国移动网络与信息安全风险评估管理办法.pdfVIP

WOR

【最新资料，文档，可编辑修改】

第一章总则为在确保中国移动通信有限公司（以下简

称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络安全前提下，高

效、可控地推动网络与信息系统风险评估工作，依据《电信网和互联网安全防护管理指南》

（YD/T1728-2008）、《电信网和互联网安全风险评估实施指南》（YD/T1730-2008）等国家

政策、行业标准和有限公司相关规定，制定本办法。

本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统

等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响

等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

本办法自发布之日起实施，各省公司应制定具体实施细则。

第二章适用范围本办法适用于有限公司、各省公司根据

行业监管要求或者自身安全要求，针对中国移动通信网、业务网、各支撑系统以及其它服务类信

息系统，如电梯控制系统、门禁系统等发起的各类风险评估。

涉及的部门包括：总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部

门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、

管理信息系统部门、办公设施管理部门等等。

第三章评估工作宏观要求

风险评估内容及组织方式

（一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、管理等方面存

在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时

有针对性的提出改进措施、技术方案和管理要求。

（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求

的安全领域，如电信业务流程层面，进行风险评估；

（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或

者时间紧迫、意义重大，可在上报有限公司审批、加强管理的前提下引入第三方评估，并

应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流

程和通信协议中存在的漏洞等等。

评估频次

（一）按照监管部门、总部和各省公司管理层要求，安排评估任务；

（二）对于从未实施安全技术防护或者进行安全加固的系统，原则上不能进行风险评估，

应以落实有限公司制定下发的技术规范、管理要求为主，如《防火墙部署技术要

求》、《客户信息保密管理规定》、《中国移动支撑系统安全域划分技术要求》等等，

首先进行安全防护和加固；

（三）在重大活动或敏感时期，应根据需要对特定网络及信息系统启动专项评估；

（四）在重要系统入网、现网进行大规模调整时，应根据实际情况启动专项评估工作。

第四章组织与职责

总体原则

（一）在“谁主管、谁负责”总体原则指导下，按照统一管理、分级负责原则，有限公司及各

省公司分别负责所辖网络和系统的安全风险评估工作。

（二）“自评估为主、第三方评估为辅”原则。有限公司及各省公司应着力推动中国移动自有

评估队伍的建设，逐步实现自主评估。第三方评估应侧重弥补中国移动尤其是在

队伍建设初期，由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水

平不高等方面的不足。

（三）原则上，安全评估服务与系统建设不能采用同一厂家。发起风险评估的责任主体包括总

部及各省公司网络与信息安全工作办公室或者其它网络安全工作管理职能部门、各级通信网、业

务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门等等。

各级网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下，组织

开展公司层面安全评估工作：

（一）落实上级安全风险评估工作总体安排配合上级组