业务信息安全评估标准.docx
- 文档编号:8805324
- 上传时间:2023-05-15
- 格式:DOCX
- 页数:5
- 大小:16.03KB
业务信息安全评估标准.docx
《业务信息安全评估标准.docx》由会员分享,可在线阅读,更多相关《业务信息安全评估标准.docx(5页珍藏版)》请在冰点文库上搜索。
业务信息安全评估标准
·第一部分总则
一、编制目的
为了加强业务信息安全管理,保证业务发展过程中信息安全要求同步规划、同步建设、同步运行,提升业务信息安全整体水平,降低业务信息安全风险,特制定本标准。
通过业务信息安全评估对各业务信息安全水平进行客观、综合评价,促进各单位有针对性地做好业务信息安全管理工作,为业务发展提供良好支撑。
二、适用范围
本标准适用于各全网业务运营单位,包括业务基地、全网业务运营省等;适用于各类全网数据及信息业务。
本标准解释权归总部信息安全管理部,自印发之日起实施。
三、实施要求
1、全网业务信息安全评估由总部信息安全管理部牵头组织,成立评估工作组从第三方角度对各业务信息安全工作的开展效果进行评估、对存在的风险状况进行评价。
2、总部信息安全管理部每年根据工作重点制定业务信息安全评估计划。
评估前以公文形式通知被评估业务基地或业务运营省公司,被评估单位应积极配合评估工作的开展。
3、评估执行时,评估工作组依据本标准对业务进行实地评估,在评估业务自身信息安全风险等级的基础上,重点对控制措施的部署及效果进行检查,对于没有采取有效控制措施的项判定为不符合项。
4、评估工作完成后应出具业务信息安全评估报告,提出该业务当前信息安全的现状与不足,明确整改要求。
被评估业务基地或业务运营省公司应根据评估报告对不符合项进行整改完善,并将整改结果提交总部信息安全管理部。
第二部分评估标准本标准涵盖业务的内容安全、计费安全、营销安全、用户信息安全、系统安全、人员安全、传播安全等七个方面,主要内容包括评估标准、控制措施、管理制度等。
其中评估标准部分提出了业务自身信息安全风险等级的评估依据;控制措施部分提出了具体的信息安全控制要求;管理制度部分提出了业务所需建立的信息安全相关管理制度。
业务管理过程中应落实本标准相关要求以控制业务的信息安全风险。
一、内容安全
子类别
评估点
评估标准
控制措施
管理制度
内容来源
业务类型
业务类型为功能型时,信息安全风险为低;
业务类型为内容型时,信息安全风险为高;
·对于内容型业务,制定严格的内容源引入流程和机制,对内容提供方进行严格挑选,合作前进行背景调查。
内容安全管理制度
业务内容提供流程
业务类型为合作业务,内容由合作方提供时,信息安全风险为高;
业务类型为自有业务,内容由运营支撑单位提供时,信息安全风险为中;
业务类型为自有业务,内容由移动公司提供,信息安全风险为低;
业务内容由用户原创时,信息安全风险为高。
·由SP、CP提供内容的,应与其签订信息安全承诺保证书,明确其信息安全责任;
·由运营支撑单位提供内容的,应与其签订信息安全承诺保证书,明确其信息安全责任;
·由用户原创提供内容的,应在用户注册时明确对其发布内容的要求及相应的信息安全责任,相应内容进行审核后才能使用。
内容安全管理制度
子类别
评估点
评估标准
控制措施
管理制度
内容操作
内容发布流程
业务内容未经审核就发布,信息安全风险为高;
业务平台直接开放接口由合作方发布时,信息安全风险为高;
业务内容由合作方编辑,审核发布由运营支撑单位进行时,信息安全风险为中;
业务内容由合作方编辑,审核发布由移动公司进行时,信息安全风险为低;
业务内容由用户原创且未经审核,信息安全风险为高。
对于自有业务:
·建立相关的制度,制定规范的内容发布流程,内容发布前必须进行审核;
·内容操作要求建立相应的技术手段,实现编辑、审核、发布权限分离和人员分离;
·对于业务内容进行定期拨测,发现不合规的内容及时处理;
·内容审核应采用自动过滤和人工检查结合的方式进行有害信息检查、屏蔽和删除。
对于合作业务:
·应对业务内容进行定期拨测,发现不合规内容及时处理。
内容安全管理制度、
业务日常安全监测制度
内容存储
内容操作记录存放
已发布内容保留操作记录,并由专人负责,信息安全风险为低;
发布内容缺乏操作记录,或存档保留期不能达到两年以上时,信息安全风险为高。
·应建立内容保存相关制度,对存放内容进行有效管理,明确其保存、传输、销毁等流程。
内容安全管理制度
内容访问
存档人员具有内容变更权限时,信息安全风险为高。
·对存档内容进行严格管理,不得进行内容变更。
内容安全管理制度
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 业务 信息 安全 评估 标准