第一章 总则
第 一 条为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。 钛合金热处理>小区停车收费系统第 二 条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,出安全风险,有针对性的提出改进措施的活动。
第 三 条本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章 适用范围
第 四 条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
第 五 条涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章 评估工作宏观要求
第 六 条风险评估内容及组织方式
(1)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(2)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;
(3)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
第 七 条评估频次
(1)按照监管部门、总部和各省公司管理层要求,安排评估任务;
(2)对于从未实施安全技术防护或者进行安全加固的系统,原则上不能进行风险评估,应以落实有限公司制定下发的技术规范、管理要求为主,如《防火墙部署技术要求》、《客户信息保密管理规定》、《中国移动支撑系统安全域划分技术要求》等等,首先进行安全防护和加固;
(3)在重大活动或敏感时期,应根据需要对特定网络及信息系统启动专项评估;
(4)在重要系统入网、现网进行大规模调整时,应根据实际情况启动专项评估工作。
第四章 组织与职责
第 八 条总体原则
(一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,有限公司及各省公司分别负责所辖网络和系统的安全风险评估工作。
(二)“自评估为主、第三方评估为辅”原则。有限公司及各省公司应着力推动中国移动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补中国移动尤其是在队伍建设初期,由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等方面的不足。
(三)原则上,安全评估服务与系统建设不能采用同一厂家。
液冷服务器凝结水系统第 九 条发起风险评估的责任主体包括总部及各省公司网络与信息安全工作办公室或者其它网络安全工作管理职能部门、各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门等等。
第 十 条各级网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作:
(一)落实上级安全风险评估工作总体安排配合上级组织的风险评估工作。在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络及信息系统的专项评估工作;
(二)组织制定安全风险评估细则。建立和完善风险评估工作考核指标和考核办法,组织考核评比。制定严格的管理办法,对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格把控,确保风险评估资料的机密性、完整性和可用性;
verticalsync
(三)负责建立自主评估队伍,并制定培训和演练计划;
(四)作为公司范围安全风险评估工作的责任主体,按照相关要求、组织制定公司级的安全风险评估计划,并组织实施全网性大规模评估。每年1月底前完成当年安全风险评估计划制定工作;
(五)对其它安全风险评估责任主体的安全风险评估工作,如制定内部安全风险评估工作计划、实施安全风险评估等,进行指导、审批、审核、备案;
(六)汇总、审阅安全风险评估报告,审核改进方案,督促解决安全风险评估中发现的突出问题。出现涉及公司层面的重大问题或者需要对技术或者管理流程做出重大调整时,应
向公司主管领导及上级主管部门汇报;
(七)通过建立风险评估信息库及共性问题通报机制,实现自身及下级单位之间的风险评估知识共享;
(八)在重要系统入网、现网进行大规模调整时,应督促其它相关风险评估责任主体根据实际情况启动专项评估工作。
第 十一 条其它安全风险评估责任主体的主要职责:
(一)配合完成网络与信息安全工作领导小组、网络与信息安全工作办公室或者其它上级主管部门安排的安全风险评估任务;
(二)组织制定部门内部安全风险评估实施细则;
(三)在本部门职责范围内,制定安全风险评估工作年度计划、明确安全风险评估要点及实施方案,并报上级部门批准。每年1月底前完成当年安全风险评估计划制定工作,内容应满足本部门或上级部门各类网络与信息安全管理需求;
(四)按照安全风险评估计划,实施评估项目;
(五)向管理层提交安全风险评估报告,及时上报风险评估发现的重大问题和可能的全网共性问题;
(六)针对安全风险评估发现的问题,形成改进方案并启动改进工作;
(七)如引入第三方进行评估,应按照本办法要求及中国移动相关管理规定加强管理,避免由此引入新的安全风险;
(八)在重要系统入网、现网进行大规模调整时,应根据实际情况启动专项评估工作;
(九)对信息资产风险情况进行备案。
第 十二 条接受安全风险评估的部门应参与制定安全风险评估计划及评估方案,了解评估可能造成的影响及规避措施,配合实施安全风险评估工作。
第 十三 条参与安全风险评估人员应严格遵守公司保密管理规定,对接触到的敏感信息、漏洞情况等严格保密。
第 十四 条如委托第三方进行风险评估,应选择符合国家和有限公司要求的风险评估服务机构,并在与之签订的协议中,明确保密要求及禁止利用中国移动提供的权限、信息进行其它破坏性或者信息刺探等非法活动,保障中国移动及客户利益。
