文档介绍:IBMT standardization office【IBMT5AB-IBMT08-IBMT2C-ZZT18】
联通业务信息安全评估基本规范V修订版
中国联通公司企业标准
QB/CU A32-073(
中国联通双栈(IPv4IPv6)
安全评估框架
概述
中国联通业务信息安全评估依据科学的安全风险评估方法,并结合中国联通的实际情况,从业务所涉及的各类软硬件资产(设备、平台及软件、业务流程、业务内容)及安全管控出发,依据不同类型资产耦合度,划分为五个层次。根据不同层次常见的安全风险,分别对不同风险进行信息安全评估。
本信息安全评估规范重点对与业务流程相关的内容、用户信息、业务逻辑及安全管控等方面进行信息安全风险评估,旨在尝试深层次探索中国联通业务信息安全评估体系,相关评估结果亦可指导相关业务的建设和运维。
安全评估框架
安全评估框架图
安全评估框架简介
设备安全
设备安全从网络设备、安全设备、主机操作系统三个方面进行安全评估。重点评估中国联通业务所涉及设备在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。
平台及软件安全
业务平台及软件安全从数据库、中间件两个方面进行安全评估。重点评估中国联通业务平台所涉及平台软件在基线配置、漏洞缺陷等方面信息安全管控措施的落实及实施效果。
业务流程安全
计费安全
计费安全从计费流程方面进行安全评估。重点评估中国联通业务在计费流程、计费防盗链、计费审核等方面的信息安全管控措施的落实及实施效果。
接口安全
接口安全对系统平台与外部平台之间接口与协议安全方面进行安全评估。重点评估中国联通业务在接口与协议安全设计、实施、测试等方面的信息安全管控措施的落实及实施效果。
用户信息安全
用户信息安全从用户基本信息(包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等信息)存储、用户数据信息(包括用户使用服务的时间、地点、通信内容等)保护两个方面进行安全评估。重点评估中国联通业务在用户信息保存、访问、保护等方面的信息安全管控措施的落实及实施效果。
业务逻辑安全
业务逻辑安全从业务订购、业务认证和业务使用三个方面进行安全评估。重点评估中国联通业务在业务订购流程、认证逻辑等方面的信息安全管控措施的落实及实施效果。
传播安全
传播安全从业务传播方式方面进行安全评估。重点评估中国联通业务在业务传播范围、业务传播方式等方面的信息安全管控措施的落实及实施效果。
营销安全
营销安全从营销渠道、营销防盗链两个方面进行安全评估。重点评估中国联通业务在业务营销渠道管控、营销方式审核等方面的信息安全管控措施的落实及实施效果。
应急预案
应急预案主要从是否有应急预案、预案的可操作性及预案的有效性进行评估。重点评估中国联通的业务上线后,因灾难或故障导致业务系统部分瘫痪时,将整个业务系统恢复到正常运行状态或部分正常运行状态、并将其支持的业务从灾难造成的不正常状态恢复到可接受状态,而需要采取的应对预案和措施备及实施效果。
业务内容安全
业务内容安全从内容审核、内容源引入机制、内容发布机制、内容提供流程和内容操作记录保护五个方面进行安全评估。重点评估中国联通业务在内容安全、内容源引进、发布、审核、记录保存管控制度等方面信息安全管控措施的落实及实施效果。
安全管控
系统安全
系统安全对业务相关的应用软件系统的访问控制措施进行安全评估。重点评估中国联通业务软件系统在访问控制措施、访问权限、口令策略等方面的信息安全管控措施的落实及实施效果。
人员安全
人员安全从人员管理方面进行安全评估。重点评估中国联通业务相关人员在雇佣、入职、安全考核等方面的信息安全管控措施的落实及实施效果。
第三方管理安全
第三方安全管理从人员安全、物理安全两个方面进行安全评估。重点评估中国联通业务有关的第三方合作伙伴在人员管理、接入管理、物理区域访问管理等方面的信息安全管控措施的落实及实施效果。
应用指导原则
本信息安全评估规范旨在建立基本的、体系化的中国联通业务安全风险评估基本要求,不同需求驱动的业务安全评估可在该框架的不同评估场景下具体细化和补充以突出不同的重点。
安全评估实施要点
设备安全
评估编号
AQ—SBAQ--WLSB
评估场景
设备安全——网络设备