网通[2008地]168号 中国移动安全审计管理办法.docVIP

中国移动安全审计管理办法（试行） 总则 为督促落实各项网络与信息安全管理办法、技术规范，规范各项网络与信息安全检查工作（以下简称“安全审计”），特制定本办法。 安全审计内容可分为管理和技术两个方面，管理方面的审计侧重检查安全流程、管理要求的执行情况；技术方面的审计侧重检查通信网、业务网和各支撑系统符合设备安全技术要求、安全配置要求以及其它技术规范的情况。 安全审计应遵循“审计独立性”的原则，通过设立独立的审计岗位或采取交叉审计等方式开展。 本办法解释权归中国移动通信有限公司网络部，各省公司应根据本办法制定实施细则。 适用范围 本办法适用于中国移动总部和各省公司。 可依据本办法开展通信网、业务网和各支撑系统的安全审计，开展信息安全等其它安全管理方面的审计。 用于指导开展定期和不定期，全面和针对特定目的的安全审计。 组织与职责 发起网络与信息安全审计工作的主体包括：总部及各省的网络与信息安全工作办公室、网络部门、业务支撑部门、管理信息系统部门等。 网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下，组织开展公司层面安全审计工作： 落实上级审计工作总体安排； 组织制定安全审计细则； 作为公司范围安全审计工作的责任主体，组织制定并实施公司级的审计计划。每年1月底前完成当年审计计划制定工作； 对其它安全审计责任主体的审计工作，如制定内部审计工作计划、实施审计等，进行指导、审批、检查、备案； 汇总、审阅审计报告，审核改进方案，督促解决审计中发现的突出问题。出现涉及公司层面的重大问题或者需要对技术或者管理流程做出重大调整时，应向公司主管领导汇报。 总部网络与信息安全工作办公室负责对各省安全审计工作进行检查。 各审计责任主体的主要职责： 配合完成网络与信息安全工作领导小组、网络与信息安全工作办公室或者其它上级主管安排的安全审计任务； 组织制定部门内部安全审计实施细则； 在本部门职责范围内，制定安全审计工作年度计划、明确审计要点及实施方案，并报上级部门批准。每年1月底前完成当年审计计划制定工作，内容应满足本部门或上级部门各类网络与信息安全检查需求； 按照审计计划，实施项目； 提交审计报告； 及时上报审计中发现的重大问题； 针对审计发现的问题，形成改进方案并启动改进工作。 被审计对象应参与制定审计计划、明确审计重点，配合审计工作。 在审计过程中，审计人员应按照公司信息保密规定对接触到的敏感信息进行严格保密，尤其在安全漏洞修补之前，严禁泄露给第三方。 审计频次与工作重点 总体原则 在确定审计频次、工作重点时，应坚持“对重要系统、重要设备、重要信息、重要规章制度和技术要求，进行重点审计”的原则，综合考虑审计对象主要安全需求、人力资源、技术手段等因素，发挥审计工作的最大效益； 应与国家政府部门确定的安全审计原则、频次要求相一致； 应与《萨班斯法案》、ISO27001认证等要求相一致，如对纳入萨班斯法案审计范围的系统和流程，审计频率应不低于《中国移动内控手册》相关要求。 安全审计频次要求 针对公司范围进行的全面审计，每年至少一次，可按需不定期开展； 对局部范围内进行的安全策略技术要求符合情况的审计，依据《信息资产安全等级划分及保护指南》要求，原则上3级及3级以上的系统每半年审计一次。3级以下的系统每年审计一次，并形成分系统的审计报告； 在能够真实反映整体安全工作水平的前提下，采用抽查方式，提高工作效率； 审计结束后，应编制并上报书面审计报告和改进报告。公司层面的审计报告应上报公司网络与信息安全工作领导小组。部门组织进行的审计，应将报告上报主管部门如安全工作主管部门和维护职能管理部门，如发现重大问题，应通过网络与信息安全工作办公室上报网络与信息安全工作领导小组。 审计重点应包括重点要求、重点规范、重要系统中的重要设备，以及用户的操作行为等。 审计内容和审计方法 安全审计主要依据公司已发布的各项安全管理规定和技术要求，检查具体要求的落实情况。 根据审计目的、关注点不同，如在某个时间段、针对某些管理规定、技术规范要求检查落实情况，突出相应审计内容的侧重点。 审计方法包括：对安全运行维护等记录的抽样检查、系统检查、现场观察、访问、凭证检查等。 可以采用人工和技术手段两种方式进行。 安全审计工作步骤 制定计划阶段。在针对特定目的、启动某特定审计工作之前，应首先制订具体的安全审计计划，确定本次审计工作的范围、审计重点、时间安排、审计人员及配合人员安排、采用的技术手段、主要风险及规避方案等等。 准备阶段 细化审计内容。如：审计的系统范围，检查的重点项，各个系统中增删改等重点操作的指令、关键词等等； 编写《安全审计检查表》（参见附件一，各部门可自行修订）等工作底稿。检查表应包含安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人