文档介绍:中国移动安全审计管理办法(试行)
总则
为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作(以下简称“安全审计”),特制定本办法。
安全审计内容可分为管理和技术两个方面,管理方面的审计侧重检查安全流程、管理要求的执行情况;技术方面的审计侧重检查通信网、业务网和各支撑系统符合设备安全技术要求、安全配置要求以及其它技术规范的情况。
安全审计应遵循“审计独立性”的原则,通过设立独立的审计岗位或采取交叉审计等方式开展。
本办法解释权归中国移动通信有限公司网络部,各省公司应根据本办法制定实施细则。
适用范围
本办法适用于中国移动总部和各省公司。
可依据本办法开展通信网、业务网和各支撑系统的安全审计,开展信息安全等其它安全管理方面的审计。
用于指导开展定期和不定期,全面和针对特定目的的安全审计。
组织与职责
发起网络与信息安全审计工作的主体包括:总部及各省的网络与信息安全工作办公室、网络部门、业务支撑部门、管理信息系统部门等。
网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全审计工作:
落实上级审计工作总体安排;
组织制定安全审计细则;
作为公司范围安全审计工作的责任主体,组织制定并实施公司级的审计计划。每年1月底前完成当年审计计划制定工作;
对其它安全审计责任主体的审计工作,如制定内部审计工作计划、实施审计等,进行指导、审批、检查、备案;
汇总、审阅审计报告,审核改进方案,督促解决审计中发现的突出问题
。出现涉及公司层面的重大问题或者需要对技术或者管理流程做出重大调整时,应向公司主管领导汇报。
总部网络与信息安全工作办公室负责对各省安全审计工作进行检查。
各审计责任主体的主要职责:
配合完成网络与信息安全工作领导小组、网络与信息安全工作办公室或者其它上级主管安排的安全审计任务;
组织制定部门内部安全审计实施细则;
在本部门职责范围内,制定安全审计工作年度计划、明确审计要点及实施方案,并报上级部门批准。每年1月底前完成当年审计计划制定工作,内容应满足本部门或上级部门各类网络与信息安全检查需求;
按照审计计划,实施项目;
提交审计报告;
及时上报审计中发现的重大问题;
针对审计发现的问题,形成改进方案并启动改进工作。
被审计对象应参与制定审计计划、明确审计重点,配合审计工作。
在审计过程中,审计人员应按照公司信息保密规定对接触到的敏感信息进行严格保密,尤其在安全漏洞修补之前,严禁泄露给第三方。
审计频次与工作重点
总体原则
在确定审计频次、工作重点时,应坚持“对重要系统、重要设备、重要信息、重要规章制度和技术要求,进行重点审计”的原则,综合考虑审计对象主要安全需求、人力资源、技术手段等因素,发挥审计工作的最大效益;
应与国家政府部门确定的安全审计原则、频次要求相一致;
应与《萨班斯法案》、ISO27001认证等要求相一致,如对纳入萨班斯法案审计范围的系统和流程,审计频率应不低于《中国移动内控手册》相关要求。
安全审计频次要求
针对公司范围进行的全面审计,每年至少一次,可按需不定期开展;
对局部范围内进行的安全策略技术要求符合情况的审计,依据《信息资产安全等级划分及保护指南》要求,原则上3级及3级以上的系统每半年审计一次