公司信息安全评价管理办法.pdf

第一章总则 第一条为规范科技有限公司及各子公司（以下简称“公司”）信息安全评估管理活动，保障信息系统安全，依据国家有关规定，结合公司实际情况，参考集团业务安全通用评估规范、网络与信息安全风险评估管理办法 V1.0等要求制定本办法。第二条本办法所称安全评估是指公司通过技术与管理手段对网络和信息系统等信息资产存在的脆弱性、威胁、发生概率、安全事件影响程度等安全风险情况进行分析，找出安全风险，有针对的提出改进措施的活动。第二章适用范围 第三条公司运营所涉及的所有业务与系统。第三章组织与职责 第四条信息安全工作小组在信息安全领导小组及上级主管部门领导下，成立安全评估小组，组织开展公司各业务的安全评估工作。第五条信息安全工作小组就评估工作发现的重大问题、可能的全网共性问题及时上报信息安全领导小组。第六条信息安全工作小组管控安全评估活动过程质量，对评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格管控，确保评估工作材料的保密性、完整性、可用性。第七条安全评估小组分析业务系统现状，制定评估方案、作业指 导书、现场评估表单、准备评估工具，实施现场安全评估，针 对现场评估结果分析风险及整改建议，复查整改情况，编写评估报告。第八条各业务系统负责人根据自身业务现状，提出评估需求，并 提供相关资料配合评估小组完成安全评估工作，对评估所发现的安全风险实施有效整改。第九条参与安全评估人员应严格遵守公司保密管理规定，对接触到的敏感信息、漏洞情况等严格保密。第四章安全评估实施内容 第十条安全评估小组应根据工信部、网信办、集团信安中心及公司内部相关评估标准实施安全评估。第十一条安全评估内容主要包括对业务安全评估和系统安全评估，包括但不限于以下内容：1)业务流程安全：内容安全性、计费安全性、客户信息安全性等。2)业务系统架构、网络结构安全性评估：网络组网、流量节点冗余设计、设备及流量监控等。3)设备、平台及软件：业务使用的设备、数据库、中间件、安全管控平台/4A 的安全性。4)终端安全性：对 PC 终端、客户端的业务软件的安全评估。5)安全管控：对业务相关的应用软件系统的访问控制措施进行 安全评估。6)渗透测试：由专业安全服务人员模拟常见黑客所使用的攻击 手段对目标系统进行模拟入侵。渗透测试目的在于充分挖掘和暴露系统的弱点，从而让管理人员了解其系统所面临的威胁。7)安全漏洞评估：对信息和信息处理设施安全漏洞及其遭受入侵方式的评估，使用户了解信息系统内的服务器和网络通讯设备的系统漏洞，以及漏洞的分布状况和危险等级。8)安全配置核查：主要通过设立满足安全要求的安全基准点，对信息系统涉及的设备和软件安全配置信息进行集中采集及分析，并且最终识别那些与安全规范不符合的项目以达到整改合规的要求。第五章安全评估实施原则 第十二条安全评估须贯穿信息系统的生命周期。第十三条规划设计阶段：1)新业务系统建设或现有业务系统扩容建设之前，在项目可行性研究报告/项目建议书中包含安全需求。在项目设计文档中包含信息安全设计方案。2)现网业务系统进行大规模调整、业务变更管理等问题，须对变更相关的系统设计方案进行安全评估。3)由系统建设部门向信息安全工作小组提出评估申请。第十四条实施阶段：1)新业务系统建设完成入网正式上线前或新设备上线前，须进行安全评估 2)业务系统变更完成上线前，须对业务系统变更部分涉及的安全措施进行安全评估。3)由系统建设部门向信息安全工作小组提出评估申请。第十五条维护阶段：1)信息安全领导小组或上级监管单位提出安全评估需求时，须对特定网络及信息系统进行安全评估。2)信息系统出现重大安全事故导致业务中断、设备宕机等需要重新整改时须进行安全评估。3)未发生重大变更的业务系统再次进行安全评估的，可参考前次评估结果，重点评估前次评估发现的主要问题及整改情况。4)由系统建设部门向信息安全工作小组提出评估申请。第十六条下线阶段：部分下线或全部下线的信息资产，确保信息系统组件合理丢弃或更换，须对该废弃的资产进行安全评估。第六章安全整改及上报 第十七条评估小组对业务系统安全风险进行分析和人工验证并提出 整改建议并以安全评估报告的方式提交信息安全工作小组。第十八条信息安全工作小组根据安全评估报告中存在的安全风险组织相关部门确认，各部门基于整改建议制定整改计划、实施整改工作并反馈整改完成情况。第十九条整改完成后，评估小组实施业务系统安全评估复查工作，验证风险整改情况，评估系统残余风险。第二十条安全评估工作完成后，评估小组提交最终版本评估报告至信息安全工作小组归档。第七章附则 第二一条公司信息安全工作小组根据实际工作需要有权修订本办法。第二十二条本办法由公司信息安全工作小组负责解释。第二十三条本办法自印发之日起施行。相关表格:信息安全评估申请表 评估范围 所属业务系统 生产性质 新上线已上线 扫描时间 扫描原因 扫描插件选择 是否使用拒绝服务类插件 是否 是否使用口令猜测类插件 是否 申请人 申请时间 部门领导意见 安全漏洞扫描报告 IP X.X.X.X 应用 漏洞详情 序号 漏洞名称及 描述 漏洞危险等 级 漏洞修补方 案 漏洞修复风 险描述 备注 报告整理人 报告时间