网通[2008]168号 中国移动安全审计管理办法

中国移动安全审计管理办法（试行）

第一章总则

第一条为督促落实各项网络与信息安全管理办法、技术规范，规范各项网络与信息安全检查工作（以下简称“安全审计”），特制定本办法。第二条安全审计内容可分为管理和技术两个方面，管理方面的审计侧重检查安全流程、管理要求的执行情况；技术方面的审计侧重检查通信

网、业务网和各支撑系统符合设备安全技术要求、安全配置要求以

及其它技术规范的情况。

第三条安全审计应遵循“审计独立性”的原则，通过设立独立的审计岗位或采取交叉审计等方式开展。

第四条本办法解释权归中国移动通信有限公司网络部，各省公司应根据本办法制定实施细则。

第二章适用范围

第五条本办法适用于中国移动总部和各省公司。

第六条可依据本办法开展通信网、业务网和各支撑系统的安全审计，开展信息安全等其它安全管理方面的审计。

第七条用于指导开展定期和不定期，全面和针对特定目的的安全审计。

第三章组织与职责

第八条发起网络与信息安全审计工作的主体包括：总部及各省的网络与信息安全工作办公室、网络部门、业务支撑部门、管理信息系统部门

等。

第九条网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下，组织开展公司层面安全审计工作：

(一)落实上级审计工作总体安排；

(二)组织制定安全审计细则；

(三)作为公司范围安全审计工作的责任主体，组织制定并实施公司级的

审计计划。每年1月底前完成当年审计计划制定工作；

(四)对其它安全审计责任主体的审计工作，如制定内部审计工作计划、

实施审计等，进行指导、审批、检查、备案；

(五)汇总、审阅审计报告，审核改进方案，督促解决审计中发现的突出

问题。出现涉及公司层面的重大问题或者需要对技术或者管理流程

做出重大调整时，应向公司主管领导汇报。

(六)总部网络与信息安全工作办公室负责对各省安全审计工作进行检

查。

第十条各审计责任主体的主要职责：

(一)配合完成网络与信息安全工作领导小组、网络与信息安全工作办公

室或者其它上级主管安排的安全审计任务；

(二)组织制定部门内部安全审计实施细则；

(三)在本部门职责范围内，制定安全审计工作年度计划、明确审计要点

及实施方案，并报上级部门批准。每年1月底前完成当年审计计划

制定工作，内容应满足本部门或上级部门各类网络与信息安全检查

需求；

(四)按照审计计划，实施项目；

(五)提交审计报告；

(六)及时上报审计中发现的重大问题；

(七)针对审计发现的问题，形成改进方案并启动改进工作。

第十一条被审计对象应参与制定审计计划、明确审计重点，配合审计工作。第十二条在审计过程中，审计人员应按照公司信息保密规定对接触到的敏感信息进行严格保密，尤其在安全漏洞修补之前，严禁泄露给第三方。

第四章审计频次与工作重点

第十三条总体原则

(一)在确定审计频次、工作重点时，应坚持“对重要系统、重要设备、

重要信息、重要规章制度和技术要求，进行重点审计”的原则，综

合考虑审计对象主要安全需求、人力资源、技术手段等因素，发挥

审计工作的最大效益；

(二)应与国家政府部门确定的安全审计原则、频次要求相一致；

(三)应与《萨班斯法案》、ISO27001认证等要求相一致，如对纳入萨班

斯法案审计范围的系统和流程，审计频率应不低于《中国移动内控

手册》相关要求。

第十四条安全审计频次要求

(一)针对公司范围进行的全面审计，每年至少一次，可按需不定期开展；

(二)对局部范围内进行的安全策略技术要求符合情况的审计，依据《信

息资产安全等级划分及保护指南》要求，原则上3级及3级以上的

系统每半年审计一次。3级以下的系统每年审计一次，并形成分系统

的审计报告；

(三)在能够真实反映整体安全工作水平的前提下，采用抽查方式，提高

工作效率；

(四)审计结束后，应编制并上报书面审计报告和改进报告。公司层面的

审计报告应上报公司网络与信息安全工作领导小组。部门组织进行

的审计，应将报告上报主管部门如安全工作主管部门和维护职能管

理部门，如发现重大问题，应通过网络与信息安全工作办公室上报

网络与信息安全工作领导小组。

第十五条审计重点应包括重点要求、重点规范、重要系统中的重要设备，以及用户的操作行为等。

第五章审计内容和审计方法

第十六条安全审计主要依据公司已发布的各项安全管理规定和技术要求，检查具体要求的落实情况。

第十七条根据审计目的、关注点不同，如在某个时间段、针对某些管理规定、技术规范要求检查落实情况，突出相应审计内容的侧重点。第十八条审计方法包括：对安全运行维护等记录的抽样检查、系统检查、现场观察、访问、凭证检查等。

第十九条可以采用人工和技术手段两种方式进行。

第六章安全审计工作步骤

第二十条制定计划阶段。在针对特定目的、启动某特定审计工作之前，应首先制订具体的安全审计计划，确定本次审计工作的范围、审计

重点、时间安排、审计人员及配合人员安排、采用的技术手段、

主要风险及规避方案等等。

第二十一条准备阶段

(一)细化审计内容。如：审计的系统范围，检查的重点项，各个系统中

增删改等重点操作的指令、关键词等等；

(二)编写《安全审计检查表》（参见附件一，各部门可自行修订）等工

作底稿。检查表应包含安全审计内容、审计方式、依据标准、审计

方法、审计结果、问题描述、审计人员和被审计人员签字栏等；

(三)进行审计培训。重点培训审计人员，说明审计内容、检查方法、注

意事项、表格填写要求、问题处理方法等等；

(四)配置必要的技术手段。如合规检查工具、漏洞扫描工具等等。

第二十二条实施阶段。

(一)按照《安全审计检查表》，采用人工和技术手段相结合的方式，进

行记录抽样检查、系统检查、现场观察、访问、凭证检查等，并逐

一记录结果；