中国联通互联网新业务信息安全评估管理办法--发布版

QB/CU中国联通公司企业标准QB/CU A32-073(2015)中国联通业务信息安全评估基本规范The General Specification for Service System’s Risk Assessment OnInformation Security of Chinaunicom(V1.0)2015-03-30发布2015-03-30实施目次前言.................................................................................................................................................. I V1 范围 (1)2 规范性引用文件 (1)3 安全评估框架 (3)3.1 概述 (3)3.2 安全评估框架 (3)3.3 安全评估框架简介 (3)3.3.1 设备安全 (3)3.3.2 平台及软件安全 (4)3.3.3 业务流程安全 (4)3.3.3.1 计费安全 (4)3.3.3.2接口安全 (4)3.3.3.3 用户信息安全 (4)3.3.3.4 业务逻辑安全 (4)3.3.3.5 传播安全 (5)3.3.5 安全管控 (5)3.3.5.1 系统安全 (5)3.3.5.2 人员安全 (6)3.3.5.3 第三方管理安全 (6)3.4 应用指导原则 (6)4 安全评估实施要点和要求 (6)4.1 设备安全 (6)4.2 平台及软件安全 (28)4.3 业务流程安全 (33)4.3.1 计费安全 (33)4.3.2 接口安全 (35)4.3.3 用户信息安全 (36)4.3.4 业务逻辑安全 (41)4.3.5 传播安全 (45)4.4.1 引入机制 (49)4.4.2 提供流程 (50)4.4.3 发布机制 (51)4.4.4 操作记录 (53)4.5 安全管控 (54)4.5.1 系统安全 (54)4.5.2 人员安全 (56)4.5.3 第三方安全管理 (58)前言为了加强中国联通业务信息安全管理，保证业务发展与信息安全措施同步规划、同步建设、同步运行，提升业务信息安全整体水平，降低业务安全风险，特制定本信息安全评估规范。

新服务、新功能安全评估
1、新功能上线或用户规模扩增需提交安全评估报告
按照规定,在信息服务、新技术新应用上线或者功能增设前提交安全评估报告;
2、用户规模显著增加,导致信息服务的舆论属性或者社会动员能力发生重大变化的;发生违法有害信息传播扩散,表明已有安全措施难以有效防控网络安全风险的;地市级以上网信部门或者公安机关书面通知需要进行安全评估的其他情形的,应当自相关情形发生之日起30个工作日内提交安全评估报告;
3、重点评估用户实名、操作日志留存等8项内容
提供者开展安全评估,应当对信息服务和新技术新应用的合法性,落实法律、行政法规、部门规章和标准规定的安全措施的有效性,防控安全风险的有效性等情况进行全面评估,并重点评估八方面内容;
这包括,用户真实身份核验以及注册信息留存措施;对用户的账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息,以及用户发布信息记录的留存措施;对用户账号和通讯群组名称、昵称、简介、备注、标识,信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施;个人信息保护以及防范违法有害信息传播扩散、社会动员功能失控风险的技术措施;建立为网信部门依法履行互联网信息服务监督管理职责提供技术、数据支持和协助的工作机制的情况;建立为公安机关、国家安全机关依法维护国家安全和查处违法犯罪提供技术、数据
支持和协助的工作机制的情况等;
4、在安全评估中发现存在安全隐患的,应当及时整改,直至消除相关安全隐患;
5、本制度自公布日期起生效;
瑞莱泰天津生物医药科技有限公司。

中国联通CP/SP合作管理办法目录第一章概述 (2)第二章增值产品 (2)一、按产品成熟度划分 (3)二、按产品覆盖范围划分 (3)三、按产品平台划分 (3)第三章商务合作模式 (3)一、内容提供类 (4)二、服务提供类 (4)第四章计费结算模式 (5)一、计费模式 (5)二、结算支出比例 (6)三、结算规则 (6)第五章准入机制 (7)一、基本准入条件 (7)二、准入策略 (8)三、优选机制 (8)第六章考核退出机制 (9)一、考核机制 (9)二、业务转让 (9)三、退出原则 (10)第七章违约处理 (10)一、违约定义 (10)二、业务屏蔽机制 (10)三、违约处理机制 (11)第八章信用评价管理 (13)一、信用积分及信用等级设置 (13)二、信用等级评定及应用 (13)第九章客户服务管理 (13)第十章营销管理 (14)一、总体原则 (14)二、宣传要素 (14)第十一章创新业务管理机制 (14)一、创新业务定义 (15)二、创新业务合作管理 (15)第一章概述为加强中国联通增值产品的合作管理，规范经营行为、提高合作效率、优化配置合作资源、确保业务和服务质量，促进增值产品市场健康持续发展，特制定本办法。

本办法根据有关国家电信业务、信息服务及信息安全等相关法律法规、行业政策及中国联通相关管理规定制定。

是中国联通与合作伙伴进行合作的指导性文件。

本办法明确了全网及本地增值产品的合作管理政策，包括商务合作模式、计费结算模式、准入机制、考核退出机制、违约处理、信用评价管理、客户服务管理、营销管理、创新业务合作管理以及两级管理等。

本办法确定的合作方式是中国联通增值产品的主要合作方式。

包括中国联通与内容提供商（CP）、服务提供商（SP）的合作模式。

中国联通增值产品的合作管理分两级。

全网合作管理由总部产品创新部及其指导设立的专业运营公司负责，本地合作管理由省级分公司视具体情况设立的相应机构负责。

本办法适用于全网和本地合作管理。

中国联通服务管理规范1.0（征求意见稿）2009年2月中国联通客户服务部目录第一章总则 (33)1 概述 (33)2 品牌服务标识 (33)第二章营业厅 (44)1 管理架构及工作要求 (44)2 服务规范 (66)3 服务运营规范 (77)4 3G品牌店 (1212)第三章客服中心 (1212)1 管理架构及工作职责 (1313)2 业务规范.................... 错误!未定义书签。

错误!未定义书签。

3 运营规范.................... 错误!未定义书签。

错误!未定义书签。

4 系统支撑.................... 错误!未定义书签。

错误!未定义书签。

第四章客户俱乐部............................ 错误!未定义书签。

错误!未定义书签。

1 管理架构与工作职责.......... 错误!未定义书签。

错误!未定义书签。

2 业务规范.................... 错误!未定义书签。

错误!未定义书签。

3 会员卡的管理................ 错误!未定义书签。

错误!未定义书签。

4 运营规范.................... 错误!未定义书签。

错误!未定义书签。

第五章客户经理.............................. 错误!未定义书签。

错误!未定义书签。

1 管理架构和工作职责.......... 错误!未定义书签。

错误!未定义书签。

2 VI及行为规范 ............... 错误!未定义书签。

错误!未定义书签。

3 管理规范.................... 错误!未定义书签。

错误!未定义书签。

第六章电子渠道.............................. 错误!未定义书签。

错误!未定义书签。

1 管理架构及工作职责.......... 错误!未定义书签。

错误!未定义书签。

中国联通入网信息安全保障责任书-附件：信息安全责任承诺书（20091130修订版）我单位接入中国联合网络通信有限公司（以下简称“中国联通”）的移动通信网、中国联通互联网或相关业务平台（包括但不限于短消息网关、彩信网关、WAP网关、JAVA下载服务器、IVR平台等），为确保向客户提供健康的信息服务，我单位向中国联通郑重承诺如下：一、遵守国家有关法律、行政法规和管理规章，严格执行信息安全管理规定。

二、不得利用中国联通移动通信网、互联网或相关业务平台从事危害国家安全、泄露国家机密等违法犯罪活动；不得利用中国联通移动通信网、互联网或相关业务平台制作、查阅、复制和传播违反宪法和法律、妨碍社会治安、破坏国家统一、破坏民族团结、色情、暴力等的信息，不得利用中国联通移动通信网、互联网或相关业务平台发布任何含有下列内容之一的信息：1、反对宪法所确定的基本原则的；2、危害国家安全，泄露国家机密，颠覆国家政权，破坏国家统一的；3、损害国家荣誉和利益的；4、煽动民族仇恨、民族歧视，破坏民族团结的；5、破坏国家宗教政策，宣扬邪教和封建迷信的；6、散布谣言，扰乱社会秩序，破坏社会稳定的；7、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；8、侮辱或者诽谤他人，侵害他人合法权益的；9、含有法律、行政法规禁止的其他内容的。

三、我单位保证所提供的信息遵守国家有关知识产权的法律、政策规定。

四、我单位在联网测试、试运行期间以及业务正式开通后，保证所提供业务内容的安全性与稳定性，不对中国联通移动通信网、中国联通互联网或相关业务平台造成危害。

五、我单位承诺在合作业务推广过程中遵守中国联通相关管理规定：1、确保本单位业务推广渠道中无任何涉黄等违法及低俗信息内容。

2、禁止利用广告联盟等第三方进行合作业务推广。

3、禁止利用中国联通以外的其他WAP网站推广或引导用户订购WAP合作业务。

六、我单位保证建立有效的信息安全管理制度和技术保障措施，并接受相关业务主管部门的管理、监督和检查。

中国联通CPSP合作管理办法中国联通CP/SP合作管理办法中国联通CP/SP合作管理办法第一章概述为加强中国联通增值产品的合作管理，规范经营行为、提高合作效率、优化配置合作资源、确保业务和服务质量，促进增值产品市场健康持续发展，特制定本办法。

本办法根据有关国家电信业务、信息服务及信息安全等相关法律法规、行业政策及中国联通相关管理规定制定。

是中国联通与合作伙伴进行合作的指导性文件。

本办法明确了全网及本地增值产品的合作管理政策，包括商务合作模式、计费结算模式、准入机制、考核退出机制、违约处理、信用评价管理、客户服务管理、营销管理、创新业务合作管理以及两级管理等。

本办法确定的合作方式是中国联通增值产品的主要合作方式。

包括中国联通与内容提供商(CP)、服务提供商(SP)的合作模式。

中国联通增值产品的合作管理分两级。

全网合作管理由总部产品创新部及其指导设立的专业运营公司负责，本地合作管理由省级分公司视具体情况设立的相应机构负责。

本办法适用于全网和本地合作管理。

第二章增值产品中国联通增值产品是指基于中国联通的网络(移动网、固网、数据网)平台，通过与合作方开展内容组织、业务系统引进、营销推广等合作，面向中国联通客户(个人、家庭、企业)推出的各类电信增值业务的总称。

中国联通增值产品的具体内容将随着技术创新和业务创新不断进行扩充。

一、按产品成熟度划分按产品成熟度可分为成熟类产品(如联通在信、IVR业务、语音短信业务、个性回铃音业务)和重点成长类产品(如手机报、手机音乐、手机视频、IPTV、宽带互联网业务)。

成熟类产品主要指固话网络、PHS网络、宽带接入网络、移动2G网络阶段已形成一定的收入规模和影响的基础增值业务;重点成长类产品主要指基于宽带提速、固网智能化、移动2.5G网络不断完善后，增长较快的固定/移动数据类业务及基于3G网络的创新业务。

二、按产品覆盖范围划分按产品覆盖范围可分为全网增值产品和本地增值产品。

全网增值产品是指总部接入，服务范围为中国联通全网客户的产品。

第一章总则第一条为保障我国网络安全，维护国家安全和社会公共利益，根据《中华人民共和国网络安全法》等相关法律法规，结合中国联通实际情况，制定本制度。

第二条本制度适用于中国联通全范围内涉及网络信息安全的各项工作，包括但不限于网络设备、系统、数据、服务等。

第三条本制度旨在加强网络信息安全意识，建立健全网络信息安全管理体系，提高网络信息安全防护能力，确保网络信息系统的稳定、可靠和安全运行。

第二章组织与管理第四条中国联通设立网络信息安全领导小组，负责网络信息安全工作的统筹规划、组织协调和监督考核。

第五条网络信息安全领导小组下设网络信息安全办公室，负责日常网络信息安全管理工作，包括但不限于以下职责：（一）制定网络信息安全管理制度和操作规程；（二）组织开展网络信息安全培训和宣传教育；（三）监督、检查网络信息安全工作的落实情况；（四）处理网络信息安全事件；（五）协调解决网络信息安全相关问题。

第六条各部门、子公司应设立网络信息安全负责人，负责本部门、子公司网络信息安全工作的组织实施。

第三章信息安全防护措施第七条加强网络安全基础设施建设，确保网络设备、系统、数据等安全可靠。

（一）采用符合国家标准的网络设备，定期进行安全检查和更新；（二）建立网络安全防护体系，包括防火墙、入侵检测系统、漏洞扫描系统等；（三）对重要信息系统进行安全加固，确保系统安全可靠。

第八条加强网络安全监测与预警，及时发现和处理网络安全隐患。

（一）建立网络安全监测体系，对网络流量、设备状态、系统日志等进行实时监测；（二）定期进行网络安全风险评估，制定应对措施；（三）加强网络安全事件应急响应，确保快速、有效地处理网络安全事件。

第九条加强网络数据安全管理，确保数据安全、完整、可靠。

（一）建立数据安全管理制度，明确数据分类、存储、传输、使用等环节的安全要求；（二）采用数据加密、访问控制等技术手段，确保数据安全；（三）定期对数据进行备份，防止数据丢失。

第十条加强网络安全教育培训，提高员工网络安全意识。

互联网新闻信息效劳新技术新应用平安评估管理规定〔2022年12月1日起施行〕互联网新闻信息效劳新技术新应用平安评估管理规定〔2022年12月1日起施行〕互联网新闻信息效劳新技术新应用平安评估管理规定2022年10月30日 18:00:00 来源：中国网信网互联网新闻信息效劳新技术新应用平安评估管理规定第一条为标准开展互联网新闻信息效劳新技术新应用平安评估工作，维护国家平安和公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国网络平安法》《互联网新闻信息效劳管理规定》，制定本规定。

第二条国家和省、自治区、直辖市互联网信息办公室组织开展互联网新闻信息效劳新技术新应用平安评估，适用本规定。

本规定所称互联网新闻信息效劳新技术新应用〔以下简称“新技术新应用〞〕，是指用于提供互联网新闻信息效劳的创新性应用〔包括功能及应用形式〕及相关支撑技术。

本规定所称互联网新闻信息效劳新技术新应用平安评估〔以下简称“新技术新应用平安评估〞〕，是指根据新技术新应用的新闻舆论属性、社会发动能力及由此产生的信息内容平安风险确定评估等级，审查评价其信息平安管理制度和技术保障措施的活动。

第三条互联网新闻信息效劳提供者调整增设新技术新应用，应当建立健全信息平安管理制度和平安可控的技术保障措施，不得发布、传播法律法规禁止的信息内容。

第四条国家互联网信息办公室负责全国新技术新应用平安评估工作。

省、自治区、直辖市互联网信息办公室依据职责负责本行政区域内新技术新应用平安评估工作。

国家和省、自治区、直辖市互联网信息办公室可以委托第三方机构承当新技术新应用平安评估的具体实施工作。

第五条鼓励支持新技术新应用平安评估相关行业组织和专业机构加强自律，建立健全平安评估效劳质量评议和信用、能力公示制度，促进行业标准开展。

第六条互联网新闻信息效劳提供者应当建立健全新技术新应用平安评估管理制度和保障制度，按照本规定要求自行组织开展平安评估，为国家和省、自治区、直辖市互联网信息办公室组织开展平安评估提供必要的配合，并及时完成整改。

互联网新技术新业务安全评估制度文本目录1范围 (1)2术语、走义与缩略语 (2)3概述 (3)4安全评估工作要求 (3)5安全评估总体思路 (6)6业务安全风险评估 (7)7企业安全保障能力评估 (13)1范围本制度适用于成都** * *科技有限公司（以下简称〃我司〃）灯m … 枠互联网新技术新业务安全评估得工作要求、组织流程、评估内容与方法进行了描述与规范，本制度涉及得互联网不包括专用网，仅指公众互联网（含移动互联网L本制度适用于在通信行业中组织开展得互联网新技术新业务安全评估工作。

2术语、定义与缩略语2、1术语与定义下列术语与走义适用于本文件。

2、1、1信息安全security信息安全就是指互联网技术、业务、应用制作、复制、发布、传播得公共信息内容应该满足《互联网信息服务管理办法》等相关法律法规要求。

2、1、2信息安全事件security incident由于互联网技术、业务、应用自身得特性与功能，或被恶意使用，导致互联网技术、业务、应用被利用制作、复制、发布、传播违法信息，组织非法串联等，对信息安全危害情况。

2、1、3信息安全风险security risk互联网技术、业务、应用被利用导致安全事件得发生及其对经济正常运行、社会稳走、国家安全造成得影响2、2缩略语下列缩略语适用于本文件。

IP Internel Protocol 互联网协议3概述***********得互联网新技术新业务安全评估（以下简称”安全评估〃）就是指运用科学得方法与手段，系统地识别与分析互联网技术、业务、应用可能引发得信息安全风险。

评估信息安全事件一旦发生可能造成得危害程度,评估我司配套得信息安全保障能力就是否能够将风险控制在可接受得水平，提出有针对性得预防信息安全事件发生得管理对策与安全措施，为最大限度地保障互联网技术、业务、应用得信息安全提供科学依据.互联网新技术新业务安全评估得目标就是为了进一步加强对互联网技术、业务、应用得管理,帮助我司提早防范潜在安全风险，提早部署安全保障措施,促进互联网创新健康发展。

互联网双新业务安全评估如何提高工作效率在竞争激烈的现代社会，提高工作效率成为了每个人都要面对的问题。

无论是在职场上还是个人生活中，高效率都能带来更多的成就和幸福感。

那么，我们应该如何提高工作效率呢？本文将从时间管理、目标设定、健康生活等方面进行探讨。

首先，时间管理是提高工作效率的关键。

合理规划时间，合理分配工作任务，都是提高工作效率的重要手段。

我们可以通过制定每日、每周、每月的工作计划，将工作任务分解成小步骤，逐步完成，避免拖延和浪费时间。

同时，合理安排工作和休息时间，避免长时间的连续工作，可以让我们在工作时更加专注，提高工作效率。

其次，目标设定也是提高工作效率的重要因素。

明确自己的工作目标，将目标分解成具体的任务，不断调整和优化目标，都可以帮助我们更好地投入工作，提高工作效率。

同时，设定明确的时间节点，对目标进行监督和检查，也有助于我们保持高效率地工作状态。

除此之外，保持健康的生活方式也是提高工作效率的重要因素。

充足的睡眠、均衡的饮食和适量的运动，都可以让我们拥有更好的身体状态和精神状态，从而更加专注地投入工作，提高工作效率。

此外，合理利用科技工具也是提高工作效率的有效途径。

如使用时间管理软件、团队协作工具、信息整理工具等，都可以帮助我们更好地管理时间和任务，提高工作效率。

总之，提高工作效率是一个需要不断调整和优化的过程。

通过合理的时间管理、明确的目标设定、健康的生活方式和科技工具的合理利用，我们可以更好地提高工作效率，实现更多的成就和幸福感。

希望每个人都能够在工作中找到适合自己的提高工作效率的方法，让生活更加充实和美好。

新业务安全评估要求
在进行新业务安全评估时，以下是一些常见的要求：
1. 风险评估：对新业务的风险进行全面评估，包括技术、法律、隐私、合规性等方面的风险。

2. 安全策略和政策：确保新业务的安全策略和政策得到充分制定和实施，并与组织的整体安全框架相一致。

3. 访问控制：确保对新业务的访问进行有效的控制和验证，包括身份验证、权限管理、角色分配等。

4. 数据保护：确保新业务所涉及的数据受到适当的保护，包括加密、备份、防止数据泄露等措施。

5. 网络安全：确保新业务的网络安全措施得到充分实施，包括防火墙、入侵检测系统、安全审计等。

6. 应用安全：确保新业务所涉及的应用程序的安全性得到充分保障，包括漏洞管理、代码审计、安全测试等。

7. 安全意识培训：为新业务的相关人员提供必要的安全意识培训，以增强他们对安全风险的认知和处理能力。

8. 安全监控和响应：建立适当的安全监控和响应机制，及时检测和应对新业务可能出现的安全事件。

9. 合规性要求：确保新业务符合适用的法律、法规和行业标准的安全要求，包括个人信息保护、数据处理、合同要求等。

10. 持续改进：建立持续改进机制，定期评估和审查新业务的安全状况，对存在的问题进行及时改进和修复。

中国联通互联网新业务信息安全评估管理办法（二级制度）第一章总则第一条为了保障互联网业务的安全运营，规范公司互联网新业务信息安全评估工作，推动安全评估规范化、流程化，依据《互联网信息服务管理办法》、工业和信息化部《互联网新业务安全评估管理办法（征求意见稿）》、《互联网新技术新业务信息安全评估指南》（YD/T 3169-2016）等文件制定本办法。

第二条中国联通各单位开展互联网新业务信息安全评估工作，适用本办法。

第三条本办法所称互联网新业务，是指各单位通过互联网新开展的电信业务，也包括工业和信息化部、省通信管理局要求开展信息安全评估的电信业务。

本办法所称信息安全评估是指运用科学的方法和手段，系统地识别和分析新业务可能引发的信息安全风险，评估相应的安全保障措施是否能够将风险控制在可接受水平的过程。

以下简称评估。

第四条评估工作遵循“谁主管谁评估、谁运营谁评估”、“逢新必评”和“及时、真实、有效”的原则。

第五条各单位要将互联网新业务评估工作纳入新业务上线的审批流程，确保互联网新业务上线前完成评估。

第六条评估分初评和复审两个阶段进行，初评由业务主管或运营单位（以下统称“业务单位”）组织，复审由信息安全部门组织。

第二章组织体系第七条集团信息安全部门为全国互联网新业务评估工作归口管理部门，负责对评估工作实施指导、监督和管理。

具体职责包括：（一）负责指导、协调全国开展评估工作，并对外接口电信管理部门；（二）制定管理办法和评估流程，组织总部业务部门、子公司和省级分公司部署落实工业和信息化部的评估要求；（三）对全国评估工作进行监督检查；（四）组织建立总部第三方评估机构资格目录；（五）指导和组织评估人员培训；（六）建立完善总部评估专家库和总部评估复审小组；（七）组织对总部业务部门、子公司互联网新业务初评工作的复审。

第八条省级分公司信息安全部门为本省互联网新业务评估工作归口管理部门，负责对本省评估工作实施指导、监督和管理。

互联网新业务安全评估管理办法为了规范电信业务经营者的互联网新业务安全评估活动，维护网络信息安全，促进互联网行业健康发展，工业和信息化部研究形成了《互联网新业务安全评估管理办法(征求意见稿)》，现向社会公开征求意见，请于XX年7月9日前反馈意见。

下面是小编提供的互联网新业务安全评估管理办法，欢迎阅读。

互联网新业务安全评估管理办法(征求意见稿)第一条立法目的为了规范电信业务经营者的互联网新业务安全评估活动，维护网络信息安全，促进互联网行业健康发展，根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《中华人民共和国电信条例》《互联网信息服务管理办法》等法律、行政法规，制定本办法。

第二条适用范围中华人民共和国境内的电信业务经营者开展互联网新业务安全评估活动，适用本办法。

第三条定义本办法所称互联网新业务，是指电信业务经营者通过互联网新开展其已取得经营许可的电信业务，或者通过互联网运用新技术试办未列入《电信业务分类目录》的新型电信业务。

本办法所称安全评估，是指电信业务经营者对其互联网新业务可能引发的网络信息安全风险进行评估并采取必要的安全措施的活动。

第四条工作原则电信业务经营者开展互联网新业务安全评估，应当遵循及时、真实、有效的原则。

第五条管理职责工业和信息化部负责对全国范围内的互联网新业务安全评估工作实施监督管理。

各省、自治区、直辖市通信管理局负责对本行政区域内的互联网新业务安全评估工作实施监督管理。

工业和信息化部和各省、自治区、直辖市通信管理局统称电信管理机构。

第六条鼓励创新国家鼓励电信业务经营者进行互联网技术和业务创新，依法开展互联网新业务，提升互联网行业发展水平。

第七条行业自律国家鼓励互联网行业组织建立健全互联网新业务安全评估自律性管理制度，指导电信业务经营者依法开展安全评估，提高安全评估的能力和水平。

第八条评估标准工业和信息化部依法制定互联网新业务安全评估标准。

第九条评估要求电信业务经营者应当按照电信管理机构有关规定和互联网新业务安全评估标准，从用户个人信息保护、网络安全防护、网络信息安全、建立健全相关管理制度等方面，开展互联网新业务安全评估。

中国联通信息化系统风险评估流程及规范（试行）目录1 目标 (3)2 引用标准 (3)3 相关术语 (3)4 风险评估概述 (4)4.1 风险评估概念 (4)4.1.1 信息安全 (4)4.1.2 安全风险 (4)4.1.3 信息安全风险评估 (5)4.2 风险评估要素关系模型 (5)5 风险评估规范 (6)5.1 风险评估规范概述 (6)5.2 资产评估 (6)5.2.1 资产识别 (6)5.3 脆弱性评估 (7)5.3.1 脆弱性分类 (7)5.3.2 脆弱性赋值 (8)5.3.3 脆弱性评估方法 (8)5.4 综合风险分析 (20)5.5 实施改进 (21)5.5.1 制定策略 (21)5.5.2 安全加固 (21)5.5.3 安全工程实施 (21)6 风险评估流程 (22)6.1 风险评估沟通阶段 (22)6.2 风险评估实施阶段 (22)6.2.1 项目启动 (22)6.2.2 资产识别 (22)6.2.3 安全漏洞扫描 (22)6.2.4 渗透测试检查 (23)6.2.5 安全基线检查 (24)6.2.6 安全管理评估 (26)6.2.7 配合情况检查 (27)6.3 风险评估总结阶段 (28)6.3.1 风险评估报告 (28)6.3.2 风险整改 (28)附录 (29)1目标本指导手册用于指导中国联通信息化部系统安全风险评估工作，是中国联通信息化部开展安全风险评估的指导性文件。

本指导手册适用于中国联通信息化总部、各直属单位和各省级分公司。

2引用标准下列标准所包含的条文，通过在本手册中引用而成为本手册的参考。

注：所有标准都会被修订，使用本手册的各方应探讨使用下列标准最新版本的可能性。

1.ISO/IEC 13335-1信息技术安全管理第1部分：IT安全概念和模型2.ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系规范3.《信息系统安全风险评估实施指南》4.《电信网和互联网安全防护管理指南》5.《电信网和互联网安全风险评估实施指南》3相关术语资产对组织具有价值的任何东西。