2022年中国移动网络与信息安全风险评估管理办法V. .pdf

1 中国移动网络与信息安全风险评估管理办法第一章总则第 一 条为在确保中国移动通信有限公司 （以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动” ）网络安全前提下，高效、可控地推动网络与信息系统风险评估工作，依据电信网和互联网安全防护管理指南 （YD/T 1728-2008） 、 电信网和互联网安全风险评估实施指南 （YD/T 1730-2008）等国家政策、行业标准和有限公司相关规定，制定本办法。第 二 条本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、 威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。第 三 条本办法自发布之日起实施，各省公司应制定具体实施细则。第二章适用范围第 四 条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求，针对中国移动通信网、业务网、 各支撑系统以及其它服务类信息系统，如电梯控制系统、门禁系统等发起的各类风险评估。第 五 条涉及的部门包括： 总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。第三章评估工作宏观要求第 六 条风险评估内容及组织方式名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 7 页 - - - - - - - - - 2 （一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、 管理等方面存在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时有针对性的提出改进措施、技术方案和管理要求。（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域，如电信业务流程层面，进行风险评估；（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大， 可在上报有限公司审批、加强管理的前提下引入第三方评估，并应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。第 七 条评估频次（一）按照监管部门、总部和各省公司管理层要求，安排评估任务；（二）对于从未实施安全技术防护或者进行安全加固的系统，原则上不能进行风险评估，应以落实有限公司制定下发的技术规范、管理要求为主，如防火墙部署技术要求 、 客户信息保密管理规定 、 中国移动支撑系统安全域划分技术要求等等，首先进行安全防护和加固；（三）在重大活动或敏感时期，应根据需要对特定网络及信息系统启动专项评估；（四）在重要系统入网、现网进行大规模调整时，应根据实际情况启动专项评估工作。第四章组织与职责第 八 条总体原则（一）在“谁主管、谁负责”总体原则指导下，按照统一管理、分级负责原则，有限公司及各省公司分别负责所辖网络和系统的安全风险评估工作。（二）“自评估为主、第三方评估为辅”原则。有限公司及各省公司应着力推动中国移动自有评估队伍的建设， 逐步实现自主评估。 第三方评估应侧重弥补中国移动尤其是在队伍建设初期，由于对电信网络协议漏洞、 编程漏洞了解较少、渗透测试技术水平不高等方面的不足。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 7 页 - - - - - - - - - 3 （三）原则上，安全评估服务与系统建设不能采用同一厂家。第 九 条发起风险评估的责任主体包括总部及各省公司网络与信息安全工作办公室或者其它网络安全工作管理职能部门、各级通信网、 业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门等等。第 十 条各级网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下，组织开展公司层面安全评估工作：（一）落实上级安全风险评估工作总体安排配合上级组织的风险评估工作。在重大活动或敏感时期，应根据上级安排或者自身需要发起对特定网络及信息系统的专项评估工作；（二）组织制定安全风险评估细则。建立和完善风险评估工作考核指标和考核办法，组织考核评比。制定严格的管理办法，对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格把控，确保风险评估资料的机密性、完整性和可用性；（三）负责建立自主评估队伍，并制定培训和演练计划；（四）作为公司范围安全风险评估工作的责任主体，按照相关要求、组织制定公司级的安全风险评估计划，并组织实施全网性大规模评估。每年1 月底前完成当年安全风险评估计划制定工作；（五）对其它安全风险评估责任主体的安全风险评估工作，如制定内部安全风险评估工作计划、实施安全风险评估等，进行指导、审批、审核、备案；（六）汇总、审阅安全风险评估报告，审核改进方案，督促解决安全风险评估中发现的突出问题。出现涉及公司层面的重大问题或者需要对技术或者管理流程做出重大调整时，应向公司主管领导及上级主管部门汇报；（七）通过建立风险评估信息库及共性问题通报机制，实现自身及下级单位之间的风险评估知识共享；（八）在重要系统入网、现网进行大规模调整时，应督促其它相关风险评估责任主体根据实际情况启动专项评估工作。第 十一 条其它安全风险评估责任主体的主要职责：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 7 页 - - - - - - - - - 4 （一）配合完成网络与信息安全工作领导小组、网络与信息安全工作办公室或者其它上级主管部门安排的安全风险评估任务；（二）组织制定部门内部安全风险评估实施细则；（三）在本部门职责范围内，制定安全风险评估工作年度计划、明确安全风险评估要点及实施方案，并报上级部门批准。每年1 月底前完成当年安全风险评估计划制定工作，内容应满足本部门或上级部门各类网络与信息安全管理需求；（四）按照安全风险评估计划，实施评估项目；（五）向管理层提交安全风险评估报告，及时上报风险评估发现的重大问题和可能的全网共性问题；（六）针对安全风险评估发现的问题，形成改进方案并启动改进工作；（七）如引入第三方进行评估，应按照本办法要求及中国移动相关管理规定加强管理，避免由此引入新的安全风险；（八）在重要系统入网、现网进行大规模调整时，应根据实际情况启动专项评估工作；（九）对信息资产风险情况进行备案。第 十二 条接受安全风险评估的部门应参与制定安全风险评估计划及评估方案，了解评估可能造成的影响及规避措施，配合实施安全风险评估工作。第 十三 条参与安全风险评估人员 应严格遵守公司保密管理规定， 对接触到的敏感信息、漏洞情况等严格保密。第 十四 条如委托第三方进行风险评估， 应选择符合国家和有限公司要求的风险评估服务机构，并在与之签订的协议中， 明确保密要求及禁止利用中国移动提供的权限、信息进行其它破坏性或者信息刺探等非法活动，保障中国移动及客户利益。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 7 页 - - - - - - - - - 5 第五章风险评估项目实施步骤第 十五 条项目计划及评估方案制定阶段。为保证各风险评估项目的实施质量，降低给评估对象带来的安全风险， 各安全风险评估责任主体应与被评估方一起制定每个评估项目的详细计划和评估方案。（一）评估计划至少明确：目的，评估对象，评估内容概述，工作进度整体安排，资金安排，评估项目组人员安排和相关部门职责分工等。（二）评估方案至少包括：目的，评估对象，评估所依据的标准，具体评估要点及对应评估方法描述，采用的技术手段，各评估要点实施人员，被评估单位配合要求，工作进度，对评估对象的影响分析及风险规避措施，保密要求等。第 十六 条项目计划及评估方案审批阶段。为确保评估计划的可行性、 评估方案的科学性和安全性， 在实施之前， 均应报本公司网络与信息安全工作办公室等安全职能管理部门或者上级主管部门审核，审核通过方可开展评估工作：（一）评估责任主体主管领导和安全职能管理部门对各评估项目计划和评估方案进行审核；（二）针对有限公司及省公司负责维护的全网设备或具有全程全网性质的风险评估对象（三级及三级以上）进行的评估及委托第三方进行的评估需要报总部审批。第 十七 条风险评估实施阶段。 在评估计划和评估方案通过审批后，评估责任主体应在被评估单位的配合下， 按照评估方案组织实施。 评估过程应有完备的文档记录，至少包括实施经过、原始数据、评估结果等等。第 十八 条风险评估总结阶段 。 风险评估完成后，应形成本项目完整的风险评估报告。风险评估报告至少包括以下内容：（一）本风险评估项目的目的、被评估对象和评估范围、评估内容；（二）本风险评估项目的组织形式、标准依据、实施方案、时间安排；（三）本次风险评估对象的管理现状、已有安全措施；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 7 页 - - - - - - - - - 6 （四）被评估对象资产价值、面临的威胁、存在的脆弱点、风险描述及分布；（五）安全风险处置及改进建议。第 十九 条风险评估报告验收阶段 。（一）评估发起单位组织评估报告评审会，由网络安全职能管理部门、被评估对象维护部门等对评估结论的准确性、评估目标的达成情况以及改进建议的合理性进行审核；（二）向公司管理层或者网络与信息安全工作办公室汇报网络安全实际情况及改进建议，并根据管理层意见启动风险处置阶段的工作；（三）经公司管理层以及被评估方确认后，风险评估过程文档、评估报告作为风险评估资料进行保存、备案。同时，将评估报告报上级主管部门备案。第 二十 条风险处置阶段。 针对评估所发现的安全风险及改进意见，按照高风险优先处置的原则，结合已有安全措施制定风险处置计划、 改进方案并推动实施。（一）由本风险评估项目责任主体或者被评估单位组织实施；（二）根据安全性和经济性平衡原则，并考虑现有技术、人员等条件限制，确定可以改进的风险要点；（三）制定改进工作计划，明确工作目标、任务描述，任务分解，明确相关部门职责和具体责任人、时间安排、项目风险及规避措施；（四）将处置计划、改进方案报主管领导审核，并报网络与信息安全职能管理部门审批、审核、备案；（五）风险处置计划和改进方案核准下达后，予以实施，并将实施结果报网络与信息安全职能管理部门备案。第 二十一 条 后评估阶段。 风险处置工作完成后， 进行改进工作有效性评估， 找出残余风险，确定所需要的安全管理措施，并监督执行。修订记录版本号修订日期修订人修订原因名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 7 页 - - - - - - - - - 7 V0.1 2008-2-5 房仲阳形成初稿V0.2 2008-3-11 房仲阳根据总部修订意见修改V0.3 2008-3-21 周智根据总部总体考虑重新组织V1.0 2008-3-31 周智根据评审意见修订并发布名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 7 页 - - - - - - - - -