中国移动网络与信息安全风险评估管理办法V1.0
中国移动网络与信息安全风险评估管理办法
第一章总则
第一条为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推
动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指
南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T
1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。第二条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、
发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针
对性的提出改进措施的活动。
第三条本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围
第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如
电梯控制系统、门禁系统等发起的各类风险评估。
第五条涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如
网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求
第六条风险评估内容及组织方式
1
(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;
(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
第七条评估频次
(一)按照监管部门、总部和各省公司管理层要求,安排评估任务;
(二)对于从未实施安全技术防护或者进行安全加固的系统,原则上不能进行风险评估,应以落实有限公司制定下发的技术规范、管理要求为主,如《防火墙部署技术要求》、《客户信息保密管理规定》、《中国移动支撑系统安全域划分技术要求》等等,首先进行安全防护和加固;
(三)在重大活动或敏感时期,应根据需要对特定网络及信息系统启动专项评估;(四)在重要系统入网、现网进行大规模调整时,应根据实际情况启动专项评估工作。
第四章组织与职责
第八条总体原则
(一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,有限公司及各省公司分别负责所辖网络和系统的安全风险评估工作。(二)“自评估为主、第三方评估为辅”原则。有限公司及各省公司应着力推动中国移动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥
补中国移动尤其是在队伍建设初期,由于对电信网络协议漏洞、编程漏洞
了解较少、渗透测试技术水平不高等方面的不足。
2
(三)原则上,安全评估服务与系统建设不能采用同一厂家。
第九条发起风险评估的责任主体包括总部及各省公司网络与信息安全工作办公室或者其它网络安全工作管理职能部门、各级通信网、业务网和各支撑系
统维护部门,如网络部门、业务支撑部门、管理信息系统部门等等。
第十条各级网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作:
(一)落实上级安全风险评估工作总体安排配合上级组织的风险评估工作。在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络及
信息系统的专项评估工作;
(二)组织制定安全风险评估细则。建立和完善风险评估工作考核指标和考核办法,组织考核评比。制定严格的管理办法,对风险评估相关文档的发
布、保存、流转、更改、作废、销毁各环节进行严格把控,确保风险评
估资料的机密性、完整性和可用性;
(三)负责建立自主评估队伍,并制定培训和演练计划;
(四)作为公司范围安全风险评估工作的责任主体,按照相关要求、组织制定公司级的安全风险评估计划,并组织实施全网性大规模评估。每年1月
底前完成当年安全风险评估计划制定工作;
(五)对其它安全风险评估责任主体的安全风险评估工作,如制定内部安全风险评估工作计划、实施安全风险评估等,进行指导、审批、审核、备案;
(六)汇总、审阅安全风险评估报告,审核改进方案,督促解决安全风险评估中发现的突出问题。出现涉及公司层面的重大问题或者需要对技术或者
管理流程做出重大调整时,应向公司主管领导及上级主管部门汇报;
(七)通过建立风险评估信息库及共性问题通报机制,实现自身及下级单位之间的风险评估知识共享;
(八)在重要系统入网、现网进行大规模调整时,应督促其它相关风险评估责任主体根据实际情况启动专项评估工作。
第十一条其它安全风险评估责任主体的主要职责:
3
(一)配合完成网络与信息安全工作领导小组、网络与信息安全工作办公室或者其它上级主管部门安排的安全风险评估任务;
(二)组织制定部门内部安全风险评估实施细则;
(三)在本部门职责范围内,制定安全风险评估工作年度计划、明确安全风险评估要点及实施方案,并报上级部门批准。每年1月底前完成当年安全
风险评估计划制定工作,内容应满足本部门或上级部门各类网络与信息
安全管理需求;
(四)按照安全风险评估计划,实施评估项目;
(五)向管理层提交安全风险评估报告,及时上报风险评估发现的重大问题和可能的全网共性问题;
(六)针对安全风险评估发现的问题,形成改进方案并启动改进工作;
(七)如引入第三方进行评估,应按照本办法要求及中国移动相关管理规定加强管理,避免由此引入新的安全风险;
(八)在重要系统入网、现网进行大规模调整时,应根据实际情况启动专项评估工作;
(九)对信息资产风险情况进行备案。
第十二条接受安全风险评估的部门应参与制定安全风险评估计划及评估方案,了解评估可能造成的影响及规避措施,配合实施安全风险评估工作。
第十三条参与安全风险评估人员应严格遵守公司保密管理规定,对接触到的敏感信息、漏洞情况等严格保密。
第十四条如委托第三方进行风险评估,应选择符合国家和有限公司要求的风险评估服务机构,并在与之签订的协议中,明确保密要求及禁止利用中国移动提
供的权限、信息进行其它破坏性或者信息刺探等非法活动,保障中国移动
及客户利益。
4
第五章风险评估项目实施步骤
第十五条项目计划及评估方案制定阶段。为保证各风险评估项目的实施质量,降低给评估对象带来的安全风险,各安全风险评估责任主体应与被评估方一起
制定每个评估项目的详细计划和评估方案。
(一)评估计划至少明确:目的,评估对象,评估内容概述,工作进度整体安排,资金安排,评估项目组人员安排和相关部门职责分工等。
(二)评估方案至少包括:目的,评估对象,评估所依据的标准,具体评估要点及对应评估方法描述,采用的技术手段,各评估要点实施人员,被评
估单位配合要求,工作进度,对评估对象的影响分析及风险规避措施,
保密要求等。
第十六条项目计划及评估方案审批阶段。为确保评估计划的可行性、评估方案的科学性和安全性,在实施之前,均应报本公司网络与信息安全工作办公室等
安全职能管理部门或者上级主管部门审核,审核通过方可开展评估工作:(一)评估责任主体主管领导和安全职能管理部门对各评估项目计划和评估方案进行审核;
(二)针对有限公司及省公司负责维护的全网设备或具有全程全网性质的风险评估对象(三级及三级以上)进行的评估及委托第三方进行的评估需要
报总部审批。
第十七条风险评估实施阶段。在评估计划和评估方案通过审批后,评估责任主体应在被评估单位的配合下,按照评估方案组织实施。评估过程应有完备的文
档记录,至少包括实施经过、原始数据、评估结果等等。
第十八条风险评估总结阶段。风险评估完成后,应形成本项目完整的风险评估报告。
风险评估报告至少包括以下内容:
(一)本风险评估项目的目的、被评估对象和评估范围、评估内容;
(二)本风险评估项目的组织形式、标准依据、实施方案、时间安排;
(三)本次风险评估对象的管理现状、已有安全措施;
5