部門負責人姓名與職務等信息；（3） 網絡與信息安全主管部門配置人數；（4） 網絡與信息安全主管部門工作職責（須含但不限于信息安全管理責任制、有害信息發現受理處置機制、有害信息投訴受理處置機制、重大信息安全事件應急處置和報告制度、信息安全管理政策和業務培訓制度、網絡安全管理責任制度、網絡安全防護制度、網絡安全事件應急處置和報告制度、有害信息發現和過濾技術手段、用戶日志留存所采用的技術手段、網絡安全防護技術手段、安全聯絡員變動承諾制度等）。（5） 網絡與信息安全涉及的其他主體或部門名稱及職責。制定網絡與信息安全監督檢查制度。該制度應包含但不限于以下內容：（1） 實施監督檢查工作的責任部門及人員；（2） 檢查范圍：對企業的網絡與信息安全工作和措施制度的落實、執行情況進行監督檢查；（3） 檢查的周期和比例，檢查可以是定期檢查和不定期抽查相接合；（4）檢查發現問題的處理：及時完善健全網絡與信息安全管理措施和制度，對發生網絡與信息安全事件的責任部門、責任人員進行處理。本欄請填寫本公司網絡與信息安全管理人員情況：申請企業應至少配備3名或以上網絡與信息安全管理人員，并注明管理人員姓名、聯系方式、職責分工，附管理人員身份證及資質證書復印件；網絡安全人員應具有相應的專業技術資格（網絡與信息安全從業資質或通信、計算機相關專業本科及以上學歷證明）；3.提供網站接入時：每接入1萬個網站至少配備2名專職信息安全工作人員；接入不足1萬個網站的，按1萬個計算。要求這兩個人應不與下表中所列的網絡與信息安全責任人重復。

責任人姓名職務辦公電話手機身份證號碼職責郵箱第一責任人（公司法人/總經理）信息安全負責人網絡安全負責人7*24小時應急聯系電話傳真電話網絡與信息安全管理責任制本欄請填寫本公司依據《電信條例》、《互聯網信息服務管理辦法》、《電信業務經營許可管理辦法》等政策法規制定和建立的企業內部信息安全管理責任制度，該制度應包含但不限于以下內容：：信息安全管理責任制度。（1） 企業應制定信息安全管理責任制度。通過文件形式明確信息安全主管部門及其他相關部門的工作職責。其中信息安全主管部門職責至少包括制定信息安全年度工作計劃、制定信息安全相關工作制度、負責信息安全事件的響應、處置、協調、負責網絡與信息安全教育培訓及應急演練，依法配合通信行業主管部門開展違法信息的處置、凈化網絡環境等相關工作；（2） 建立企業內部責任追究制度。明確違反信息安全相關規定的責任部門責任人的相應處罰措施；（3） 明確信息安全主管部門及其他相關部門、崗位均應簽署網絡與信息安全責任書。信息安全責任書（棋板）。（1） 制定企業內部信息安全責任書模板，責任書應明確信息安全應遵守的規定、承擔的責任、履行的義務，及違反規定相應具體處罰措施；（2） 要求信息安全主管部門及其他相關部門、崗位均應簽署信息安全責任書；（3） 責任書簽訂周期：應當每年簽一次，有人員調整變動，人員變動時應及時簽。監管配合機制本欄請填寫本公司依據《電信條例》、《互聯網信息服務管理辦法》、《電信業務經營許可管理辦法》等政策法規制定和建立的企業內部信息安全監管配合制度：1.應明確面向用戶的有害信息受理處置機制，內容應包括：有明確的

受理方式，包括電話、QQ、電子郵箱等；有明確的受理部門、人員、有害信息受理機制和流程；針對發現問題，建立相應制度和措施的完善機制，防止同類問題的再次發生。2-建立監管配合機制，內容包括：明確網絡與信息安全主管部門為監管工作配合部門，指定該部門負責人及一名業務主管作為配合工作日常聯絡人，依法配合通信行業主管部門開展違法信息的處置等相關工作；企業對發現的（技術手段發現、人工審核發現、用戶投訴發現）正在傳輸的違法信息，應立即停止傳輸并上報政府主管部門。網絡與信息安全事件應急處置本欄請填寫本公司依據《電信條例》、《互聯網信息服務管理辦法》、《通信網絡安全防護管理辦法》、《通信網絡安全防護系列標準》、《公共互聯網網絡安全應急預案》和《互聯網網絡安全信息通報實施辦法》等政策法規制定和建立的企業內部網絡與信息安全事件應急處置報告制度。該制度應包含但不限于以下內容：1.企業應明確網絡與信息安全應急處置責任部門、人員及24小時應急值班電話。2.制定企業網絡與信息安全應急預案。預案應明確網絡與信息安全事件范圍、級別及處置流程，網絡與信息安全應急處置的措施和手段。當出現《電信條例》所規定“九不準”有害信息內容和網絡安全威脅時，應立即啟動應急預案。恢復系統正常運轉的方案及時限。如發生網絡與信息安全事件應第一時間采取措施，及時消除非法信息和網絡威脅，無法迅速消除、影響較大時實施緊急關閉，將危害影響控制在最小范圍；及時進行原因分析，制定解決方案，在有害信息和安全隱患未徹底消除前，不得恢復系統運行；留存證據并分析事件原因，在有關部門調查時予以提供。應急處置報告制度。應及時向有關部門報送事態發展、處置措施、原因分析、工作進展和經驗教訓等，重大網絡與信息安全事件應于2小時內向政府有關部門報告。5.網絡與信息安全應急演練。每年應組織開展網絡與信息安全應急演練，須包含但不限于演練科目、時間、地點、內容、點評等，同時要積極參加電信管理機構組織開展的演練。信息安全技術保障措施（根據具體業務開展和監管配合情況配套建設相應的技術保障措施）本欄請填寫本公司依據《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《電信條例》、《互聯網信息服務管理辦法》等政策法規及通信行業主管部門有關要求配套建設的信息安全技術手段，同步落實與業務發展相適應的安全保障措施。用戶信息保護、有害信息發現和過濾、日志留存等方面的網絡信息安全技術手段的詳細材料，包括系統軟件名稱及功能目的、技術方案、處置流程、保障措施等。用戶信息保護、有害信息發現和過濾、日志留存等系統（設備、軟件）放置的機房地址。明確以上系統的維護、管理和使用部門，定期檢測系統功能，確保系統可靠運行。確保不發生侵害用戶隱私、信息泄露等；確保有害信息及時發現和過濾、處置；用戶日志留存完整準確，留存時限不得低于60日。

網絡安全防護制度本欄請填寫本公司根據《通信網絡安全防護管理辦法》、《通信網絡安全防護系列標準》、《公共互聯網網絡安全應急預案》和《互聯網網絡網絡安全防護制度安全信息通報實施辦法》等，制定本公司網絡安全防護制度。該制度應包含但不限于以下內容：網絡安全防護工作是指為防止通信網絡阻塞、中斷、癱瘓或者被非法控制，以及為防止通信網絡中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。網絡安全防護工作堅持積極防御、綜合防范、分級保護的原則。建立與通信網絡單元相適應的安全防護措施，并根據實際情況適時調整通信網絡單元的劃分和級別；每年對網絡單元進行符合性評測；每年對通信網絡單元開展安全風險評估，及時消除重大網絡安全隱患；投入必要的經費和條件；網絡安全保障設施的新建、改建、擴建費用，應當納入本單位建設項目概算和費用額度；對檢查中發現的重大網絡安全隱患，應當及時進行整改。填寫《網絡安全防護基本信息表》（系統上傳文字內容，表格版提交紙質材料時提供）。依據《通信網絡安全防護管理辦法》（工業和信息化部令第11號）要求，根據業務系統所屬類型，按照增值電信業務系統相關網絡安全防護定級要求進行定級 （定級方法和流程參見管局官方網站首頁一專題工作一寬帶接入網業務試點工作一增值電信企業網絡單元定級流程及方法、山西省通信管理局增值業務許可網絡單元定級軟件），并在系統建設、運行、維護中按照相關行業標準開展定級備案、符合性評測、風險評估等網絡安全防護工作。（此處內容若因字數限制填寫不下，可在“其他欄目中填寫”）機房管理制度（1） 如企業有自建機房，應建立機房安全管理制度，制度內容應包含但不限于：機房設備清單（為機房所有設備建立資產清單（臺帳），設備型號、數量、進出庫時間等）機房設備安全等級（根據設備的重要性劃分設備的安全等級）機房內設備位置安全（根據設備的重要性劃分設備在機房內的位置安全）電力供應安全機房出入管理機房環境管理等內容。（2） 企業沒有自建機房，與其他企業簽署托管或代維協議的，機房設備清單（為機房所有設備建立資產清單（臺帳），設備型號、數量、進出庫時間等）需提供托管協議或代維協議中涉及機房管理、環境及電力供應等相關內容，紙質材料審核時需提供托管或代維協議的原件及復印件（蓋章）。設備操作安全管理制度。制度應對不同崗位設備操作權限進行分級，明確不同權限可操作設備的范圍，設備操作內容并進行操作日志記錄（記錄中要包含設備操作內容和審批流程等內容） ，建立設備密碼管理相關制度（明確設置專用賬戶、專用密碼，密碼復雜程度（如數字和字母組合）、密碼更換周期等內容。）網絡設備運行維護制度。制度應明確維護的部門，設備運行維護的內容、周期以及系統相關功能檢測的周期。重要系統的備份維護管理制度。主要指對重要系統或設備（服務器、數據庫等）進行備份維護制定相應制度，應明確維護周期，并在維護時采取相應數據保護措施（如：數據轉貯、卸下磁盤磁帶等）。

在對系統進行預防維修或故障維修時，應記錄故障原因、維修對象、維修內容和維修前后狀況等信息.應建立完整的維護記錄檔案。防火墻等安全措施管理制度。制度應明確防火墻安全管理和維護周期，以及企業內部防火墻管理方面的流程、規范等內容。用戶日志留存系統維護制度。制度應包含用戶日志留存系統的維護周期、維護內容、維護規范管理等內容。網絡安全防護技術手段本欄請填寫本公司依據《通信網絡安全防護管理辦法》、《通信網絡安全防護系列標準》、《公共互聯網網絡安全應急預案》和《互聯網網絡安全信息通報實施辦法》、《增值電信企業網絡單元定級流程及方法》等，制定本公司網路安全防護舉措。該相關制度舉措應包含但不限于以下內容：網絡安全系統防護重點解決操作系統、數據庫和各個服務器，例如WEB服務器及WAP服務器等系統安全問題，以建立一個安全的系統運行平臺，有效抵抗黑客利用系統的安全缺陷對系統進行攻擊，主要措施包括：應采用與網絡安全防護等級相適應的防火墻等技術手段有效保護本地網絡安全。簡述本企業防火墻設備型號，功能及本企業防火墻采取的相關安全防護措施，如對外屏蔽重要設備地址、關閉與本身服務不相關的端口等。操作系統安全保障措施。（1）系統安全防護能力。文件訪問控制（系統內文件訪問權限要進行分級）用戶權限級別（根據系統使用情況，系統不同用戶授予不同范圍的最小權限）防病毒軟件/硬件（系統要具備防病毒功能的軟件、硬件）。（2） 操作日志記錄。對系統的操作要有日志記錄，重要操作要有審批流程，并列出審批內容。（3） 要有專人負責定期對系統或軟件進行升級和補丁。（4） 對操作系統進行密碼管理，要體現密碼更換的時間，密碼的復雜程度（密碼設置不能使用純數字等簡單密碼，須使用英文字母加數字或符號的混合密碼）等內容，如企業制定了相關密碼管理制度，此處可參照執行。（5） 定期開展系統安全檢測。定期對系統進行安全漏洞掃描，并在掃描檢測完成后，編寫檢測報告，詳細記錄漏洞檢測結果及實施的補救措施與安全策略，并整理歸檔備查。數據庫安全保障措施。（1） 數據庫存取權限。對數據庫存取訪問要有權限分級，通過設置不用級別的權限，控制用戶對數據庫的存取，主要是嚴格控制訪問機制、實現數據庫所有操作內容的的可審計。（2） 口令安全管理。數據庫訪問應設置口令保護，對口令日常定期更換、復雜程度等制定管理制度，避免出現弱口令等網絡安全隱患，以確保數據庫數據安全。（3） 數據庫安全功能。經授權的數據庫系統管理員需定期對數據庫安全功能、用戶和數據庫操作權限進行有效管理，確保數據庫安全。（4）數據庫定期備份。數據庫數據應定期進行備份和轉儲等操作。（5）操作日志記錄。數據庫的所有操作均應有操作日志記錄，重要操作需進行審批，以備安全審計使用。（6）故障恢復能力等。描述對數據庫出現各種人為故障、軟件故障和硬件故障時，如何進行恢復的能力，確保發生故障后能恢復全部數據內容。網絡與信息安全管理政策和業務培訓制度本欄填寫本公司依據《電信條例》、《互聯網信息服務管理辦法》等政策法規制定和建立的企業內部信息安全教育培訓制度，該制度應包含但不限于以下內容：通過文件形式制