电信增值及经营业务服务商（ICP、EDI）信息系统风险评估

【一 】业务背景

根据中华人民共和国国务院令第291号《中华人民共和国电信条例》、第292号《互联网信息服务管理办法》（简称ICP管理办法），国家对提供互联网信息服务的ICP实行许可证制度。

ICP，Internet Content Provider，即向广大用户综合提供互联网信息业务和增值业务的电信运营商。

全国各地ICP管理机构（一般为各地通信管理局）核发ICP资质证书前，均要求ICP提供自己网站和信息系统的信息安全保障措施说明，其中包括网站信息安全风险等级测评报告。

黑龙江亿林数据（cnhlj.cn）基于多年的信息安全风险评估经验，且拥有包括中国通信企业协会颁发的《通信网络安全服务风险评估（一级）》在内的多种信息安全业务服务资质，为广大ICP提供网站信息安全风险等级测评服务，此业务也可称为网站信息安全评估。

【二】评估对象

本业务依据中华人民共和国工业和信息化部《通信网络安全防护管理办法[2010]第11号》、中华人民共和国工业和信息化部《关于加强电信和互联网行业网络安全工作的指导意见 工信部保[2014]368号》、《电信业务经营许可管理办法（中华人民共和国工业和信息化部令 [2009]第5号）》、《互联网网络安全信息通报实施办法（工信部保2009156号）》等多项法规或政策要求，为依托互联网开展电信增值及经营业务的企业，提供可用于ICP、EDI等相关资质的信息安全风险等级测评服务。

本业务面向所有ICP，如网络游戏、互联网金融、网上购物、视频网站、在线教育或培训、互联网共享服务、团购代购、业务代理、数据中心等各类互联网信息业务和增值业务的电信增值服务运营商。

【三】评估内容

黑龙江亿林数据（cnhlj.cn）根据相关评估标准及ICP信息安全保障的要求，将网站信息安全评估内容整理为：

1、 软硬件系统安全风险。

利用人工检测结合自动化扫描工具，对网站的软件系统（包括服务器操作系统、数据库系统、网络设备、安全防护设备、应用系统等）进行安全检测和扫描，找出其中存在的安全弱点及可能的风险（注：本项服务内容需要另行协商服务内容和价格等）；

2、 网络层面的安全风险

针对网络架构、物理环境、逻辑环境、访问控制、安全防护等各方面的安全风险进行评估。

3、 应用层面的安全风险

针对网站业务运行流程进行分析，对业务运行可能存在的信息安全风险进行揭示。

4 、管理层面的安全风险

对ICP的安全管理机构设置、安全管理制度体系建立、人员安全管理、系统安全建设管理、安全运维这五个方面进行评价。

 【四】评估流程

风险评估实施分为评估数据收集、风险分析、风险揭示三个大的阶段，并且亿林数据须经客户确认最终的风险评估报告。

【五】客户收益

通过亿林数据（cnhlj.cn）风险评估，客户可以获得以下收益：

1 、了解网站目前的技术性和管理性安全风险，为下一步采取安全控制措施提升信息安全水平提供指引；

2 、获得针对员工实施信息安全教育的真切依据；

3 、发现业务运行的安全风险，根据风险评估报告的改善建议，填补业务安全漏洞；

4 、获得网站风险评估报告，为获取ICP资质或维持此资质提供符合性证据，可提交相关管理部门。

【六】联系我们：

1、可登录黑龙江亿林网络风险评估官方网站进行详细咨询

2、拨打24小时在线服务热线：0451-81320066转4

网络安全选亿林，您身边可靠的安全服务商