中国移动网络与信息安全风险评估管理办法V1.0.doc

***网络与信息安全风险评估管理办法
第一章 总则
为在确保***通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“***”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章 适用范围
本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对***通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求
风险评估内容及组织方式
风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;
风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
评估频次
按照监管部门、总部和各省公司管理层要求,安排评估任务;
对于从未实施安全技术防护或者进行安全加固的系统,原则上不能进行风险评估,应以落实有限公司制定下发的技术规范、管理要求为主,如《防火墙部署技术要求》、《客户信息保密管理规定》、《***支撑系统安全域划分技术要求》等等,首先进行安全防护和加固;
在重大活动或敏感时期,应根据需要对特定网络及信息系统启动专项评估;
在重要系统入网、现网进行大规模调整时,应根据实际情况启动专项评估工作。
第四章组织与职责
总体原则
在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,有限公司及各省公司分别负责所辖网络和系统的安全风险评估工作。
“自评估为主、第三方评估为辅”原则。有限公司及各省公司应着力推动***自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补***尤其是在队伍建设初期,由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等方面的不足。
原则上,安全评估服务与系统建设不能采用同一厂家。
发起风险评估的责任主体包括总部及各省公司网络与信息安全工作办公室或者其它网络安全工作管理职能部门、各级通信网、业务网和各支撑系统维护部门,如网络部门、业务