网络与信息安全风险评估管理实施细则
第一章编制说明
第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T
1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T
1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业
标准和集团公司相关规定,特制定本实施细则。
第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威
胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,
有针对性的提出改进措施的活动。
第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯
控制系统、门禁系统等发起的各类风险评估。
第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政
事务中心及各市分公司等等。
1
第二章职责与分工
第五条总体原则
(一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。
(二)“自评估为主、第三方评估为辅”原则。
省公司应着力推动自有评估队伍的建设,逐步实现自主评估。
第三方评估应侧重弥补尤其是在队伍建设初期,
由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等
方面的不足。
(三)原则上,安全评估服务与系统建设不能采用同一厂家。
第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及
各市分公司等等。
第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作:
(一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。
在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络
及信息系统的专项评估工作;
(二)建立和完善风险评估工作考核指标和考核办法,组织考核评比。
对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格
把控,确保风险评估资料的机密性、完整性和可用性;
2
(三)负责建立自主评估队伍,并制定培训和演练计划;
(四)作为公司范围安全风险评估工作的责任主体,按照相关要求、组织制定公司级的安全风险评估计划,并组织实施全网性大规模评估。
每年1月
底前完成当年安全风险评估计划制定工作;
(五)对其它安全风险评估责任主体的安全风险评估工作,如制定内部安全风险评估工作计划、实施安全风险评估等,进行指导、审批、审核、备案;
(六)汇总、审阅安全风险评估报告,审核改进方案,督促解决安全风险评估中发现的突出问题。
出现涉及公司层面的重大问题或者需要对技术或者
管理流程做出重大调整时,应向公司主管领导及上级主管部门汇报;
(七)通过建立风险评估信息库及共性问题通报机制,实现自身及下级单位之间的风险评估知识共享;
(八)在重要系统入网、现网进行大规模调整时,应督促其它相关风险评估责任主体根据实际情况启动专项评估工作。
第八条其它安全风险评估责任主体,省网管中心、业务支撑中心、发展计划部IT 中心和各市分公司等作为其它安全风险评估责任主体,其主要职责为:(一)配合完成网络与信息安全工作领导小组、网络与信息安全工作办公室或者其它上级主管部门安排的安全风险评估任务;
(二)组织制定部门内部安全风险评估实施细则;
(三)在本部门职责范围内,制定安全风险评估工作年度计划、明确安全风险评估要点及实施方案,并报上级部门批准。
每年1月底前完成当年安全
3。