中国移动山西公司网络与信息安全检查实施细则.doc

中国移动山西公司网络与信息安全检查实施细则 V1.0中国移动通信集团山西有限公司2012 年 1 月修订历史 (REVISION HISTORY)版本号 日 期 作 者 审阅人 摘 要1.0 2012-1-6 江涛 成贵平 依据《中国移动山西公司信息安全责任管理办法 v1.1》第四十一条制定本细则第一章 总则第一条 为督促落实各项网络与信息安全管理办法、技术规范，规范各项网络与信息安全工作，特制定本实施细则第二条 安全检查内容可分为管理和技术两个方面，管理方面的检查侧重检查安全流程、管理要求的执行情况；技术方面的检查侧重检查通信网、业务网和各支撑系统符合设备安全技术要求、安全配置要求以及其它技术规范的情况第三条 安全检查采取各单位自查、各单位交叉检查、上级单位检查等方式开展第四条 本实施细则依据《中国移动山西公司信息安全责任管理办法v.1.1》第四十六条制定，如《中国移动山西公司信息安全责任管理办法 v.1.1》有更改，本实施细则亦做相应更改第五条 本实施细则由中国移动通信集团山西有限公司网络部制定、解释和修改第二章 适用范围第六条 本实施细则适用于中国移动山西公司各网络维护部门，包括：网络运维管理中心、业务支撑系统部、管理信息系统部和各市分公司。

第七条 可依据本实施细则开展通信网、业务网和各支撑系统的网络与信息安全检查第八条 用于指导开展定期和不定期，全面和针对特定目的的安全检查第三章 组织与职责第九条 发起网络与信息安全检查工作的主体包括：省公司网络部、网络运维管理中心、业务支撑系统部、管理信息系统部、各市分公司等第十条 省公司网络部主要职责：(一) 牵头落实上级主管单位（集团公司、工业与信息化部、省通信管理局等）安排的各项网络与信息安全检查工作；(二) 组织制定省内网络与信息安全检查实施细则；(三) 作为公司范围网络与信息安全检查工作的责任主体，组织制定并实施公司级的网络与信息安全检查计划每年 1 月底前完成当年网络与信息安全检查计划的制定工作；(四) 牵头组织开展对全省各维护单位（各市分公司、网络运维管理中心、业务支撑系统部、管理信息系统部）的网络与信息安全检查；(五) 汇总、审阅各维护单位（各市分公司、网络运维管理中心、业务支撑系统部、管理信息系统部）的网络与信息安全自查计划和自查报告，审核网络与信息安全隐患整改方案，督促解决检查中发现的突出问题出现涉及公司层面的重大问题或者需要对技术或者管理流程做出重大调整时，应向公司主管领导汇报。

第十一条 各维护单位（各市分公司、网络运维管理中心、业务支撑系统部、管理信息系统部）的主要职责：(一) 配合完成省公司网络部或者其它上级主管部门安排的网络与信息检查任务；(二) 组织制定部门内部网络与信息安全检查实施细则；(三) 在本部门职责范围内，制定网络与信息安全自查与评估工作年度计划、明确网络与信息安全自查与评估的要点及实施方案，并报上级部门批准每年 1 月底前完成当年的网络与信息安全自查计划的制定工作，内容应满足本部门或上级部门各类网络与信息安全检查需求；(四) 按照网络与信息安全自查与评估计划，实施项目；(五) 提交自查报告；(六) 及时上报自查中发现的重大问题；(七) 针对自查发现的问题，形成改进方案并启动改进工作第十二条 各维护单位（各市分公司、网络运维管理中心、业务支撑系统部、管理信息系统部）应积极配合上级部门开展网络与信息安全检查工作第十三条 在网络与信息安全检查过程中，评估人员应按照公司信息保密规定对接触到的敏感信息进行严格保密，尤其在安全漏洞修补之前，严禁泄露给第三方第四章 检查频次与工作重点第十四条 总体原则(一) 在确定检查频次、重点时，应坚持“对重要系统、重要设备、重要信息、重要规章制度和技术要求，进行重点检查”的原则，综合考虑检查的对象的主要安全需求、人力资源、技术手段等因素，发挥检查工作的最大效益；(二) 应与国家政府部门确定的安全审计原则、频次要求相一致；第十五条 检查频次要求(一) 省公司网络部每季度将抽取两到三个地市开展网络与信息安全检查，每年对网络运维管理中心、业务支撑系统部、管理信息系统部开展一次网络与信息安全检查；(二) 省公司网络部每年将按需不定期对各维护单位进行网络与信息安全专项检查；(三) 在能够真实反映整体安全工作水平的前提下，采用抽查方式，提高工作效率；(四) 检查结束后，应编制并上报书面检查报告和改进报告。

公司层面的检查报告应上报公司信息安全管理委员会部门组织进行的审计，应将报告上报给省公司网络部，如发现重大问题，应通过省公司网络部上报信息安全管理委员会第十六条 检查重点应包括重点要求、重点规范、重要系统中的重要设备，以及用户的操作行为等第五章 检查内容、检查方法与评分方法第十七条 检查主要依据公司已发布的各项安全管理规定和技术要求，检查具体要求的落实情况第十八条 根据检查目的、关注点不同，如在某个时间段、针对某些管理规定、技术规范要求检查落实情况，突出相应金叉内容的侧重点第十九条 检查方法包括：对系统进行基线检查、漏洞扫描、渗透测试、日志审查、人员访谈等第二十条 可以采用人工、技术手段两种方式进行第二十一条 安全风险分类：安全风险可按风险大小分为高、中、低三类；如果能比较直接利用该问题获取经济利益、滥发信息、造成系统宕机、容易入侵系统、容易获取客户资料等方面的问题定义为高风险问题，可能导致利用该问题获取经济利益、滥发信息、入侵系统、获取客户信息等方面的问题定义为中风险问题，其他定义为低风险问题第二十二条 根据问题导致的后果，符合以下其中之一的问题定义为高风险：1、可被利用获取经济利益，比如修改账户余额、订购业务花费、充值卡。

2、滥发信息，比如滥发短信、彩信、Wap push 消息3、重要信息泄露或被修改，比如帐号口令列表，网络拓扑，工程建设资料4、客户资料泄露或被修改，比如客户位置信息、业务订购信息、通信内容5、系统宕机或服务中断6、可获取系统最高管理权限第二十三条 根据问题导致的后果，符合以下其中之一的问题定义为中风险：1、可被利用获取少量经济利益，比如修改本人或某账户余额、订购业务花费、充值卡2、较重要信息泄露或被修改3、少量客户资料泄露或被修改，比如本人或某客户位置信息、业务订购信息、通信内容4、系统服务质量下降5、可获取系统普通管理权限第二十四条 按照被检查出的高、中、低风险，对本次安全检查进行评分，满分 100 分，每发现一个高风险漏洞扣 1 分，中风险漏洞扣 0.5分，低风险漏洞扣 0.1 分该评分列为对被检查单位的通报指标，基本目标为 90 分，挑战目标为 100 分第六章 安全检查工作步骤第二十五条 制定计划阶段在针对特定目的、启动某特定检查工作之前，应首先制订具体的安全检查计划，确定本次检查工作的范围、检查重点、时间安排、检查人员及配合人员安排、采用的技术手段、主要风险及规避方案等等第二十六条 准备阶段(一) 细化检查内容。

如：检查的系统范围，检查的重点项，各个系统中增删改等重点操作的指令、关键词等等；(二) 编写《安全检查表》（参见附件一，各部门可自行修订）等工作底稿检查表应包含安全检查内容、检查方式、依据标准、检查方法、检查结果、问题描述、检查人员和被检查人员签字栏等；(三) 进行网络与信息安全培训重点培训检查人员，说明检查内容、检查方法、注意事项、表格填写要求、问题处理方法等等；(四) 配置必要的技术手段如基线工具、漏洞扫描工具、WEB 扫描工具等等第二十七条 实施阶段一) 按照《安全检查表》，采用人工和技术手段相结合的方式，进行记录抽样检查、系统检查、现场观察、访问、凭证检查等，并逐一记录结果；(二) 在检查过程中，如果发现不符合项，经确认无误后，被检查单位负责人在报告书中签字认可；(三) 检查人员与配合检查人员签字确认第二十八条 总结和改进阶段(一) 被检查单位参照附件格式要求编写《安全检查报告》（参见附件二，各部门可自行修订），总结检查情况，分析主要问题，提出改进意见及下次审计重点等建议；(二) 《安全检查报告》应在实施阶段完成后 3 日之内完成，并提交网络与信息安全工作办公室审核、批准；(三) 对于检查过程中发现的不符合项，被检查单位形成书面改进意见后，要求系统维护等责任部门和人员整改；(四) 被检查单位在一周之内形成《安全检查问题整改计划及实施方案》，整改完成后，向省公司网络部提交《安全检查改进情况报告》，并提请检查人员复核，由后者在《安全检查改进情况报告》（参见附件三，，各部门可自行修订）中出具复核意见；(五) 各方签字的《安全检查报告》、《安全检查问题整改计划及实施方案》、《安全检查改进情况报告》等相关文档，经过审批后提交到网络部并由规定的保管责任人存档。

第七章 监督执行第二十九条 省公司网络部对本实施细则执行情况进行有效监督和管理，对违反本实施细则的问题要及时予以更正，问题严重者应立即上报信息安全管理委员会附件一、安全检查表序号 检查类别编号 检查要点检查依据检查方式结果记录存在问题描述检查人员签字配合人员签字记录人 确认人附件二、安全检查报告xx 公司**安全检查报告一、 本次检查概述(一) 目的(二) 时间(三) 范围(四) 依据(五) 内容(六) 方法(七) 检查人员及配合人员二、 检查对象情况概述（1） 系统服务情况（2） 组网情况（3） 维护部门（4） 安全防护现状等等三、 结果分析（1） 列举所有安全问题和安全隐患，并按照严重程度进行划分（2） 说明安全问题和安全隐患的责任人员或责任部门四、 改进意见五、 检查结论六、 本检查报告分发范围检查项目负责人签名：附件（1） 安全检查记录表（2） 其它辅助材料，如被检查人员提交的相关文件、数据，系统扫描结果等等附件三、安全检查改进情况报告XX 系统安全检查改进情况报告一、**检查发现的主要问题二、改进措施要点三、改进措施实施情况四、遗留的问题及改进计划五、总结检查人员 签名：附件：《安全检查问题整改计划及实施方案》。