工信部(通管局)增值电信定级业务备案合规一览 |
您所在的位置:网站首页 › 腾讯黄钻属于增值业务吗 › 工信部(通管局)增值电信定级业务备案合规一览 |
工信部(通管局)增值电信定级业务备案合规一览
|
[TOC] 0x00 前言描述:从2019年七月初起公司接收到增值电信定级备案以及“增值电信业务许可证”年检的企业通知,经过几天的梳理总结了这一篇文章,给正在进行增值电信定级备案的小伙伴们一个参考; 中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,并且由中国信息通信研究院制定通信行业相关标准(电信网和互联网网络安全防护定级备案实施指南),工业和信息化部与通信管理局统称”电信管理机构”。 问:为什么要定级备案?(很火热基本大家都知道) 法律法规要求:网络安全法履行基本义务:按照”谁主管谁负责,谁运营谁负责”的原则开展工作,承担网络安全主体责任企业自身需求:通过定级备案程序全面审视自身网络安全潜在风险,降低法律、经营、服务风险,合理安排资源、预算,提高管控效率。什么是工信部定级备案? 答:根据《工业和信息化部办公厅关于开展2018年电信和互联网行业网络安全检查工作的通知》工信厅网安函〔2018〕261号第三条第(一)项要求:定级备案,各网络运行单位要按照《通信网络安全防护管理办法》的规定,在工业和信息化部“通信网络安全防护管理系统”( https://zzqy.mii-aqfh.cn/cnspmsv.web/ )对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。 工信部定级备案具体要求? 适用主体:所有参与年检的增值电信业务持证企业(含全网、地网)定级标准:《互联网安全防护要求》、《互联网安全防护检测要求》备案机构:发牌机构(全网资质为工信部、地网资质为省通信管理局)测评项目:分为安全等级保护、安全风险评估、灾难备份及恢复三大项检测测评机构:有中国通信企业协会通信网络安全委员会颁发“通信网络安全服务能力评定” 证书的企业 法律后果:不做将有年报不通过、进入工信部灰名单、责令企业整改的风险。根据《中华人民共和国网络安全法》和工信部的《通信网络安全防护管理办法》(工信部11号令)条例中的主要管理办法,自2010年3月1日起施行的: 第七条:通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。 WeiyiGeek.定级原则对象查看WeiyiGeek.定级原则对象查看 第九条:通信网络运行单位办理通信网络单元备案,应当提交以下信息:(定级报告模板.doc) (一)通信网络单元的名称、级别和主要功能;(二)通信网络单元责任单位的名称和联系方式;(三)通信网络单元主要负责人的姓名和联系方式;(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置;(五)电信管理机构要求提交的涉及通信网络安全的其他信息。 注意:前款规定的备案信息发生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。第十一条:通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并按照以下规定进行符合性评测 (一)三级及三级以上通信网络单元应当每年进行一次符合性评测;(二)二级通信网络单元应当每两年进行一次符合性评测。第十二条:通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患: (一)三级及三级以上通信网络单元应当每年进行一次安全风险评估;(二)二级通信网络单元应当每两年进行一次安全风险评估。 注意:国家重大活动举办前,通信网络单元应当按照电信管理机构的要求进行安全风险评估第十三条:通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。 第十四条:通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性。第十五条:通信网络运行单位应当建设和运行通信网络安全监测系统,对本单位通信网络的安全状况进行监测。网络安全防护三同步要求 工信部年报中要求企业必须做的的”定级备案””三同步情况报告”指的是什么? 电信业务经营者在电信网络的设计、建设和运行中,应当做到与国家安全和电信网络安全的需求同步规划,同步建设,同步运行。 同规划:安全需求分析、安全总体设计、安全建设规划同建设:安全方案详细设计、安全详细设计方案的实施、安全检测同运行:通过运行管理和控制、变更管理和控制、安全状态监控,对发生的安全事件及时响应,确保电信网和互联网及相关系统正常运行三同步适用的范围: 适用新建、改建、扩建及相关技术改造通信网络、业务平台、系统。覆盖的专业项目类型包括核心网、数据网、传输网、有线接入网、无线接入网、业务网、业务运营支撑系统、其它自用或合作运营类系统。也就是我们持”增值电信业务许可证”的企业都是适用范围。 网络安全防护同规划、同建设、同运行的实施内容包括:同规划、同建设、同运行。 (1) 安全技术措施同规划 企业通过安全需求分析判断网络安全保护现状与安全要求之间的差距,确定初步的安全需求 ,通过分析业务风险确定进一步的安全需求 ;然后根据网络的实际情况,设计出合理的、满足安全等级保护要求的安全总体方案,并制定出安全建设的方案,以指导后续的网络安全建设工程实施。 (2) 安全技术措施同建设 企业通过安全方案详细设计,将安全技术措施同规划的安全总体方案和安全建设方案具体落实到网络中,最终提交满足安全需求的网络、以及配套的安全技术和管理体系。之后应在网络实际运行之前对其安全等级保护工作的实施情况进行安全检测,确保其达到安全防护要求。 (3) 安全技术措施同运行 通过安全检查和持续改进不断跟踪电信网和互联网及相关系统的变化,并依据变化调整其安全等级和安全措施;通过安全检测,确保电信网和互联网及相关系统满足 相应安全等级的要求。网络安全防护同规划、同建设、同运行实施过程中应遵循以下基本原则: a) 自主保护原则b) 重点保护原则c) 同建设原则d) 动态调整原则实施流程:  WeiyiGeek.WeiyiGeek. 0x01 定级备案以及流程如何进行定级备案流程? Step1.工信部网络安全防护管理系统访问地址:https://zzqy.mii-aqfh.cn/cnspmsv.web/, 选择”增值企业和互联网企业定级备案”按钮进入登录画面(参考增值电信企业备案填报指南.pdf) Step2.根据 填写相关资料即XXX(网络/系统单元名称)定级报告,网络单元划分/网络单元赋值; Step3.根据 查看网络和系统单元划分类型规则(即定级对象名称) Step4.根据上面文档中的安全等级计算公式以及参数进行计算出系统定级级别,可以等级网络和系统单元类型参考进行计算参数值进行确认; Step5.将上述结果填入定级报告模板中(对国家以及公众的危害情况),并且在通信网络安全防护管理系统中进行填写提交; Step6.填写提交后等待通信院反馈备案情况  WeiyiGeek.WeiyiGeek. 工信部定级备案具体要求? 适用主体:所有参与年检的增值电信业务持证企业(含全网、地网) 定级标准:《互联网安全防护要求》、《互联网安全防护检测要求》 备案机构:发牌机构(全网资质为工信部、地网资质为省通信管理局) 测评项目:分为安全等级保护、安全风险评估、灾难备份及恢复三大项检测 测评机构:有中国通信企业协会通信网络安全委员会颁发”通信网络安全服务能力评定”证书的企业 法律后果:不做将有年报不通过、进入工信部灰名单、责令企业整改的风险。 1.网络单元划分和规则(1) 企业应当对本单位业务系统按照专业类型: 如门户综合网站、即时通信、网络交易、信息社区服务、邮件系统、搜索系统、互联网接入服务系统、内容分发网络、互联网数据中心、移动互联网应用商店等)进行单元划分 WeiyiGeek.WeiyiGeek. 划分后的网络单元应边界清晰、管理责任主体分明。 注:每个定级对象不应包含多个类型的业务系统,网络单元名称(即定级对象名称)命名规则是:(运营企业简称)(业务系统类型),如北京市xxxx责任公司门户综合网站; 2.网络单元赋值这里主要参考文档中的以互联网信息服务企业门户综合网站系统的赋值情况为例。 注意:对此定级要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。 三个要素的赋值方法分别是 社会影响力-I规模和服务范围-R所提供服务重要性-V社会影响力 -I: 网络/系统单元的社会影响力表示其受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度。  WeiyiGeek.网络/系统单元的社会影响力赋值表WeiyiGeek.网络/系统单元的社会影响力赋值表 比如:互联网信息服务企业门户综合网站系统的服务对象特征范围广泛,数量众多,受到破坏后会对社会秩序、经济运行和公共利益造成较为严重的损害,建议社会影响力赋值为 3。 规模和服务范围 -R: 网络/系统单元的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小。 参考1:  WeiyiGeek.网络/系统单元的规模和服务范围赋值表WeiyiGeek.网络/系统单元的规模和服务范围赋值表 互联网信息服务企业门户综合网站系统的定级对象的规模和服务范围R可根据如下指标确定:日均访问用户数R1、人均页面访问量R2。R取R1和R2中的较大值,建议所提供服务的重要性赋值为 3。 参考2:  WeiyiGeek.定级对象的规模和服务范围RWeiyiGeek.定级对象的规模和服务范围R 所提供服务重要性 -V: 网络/系统单元所提供服务的重要性表示其提供的服务被破坏后对业务运营企业的合法权益的影响程度,此定级要素可通过网络/系统单元所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。  WeiyiGeek.网络/系统单元所提供服务的重要性赋值表WeiyiGeek.网络/系统单元所提供服务的重要性赋值表 比如:互联网信息服务企业门户综合网站系统所提供服务的重要性一般,被破坏后会对业务运营企业的合法权益造成较大损害,建议所提供服务的重要性赋值为 2。 3.安全等级计算根据网络/系统单元的 社会影响力I、规模和服务范围R、所提供服务重要性V 三个定级要素的赋值,采用以下公式来计算网络/系统单元的安全等级值:  WeiyiGeek.计算公式WeiyiGeek.计算公式 参数说明: I=2(社会影响力赋值)R=3(规模和服务范围赋值)V=2(提供服务的重要性赋值)α、β、γ分别表示网络/系统单元的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,分别为1/3、1/3、1/3。Round1{}表示四舍五入处理,保留1位小数Log2[]表示取以2为底的对数 WeiyiGeek.安全等级值与安全等级映射关系对应表WeiyiGeek.安全等级值与安全等级映射关系对应表 代码语言:javascript复制#!/usr/bin/python # coding:utf-8 # 定级方法计算公式 import sys import math def calculation(argv): I,R,V = int(argv[0]),int(argv[1]),int(argv[2]) result = round(math.log2((1/3)*(pow(2,I)) + (1/3)*(pow(2,R)) + (1/3)*(pow(2,V))),1) return result def relation(res): if (1 |
【本文地址】
今日新闻 |
推荐新闻 |