中国联通公司企业标准QB/CUA32-073(2015)中国联通业务信息安全评估基本规范TheGeneralSpecificationforServiceSystem’sRiskAssessmentOnInformationSecurityofChinaunicom(V1.0)2015-03-30发布2015-03-30实施中国联通公司发布QB/CUQB/CUA32-073(2015)中国联通业务信息安全评估基本规范V1.0I目次前言...............................................................................III1范围...............................................................................12规范性引用文件.....................................................................13安全评估框架.......................................................................23.1概述...........................................................................23.2安全评估框架...................................................................23.3安全评估框架简介...............................................................23.3.1设备安全...................................................................23.3.2平台及软件安全.............................................................23.3.3业务流程安全...............................................................33.3.3.1计费安全...............................................................33.3.3.2接口安全................................................................33.3.3.3用户信息安全...........................................................33.3.3.4业务逻辑安全...........................................................33.3.3.5传播安全...............................................................33.3.3.6营销安全...............................................................33.3.3.7应急预案...............................................................33.3.4业务内容安全...............................................................33.3.5安全管控...................................................................33.3.5.1系统安全...............................................................43.3.5.2人员安全...............................................................43.3.5.3第三方管理安全.........................................................43.4应用指导原则...................................................................44安全评估实施要点和要求.............................................................44.1设备安全.......................................................................44.2平台及软件安全................................................................134.3业务流程安全..................................................................154.3.1计费安全..................................................................154.3.2接口安全..................................................................164.3.3用户信息安全..............................................................174.3.4业务逻辑安全..............................................................184.3.5传播安全..................................................................204.3.6营销安全..................................................................214.3.7应急预案..................................................................224.4业务内容安全..................................................................224.4.1引入机制..................................................................224.4.2提供流程..................................................................234.4.3发布机制..................................................................234.4.4操作记录..................................................................24QB/CUA32-073(2015)中国联通业务信息安全评估基本规范V1.0II4.5安全管控......................................................................244.5.1系统安全..................................................................244.5.2人员安全..................................................................254.5.3第三方安全管理............................................................26QB/CUA32-073(2015)中国联通业务信息安全评估基本规范V1.0III前言为了加强中国联通业务信息安全管理,保证业务发展与信息安全措施同步规划、同步建设、同步运行,提升业务信息安全整体水平,降低业务安全风险,特制定本信息安全评估规范。本评估规范针对各业务类型的信息安全水平进行客观、综合的信息安全评价,促进业务安全评估工作的开展,为业务发展提供良好支撑。本规范解释权归总部信息安全部。本规范由中国联通公司信息安全部提出。本规范由中国联通公司技术部归口。本规范主要起草单位:中国联通公司信息安全部、中国联通研究院本规范主要起草人:李楠、张勇气、徐亮、毕强、杨静本规范修改和解释权属中国联合网络通信有限公司QB/CUA32-073(2015)中国联通业务信息安全评估基本规范V1.01中国联通业务信息安全评估基本规范1范围本规范规定了中国联通业务在进行信息安全评估的基本要求。本规范所指业务是指本标准在公司范围内发布后,提供的具有新功能或新使用价值的业务及存量业务的新增功能。本规范适用于对中国联通业务上线前进行信息安全评估,也适用于当存量业务增减功能或当使用用户规模发生较大增长时进行信息安全评估。本规范是对业务进行信息安全评估的基本要求,对于不同类型的业务,可根据业务特点和使用环境在评估项上进行补充完善。2规范性引用文件本规范编制依据下列文件:YD/T2692-2014电信和互联网用户个人电子信息保护通用技术要求和管理要求YD/T2694-2014移动互联网联网应用安全防护要求YD/T2698-2014电信网和互联网安全防护基线配置要求及检测要求网络设备YD/T2699-2014电信网和互联网安全防护基线配置要求及检测要求安全设备YD/T2700-2014电信网和互联网安全防护基线配置要求及检测要求数据库YD/T2701-2014电信网和互联网安全防护基线配置要求及检测要求操作系统YD/T2702-2014电信网和互联网安全防护基线配置要求及检测要求中间件YD/T2703-2014电信网和互联网安全防护基线配置要求及检测要求web应用系统中国联通IT系统BSS系统域业务支撑网管系统业务技术规范安全管理分册v1.0中国联通增值业务平台系统安全防护总体规范v1.0中国联通商用产品业务平台安全防护系统技术规范V1.0中国联通创新业务系统安全监测平台技术规范V1.0中国联通门户类增值业务平台安全防护规范V1.0中国联通云计算通用安全技术规范V1.0中国联通应用数据安全管理技术规范V1.0中国联通聚合类业务平台安全防护规范V1.0中国联通IT系统企业内部网安全管理系统技术规范v1.0中国联通电子渠道安全技术规范v1.0中国联通双栈(IPv4IPv6)防火墙设备技术要求V1.0中国联通信息系统PaaS平台数据库即服务技术规范V1.0中国联通IT系统ORACLE数据库软件管理实施细则v1.0QB/CUA32-073(2015)中国联通业务信息安全评估基本规范V1.023安全评估框架3.1概述中国联通业务信息安全评估依据科学的安全风险评估方法,并结合中国联通的实际情况,从业务所涉及的各类软硬件资产(设备、平台及软件、业务流程、业务内容)及安全管控出发,依据不同类型资产耦合度,划分为五个层次。根据不同层次常见的安全风险,分别对不同风险进行信息安全评估。本信息安全评估规范重点对与业务流程相关的内容、用户信息、业务逻辑及安全管控等方面进行信息安全风险评估,旨在尝试深层次探索中国联通