1、第一部分總則一、編制目的為了加強(qiáng)業(yè)務(wù)信息安全管理，保證業(yè)務(wù)發(fā)展過程中信息安全要求同步規(guī)劃、同步建設(shè)、同步運(yùn)行， 提升業(yè)務(wù)信息安全整體水平，降低業(yè)務(wù)信息安全風(fēng)險，特制定本標(biāo)準(zhǔn)。通過業(yè)務(wù)信息安全評估對各業(yè)務(wù)信息安全水平進(jìn)行客觀、綜合評價，促進(jìn)各單位有針對性地做好業(yè) 務(wù)信息安全管理工作，為業(yè)務(wù)發(fā)展提供良好支撐。二、適用范圍本標(biāo)準(zhǔn)適用于各全網(wǎng)業(yè)務(wù)運(yùn)營單位，包括業(yè)務(wù)基地、全網(wǎng)業(yè)務(wù)運(yùn)營省等；適用于各類全網(wǎng)數(shù)據(jù)及信 息業(yè)務(wù)。本標(biāo)準(zhǔn)解釋權(quán)歸總部信息安全管理部，自印發(fā)之日起實(shí)施。三、實(shí)施要求1、全網(wǎng)業(yè)務(wù)信息安全評估由總部信息安全管理部牽頭組織，成立評估工作組從第三方角度對各業(yè) 務(wù)信息安全工作的開展效果進(jìn)行評估、

2、對存在的風(fēng)險狀況進(jìn)行評價。2、總部信息安全管理部每年根據(jù)工作重點(diǎn)制定業(yè)務(wù)信息安全評估計劃。評估前以公文形式通知被 評估業(yè)務(wù)基地或業(yè)務(wù)運(yùn)營省公司，被評估單位應(yīng)積極配合評估工作的開展。3、評估執(zhí)行時，評估工作組依據(jù)本標(biāo)準(zhǔn)對業(yè)務(wù)進(jìn)行實(shí)地評估，在評估業(yè)務(wù)自身信息安全風(fēng)險等級 的基礎(chǔ)上，重點(diǎn)對控制措施的部署及效果進(jìn)行檢查，對于沒有采取有效控制措施的項判定為不符合項。4、評估工作完成后應(yīng)出具業(yè)務(wù)信息安全評估報告,提出該業(yè)務(wù)當(dāng)前信息安全的現(xiàn)狀與不足，明確整 改要求。被評估業(yè)務(wù)基地或業(yè)務(wù)運(yùn)營省公司應(yīng)根據(jù)評估報告對不符合項進(jìn)行整改完善，并將整改結(jié)果 提交總部信息安全管理部。第二部分 評估標(biāo)準(zhǔn)本標(biāo)準(zhǔn)涵蓋業(yè)務(wù)的內(nèi)容

3、安全、計費(fèi)安全、營銷安全、用戶信息安全、 系統(tǒng)安全、人員安全、傳播安全等七個方面，主要內(nèi)容包括評估標(biāo)準(zhǔn)、控制措施、管理制度等。其中 評估標(biāo)準(zhǔn)部分提出了業(yè)務(wù)自身信息安全風(fēng)險等級的評估依據(jù)；控制措施部分提出了具體的信息安全控 制要求；管理制度部分提出了業(yè)務(wù)所需建立的信息安全相關(guān)管理制度。業(yè)務(wù)管理過程中應(yīng)落實(shí)本標(biāo)準(zhǔn) 相關(guān)要求以控制業(yè)務(wù)的信息安全風(fēng)險。第1頁內(nèi)容安全子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度內(nèi)容來源業(yè)務(wù)類型業(yè)務(wù)類型為功能型時，信息安全風(fēng)險為低； 業(yè)務(wù)類型為內(nèi)容型時，信息安全風(fēng)險為高；對于內(nèi)容型業(yè)務(wù)，制定嚴(yán)格的內(nèi)容源引入流 程和機(jī)制，對內(nèi)容提供方進(jìn)行嚴(yán)格挑選，合作 前進(jìn)行背景調(diào)查。內(nèi)容安全管

4、理制度業(yè)務(wù)內(nèi)容提供 流程業(yè)務(wù)類型為合作業(yè)務(wù)，內(nèi)容由合作方提供 時，信息安全風(fēng)險為高；業(yè)務(wù)類型為自有業(yè)務(wù)，內(nèi)容由運(yùn)營支撐單位 提供時，信息安全風(fēng)險為中；業(yè)務(wù)類型為自有業(yè)務(wù)，內(nèi)容由移動公司提供，信息安全風(fēng)險為低；業(yè)務(wù)內(nèi)容由用戶原創(chuàng)時，信息安全風(fēng)險為 高。由SP、CP提供內(nèi)容的，應(yīng)與其簽訂信息安 全承諾保證書，明確其信息安全責(zé)任；由運(yùn)營支撐單位提供內(nèi)容的，應(yīng)與其簽訂信 息安全承諾保證書，明確其信息安全責(zé)任；由用戶原創(chuàng)提供內(nèi)容的，應(yīng)在用戶注冊時明 確對其發(fā)布內(nèi)容的要求及相應(yīng)的信息安全責(zé) 任，相應(yīng)內(nèi)容進(jìn)行審核后才能使用。內(nèi)容安全管 理制度子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度內(nèi)容操作內(nèi)容發(fā)布流程業(yè)務(wù)內(nèi)容未

5、經(jīng)審核就發(fā)布，信息安全風(fēng)險為 高；業(yè)務(wù)平臺直接開放接口由合作方發(fā)布時，信 息安全風(fēng)險為高；業(yè)務(wù)內(nèi)容由合作方編輯，審核發(fā)布由運(yùn)營支 撐單位進(jìn)行時，信息安全風(fēng)險為中；業(yè)務(wù)內(nèi)容由合作方編輯，審核發(fā)布由移動公 司進(jìn)行時，信息安全風(fēng)險為低；業(yè)務(wù)內(nèi)容由用戶原創(chuàng)且未經(jīng)審核，信息安全 風(fēng)險為高。對于自有業(yè)務(wù)：建立相關(guān)的制度，制定規(guī)范的內(nèi)容發(fā)布流程， 內(nèi)容發(fā)布前必須進(jìn)行審核；內(nèi)容操作要求建立相應(yīng)的技術(shù)手段，實(shí)現(xiàn)編 輯、審核、發(fā)布權(quán)限分離和人員分離；對于業(yè)務(wù)內(nèi)容進(jìn)行定期撥測，發(fā)現(xiàn)不合規(guī)的 內(nèi)容及時處理；內(nèi)容審核應(yīng)采用自動過濾和人工檢查結(jié)合的 方式進(jìn)行有害信息檢查、屏蔽和刪除。對于合作業(yè)務(wù)：應(yīng)對業(yè)務(wù)內(nèi)容進(jìn)行定期撥測

6、，發(fā)現(xiàn)不合規(guī) 內(nèi)容及時處理。內(nèi)容安全管 理制度、 業(yè)務(wù)日常安 全監(jiān)測制度內(nèi)容存儲內(nèi)容操作記錄 存放已發(fā)布內(nèi)容保留操作記錄，并由專人負(fù)責(zé)， 信息安全風(fēng)險為低；發(fā)布內(nèi)容缺乏操作記錄，或存檔保留期不能 達(dá)到兩年以上時，信息安全風(fēng)險為高。應(yīng)建立內(nèi)容保存相關(guān)制度，對存放內(nèi)容進(jìn)行 有效管理，明確其保存、傳輸、銷毀等流程。內(nèi)容安全管 理制度內(nèi)容訪問存檔人員具有內(nèi)容變更權(quán)限時，信息安全風(fēng) 險為高。對存檔內(nèi)容進(jìn)行嚴(yán)格管理，不得進(jìn)行內(nèi)容變 更。內(nèi)容安全管 理制度二、計費(fèi)安全子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度計費(fèi)點(diǎn)防 盜業(yè)務(wù)類型業(yè)務(wù)類型為移動自有業(yè)務(wù)且由移動公司運(yùn) 營時，計費(fèi)點(diǎn)套用信息安全風(fēng)險為低； 業(yè)務(wù)類型為移

7、動自有業(yè)務(wù)，運(yùn)營由支撐單位 進(jìn)行時，計費(fèi)點(diǎn)套用信息安全風(fēng)險為中； 業(yè)務(wù)類型為合作業(yè)務(wù)時，計費(fèi)點(diǎn)套用信息安 全風(fēng)險為高。應(yīng)對代收費(fèi)業(yè)務(wù)進(jìn)行定期撥測，發(fā)現(xiàn)問題及 時處理。計費(fèi)安全管 理要求、 業(yè)務(wù)日常安 全監(jiān)測制度計費(fèi)流程包月訂購計費(fèi)流程缺少“二次確認(rèn)”或點(diǎn)播 業(yè)務(wù)缺少扣費(fèi)提醒時，信息安全風(fēng)險為高； 計費(fèi)點(diǎn)不在自有設(shè)備時，信息安全風(fēng)險為 高。包月業(yè)務(wù)應(yīng)實(shí)現(xiàn)“二次確認(rèn)”，點(diǎn)播業(yè)務(wù)應(yīng) 進(jìn)行資費(fèi)提示；業(yè)務(wù)扣費(fèi)時應(yīng)對用戶進(jìn)行扣費(fèi)提醒；業(yè)務(wù)的計費(fèi)點(diǎn)必須為自有系統(tǒng)。采用相應(yīng)的 技術(shù)手段防止計費(fèi)點(diǎn)被套用：對于WAP和WWW訂購方式，應(yīng)采用動態(tài)碼驗(yàn) 證、短信驗(yàn)證碼等技術(shù)手段進(jìn)行計費(fèi)點(diǎn)防護(hù)；對于短信訂購方式，應(yīng)采用

8、短信端口號碼長 度有效性校驗(yàn)等技術(shù)手段進(jìn)行計費(fèi)點(diǎn)防護(hù)；應(yīng)實(shí)現(xiàn)業(yè)務(wù)信息費(fèi)異常有效監(jiān)控，及時發(fā)現(xiàn) 問題。計費(fèi)安全管 理要求三、營銷安全子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度營銷單位營銷渠道營銷方式包含合作的互聯(lián)網(wǎng)渠道方式時，信 息安全風(fēng)險為高；營銷主MSP時，信息安全風(fēng)險為高；SP、CP可以通過營銷獲利時，信息安全風(fēng) 險為高；運(yùn)營支撐方可以通過營銷獲利時，信息安全 風(fēng)險為中。應(yīng)建立業(yè)務(wù)營銷審批制度，營銷活動應(yīng)在審 批通過后方可開展，營銷計劃與執(zhí)行情況應(yīng)存 檔；應(yīng)制定營銷推廣管理制度，所有營銷活動應(yīng) 由統(tǒng)一組織，業(yè)務(wù)支撐單位和第二方不得擅自 發(fā)起營銷，對SP、CP的營銷行為應(yīng)進(jìn)行監(jiān)控 和定期審核。營銷

9、推廣安 全管理制度營銷防盜 鏈業(yè)務(wù)承載方式業(yè)務(wù)承載方式包含wap、www、ivr、客戶端 方式時，信息安全風(fēng)險為高；應(yīng)結(jié)合業(yè)務(wù)自身情況，建立技術(shù)手段防止非 信任互聯(lián)網(wǎng)渠道惡意盜鏈：對于通過WAP、WWW渠道推廣的業(yè)務(wù)，應(yīng)采 用來源網(wǎng)址黑白名單、動態(tài)碼驗(yàn)證等方式防盜 鏈；應(yīng)對來源網(wǎng)址進(jìn)行定期撥測，發(fā)現(xiàn)違規(guī)情況 及時處理；對于客戶端業(yè)務(wù)，在業(yè)務(wù)初次使用時應(yīng)進(jìn)行 客戶端下載渠道驗(yàn)證；對于從非授信渠道下載 的，應(yīng)禁止其使用。營銷推廣安 全管理制 度、業(yè)務(wù)日常安 全監(jiān)測制度子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度營銷渠道 管控營銷渠道管控移動公司使用自有渠道進(jìn)行業(yè)務(wù)營銷（直接 面向用戶直接銷售業(yè)務(wù)）時，且營

10、銷方式為 線下（營業(yè)廳）時，信息安全風(fēng)險為低； 移動公司使用自有渠道進(jìn)行業(yè)務(wù)營銷（不直 接面向用戶直接銷售業(yè)務(wù)）時，且營銷方式 為線上（電話營銷、wappush、短信、彩信、 wap、web）時，信息安全風(fēng)險為中；移動公 司委托第二方進(jìn)行業(yè)務(wù)營銷（不直接面向用 戶營銷），營銷方式為線下（賣場、實(shí)體卡 等）時，信息安全風(fēng)險為中；移動公司委托第二方進(jìn)行業(yè)務(wù)營銷（不直接 面向用戶營銷），營銷方式為線上（wappush、 短信、彩信、wap、web）時，信息安全風(fēng)險 為高。委托第三方進(jìn)行業(yè)務(wù)營銷時，應(yīng)遵循以下.要求：應(yīng)對營銷渠道進(jìn)行嚴(yán)格審查，合作前簽訂信 息安全協(xié)議；要求第二方營銷渠道不能進(jìn)行層層轉(zhuǎn)包

11、；應(yīng)定期進(jìn)行營銷規(guī)范性撥測，發(fā)現(xiàn)違規(guī)情況 及時處理。營銷推廣安 全管理制 度、業(yè)務(wù)日常安 全監(jiān)測制度用戶信息安全子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度信息存放信息存放業(yè)務(wù)系統(tǒng)中包含用戶通信錄、身份證號、密 碼、銀行證券資金賬戶信息、位置信息等時， 信息安全風(fēng)險為高；業(yè)務(wù)系統(tǒng)中包含用戶號碼、業(yè)務(wù)使用信息 時，信息安全風(fēng)險為中；對用戶敏感信息應(yīng)加密存儲，包括用戶通信 錄、身份證號、密碼、銀行證券資金賬戶信息、 位置信息等；存放用戶信息的設(shè)備，應(yīng)嚴(yán)格限制網(wǎng)絡(luò)端口、 數(shù)據(jù)庫端口、操作系統(tǒng)的用戶訪問權(quán)限；用戶信息應(yīng)存儲在專門的數(shù)據(jù)主機(jī)或存儲介 質(zhì)中，保證信息存儲安全；應(yīng)建立定期備份機(jī)制，完整備份所有用戶信

12、 息；對于用戶信息的使用應(yīng)建立申請和登記制 度，嚴(yán)格限定使用范圍；加強(qiáng)對移動介質(zhì)的管理，禁止在存放用戶信 息的數(shù)據(jù)主機(jī)或存儲介質(zhì)使用移動介質(zhì)。用戶信息管 理制度用戶認(rèn)證 保護(hù)用戶認(rèn)證保護(hù)業(yè)務(wù)系統(tǒng)具有www認(rèn)證方式時，信息安全風(fēng) 險為高；業(yè)務(wù)系統(tǒng)具有wap認(rèn)證方式時，信息安全風(fēng) 險為中。對于通過WAP、神亞方式進(jìn)行用戶認(rèn)證的業(yè) 務(wù)，應(yīng)采用密碼安全性限定、密碼定期強(qiáng)制更 新、圖片驗(yàn)證碼、隨機(jī)短信驗(yàn)證碼等措施進(jìn)行 認(rèn)證保護(hù)。用戶信息管 理制度五、系統(tǒng)安全子類別 評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度子類別 評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度權(quán)限設(shè)置權(quán)限設(shè)置系統(tǒng)中包含有與運(yùn)行、

13、維護(hù)等工作無關(guān)的帳 號時，信息安全風(fēng)險為高；SP具有系統(tǒng)管理員權(quán)限時，信息安全風(fēng)險為高；運(yùn)營支撐單位具有系統(tǒng)管理員權(quán)限時，信息 安全風(fēng)險為中；對于自有業(yè)務(wù)權(quán)限分配應(yīng)遵循最低權(quán)限原則，嚴(yán)格控制特 權(quán)賬號的分配和使用人數(shù)，嚴(yán)格控制合作方的 訪問帳號及權(quán)限；應(yīng)對用戶的訪問權(quán)限進(jìn)行定期審核，確認(rèn)帳 戶訪問權(quán)限是否與工作職責(zé)相符，并及時清理 不適當(dāng)?shù)脑L問權(quán)限；系統(tǒng)管理員權(quán)限只能賦予移動公司人員，若 運(yùn)營支撐單位或合作方確因工作需要使用時， 應(yīng)有移動公司人員全程監(jiān)督，保留相關(guān)的操作 日志；系統(tǒng)應(yīng)設(shè)置密碼定期更換和安全性檢查功 能，自動拒絕創(chuàng)建不符合規(guī)則的口令。業(yè)務(wù)系統(tǒng)安 全防護(hù)技術(shù) 要求系統(tǒng)維護(hù)維護(hù)單位系

14、統(tǒng)由移動公司維護(hù)時，信息安全風(fēng)險為低；系統(tǒng)由運(yùn)營支撐單位維護(hù)時，信息安全風(fēng)險為中；系統(tǒng)由SP維護(hù)時，信息安全風(fēng)險為高。應(yīng)接入4A系統(tǒng)集中管控，實(shí)現(xiàn)對訪問賬戶、 訪問內(nèi)容的統(tǒng)一管理、統(tǒng)一審計、統(tǒng)一監(jiān)控。業(yè)務(wù)系統(tǒng)安 全防護(hù)技術(shù) 要求系統(tǒng)存放系統(tǒng)存放系統(tǒng)存放在自有機(jī)房時，信息安全風(fēng)險為低；系統(tǒng)存放在IDC機(jī)房時，信息安全風(fēng)險為 中；系統(tǒng)存放在SP機(jī)房時，信息安全風(fēng)險為高。應(yīng)建立相應(yīng)的安全防護(hù)手段，防范各類安全 攻擊；應(yīng)詳細(xì)記錄各類操作日志，包括系統(tǒng)配置變 更、文件屬性變更、用戶屬性變更、系統(tǒng)啟動 和關(guān)閉、系統(tǒng)特權(quán)指令的使用等；應(yīng)定期進(jìn)行日志審計，及時發(fā)現(xiàn)問題并處理。業(yè)務(wù)系統(tǒng)安 全防護(hù)技術(shù) 要求六、人

15、員安全子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度人員設(shè)置操作維護(hù)人員操作維護(hù)人員為SP人員時，信息安全風(fēng)險 為高；操作維護(hù)人員為運(yùn)營支撐單位人員時，信息 安全風(fēng)險為中；操作維護(hù)人員為移動公司人員時，信息安全 風(fēng)險為低；應(yīng)對各類人員的信息訪問權(quán)限進(jìn)行分級管理，并簽訂保密協(xié)議；應(yīng)建立各類人員的信息訪問權(quán)限登記表，并 定期更新；對自有業(yè)務(wù)應(yīng)配備專職的信息安全管理人 員，定期組織安全管理培訓(xùn)；對合作業(yè)務(wù)應(yīng)要求合作伙伴成立信息安全保 障團(tuán)隊，負(fù)責(zé)日常信息安全管理。人員及操作 安全管理制 度第10頁七、傳播安全子類別評估點(diǎn)評估標(biāo)準(zhǔn)控制措施管理制度傳播方式業(yè)務(wù)傳播類型業(yè)務(wù)傳播類型為用戶主動獲取業(yè)務(wù)信息時， （如wap、web、IVR）