1.YD/T 2248-2012《IDC/ISP信息安全管理技术要求》是基础,明确要求企业侧系统应具备基础资源数据管理、用户访问日志管理、违法信息及网 站发现处置等功能。
2.YD/T 2405-2012《IDC/ISP信息安全管理系统接口规范》对企业侧系统与管理侧平台之间接口的功能要求、数据通信要求及数据交换格式等技 术要求进行规定。
3.YD/T 2406-2012《IDC/ISP信息安全管理系统及接口测试方法》明确对企业侧系统的功能、性能、安全、接口等测试方式及结果要求。
系统全称:IDC/ISP信息安全管理系统Information Secruity Management System,ISMSISMS系统是IDC/ISP经营者建设的具有基础数据管理、 访问日志管理、信息安全管理等功能的信息安全管理系统,以满足电信管理部门和IDC/ISP经营者的信息安全管理需求。
基础数据信息更新上报时间:10分钟
基础数据监测查询结果反馈时间:10分钟
用户访问日志记录入库时间:2小时
用户访问日志查询结果反馈时间:10分钟
违法信息监测、过滤信息上报时间:10分钟
系统支持规则数目:5X104条
系统规则匹配准确率:95%
系统可靠性:99.99%
系统时间同步精度为秒
ISMS应该实现基础数据的集中管理,包括基础数据导入、添加、删除修改和上报等。
a、IDC/ISP经营单位信息
b、机房信息
c、IDC/ISP用户信息
ISMS应对机房内的IP使用方式进行监测,实时发现未报备IP地址接入、发现实际使用情况与报备不符的IP。 ISMS对于发现异常的IP地址 应记录:IP地址、登记使用方式、等级域名、异常类型(使用方式或者等级域名异常)、实际使用方式、实际域名、发现时间等监测信息。
ISMS应对IDC/ISP的上行流量数据进行监测,并记录和统计访问信息,形成访问日志。ISMS访问日志记录应至少包括源/目的IP, 源/目的端口、访问时间,属于HTTP协议的需要留存URL。
ISMS应对IDC/ISP网络中传输的公共信息数据进行监测,发现网络中的违法信息等,保存有记录,并根据已设置的策略进行处理。
a、违法违规网站监测和处置 b、违法信息监测和过滤
第一步企业自测企业应在IDC/ISP信息安全管理系统建设工程完毕后,自行组织或委托第三方进行前面的系统测试,并向行业主管部门认可的评测机构 提交自测报告。自测相关内容、方法、操作和结果应符合相关技术规范要求。为保障现场技术评测质量和相关工作的顺利开展,合理统筹评测 机构相关资源,申请IDC/ISP业务经营许可的企业应当限期完成相关系统的自测,并在申请现场评测的同时提交自测报告。 |
评测依据 |
YD/T 2406-2012《IDC/ISP信息安全管理系统及接口测试方法》 |
评测内容 |
基础数据管理功能(涉及如业务相关基础数据信息管理和查询、IP地址异常监测和信息上报等); 访问日志管理功能(涉及IDC企业监测、日志记录统计和查询等); 信息安全管理功能(涉及如违法违规网站管理、违法信息监测和发现、违法信息过滤处置等); 系统处理能力(涉及如系统规则容量、规则匹配准确率、数据更新及上报时限、记录查询响应时间等)。 |
|
评测方法 |
现网拨测:通过公网终端访问测试参考站,适用于访问日志、违法信息监测与过滤等测试项目; 仪表仿真:通过测试工具构造管理侧系统指令,模拟现网数据量,进行借口、性能等测试项目; 手工查看验证:通过手工方式进行数据管理、结果查验等,如基础数据添加、修改、删除等测试项目。 |
|
结果判定 |
各测试单项需逐项进行,现场测试结果与有关标准任一预期结果要求不相符合,即判定相应单项的检测结果为"不通过"。 | |
其他 |
受检企业应承诺对所提供IDC/ISP信息安全管理系统有关信息的真实性和有效性负责。 受检企业应承诺能按照评测任务排期确认的时间如期开始测试。 受检企业应承诺在现场评测期间部队有关系统/设备进行补丁更新或升级。 |
|
第二步现场检测自测通过且自测报告符合模板要求的企业,可申请对IDC/ISP信息安全管理系统进行现场技 术检测。现场技术检测除覆盖系统主要功能外,还侧重对系统性能指标及应用效果进行评估。 |
其他 |
申请材料:IDC/ISP业务用局址/机房信息登记表(每个机房一份);受检系统功能和操作说明材料; 受检系统技术方案、设备部署及拓扑、策略应用等情况说明材料;受检系统自测试报告;受检系统相关测试用账号和口令说(如系统有多级账号权 限,则提供各个权限级别的测试用账号和相应口令)明材料;受检系统与主管部门管理平台接口参数说明材料;受检系统前/后台相关设备地址列表、 设备软/硬件版本信息等说明材料;现场检测有关其他材料。 |
目的:促进互联网行业的健康发展,营造健康有序的市场环境,落实《工业和信息化部关于鼓励和引导民间资本进一步进入电 信业的实施意见》。法律依据:《中华人民共和国行政许可法》《中华人民共和国电信条例》《电信业务经营许可管理办法》等。
规范范围:因特网数据中心(IDC)业务和因特网接入服务(ISP)业务。重点内容:重点内容为明确IDC、ISP两项业务经营许可证申 请条件和审查流程,同时进一步明确IDC、ISP申请企业资金、人员、场地、设施等方面的要求。
自2012年12月1日起,拟经营IDC和ISP业务的电信企业,可按照《实施方案》及相关法规要求,向电信主管部门申请办理业务经营许可。 电信主管部门受理申请并对申请企业是否满足申请条件进行审查,依法做出予以批准或者不予批准决定。
所谓的评价评星制度就是研究建立IDC和ISP企业信誉评价和机房星级评定管理机制,并将这个评价和评定的结果作为电信市场监管的 重要依据。
傲盾官方微信
傲盾客服微信
