中国移动安全审计管理办法(试行)第一章总则第一条为督促落实各项网络与信息安全管理办法、技术规范,规范各项网络与信息安全检查工作(以下简称“安全审计”),特制定本办法。第二条安全审计内容可分为管理和技术两个方面,管理方面的审计侧重检查安全流程、管理要求的执行情况;技术方面的审计侧重检查通信网、业务网和各支撑系统符合设备安全技术要求、安全配置要求以及其它技术规范的情况。第三条安全审计应遵循“审计独立性”的原则,通过设立独立的审计岗位或采取交叉审计等方式开展。第四条本办法解释权归中国移动通信有限公司网络部,各省公司应根据本办法制定实施细则。第二章适用范围第五条本办法适用于中国移动总部和各省公司。第六条可依据本办法开展通信网、业务网和各支撑系统的安全审计,开展信息安全等其它安全管理方面的审计。第七条用于指导开展定期和不定期,全面和针对特定目的的安全审计。第三章组织与职责第八条发起网络与信息安全审计工作的主体包括:总部及各省的网络与信息安全工作办公室、网络部门、业务支撑部门、管理信息系统部门等。第九条网络与信息安全工作办公室在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全审计工作:(一)落实上级审计工作总体安排;(二)组织制定安全审计细则;(三)作为公司范围安全审计工作的责任主体,组织制定并实施公司级的审计计划。每年1月底前完成当年审计计划制定工作;(四)对其它安全审计责任主体的审计工作,如制定内部审计工作计划、实施审计等,进行指导、审批、检查、备案;(五)汇总、审阅审计报告,审核改进方案,督促解决审计中发现的突出问题。出现涉及公司层面的重大问题或者需要对技术或者管理流程做出重大调整时,应向公司主管领导汇报。(六)总部网络与信息安全工作办公室负责对各省安全审计工作进行检查。第十条各审计责任主体的主要职责:(一)配合完成网络与信息安全工作领导小组、网络与信息安全工作办公室或者其它上级主管安排的安全审计任务;(二)组织制定部门内部安全审计实施细则;(三)在本部门职责范围内,制定安全审计工作年度计划、明确审计要点及实施方案,并报上级部门批准。每年1月底前完成当年审计计划制定工作,内容应满足本部门或上级部门各类网络与信息安全检查需求;(四)按照审计计划,实施项目;(五)提交审计报告;(六)及时上报审计中发现的重大问题;(七)针对审计发现的问题,形成改进方案并启动改进工作。第十一条被审计对象应参与制定审计计划、明确审计重点,配合审计工作。第十二条在审计过程中,审计人员应按照公司信息保密规定对接触到的敏感信息进行严格保密,尤其在安全漏洞修补之前,严禁泄露给第三方。第四章审计频次与工作重点第十三条总体原则(一)在确定审计频次、工作重点时,应坚持“对重要系统、重要设备、重要信息、重要规章制度和技术要求,进行重点审计”的原则,综合考虑审计对象主要安全需求、人力资源、技术手段等因素,发挥审计工作的最大效益;(二)应与国家政府部门确定的安全审计原则、频次要求相一致;(三)应与《萨班斯法案》、ISO27001认证等要求相一致,如对纳入萨班斯法案审计范围的系统和流程,审计频率应不低于《中国移动内控手册》相关要求。第十四条安全审计频次要求(一)针对公司范围进行的全面审计,每年至少一次,可按需不定期开展;(二)对局部范围内进行的安全策略技术要求符合情况的审计,依据《信息资产安全等级划分及保护指南》要求,原则上3级及3级以上的系统每半年审计一次。3级以下的系统每年审计一次,并形成分系统的审计报告;(三)在能够真实反映整体安全工作水平的前提下,采用抽查方式,提高工作效率;(四)审计结束后,应编制并上报书面审计报告和改进报告。公司层面的审计报告应上报公司网络与信息安全工作领导小组。部门组织进行的审计,应将报告上报主管部门如安全工作主管部门和维护职能管理部门,如发现重大问题,应通过网络与信息安全工作办公室上报网络与信息安全工作领导小组。第十五条审计重点应包括重点要求、重点规范、重要系统中的重要设备,以及用户的操作行为等。第五章审计内容和审计方法第十六条安全审计主要依据公司已发布的各项安全管理规定和技术要求,检查具体要求的落实情况。第十七条根据审计目的、关注点不同,如在某个时间段、针对某些管理规定、技术规范要求检查落实情况,突出相应审计内容的侧重点。第十八条审计方法包括:对安全运行维护等记录的抽样检查、系统检查、现场观察、访问、凭证检查等。第十九条可以采用人工和技术手段两种方式进行。第六章安全审计工作步骤第二十条制定计划阶段。在针对特定目的、启动某特定审计工作之前,应首先制订具体的安全审计计划,确定本次审计工作的范围、审计重点、时间安排、审计人员及配合人员安排、采用的技术手段、主要风险及规避方案等等。第二十一条准备阶段(一)细化审计内容。如:审计的系统范围,检查的重点项,各个系统中增删改等重点操作的指令、关键词等等;(二)编写《安全审计检查表》(参见附件一,各部门可自行修订)等工作底稿。检查表应包含安全审计内容、审计方式、依据标准、审计方法、审计结果、问题描述、审计人员和被审计人员签字栏等;(三)进行审计培训。重点培训审计人员,说明审计内容、检查方法、注意事项、表格填写要求、问题处理方法等等;(四)配置必要的技术手段。如合规检查工具、漏洞扫描工具等等。第二十二条实施阶段。(一)按照《安全审计检查表》,采用人工和技术手段相结合的方式,进行记录抽样检查、系统检查、现场观察、访问、凭证检查等,并逐一记录结果;(二)在审计过程中,如果发现不符合项,经确认无误后,被审计单位负责人在报告书中签字认可;(三)审计人员与配合审计人员签字确认。第二十三条总结和改进阶段(一)审计责任主体参照附件格式要求编写《安全审计报告》(参见附件二,各部门可自行修订),总结审计情况,分析主要问题,提出改进意见及下次审计重点等建议;(二)《安全审计报告》应在实施阶段完成后一个月之内完成,并提交网络与信息安全工作办公室审核、批准;(三)对于审计过程中发现的不符合项,审计责任主体形成书面改进意见后,要求系统维护等责任部门和人员整改;(四)系统维护等责任部门按照审计责任主体意见,在一个月之内形成《安全审计问题整改计划及实施方案》,实施完成后,向审计责任主体提交《安全审计改进情况报告》,并提请审计人员复核,由后者在《安全审计改进情况报告》(参见附件三,,各部门可自行修订)中出具复核意见;(五)各方签字的《安全审计报告》、《安全审计问题整改计划及实施方案》、《安全审计改进情况报告》等相关文档,经过审批后提交到相关部门、网络与信息安全工作办公室并由规定的保管责任人存档。第七章监督执行第二十四条各公司网络与信息安全工作领导小组应督促网络与信息安全工作办公室和各部门领导对本办法执行情况进行有效监督和管理,对违反本办法的行为要及时予以更正,情节严重者应立即上报。编制历史版本号修订日期修订人修订原因V0.12007-12-28梁坤、吴哲峰、张茂确定框架V0.22008-01-25梁坤、吴哲峰、张茂根据石家庄会后建议修改V0.32008-02-27梁坤、吴哲峰、张茂根据总部评审意见修改V1.02008-03-05陈敏时、周智修订、核稿附件一、安全审计检查表序号审计类别编号审计要点检查依据检查方式结果记录存在问题描述审计人员签字配合人员签字记录人确认人附件二、安全审计报告xx公司**安全审计报告一、本次审计概述(一)目的(二)时间(三)范围(四)依据(五)内容(六)方法(七)审计人员及配合人员二、审计对象情况概述(1)系统服务情况(2)组网情况(3)维护部门(4)安全防护现状等等三、结果分析(1)列举所有安全问题和安全隐患,并按照严重程度进行划分(2)说明安全问题和安全隐患的责任人员或责任部门四、改进意见五、审计结论六、本审计报告分发范围审计项目负责人签名:附件(1)安全审计检查记录表(2)其它辅助材料,如被检查人员提交的相关文件、数据,系统扫描结果等等。附件三、安全审计改进情况报告XX系统安全审计改进情况报告一、**审计发现的主要问题二、改进措施要点三、改进措施实施情况四、遗留的问题及改进计划五、总结审计人员签名:附件:《安全审计问题整改计划及实施方案》