QB/CU 中国联通公司企业标准
QB/CU A32-073(2015)
中国联通业务信息安全评估基本规范
The General Specification for Service System’s Risk Assessment On
Information Security of Chinaunicom
(V1.0)
2015-03-30发布
2015-03-30实施
中国联通公司 发布 QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.0
目 次
前言 ............................................................................... III 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 安全评估框架 ....................................................................... 2 3.1 概述 ........................................................................... 2 3.2 安全评估框架 ................................................................... 2 3.3 安全评估框架简介 ............................................................... 2 3.3.1 设备安全 ................................................................... 2 3.3.2 平台及软件安全 ............................................................. 2 3.3.3 业务流程安全 ............................................................... 3 3.3.3.1 计费安全 ............................................................... 3 3.3.3.2接口安全 ................................................................ 3 3.3.3.3 用户信息安全 ........................................................... 3 3.3.3.4 业务逻辑安全 ........................................................... 3 3.3.3.5 传播安全 ............................................................... 3 3.3.3.6 营销安全 ............................................................... 3 3.3.3.7 应急预案 ............................................................... 3 3.3.4 业务内容安全 ............................................................... 3 3.3.5 安全管控 ................................................................... 3 3.3.5.1 系统安全 ............................................................... 4 3.3.5.2 人员安全 ............................................................... 4 3.3.5.3 第三方管理安全 ......................................................... 4 3.4 应用指导原则 ................................................................... 4 4 安全评估实施要点和要求 ............................................................. 4 4.1 设备安全 ....................................................................... 4 4.2 平台及软件安全 ................................................................ 13 4.3 业务流程安全 .................................................................. 15 4.3.1 计费安全 .................................................................. 15 4.3.2 接口安全 .................................................................. 16 4.3.3 用户信息安全 .............................................................. 17 4.3.4 业务逻辑安全 .............................................................. 18 4.3.5 传播安全 .................................................................. 20 4.3.6 营销安全 .................................................................. 21 4.3.7 应急预案 .................................................................. 22 4.4 业务内容安全 .................................................................. 22 4.4.1 引入机制 .................................................................. 22 4.4.2 提供流程 .................................................................. 23 4.4.3 发布机制 .................................................................. 23 4.4.4 操作记录 .................................................................. 24
I
QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.0
4.5 安全管控 ...................................................................... 24 4.5.1 系统安全 .................................................................. 24 4.5.2 人员安全 .................................................................. 25 4.5.3 第三方安全管理 ............................................................ 26
II
QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.0
前 言
为了加强中国联通业务信息安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务信息安全整体水平,降低业务安全风险,特制定本信息安全评估规范。
本评估规范针对各业务类型的信息安全水平进行客观、综合的信息安全评价,促进业务安全评估工作的开展,为业务发展提供良好支撑。
本规范解释权归总部信息安全部。
本规范由中国联通公司信息安全部提出。 本规范由中国联通公司技术部归口。
本规范主要起草单位:中国联通公司信息安全部、中国联通研究院 本规范主要起草人:李楠、张勇气、徐亮、毕强、杨静 本规范修改和解释权属中国联合网络通信有限公司
III
QB/CU A32-073(2015)中国联通业务信息安全评估基本规范 V1.0
中国联通业务信息安全评估基本规范
1 范围
本规范规定了中国联通业务在进行信息安全评估的基本要求。
本规范所指业务是指本标准在公司范围内发布后,提供的具有新功能或新使用价值的业务及存量业务的新增功能。
本规范适用于对中国联通业务上线前进行信息安全评估,也适用于当存量业务增减功能或当使用用户规模发生较大增长时进行信息安全评估。
本规范是对业务进行信息安全评估的基本要求,对于不同类型的业务,可根据业务特点和使用环境在评估项上进行补充完善。 2 规范性引用文件
本规范编制依据下列文件:
YD/T 2692-2014 电信和互联网用户个人电子信息保护通用技术要求和管理要求 YD/T 2694-2014 移动互联网联网应用安全防护要求
YD/T 2698-2014 电信网和互联网安全防护基线配置要求及检测要求 网络设备 YD/T 2699-2014 电信网和互联网安全防护基线配置要求及检测要求 安全设备 YD/T 2700-2014 电信网和互联网安全防护基线配置要求及检测要求 数据库 YD/T 2701-2014 电信网和互联网安全防护基线配置要求及检测要求 操作系统 YD/T 2702-2014 电信网和互联网安全防护基线配置要求及检测要求 中间件 YD/T 2703-2014 电信网和互联网安全防护基线配置要求及检测要求 web应用系统 中国联通IT系统BSS系统域业务支撑网管系统业务技术规范 安全管理分册v1.0 中国联通增值业务平台系统安全防护总体规范v1.0 中国联通商用产品业务平台安全防护系统技术规范V1.0 中国联通创新业务系统安全监测平台技术规范V1.0 中国联通门户类增值业务平台安全防护规范V1.0 中国联通云计算通用安全技术规范V1.0 中国联通应用数据安全管理技术规范V1.0 中国联通聚合类业务平台安全防护规范V1.0
中国联通IT系统企业内部网安全管理系统技术规范v1.0 中国联通电子渠道安全技术规范v1.0
中国联通双栈(IPv4IPv6)防火墙设备技术要求V1.0 中国联通信息系统PaaS平台数据库即服务技术规范V1.0 中国联通IT系统ORACLE数据库软件管理实施细则v1.0
1