中国联通互联网新业务信息安全评估管理办法--发布版
互联网新技术新业务安全系统评估规章制度
2.1.3
信息安全风险security risk
互联网技术、业务、应用被利用导致安全事件的发生及其对经济正常运行、社会稳定、国家安全造成的影响
2.2缩略语
图1业务安全风险评估模型
评估人员使用业务安全风险评估模型时。可以根据被评估业务的具体情况,识别业务对应于每个评估模块是否存在相应的信息安全风险。此外,还应视具体情况,识别业务是否存在特殊的信息安全风险 评估人员也可以根据业务安全风险评估模型,设计不同业务类型(业务分类参考《电信业务分类目录》)的风险评价指标体系,对业务安全风险进行量化处理。
安全评估报告应当包括以下组成部分:
a)业务基本情况,包括业务名称、业务功能、技术实现方式、(潜在)用户规模及市场发展情况等:
b)安全评估情况,包括评估工作情况概述、评估人员组成、评估实施流程、评估结果(包括业务安全风险评估结果和企业安全保障能力评估结果)以及整改落实情况:
c)配套安全管理措施。包括我司配套的日常管理措施、应急管理措施、对同类业务的监管建议等;
业务安企风险评估是评估互联网技术、业务、应用(以下简称“业务”)的功能、属性、特点、技术实现方式、市场发展情况、(潜在)用户规模等关键要素对安全管理工作的威胁和挑战.分析、识别信息安全风险。
我司安全保障能力评估是评估企业信息安全管理措施和技术保障手段能否将信息安全风险控制在可接受围,从安全管理机构、安全管理制度、技术保障手段建设情况等多个方面,评估我司的信息安全保障工作水平。
互联网新技术新业务安全评估制度文本
1 围2
2术语、定义和缩略语2
最新互联网新业务安全评估办法
第二十五条【社会监督】 任何组织或者个人发现电信业务经营者有违反本办法的行为的,有权向电信管理机构举报。电信管理机构应当及时处理并对举报人的相关信息予以保密。
第十六条【应急保障】 电信业务经营者开展互联网新业务的,应当按照电信管理机构的要求,建立互联网新业务重大网络信息安全事件应急处置机制,制定网络信息安全应急预案并定期组织演练。
第十七条【内部制度】 电信业务经营者开展互联网新业务的,应当建立并实施企业内部互联网新业务安全评估管理制度和保障制度。
第十八条【员工培训】 电信业务经营者开展互联网新业务的,应当对有关工作人员开展互联网新业务安全评估相关政策、法规、标准、技能的培训和考核。
第二十一条【约谈改正】 电信业务经营者有下列情形之一的,电信管理机构可以约谈其主要负责人:
(一)未按照本办法的规定及时开展互联网新业务安全评估的;
(二)未按照本办法的规定向电信管理机构告知评估情况,情节严重的;
(三)企业内部安全评估管理制度和保障制度不健全或者未实施,情节严重的;
(四)违反国家有关规定,电信管理机构认为可能影响网络信息安全的其他情形。
第十九条【监督检查】 电信管理机构应当对电信业务经营者建立互联网新业务安全评估管理制度、开展安全评估、防范网络信息安全风险等情况实施监督检查。
电信管理机构实施监督检查,可以要求电信业务经营者提供相关资料,对其相关工作人员进行询问,进入其经营场所检查、调查、取证。电信业务经营者应当予以配合、协助。
第二十条【监测】 电信管理机构应当组织对互联网新业务进行监测。在监测中发现互联网新业务存在重大网络信息安全风险的,应当要求电信业务经营者限期改正。电信业务经营者应当进行改正。
中国联通业务信息安全评估基本规范V
QB/CU中国联通公司企业标准QB/CU A32-073(2015)中国联通业务信息安全评估基本规范The General Specification for Service System’s Risk Assessment OnInformation Security of Chinaunicom(V1.0)2015-03-30发布2015-03-30实施目次前言.................................................................................................................................................. I V1 范围 (1)2 规范性引用文件 (1)3 安全评估框架 (3)3.1 概述 (3)3.2 安全评估框架 (3)3.3 安全评估框架简介 (3)3.3.1 设备安全 (3)3.3.2 平台及软件安全 (4)3.3.3 业务流程安全 (4)3.3.3.1 计费安全 (4)3.3.3.2接口安全 (4)3.3.3.3 用户信息安全 (4)3.3.3.4 业务逻辑安全 (4)3.3.3.5 传播安全 (5)3.3.5 安全管控 (5)3.3.5.1 系统安全 (5)3.3.5.2 人员安全 (6)3.3.5.3 第三方管理安全 (6)3.4 应用指导原则 (6)4 安全评估实施要点和要求 (6)4.1 设备安全 (6)4.2 平台及软件安全 (28)4.3 业务流程安全 (33)4.3.1 计费安全 (33)4.3.2 接口安全 (35)4.3.3 用户信息安全 (36)4.3.4 业务逻辑安全 (41)4.3.5 传播安全 (45)4.4.1 引入机制 (49)4.4.2 提供流程 (50)4.4.3 发布机制 (51)4.4.4 操作记录 (53)4.5 安全管控 (54)4.5.1 系统安全 (54)4.5.2 人员安全 (56)4.5.3 第三方安全管理 (58)前言为了加强中国联通业务信息安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务信息安全整体水平,降低业务安全风险,特制定本信息安全评估规范。
新服务新功能安全评估
新服务、新功能安全评估
1、新功能上线或用户规模扩增需提交安全评估报告
按照规定,在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;
2、用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告;
3、重点评估用户实名、操作日志留存等8项内容
提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估八方面内容;
这包括,用户真实身份核验以及注册信息留存措施;对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据
支持和协助的工作机制的情况等;
4、在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患;
5、本制度自公布日期起生效;
瑞莱泰天津生物医药科技有限公司。
工信部征意《互联网新业务安全评估管理办法》
络 安 全 防 护 、 网 络 信 息 安 全 、 健 全 管 理 制 度 等 ’ 面 ( 第 儿 条 )。 评 估 的 方 式 町 以足 电信 业 务 经 箭 者自
■
,c 卫叮 以 委 托 々 、 【 l , 机构评 估 ( 第t ・
要 求 信 、 l 经 营 者 限驯 改 或 者 重新 评 估 ,
评 估材 料 ( f Ⅱ条 ) 。
到 三 年 的 , 纳 入 络 与 信 息 安 命 [ j 常监督 管理 , 町 以不 l } f } 拨 照 办法 进 行 f j : 联 新 业 务 安全 评 估 。 《 办法 t 征 求 意 见稿 )》 共 十 一 条 , 一 曼 规 定丁 卜I ~容 : t‘ )f J l j 确 了遁 用 范 。 《 办 法 》 适 刷 r我
任 何 费 川 ,不 得妨 碍 止 常 的经 营 或 背服 务 活 动 L 第- I ’ 三条 )。
( )促 进 创 新 发 展 。 《 办法》 u 月确鼓 励
、 务经 营 者 进 l
行 且 联 技 术 业 务 创 新 , 提 , f ‘ 垃联 行 业 芨 腱 水 C 第 八 条 )。 考 虑 到 儿 联 领 域 创 新 非 常 活 跃 , 为J , 便利 企业 创 新 刨 业 ,《 办法 》
往3 0口内 提 交
( )充 海 J 监 督 捡 制 瞍 。 《 办 法 》 婴 求 电 信管 理 机 构 对 电 信 业 务 苻 哲 的 安 全 评 情 况 实 施 监 督 检 , 埘 瓦 联 网 新 业 务
进 行监 洲 , 及 时发 现 重 大 网络 信 官 、 安 伞 险 ( 第 十J L 条、 第 二十 条 ) 。 对 于未按 照规定 及时开展 野 联 新 业 务 安 全 仙 等 情 形 , 可 以约
中国联通CP SP合作管理办法
中国联通CP/SP合作管理办法目录第一章概述 (2)第二章增值产品 (2)一、按产品成熟度划分 (3)二、按产品覆盖范围划分 (3)三、按产品平台划分 (3)第三章商务合作模式 (3)一、内容提供类 (4)二、服务提供类 (4)第四章计费结算模式 (5)一、计费模式 (5)二、结算支出比例 (6)三、结算规则 (6)第五章准入机制 (7)一、基本准入条件 (7)二、准入策略 (8)三、优选机制 (8)第六章考核退出机制 (9)一、考核机制 (9)二、业务转让 (9)三、退出原则 (10)第七章违约处理 (10)一、违约定义 (10)二、业务屏蔽机制 (10)三、违约处理机制 (11)第八章信用评价管理 (13)一、信用积分及信用等级设置 (13)二、信用等级评定及应用 (13)第九章客户服务管理 (13)第十章营销管理 (14)一、总体原则 (14)二、宣传要素 (14)第十一章创新业务管理机制 (14)一、创新业务定义 (15)二、创新业务合作管理 (15)第一章概述为加强中国联通增值产品的合作管理,规范经营行为、提高合作效率、优化配置合作资源、确保业务和服务质量,促进增值产品市场健康持续发展,特制定本办法。
本办法根据有关国家电信业务、信息服务及信息安全等相关法律法规、行业政策及中国联通相关管理规定制定。
是中国联通与合作伙伴进行合作的指导性文件。
本办法明确了全网及本地增值产品的合作管理政策,包括商务合作模式、计费结算模式、准入机制、考核退出机制、违约处理、信用评价管理、客户服务管理、营销管理、创新业务合作管理以及两级管理等。
本办法确定的合作方式是中国联通增值产品的主要合作方式。
包括中国联通与内容提供商(CP)、服务提供商(SP)的合作模式。
中国联通增值产品的合作管理分两级。
全网合作管理由总部产品创新部及其指导设立的专业运营公司负责,本地合作管理由省级分公司视具体情况设立的相应机构负责。
本办法适用于全网和本地合作管理。
《中国联通服务管理规范(正文)》
中国联通服务管理规范1.0(征求意见稿)2009年2月中国联通客户服务部目录第一章总则 (33)1 概述 (33)2 品牌服务标识 (33)第二章营业厅 (44)1 管理架构及工作要求 (44)2 服务规范 (66)3 服务运营规范 (77)4 3G品牌店 (1212)第三章客服中心 (1212)1 管理架构及工作职责 (1313)2 业务规范.................... 错误!未定义书签。
错误!未定义书签。
3 运营规范.................... 错误!未定义书签。
错误!未定义书签。
4 系统支撑.................... 错误!未定义书签。
错误!未定义书签。
第四章客户俱乐部............................ 错误!未定义书签。
错误!未定义书签。
1 管理架构与工作职责.......... 错误!未定义书签。
错误!未定义书签。
2 业务规范.................... 错误!未定义书签。
错误!未定义书签。
3 会员卡的管理................ 错误!未定义书签。
错误!未定义书签。
4 运营规范.................... 错误!未定义书签。
错误!未定义书签。
第五章客户经理.............................. 错误!未定义书签。
错误!未定义书签。
1 管理架构和工作职责.......... 错误!未定义书签。
错误!未定义书签。
2 VI及行为规范 ............... 错误!未定义书签。
错误!未定义书签。
3 管理规范.................... 错误!未定义书签。
错误!未定义书签。
第六章电子渠道.............................. 错误!未定义书签。
错误!未定义书签。
1 管理架构及工作职责.......... 错误!未定义书签。
错误!未定义书签。
中国联通入网信息安全保障责任书-附件:信息安全责任承诺书(20091130修订版)
中国联通入网信息安全保障责任书-附件:信息安全责任承诺书(20091130修订版)我单位接入中国联合网络通信有限公司(以下简称“中国联通”)的移动通信网、中国联通互联网或相关业务平台(包括但不限于短消息网关、彩信网关、WAP网关、JAVA下载服务器、IVR平台等),为确保向客户提供健康的信息服务,我单位向中国联通郑重承诺如下:一、遵守国家有关法律、行政法规和管理规章,严格执行信息安全管理规定。
二、不得利用中国联通移动通信网、互联网或相关业务平台从事危害国家安全、泄露国家机密等违法犯罪活动;不得利用中国联通移动通信网、互联网或相关业务平台制作、查阅、复制和传播违反宪法和法律、妨碍社会治安、破坏国家统一、破坏民族团结、色情、暴力等的信息,不得利用中国联通移动通信网、互联网或相关业务平台发布任何含有下列内容之一的信息:1、反对宪法所确定的基本原则的;2、危害国家安全,泄露国家机密,颠覆国家政权,破坏国家统一的;3、损害国家荣誉和利益的;4、煽动民族仇恨、民族歧视,破坏民族团结的;5、破坏国家宗教政策,宣扬邪教和封建迷信的;6、散布谣言,扰乱社会秩序,破坏社会稳定的;7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;8、侮辱或者诽谤他人,侵害他人合法权益的;9、含有法律、行政法规禁止的其他内容的。
三、我单位保证所提供的信息遵守国家有关知识产权的法律、政策规定。
四、我单位在联网测试、试运行期间以及业务正式开通后,保证所提供业务内容的安全性与稳定性,不对中国联通移动通信网、中国联通互联网或相关业务平台造成危害。
五、我单位承诺在合作业务推广过程中遵守中国联通相关管理规定:1、确保本单位业务推广渠道中无任何涉黄等违法及低俗信息内容。
2、禁止利用广告联盟等第三方进行合作业务推广。
3、禁止利用中国联通以外的其他WAP网站推广或引导用户订购WAP合作业务。
六、我单位保证建立有效的信息安全管理制度和技术保障措施,并接受相关业务主管部门的管理、监督和检查。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国联通互联网新业务信息安全评估管理办法
(二级制度)
第一章总则
第一条为了保障互联网业务的安全运营,规范公司互联网新业务信息安全评估工作,推动安全评估规范化、流程化,依据《互联网信息服务管理办法》、工业和信息化部《互联网新业务安全评估管理办法(征求意见稿)》、《互联网新技术新业务信息安全评估指南》(YD/T 3169-2016)等文件制定本办法。
第二条中国联通各单位开展互联网新业务信息安全评估工作,适用本办法。
第三条本办法所称互联网新业务,是指各单位通过互联网新开展的电信业务,也包括工业和信息化部、省通信管理局要求开展信息安全评估的电信业务。
本办法所称信息安全评估是指运用科学的方法和手段,系统地识别和分析新业务可能引发的信息安全风险,评估相应的安全保障措施是否能够将风险控制在可接受水平的过程。
以下简称评估。
第四条评估工作遵循“谁主管谁评估、谁运营谁评估”、
“逢新必评”和“及时、真实、有效”的原则。
第五条各单位要将互联网新业务评估工作纳入新业务上线的审批流程,确保互联网新业务上线前完成评估。
第六条评估分初评和复审两个阶段进行,初评由业务主管或运营单位(以下统称“业务单位”)组织,复审由信息安全部门组织。
第二章组织体系
第七条集团信息安全部门为全国互联网新业务评估工作归口管理部门,负责对评估工作实施指导、监督和管理。
具体职责包括:
(一)负责指导、协调全国开展评估工作,并对外接口电信管理部门;
(二)制定管理办法和评估流程,组织总部业务部门、子公司和省级分公司部署落实工业和信息化部的评估要求;
(三)对全国评估工作进行监督检查;
(四)组织建立总部第三方评估机构资格目录;
(五)指导和组织评估人员培训;
(六)建立完善总部评估专家库和总部评估复审小组;
(七)组织对总部业务部门、子公司互联网新业务初评工作的复审。
第八条省级分公司信息安全部门为本省互联网新业务评估工作归口管理部门,负责对本省评估工作实施指导、监督和管理。
具体职责包括:
(一)对外接口集团公司和省通信管理局,指导和组织协调本省各单位开展评估工作;
(二)依据本办法,组织完善本省评估管理体系,制定评估管理办法、评估流程等管理制度;
(三)组织本省各单位部署落实集团公司和省通信管理局的评估要求;
(四)对本省各单位的评估工作进行监督检查;
(五)组织建立本省第三方评估机构资格目录;
(六)组织本省评估人员培训;
(七)负责本省评估专家队伍建设;
(八)组织对本省各业务单位互联网新业务初评工作的复审。
第九条各业务单位为互联网新业务初评工作负责单位。
具体职责包括:
(一)按照工业和信息化部最新发布的互联网新业务评估
指南和公司信息安全部门发布的评估要求,负责组织开展互联网新业务初评工作,并向同级信息安全部门提交复审申请。
(二)对评估发现的问题,负责完成整改。
(三)对已评估上线运营的互联网新业务,负责至少六个月组织一次自查。
第三章评估启动条件
第十条有下列情形之一的,应当对所开展的业务启动并完成评估,形成评估报告:
(一)拟将互联网新业务(含试点、合作推广)面向社会公众上线的。
(二)已上线互联网新业务在基础资源配置、技术实现方式、业务功能或用户规模等方面发生较大变化的;
其中,基础资源配置发生较大变化是指IP地址、域名等网络资源的分配方式发生较大变化;技术实现方式发生较大变化是指采用新技术,或技术升级改造,或网络拓扑结构发生较大变化,或网络设备升级改造等情况;业务功能发生较大变化是指导致业务(含应用)的信息传播渠道、传播能力发生较大变化;用户规模发生较大变化包括用户数量发生较大变化,或接入网站的
数量发生较大变化。
(三)工业和信息化部、省通信管理局等电信管理部门指定业务要求进行评估的。
收到通知后,各单位要及时启动并按照电信管理部门要求完成评估。
第四章评估实施
第十一条总部、子公司负责全网互联网新业务的评估,省级分公司负责本省互联网新业务和在本省落地的全网互联网新业务的评估。
在本省落地的全网互联网新业务是指在本省有平台系统、或业务使用规则发生改变、或业务功能发生改变的全网互联网新业务。
第十二条评估结论分为两类:可运营和存在较大风险需整改重评。
第十三条业务单位的初评,可以采取内部评估的方式,也可以委托第三方评估机构实施评估。
为保证第三方机构评估质量,总部和子公司应从总部第三方评估机构资质目录中选择,省级分公司应从本省第三方评估机
构资质目录中选择。
第十四条符合本办法第十条中任意一项条件的,要按照规定及时启动并完成评估。
第十五条总部业务部门和子公司的初评结果为可运营的,形成初评报告,并及时向总部复审小组提交复审申请,同时提交申请材料,包括评估报告、业务基本情况和配套安全管理措施等。
初评结果为存在较大风险需整改重评的,业务单位应组织整改,并于整改完成后再次进行初评。
第十六条省级分公司业务单位的初评结果为可运营的,形成初评报告,并及时向本省信息安全部门提交复审申请,同时提交申请材料,包括评估报告、业务基本情况和配套安全管理措施等。
初评结果为存在较大风险需整改重评的,业务单位应组织整改,并于整改完成后再次进行初评。
第十七条各业务单位的初评委托工业和信息化部各级互联网新业务评估机构完成且评估结果为可运营的,可不进行复审。
集团信息安全部门负责统一发布工业和信息化部部属互联网新业务评估机构名单。
第十八条复审部门收到业务单位的复审申请后,应及时启动复审工作,原则上应于15个工作日内组织完成复审,复审完
成后将复审结果及时通知业务单位。
第十九条复审结果为可运营的,方可上线。
复审结果为存在较大风险需整改重评的,业务单位必须组织整改,整改完成后再次提交复审申请。
第二十条互联网新业务上线运营不超过三年的,业务单位应至少每六个月对其开展的互联网新业务是否存在第十条第二款规定的情形进行自查,保留自查记录;发现存在第十条第二款规定情形的,应当按照要求及时启动并完成评估。
第二十一条已上线运营的互联网新业务,评估结果(含初评结果和复审结果)为存在较大风险需整改重评的,要立即组织整改,整改期间要采取暂停发展新用户,限制功能升级等安全保障措施,直至信息安全隐患消除。
第二十二条互联网新业务上线运营达到三年及以上的,纳入存量业务日常监督管理,可以不再按照本办法第十条第二款规定进行评估。
第二十三条评估过程中,各单位应建立评估档案,并妥善保存备查。
第五章监督检查
第二十四条各级信息安全部门依据职责负责对同级各业务单位和下属单位开展互联网新业务评估、落实相关管理要求等情况进行日常监督和定期检查。
第二十五条互联网新业务未评估或评估不通过即上线运营的,或已上线运营互联网新业务存在较大风险不整改的,总部业务部门和不参加工业和信息化部网络与信息安全考核的子公司在年度绩效考核成绩中进行扣减,每发生一起扣0.1分;省级分公司和参加工业和信息化部网络与信息安全考核的子公司在年度网络与信息安全考核成绩中进行扣减,扣分标准按照工业和信息化部当年考核要求执行。
第二十六条发生第二十五条违规情况,并由此引发安全事件或监管部门认定存在严重信息安全隐患被通报的,要按照总部、子公司和省级分公司绩效考核办法规定,参照发生信息安全事故情况扣分,同时,还应按照《中国联通网络与信息安全管理办法》相关规定追究有关部门和人员的责任。
第六章保障机制
第二十七条各单位业务审批部门对互联网新业务上线审批要建立一票否决机制,评估不合格(含未评估或评估不通过)
不能上线运营。
第二十八条各单位要定期开展互联网新业务评估工作自查,及时发现问题,并督促整改。
第二十九条各级信息安全部门应建立互联网新业务信息安全评估台账,收集分析评估案例,建立动态评估数据库,为有效推动评估工作提供数据支撑和案例支撑。
第三十条各单位应建立评估队伍定期培训机制,开展互联网新业务评估相关政策、法规、标准、技能的培训和考核,切实提高评估队伍的政策水平和评估技能。
第三十一条各单位要加大对互联网新业务评估工作的资金支持和人员保障,确保评估工作的开展和落实。
第三十二条总部业务部门、子公司、省级分公司应根据评估工作需要设置评估专岗。
第三十三条为保持信息畅通,各级信息安全部门要建立本单位联系人制度,总部各业务部门、子公司和各省级分公司要指定本单位评估负责人和联系人,并分别向总部信息安全部门和省级分公司信息安全部门报备,联系人变更后要及时更新。
第七章附则
第三十四条组织和参与互联网新业务评估的相关单位和人员应当对在履行职责中知悉的国家秘密、商业秘密和个人信息严格保密,不得泄露、出售或者非法向他人提供。
第三十五条各单位要结合实际情况和本办法规定制定本单位互联网新业务信息安全评估实施细则。
第三十六条本办法由集团信息安全部门负责解释。
第三十七条本办法自2018年1月1日起执行。
第三十八条。