網(wǎng)通2008168號-中國移動安全審計管理辦法

中國移動安全審計管理辦法（試行）總則為督促落實(shí)各項網(wǎng)絡(luò)與信息安全管理辦法、技術(shù)規(guī)范，規(guī)范各項網(wǎng)絡(luò)與信息安全檢查工作（以下簡稱“安全審計”），特制定本辦法。安全審計內(nèi)容可分為管理和技術(shù)兩個方面，管理方面的審計側(cè)重檢查安全流程、管理要求的執(zhí)行情況；技術(shù)方面的審計側(cè)重檢查通信網(wǎng)、業(yè)務(wù)網(wǎng)和各支撐系統(tǒng)符合設(shè)備安全技術(shù)要求、安全配置要求以及其它技術(shù)規(guī)范的情況。安全審計應(yīng)遵循“審計獨(dú)立性”的原則，通過設(shè)立獨(dú)立的審計崗位或采取交叉審計等方式開展。本辦法解釋權(quán)歸中國移動通信有限公司網(wǎng)絡(luò)部，各省公司應(yīng)根據(jù)本辦法制定實(shí)施細(xì)則。適用范圍本辦法適用于中國移動總部和各省公司?？梢罁?jù)本辦法開展通信網(wǎng)、業(yè)務(wù)網(wǎng)和各支撐系統(tǒng)的安全審計，開展信息安全等其它安全管理方面的審計。用于指導(dǎo)開展定期和不定期，全面和針對特定目的的安全審計。組織與職責(zé)發(fā)起網(wǎng)絡(luò)與信息安全審計工作的主體包括：總部及各省的網(wǎng)絡(luò)與信息安全工作辦公室、網(wǎng)絡(luò)部門、業(yè)務(wù)支撐部門、管理信息系統(tǒng)部門等。網(wǎng)絡(luò)與信息安全工作辦公室在網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組及上級主管部門領(lǐng)導(dǎo)下，組織開展公司層面安全審計工作：落實(shí)上級審計工作總體安排；組織制定安全審計細(xì)則；作為公司范圍安全審計工作的責(zé)任主體，組織制定并實(shí)施公司級的審計計劃。每年1月底前完成當(dāng)年審計計劃制定工作；對其它安全審計責(zé)任主體的審計工作，如制定內(nèi)部審計工作計劃、實(shí)施審計等，進(jìn)行指導(dǎo)、審批、檢查、備案；匯總、審閱審計報告，審核改進(jìn)方案，督促解決審計中發(fā)現(xiàn)的突出問題。出現(xiàn)涉及公司層面的重大問題或者需要對技術(shù)或者管理流程做出重大調(diào)整時，應(yīng)向公司主管領(lǐng)導(dǎo)匯報?？偛烤W(wǎng)絡(luò)與信息安全工作辦公室負(fù)責(zé)對各省安全審計工作進(jìn)行檢查。各審計責(zé)任主體的主要職責(zé)：配合完成網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組、網(wǎng)絡(luò)與信息安全工作辦公室或者其它上級主管安排的安全審計任務(wù)；組織制定部門內(nèi)部安全審計實(shí)施細(xì)則；在本部門職責(zé)范圍內(nèi)，制定安全審計工作年度計劃、明確審計要點(diǎn)及實(shí)施方案，并報上級部門批準(zhǔn)。每年1月底前完成當(dāng)年審計計劃制定工作，內(nèi)容應(yīng)滿足本部門或上級部門各類網(wǎng)絡(luò)與信息安全檢查需求；按照審計計劃，實(shí)施項目；提交審計報告；及時上報審計中發(fā)現(xiàn)的重大問題；針對審計發(fā)現(xiàn)的問題，形成改進(jìn)方案并啟動改進(jìn)工作。被審計對象應(yīng)參與制定審計計劃、明確審計重點(diǎn)，配合審計工作。在審計過程中，審計人員應(yīng)按照公司信息保密規(guī)定對接觸到的敏感信息進(jìn)行嚴(yán)格保密，尤其在安全漏洞修補(bǔ)之前，嚴(yán)禁泄露給第三方。審計頻次與工作重點(diǎn)總體原則在確定審計頻次、工作重點(diǎn)時，應(yīng)堅持“對重要系統(tǒng)、重要設(shè)備、重要信息、重要規(guī)章制度和技術(shù)要求，進(jìn)行重點(diǎn)審計”的原則，綜合考慮審計對象主要安全需求、人力資源、技術(shù)手段等因素，發(fā)揮審計工作的最大效益；應(yīng)與國家政府部門確定的安全審計原則、頻次要求相一致；應(yīng)與《薩班斯法案》、ISO27001認(rèn)證等要求相一致，如對納入薩班斯法案審計范圍的系統(tǒng)和流程，審計頻率應(yīng)不低于《中國移動內(nèi)控手冊》相關(guān)要求。安全審計頻次要求針對公司范圍進(jìn)行的全面審計，每年至少一次，可按需不定期開展；對局部范圍內(nèi)進(jìn)行的安全策略技術(shù)要求符合情況的審計，依據(jù)《信息資產(chǎn)安全等級劃分及保護(hù)指南》要求，原則上3級及3級以上的系統(tǒng)每半年審計一次。3級以下的系統(tǒng)每年審計一次，并形成分系統(tǒng)的審計報告；在能夠真實(shí)反映整體安全工作水平的前提下，采用抽查方式，提高工作效率；審計結(jié)束后，應(yīng)編制并上報書面審計報告和改進(jìn)報告。公司層面的審計報告應(yīng)上報公司網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組。部門組織進(jìn)行的審計，應(yīng)將報告上報主管部門如安全工作主管部門和維護(hù)職能管理部門，如發(fā)現(xiàn)重大問題，應(yīng)通過網(wǎng)絡(luò)與信息安全工作辦公室上報網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組。審計重點(diǎn)應(yīng)包括重點(diǎn)要求、重點(diǎn)規(guī)范、重要系統(tǒng)中的重要設(shè)備，以及用戶的操作行為等。審計內(nèi)容和審計方法安全審計主要依據(jù)公司已發(fā)布的各項安全管理規(guī)定和技術(shù)要求，檢查具體要求的落實(shí)情況。根據(jù)審計目的、關(guān)注點(diǎn)不同，如在某個時間段、針對某些管理規(guī)定、技術(shù)規(guī)范要求檢查落實(shí)情況，突出相應(yīng)審計內(nèi)容的側(cè)重點(diǎn)。審計方法包括：對安全運(yùn)行維護(hù)等記錄的抽樣檢查、系統(tǒng)檢查、現(xiàn)場觀察、訪問、憑證檢查等?？梢圆捎萌斯ず图夹g(shù)手段兩種方式進(jìn)行。安全審計工作步驟制定計劃階段。在針對特定目的、啟動某特定審計工作之前，應(yīng)首先制訂具體的安全審計計劃，確定本次審計工作的范圍、審計重點(diǎn)、時間安排、審計人員及配合人員安排、采用的技術(shù)手段、主要風(fēng)險及規(guī)避方案等等。準(zhǔn)備階段細(xì)化審計內(nèi)容。如：審計的系統(tǒng)范圍，檢查的重點(diǎn)項，各個系統(tǒng)中增刪改等重點(diǎn)操作的指令、關(guān)鍵詞等等；編寫《安全審計檢查表》（參見附件一，各部門可自行修訂）等工作底稿。檢查表應(yīng)包含安全審計內(nèi)容、審計方式、依據(jù)標(biāo)準(zhǔn)、審計方法、審計結(jié)果、問題描述、審計人員和被審計人員簽字欄等；進(jìn)行審計培訓(xùn)。重點(diǎn)培訓(xùn)審計人員，說明審計內(nèi)容、檢查方法、注意事項、表格填寫要求、問題處理方法等等；配置必要的技術(shù)手段。如合規(guī)檢查工具、漏洞掃描工具等等。實(shí)施階段。按照《安全審計檢查表》，采用人工和技術(shù)手段相結(jié)合的方式，進(jìn)行記錄抽樣檢查、系統(tǒng)檢查、現(xiàn)場觀察、訪問、憑證檢查等，并逐一記錄結(jié)果；在審計過程中，如果發(fā)現(xiàn)不符合項，經(jīng)確認(rèn)無誤后，被審計單位負(fù)責(zé)人在報告書中簽字認(rèn)可；審計人員與配合審計人員簽字確認(rèn)?？偨Y(jié)和改進(jìn)階段審計責(zé)任主體參照附件格式要求編寫《安全審計報告》（參見附件二，各部門可自行修訂），總結(jié)審計情況，分析主要問題，提出改進(jìn)意見及下次審計重點(diǎn)等建議；《安全審計報告》應(yīng)在實(shí)施階段完成后一個月之內(nèi)完成，并提交網(wǎng)絡(luò)與信息安全工作辦公室審核、批準(zhǔn)；對于審計過程中發(fā)現(xiàn)的不符合項，審計責(zé)任主體形成書面改進(jìn)意見后，要求系統(tǒng)維護(hù)等責(zé)任部門和人員整改；系統(tǒng)維護(hù)等責(zé)任部門按照審計責(zé)任主體意見，在一個月之內(nèi)形成《安全審計問題整改計劃及實(shí)施方案》，實(shí)施完成后，向?qū)徲嬝?zé)任主體提交《安全審計改進(jìn)情況報告》，并提請審計人員復(fù)核，由后者在《安全審計改進(jìn)情況報告》（參見附件三，，各部門可自行修訂）中出具復(fù)核意見；各方簽字的《安全審計報告》、《安全審計問題整改計劃及實(shí)施方案》、《安全審計改進(jìn)情況報告》等相關(guān)文檔，經(jīng)過審批后提交到相關(guān)部門、網(wǎng)絡(luò)與信息安全工作辦公室并由規(guī)定的保管責(zé)任人存檔。監(jiān)督執(zhí)行各公司網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組應(yīng)督促網(wǎng)絡(luò)與信息安全工作辦公室和各部門領(lǐng)導(dǎo)對本辦法執(zhí)行情況進(jìn)行有效監(jiān)督和管理，對違反本辦法的行為要及時予以更正，情節(jié)嚴(yán)重者應(yīng)立即上報。

編制歷史版本號修訂日期修訂人修訂原因V0.12007-12-梁坤、吳哲峰、張茂確定框架V0.22008-01-25梁坤、吳哲峰、張茂根據(jù)石家莊會后建議修改V0.32008-02-27梁坤、吳哲峰、張茂根據(jù)總部評審意見修改V1.02008-03-05陳敏時、周智修訂、核稿附件一、安全審計檢查表序號審計類別編號審計要點(diǎn)檢查依據(jù)檢查方式結(jié)果記錄存在問題描述審計人員簽字配合人員簽字記錄人確認(rèn)人附件二、安全審計報告xx公司**安全審計報告本次審計概述目的時間范圍依據(jù)內(nèi)容方法審計人員及配合人員審計對象情況概述系統(tǒng)服務(wù)情況組網(wǎng)情況維護(hù)部門安全防護(hù)現(xiàn)狀等等結(jié)果分析列舉所有安全問題和安全隱患，并按照嚴(yán)重程度進(jìn)行劃分說明安全問題和安全隱患的責(zé)任人員或責(zé)任部門改進(jìn)意見審計結(jié)論本審計報告分發(fā)范圍