根据中华人民共和国国务院令第291号《中华人民共和国电信条例》、第292号《互联网信息服务管理办法》(简称ICP管理办法),国家对提供互联网信息服务的ICP实行许可证制度。
ICP,InternetContent Provider,即向广大用户综合提供互联网信息业务和增值业务的电信运营商。
全国各地ICP管理机构(一般为各地通信管理局)核发ICP资质证书前,均要求ICP提供自己网站和信息系统的信息安全保障措施说明,其中包括网站信息安全风险等级测评报告。
评估对象
本业务依据中华人民共和国工业和信息化部《通信网络安全防护管理办法[2010]第11号》、中华人民共和国工业和信息化部《关于加强电信和互联网行业网络安全工作的指导意见工信部保[2014]368号》、《电信业务经营许可管理办法(中华人民共和国工业和信息化部令[2009]第5号)》、《互联网网络安全信息通报实施办法(工信部保2009156号)》等多项法规或政策要求,为依托互联网开展电信增值及经营业务的企业,提供可用于ICP、EDI等相关资质的信息安全风险等级测评服务。
本业务面向所有ICP,如网络游戏、互联网金融、网上购物、视频网站、在线教育或培训、互联网共享服务、团购代购、业务代理、数据中心等各类互联网信息业务和增值业务的电信增值服务运营商。
评估内容
融河矩媒根据相关评估标准及ICP信息安全保障的要求,将网站信息安全评估内容整理为:
1 软硬件系统安全风险。
利用人工检测结合自动化扫描工具,对网站的软件系统(包括服务器操作系统、数据库系统、网络设备、安全防护设备、应用系统等)进行安全检测和扫描,找出其中存在的安全弱点及可能的风险(注:本项服务内容需要另行协商服务内容和价格等);
2 网络层面的安全风险
针对网络架构、物理环境、逻辑环境、访问控制、安全防护等各方面的安全风险进行评估。
3 应用层面的安全风险
针对网站业务运行流程进行分析,对业务运行可能存在的信息安全风险进行揭示。
4 管理层面的安全风险
对ICP的安全管理机构设置、安全管理制度体系建立、人员安全管理、系统安全建设管理、安全运维这五个方面进行评价。