业务信息安全评估标准.pdf

·第一部分总则

一、编制目的

为了加强业务信息安全管理，保证业务发展过程中信息安全要求同步规划、同步建设、同步运行，

提升业务信息安全整体水平，降低业务信息安全风险，特制定本标准。

通过业务信息安全评估对各业务信息安全水平进行客观、综合评价，促进各单位有针对性地做好业

务信息安全管理工作，为业务发展提供良好支撑。

二、适用范围

本标准适用于各全网业务运营单位，包括业务基地、全网业务运营省等；适用于各类全网数据及信

息业务。

本标准解释权归总部信息安全管理部，自印发之日起实施。

三、实施要求

1、全网业务信息安全评估由总部信息安全管理部牵头组织，成立评估工作组从第三方角度对各业

务信息安全工作的开展效果进行评估、对存在的风险状况进行评价。

2、总部信息安全管理部每年根据工作重点制定业务信息安全评估计划。评估前以公文形式通知被

评估业务基地或业务运营省公司，被评估单位应积极配合评估工作的开展。

3、评估执行时，评估工作组依据本标准对业务进行实地评估，在评估业务自身信息安全风险等级

的基础上，重点对控制措施的部署及效果进行检查，对于没有采取有效控制措施的项判定为不符合项。

4、评估工作完成后应出具业务信息安全评估报告,提出该业务当前信息安全的现状与不足，明确整

改要求。被评估业务基地或业务运营省公司应根据评估报告对不符合项进行整改完善，并将整改结果

提交总部信息安全管理部。

第2页

第二部分评估标准本标准涵盖业务的内容安全、计费安全、营销安全、用户信息安全、

系统安全、人员安全、传播安全等七个方面，主要内容包括评估标准、控制措施、管理制度等。其中

评估标准部分提出了业务自身信息安全风险等级的评估依据；控制措施部分提出了具体的信息安全控

制要求；管理制度部分提出了业务所需建立的信息安全相关管理制度。业务管理过程中应落实本标准

相关要求以控制业务的信息安全风险。

第1页

一、内容安全

子类别评估点评估标准控制措施管理制度

内容来源业务类型业务类型为功能型时，信息安全风险为低；·对于内容型业务，制定严格的内容源引入流内容安全管

业务类型为内容型时，信息安全风险为高；程和机制，对内容提供方进行严格挑选，合作理制度

前进行背景调查。

业务内容提供业务类型为合作业务，内容由合作方提供·由SP、CP提供内容的，应与其签订信息安内容安全管

流程时，信息安全风险为高；全承诺保证书，明确其信息安全责任；理制度

业务类型为自有业务，内容由运营支撑单位·由运营支撑单位提供内容的，应与其签订信

提供时，信息安全风险为中；息安全承诺保证书，明确其信息安全责任；

业务类型为自有业务，内容由移动公司提·由用户原创提供内容的，应在用户注册时明

供，信息安全风险为低；确对其发布内容的要求及相应的信息安全责

业务内容由用户原创时，信息安全风险为任，相应内容进行审核后才能使用。

高。

第2页

子类别评估点评估标准控制措施管理制度

内容操作内容发布流程业务内容未经审核就发布，信息安全风险为对于自有业务：内容安全管

高；·建立相关的制度，制定规范的内容发布流程，理制度、

业务平台直接开放接口由合作方发布时，信内容发布前必须进行审核；业务日常安