中国联通互联网新业务信息安全评估管理办法--发布版
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国联通互联网新业务信息安全评估管理办法
(二级制度)
第一章总则
第一条为了保障互联网业务的安全运营,规范公司互联网新业务信息安全评估工作,推动安全评估规范化、流程化,依据《互联网信息服务管理办法》、工业和信息化部《互联网新业务安全评估管理办法(征求意见稿)》、《互联网新技术新业务信息安全评估指南》(YD/T 3169-2016)等文件制定本办法。
第二条中国联通各单位开展互联网新业务信息安全评估工作,适用本办法。
第三条本办法所称互联网新业务,是指各单位通过互联网新开展的电信业务,也包括工业和信息化部、省通信管理局要求开展信息安全评估的电信业务。
本办法所称信息安全评估是指运用科学的方法和手段,系统地识别和分析新业务可能引发的信息安全风险,评估相应的安全保障措施是否能够将风险控制在可接受水平的过程。以下简称评估。
第四条评估工作遵循“谁主管谁评估、谁运营谁评估”、
“逢新必评”和“及时、真实、有效”的原则。
第五条各单位要将互联网新业务评估工作纳入新业务上线的审批流程,确保互联网新业务上线前完成评估。
第六条评估分初评和复审两个阶段进行,初评由业务主管或运营单位(以下统称“业务单位”)组织,复审由信息安全部门组织。
第二章组织体系
第七条集团信息安全部门为全国互联网新业务评估工作归口管理部门,负责对评估工作实施指导、监督和管理。具体职责包括:
(一)负责指导、协调全国开展评估工作,并对外接口电信管理部门;
(二)制定管理办法和评估流程,组织总部业务部门、子公司和省级分公司部署落实工业和信息化部的评估要求;
(三)对全国评估工作进行监督检查;
(四)组织建立总部第三方评估机构资格目录;
(五)指导和组织评估人员培训;
(六)建立完善总部评估专家库和总部评估复审小组;
(七)组织对总部业务部门、子公司互联网新业务初评工作的复审。
第八条省级分公司信息安全部门为本省互联网新业务评估工作归口管理部门,负责对本省评估工作实施指导、监督和管理。具体职责包括:
(一)对外接口集团公司和省通信管理局,指导和组织协调本省各单位开展评估工作;
(二)依据本办法,组织完善本省评估管理体系,制定评估管理办法、评估流程等管理制度;
(三)组织本省各单位部署落实集团公司和省通信管理局的评估要求;
(四)对本省各单位的评估工作进行监督检查;
(五)组织建立本省第三方评估机构资格目录;
(六)组织本省评估人员培训;
(七)负责本省评估专家队伍建设;
(八)组织对本省各业务单位互联网新业务初评工作的复审。
第九条各业务单位为互联网新业务初评工作负责单位。具体职责包括:
(一)按照工业和信息化部最新发布的互联网新业务评估
指南和公司信息安全部门发布的评估要求,负责组织开展互联网新业务初评工作,并向同级信息安全部门提交复审申请。
(二)对评估发现的问题,负责完成整改。
(三)对已评估上线运营的互联网新业务,负责至少六个月组织一次自查。
第三章评估启动条件
第十条有下列情形之一的,应当对所开展的业务启动并完成评估,形成评估报告:
(一)拟将互联网新业务(含试点、合作推广)面向社会公众上线的。
(二)已上线互联网新业务在基础资源配置、技术实现方式、业务功能或用户规模等方面发生较大变化的;
其中,基础资源配置发生较大变化是指IP地址、域名等网络资源的分配方式发生较大变化;技术实现方式发生较大变化是指采用新技术,或技术升级改造,或网络拓扑结构发生较大变化,或网络设备升级改造等情况;业务功能发生较大变化是指导致业务(含应用)的信息传播渠道、传播能力发生较大变化;用户规模发生较大变化包括用户数量发生较大变化,或接入网站的
数量发生较大变化。
(三)工业和信息化部、省通信管理局等电信管理部门指定业务要求进行评估的。
收到通知后,各单位要及时启动并按照电信管理部门要求完成评估。
第四章评估实施
第十一条总部、子公司负责全网互联网新业务的评估,省级分公司负责本省互联网新业务和在本省落地的全网互联网新业务的评估。
在本省落地的全网互联网新业务是指在本省有平台系统、或业务使用规则发生改变、或业务功能发生改变的全网互联网新业务。
第十二条评估结论分为两类:可运营和存在较大风险需整改重评。
第十三条业务单位的初评,可以采取内部评估的方式,也可以委托第三方评估机构实施评估。
为保证第三方机构评估质量,总部和子公司应从总部第三方评估机构资质目录中选择,省级分公司应从本省第三方评估机
构资质目录中选择。
第十四条符合本办法第十条中任意一项条件的,要按照规定及时启动并完成评估。
第十五条总部业务部门和子公司的初评结果为可运营的,形成初评报告,并及时向总部复审小组提交复审申请,同时提交申请材料,包括评估报告、业务基本情况和配套安全管理措施等。
初评结果为存在较大风险需整改重评的,业务单位应组织整改,并于整改完成后再次进行初评。
第十六条省级分公司业务单位的初评结果为可运营的,形成初评报告,并及时向本省信息安全部门提交复审申请,同时提交申请材料,包括评估报告、业务基本情况和配套安全管理措施等。
初评结果为存在较大风险需整改重评的,业务单位应组织整改,并于整改完成后再次进行初评。
第十七条各业务单位的初评委托工业和信息化部各级互联网新业务评估机构完成且评估结果为可运营的,可不进行复审。
集团信息安全部门负责统一发布工业和信息化部部属互联网新业务评估机构名单。
第十八条复审部门收到业务单位的复审申请后,应及时启动复审工作,原则上应于15个工作日内组织完成复审,复审完