中國聯(lián)通互聯(lián)網(wǎng)新業(yè)務信息安全評估管理辦法--發(fā)布版

1、中國聯(lián)通互聯(lián)網(wǎng)新業(yè)務信息安全評估管理辦法（二級制度）第一章總則第一條 為了保障互聯(lián)網(wǎng)業(yè)務的安全運營，規(guī)范公司互聯(lián)網(wǎng)新業(yè)務信息安全評估工作，推動安全評估規(guī)范化、 流程化，依據(jù)互聯(lián)網(wǎng)信息服務管理辦法、工業(yè)和信息化部互聯(lián)網(wǎng)新業(yè) 務安全評估管理辦法（征求意見稿）、互聯(lián)網(wǎng)新技術新業(yè)務信 息安全評估指南（YD/T 3169-2016）等文件制定本辦法。第二條中國聯(lián)通各單位開展互聯(lián)網(wǎng)新業(yè)務信息安全評估工作，適用本辦法。第三條 本辦法所稱互聯(lián)網(wǎng)新業(yè)務，是指各單位通過互聯(lián)網(wǎng)新開展的電信業(yè)務， 也包括工業(yè)和信息化部、省通信管理局要 求開展信息安全評估的 電信業(yè)務。本辦法所稱信息安全評估是指運用科學的方法和手段，系

2、統(tǒng)地識別和分析新業(yè)務可能引發(fā)的信息安全風險， 評估相應的安 全保障措施是否能夠?qū)L險控制在可接受水平的過程。以下簡稱評估。第四條評估工作遵循“誰主管誰評估、誰運營誰評估”“逢新必評”和“及時、真實、有效”的原則。第五條 各單位要將 互聯(lián)網(wǎng)新業(yè)務 評估工作納入新業(yè)務上 線的審批流程，確保互聯(lián)網(wǎng)新業(yè)務上線前完成評估。第六條 評估分初評和復審兩個階段進行，初評由業(yè)務主 管或運營單位（以下統(tǒng)稱“業(yè)務單位”）組織，復審由信息安全部門組織。第二章組織體系第七條 集團信息安全部門為全國互聯(lián)網(wǎng)新業(yè)務評估工作 歸口管理部門，負責對評估工作實施指導、監(jiān)督和管理。具體職責包括：（一）負責指導、協(xié)調(diào)全國開展評估工作，

3、并對外接口電 信管理部門；（二）制定管理辦法和評估流程，組織總部業(yè)務部門、子 公司和省級分公司部署落實工業(yè)和信息化部的評估要求；（三）對全國評估工作進行監(jiān)督檢查；（四）組織建立總部第三方評估機構資格目錄；（五）指導和組織評估人員培訓；（六）建立完善總部評估專家?guī)旌涂偛吭u估復審小組；（七）組織對總部業(yè)務部門、子公司互聯(lián)網(wǎng)新業(yè)務初評工 作的復審。第八條 省級分公司信息安全部門為本省 互聯(lián)網(wǎng)新業(yè)務評 估工作歸口管理部門，負責對本省評估工作實施指導、 監(jiān)督和管 理。具體職責包括：（一）對外接口集團公司和省通信管理局，指導和組織協(xié)調(diào)本省各單位開展評估工作；（二）依據(jù)本辦法，組織完善本省評估管理體系，制定

4、評 估管理辦法、評估流程等管理制度；（三）組織本省各單位部署落實集團公司和省通信管理局 的評估要求；（四）對本省各單位的評估工作進行監(jiān)督檢查；（五）組織建立本省第三方評估機構資格目錄；（六）組織本省評估人員培訓；（七）負責本省評估專家隊伍建設；（八）組織對本省各業(yè)務單位互聯(lián)網(wǎng)新業(yè)務初評工作的復 審。第九條各業(yè)務單位為互聯(lián)網(wǎng)新業(yè)務初評工作負責單位。 具體職責包括：（一）按照工業(yè)和信息化部最新發(fā)布的互聯(lián)網(wǎng)新業(yè)務評估指南和公司信息安全部門發(fā)布的評估要求，負責組織開展互聯(lián)網(wǎng)新業(yè)務初評工作，并向同級信息安全部門提交復審申請。（二）對評估發(fā)現(xiàn)的問題，負責完成整改。（三）對已評估上線運營的互聯(lián)網(wǎng)新業(yè)務，負責

5、至少六個 月組織一次自查。第三章評估啟動條件第十條 有下列情形之一的，應當對所開展的業(yè)務啟動并 完成評估，形成評估報告：（一）擬將互聯(lián)網(wǎng)新業(yè)務（含試點、合作推廣）面向社會 公眾上線的。（二）已上線互聯(lián)網(wǎng)新業(yè)務在基礎資源配置、技術實現(xiàn)方 式、業(yè)務功能或用戶規(guī)模等方面發(fā)生較大變化的；其中，基礎資源配置發(fā)生較大變化是指IP地址、域名等網(wǎng)絡資源的分配方式發(fā)生較大變化；技術實現(xiàn)方式發(fā)生較大變化 是指采用新技術，或技術升級改造，或網(wǎng)絡拓撲結構發(fā)生較大變 化，或網(wǎng)絡設備升級改造等情況； 業(yè)務功能發(fā)生較大變化是指導 致業(yè)務（含應用）的信息傳播渠道、傳播能力發(fā)生較大變化；用 戶規(guī)模發(fā)生較大變化包括用戶數(shù)量發(fā)生較

6、大變化，或接入網(wǎng)站的數(shù)量發(fā)生較大變化。（三）工業(yè)和信息化部、省通信管理局等電信管理部門指 定業(yè)務要求進行評估的。收到通知后，各單位要及時啟動并按照電信管理部門要求 完成評估。第四章評估實施第十一條 總部、子公司負責全網(wǎng)互聯(lián)網(wǎng)新業(yè)務的評估，省 級分公司負責本省互聯(lián)網(wǎng)新業(yè)務和在本省落地的全網(wǎng)互聯(lián)網(wǎng)新 業(yè)務的評估。在本省落地的全網(wǎng)互聯(lián)網(wǎng)新業(yè)務是指在本省有平臺系統(tǒng)、 或業(yè)務使用規(guī)則發(fā)生改變、 或業(yè)務功能發(fā)生改變的全網(wǎng)互聯(lián)網(wǎng)新 業(yè)務。第十二條評估結論分為兩類：可運營和存在較大風險需整 改重評。第十三條 業(yè)務單位的初評， 可以采取內(nèi)部評估的方式，也 可以委托第三方評估 機構實施評估。為保證第三方機構評估質(zhì)

7、量，總部和子公司應從總部第三方評估機構資質(zhì)目錄中選擇， 省級分公司應從本省第三方評估機構資質(zhì)目錄中選擇第十四條符合本辦法第十條中任意一項條件的，要按照規(guī) 定及時啟動并完成評估。第十五條 總部業(yè)務部門和子公司的初評結果為可運營的， 形成初評報告，并及時向總部復審小組提交復審申請，同時提交申請材料，包括評估報告、業(yè)務基本情況和配套安全管理措施等。初評結果為存在較大風險需整改重評的，業(yè)務單位應組織 整改，并于整改完成后再次進行初評。第十六條 省級分公司業(yè)務單位的初評結果為可運營的，形 成初評報告，并及時向本省信息安全部門提交復審申請，同時提交申請材料，包括評估報告、業(yè)務基本情況和配套安全管理措施 等

8、。初評結果為存在較大風險需整改重評的，業(yè)務單位應組織 整改，并于整改完成后再次進行初評。第十七條各業(yè)務單位的初評委托工業(yè)和信息化部各級互聯(lián) 網(wǎng)新業(yè)務評估機構完成且評估結果為可運營的，可不進行復審。集團信息安全部門負責統(tǒng)一發(fā)布工業(yè)和信息化部部屬互 聯(lián)網(wǎng)新業(yè)務評估機構名單。第十八條 復審部門收到業(yè)務單位的復審申請后，應及時啟 動復審工作，原則上應于 15個工作日內(nèi)組織完成復審，復審完成后將復審結果及時通知業(yè)務單位。第十九條復審結果為可運營的，方可上線。復審結果為存 在較大風險需整改重評的， 業(yè)務單位必須組織整改， 整改完成后 再次提交復審申請。第二十條 互聯(lián)網(wǎng)新業(yè)務上線運營不超過三年的，業(yè)務單位

9、應至少每六個月對其開展的互聯(lián)網(wǎng)新業(yè)務是否存在第十條第二 款規(guī)定的情形進行自查， 保留自查記錄；發(fā)現(xiàn)存在第十條第二款 規(guī)定情形的，應當按照要求及時啟動并完成評估。第二十一條 已上線運營的互聯(lián)網(wǎng)新業(yè)務，評估結果（含初 評結果和復審結果） 為存在較大風險 需整改重評 的，要立即組織 整改，整改期間要采取暫停發(fā)展新用戶，限制功能升級等安全保障措施，直至信息安全隱患消除。第二十二條 互聯(lián)網(wǎng)新業(yè)務上線運營達到三年及以上的， 納 入存量業(yè)務日常監(jiān)督管理， 可以不再按照本辦法第十條第二款規(guī) 定進行評估。第二十三條 評估過程中，各單位應建立評估檔案，并妥善 保存?zhèn)洳椤５谖逭卤O(jiān)督檢查第二十四條 各級信息安全部門依

10、據(jù)職責負責對同級各業(yè) 務單位和下屬單位開展互聯(lián)網(wǎng)新業(yè)務評估、落實相關管理要求等情況進行日常監(jiān)督和定期檢查。第二十五條 互聯(lián)網(wǎng)新業(yè)務未評估或評估不通過即上線運 營的，或已上線運營互聯(lián)網(wǎng)新業(yè)務存在較大風險不整改的，總部業(yè)務部門和不參加工業(yè)和信息化部網(wǎng)絡與信息安全考核的子公 司在年度績效考核成績中進行扣減，每發(fā)生一起扣0.1分；省級分公司和參加工業(yè)和信息化部網(wǎng)絡與信息安全考核的子公司在 年度網(wǎng)絡與信息安全考核成績中進行扣減，扣分標準按照工業(yè)和信息化部當年考核要求執(zhí)行。第二十六條 發(fā)生第二十五條違規(guī)情況， 并由此引發(fā)安全事 件或監(jiān)管部門認定存在嚴重信息安全隱患被通報的，要按照總 部、子公司和省級分公司

11、績效考核辦法規(guī)定，參照發(fā)生信息安全事故情況扣分，同時， 還應按照中國聯(lián)通網(wǎng)絡與信息安全管理 辦法相關規(guī)定追究有關部門和人員的責任。第六章保障機制第二十七條 各單位業(yè)務審批部門對互聯(lián)網(wǎng)新業(yè)務上線審批要建立一票否決機制，評估不合格（含未評估或評估不通過）不能上線運營。第二十八條 各單位要定期開展互聯(lián)網(wǎng)新業(yè)務評估工作自查，及時發(fā)現(xiàn)問題，并督促整改。第二十九條 各級信息安全部門應建立互聯(lián)網(wǎng)新業(yè)務信息 安全評估臺賬，收集分析評估案例，建立動態(tài)評估數(shù)據(jù)庫，為有 效推動評估工作提供數(shù)據(jù)支撐和案例支撐。第三十條各單位應建立評估隊伍定期培訓機制，開展互聯(lián)網(wǎng)新業(yè)務評估相關政策、法規(guī)、標準、技能的培訓和考核，切實 提高評估隊伍的政策水平和評估技能。第三十一條 各單位要加大對互聯(lián)網(wǎng)新業(yè)務評估工作的資 金支持和人員保障，確保評估工作的開展和落實。第三十二條 總部業(yè)務部門、子公司、 省級分公司應根據(jù)評 估工作需要設置評估專崗。第三十三條 為保持信息暢通，各級信息安全部門要建立本 單位聯(lián)系人制度，總部各業(yè)務部門、子公司和各省級分公司要指 定本單位評估負責人和聯(lián)系人， 并分別向總部信息安全部門和省 級分公司信息安全部門報備，聯(lián)