公司信息安全评估管理办法

第一章 总则

第一条 为规范科技有限公司及各子公司（以下简称“公司”）信息 安全评估

管理活动，保障信息系统安全，依据国家有关规定，

结合公司实际情况，参考集团〈〈业务安全通用评估规范》、〈〈网 络与信息安全风险评估管理办法 V1.0 ?等要求制定本办法。 第二条 本办法所称安全评估是指公司通过技术与管理手段对网络

和信息系统等信息资产存在的脆弱性、威胁、发生概率、安全 事件影响程度等安全风险情况进行分析，找出安全风险，有针 对的提出改进措施的活动。

第二章 适用范围

第三条 公司运营所涉及的所有业务与系统。

第三章 组织与职责

第四条 信息安全工作小组在信息安全领导小组及上级主管部门领

导下，成立安全评估小组，组织开展公司各业务的安全评估工 作。 第五条 信息安全工作小组就评估工作发现的重大问题、可能的全

网共性问题及时上报信息安全领导小组。

第六条 信息安全工作小组管控安全评估活动过程质量，对评估相

关文档的发布、保存、流转、更改、作废、销毁各环节进行严 格管控，确保评估工作材料的保密性、完整性、可用性。

第七条 安全评估小组分析业务系统现状，制定评估方案、作业指

导书、现场评估表单、准备评估工具，实施现场安全评估，针 对现场

评估结果分析风险及整改建议，复查整改情况，编写评 估报告。 第八条

各业务系统负责人根据白身业务现状，提出评估需求，并

提供相关资料配合评估小组完成安全评估工作，对评估所发现 的安全风险实施有效整改。 第九条

参与安全评估人员应严格遵守公司保密管理规定，对接触

到的敏感信息、漏洞情况等严格保密。

第四章

第十条

安全评估实施内容

安全评估小组应根据工信部、网信办、集团信安中心及公

司内部相关评估标准实施安全评估。

第^一条 安全评估内容主要包括对业务安全评估和系统安全评估，

包括但不限于以下内容：

1） 业务流程安全：内容安全性、计费安全性、客户信息安全性 等。 2） 业务系统架构、网络结构安全性评估：网络组网、流量节点 冗余设

计、设备及流量监控等。

3） 设备、平台及软件：业务使用的设备、数据库、中间件、安 全管控

平台/4A的安全性。

4） 终端安全性：对PC终端、客户端的业务软件的安全评估。

5） 安全管控：对业务相关的应用软件系统的访问控制措施进行 安全评

估。

6) 渗透测试：由专业安全服务人员模拟常见黑客所使用的攻击 手段

对目标系统进行模拟入侵。渗透测试目的在于充分挖掘 和暴露系

统的弱点，从而让管理人员了解其系统所面临的威 胁。

7) 安全漏洞评估：对信息和信息处理设施安全漏洞及其遭受入 侵方

式的评估，使用户了解信息系统内的服务器和网络通讯 设备的系统漏洞，以及漏洞的分布状况和危险等级。

8) 安全配置核查：主要通过设立满足安全要求的安全基准点， 对信

息系统涉及的设备和软件安全配置信息进行集中采集 及分析，并且最终识别那些与安全规范不符合的项目以达到 整改合规的要求。

第五章

安全评估实施原则

第十二条安全评估须贯穿信息系统的生命周期。 第十三条 规划设计阶段：

1) 新业务系统建设或现有业务系统扩容建设之前，在项目 可行性研究报告/项目建议书中包含安全需求。在项目设 计文档中包含信息安全设计方案。

2) 现网业务系统进行大规模调整、业务变更管理等问题， 须对变更相关的系统设计方案进行安全评估。

3) 由系统建设部门向信息安全工作小组提出评估申请。

第十四条实施阶段：

1) 新业务系统建设完成入网正式上线前或新设备上线前， 须进行安全评估

2) 业务系统变更完成上线前，须对业务系统变更部分涉及 的安全措施进行安全评估。

3) 由系统建设部门向信息安全工作小组提出评估申请。

第十五条维护阶段：

1) 信息安全领导小组或上级监管单位提出安全评估需求时, 须对特定网络及信息系统进行安全评估。

2) 信息系统出现重大安全事故导致业务中断、设备宕机等 需要重新整改时须进行安全评估。

3) 未发生重大变更的业务系统再次进行安全评估的，可参 考前次评估结果，重点评估前次评估发现的主要问题及 整改情况。

4) 由系统建设部门向信息安全工作小组提出评估申请。

第十六条下线阶段：部分下线或全部下线的信息资产，确保信息系 统组件合

理丢弃或更换，须对该废弃的资产进行安全评估。

第六章 安全整改及上报

第十七条评估小组对业务系统安全风险进行分析和人工验证并提出 整改建议

并以安全评估报告的方式提交信息安全工作小组。

第十八条信息安全工作小组根据安全评估报告中存在的安全风险组 织相关部

门确认，各部门基于整改建议制定整改计划、实施整 改工作并反馈整改完成情况。

第十九条 整改完成后，评估小组实施业务系统安全评估复查工作，

验证风险整改情况，评估系统残余风险。

第二十条安全评估工作完成后，评估小组提交最终版本评估报告至

信息安全工作小组归档。

第七章 附则

第二^一条公司信息安全工作小组根据实际工作需要有权修订本

办法。

第二十二条 本办法由公司信息安全工作小组负责解释。 第二十三条 本办法白印发之日起施行。

相关表格: