中国联通互联网新业务信息安全评估管理办法--发布版

1、.中国联通互联网新业务信息安全评估管理办法（二级制度）第一章 总则第一条 为了保障互联网业务的安全运营，规范公司互联网新业务信息安全评估工作，推动安全评估规范化、流程化，依据互联网信息服务管理办法、工业和信息化部互联网新业务安全评估管理办法（征求意见稿）、互联网新技术新业务信息安全评估指南（YD/T 3169-2016）等文件制定本办法。第二条 中国联通各单位开展互联网新业务信息安全评估工作，适用本办法。第三条 本办法所称互联网新业务，是指各单位通过互联网新开展的电信业务，也包括工业和信息化部、省通信管理局要求开展信息安全评估的电信业务。本办法所称信息安全评估是指运用科学的方法和手段，系统地识

2、别和分析新业务可能引发的信息安全风险，评估相应的安全保障措施是否能够将风险控制在可接受水平的过程。以下简称评估。第四条 评估工作遵循“谁主管谁评估、谁运营谁评估” 、“逢新必评”和“及时、真实、有效”的原则。第五条 各单位要将互联网新业务评估工作纳入新业务上线的审批流程，确保互联网新业务上线前完成评估。第六条 评估分初评和复审两个阶段进行，初评由业务主管或运营单位（以下统称“业务单位”）组织，复审由信息安全部门组织。第二章 组织体系第七条 集团信息安全部门为全国互联网新业务评估工作归口管理部门，负责对评估工作实施指导、监督和管理。具体职责包括：（一） 负责指导、协调全国开展评估工作，并对外接口

3、电信管理部门；（二） 制定管理办法和评估流程，组织总部业务部门、子公司和省级分公司部署落实工业和信息化部的评估要求；（三） 对全国评估工作进行监督检查；（四） 组织建立总部第三方评估机构资格目录；（五） 指导和组织评估人员培训；（六） 建立完善总部评估专家库和总部评估复审小组；（七） 组织对总部业务部门、子公司互联网新业务初评工作的复审。第八条 省级分公司信息安全部门为本省互联网新业务评估工作归口管理部门，负责对本省评估工作实施指导、监督和管理。具体职责包括：（一） 对外接口集团公司和省通信管理局，指导和组织协调本省各单位开展评估工作；（二） 依据本办法，组织完善本省评估管理体系，制定评估管理

4、办法、评估流程等管理制度；（三） 组织本省各单位部署落实集团公司和省通信管理局的评估要求；（四） 对本省各单位的评估工作进行监督检查；（五） 组织建立本省第三方评估机构资格目录；（六） 组织本省评估人员培训；（七） 负责本省评估专家队伍建设；（八） 组织对本省各业务单位互联网新业务初评工作的复审。第九条 各业务单位为互联网新业务初评工作负责单位。具体职责包括：（一） 按照工业和信息化部最新发布的互联网新业务评估指南和公司信息安全部门发布的评估要求，负责组织开展互联网新业务初评工作，并向同级信息安全部门提交复审申请。（二） 对评估发现的问题，负责完成整改。（三） 对已评估上线运营的互联网新业务，

5、负责至少六个月组织一次自查。第三章 评估启动条件第十条 有下列情形之一的，应当对所开展的业务启动并完成评估，形成评估报告：（一） 拟将互联网新业务（含试点、合作推广）面向社会公众上线的。（二） 已上线互联网新业务在基础资源配置、技术实现方式、业务功能或用户规模等方面发生较大变化的；其中，基础资源配置发生较大变化是指IP地址、域名等网络资源的分配方式发生较大变化；技术实现方式发生较大变化是指采用新技术，或技术升级改造，或网络拓扑结构发生较大变化，或网络设备升级改造等情况；业务功能发生较大变化是指导致业务（含应用）的信息传播渠道、传播能力发生较大变化；用户规模发生较大变化包括用户数量发生较大变化，

6、或接入网站的数量发生较大变化。（三） 工业和信息化部、省通信管理局等电信管理部门指定业务要求进行评估的。收到通知后，各单位要及时启动并按照电信管理部门要求完成评估。第四章 评估实施第十一条 总部、子公司负责全网互联网新业务的评估，省级分公司负责本省互联网新业务和在本省落地的全网互联网新业务的评估。在本省落地的全网互联网新业务是指在本省有平台系统、或业务使用规则发生改变、或业务功能发生改变的全网互联网新业务。第十二条 评估结论分为两类：可运营和存在较大风险需整改重评。第十三条 业务单位的初评，可以采取内部评估的方式，也可以委托第三方评估机构实施评估。为保证第三方机构评估质量，总部和子公司应从总部

7、第三方评估机构资质目录中选择，省级分公司应从本省第三方评估机构资质目录中选择。第十四条 符合本办法第十条中任意一项条件的，要按照规定及时启动并完成评估。第十五条 总部业务部门和子公司的初评结果为可运营的，形成初评报告，并及时向总部复审小组提交复审申请，同时提交申请材料，包括评估报告、业务基本情况和配套安全管理措施等。初评结果为存在较大风险需整改重评的，业务单位应组织整改，并于整改完成后再次进行初评。第十六条 省级分公司业务单位的初评结果为可运营的，形成初评报告，并及时向本省信息安全部门提交复审申请，同时提交申请材料，包括评估报告、业务基本情况和配套安全管理措施等。初评结果为存在较大风险需整改重

8、评的，业务单位应组织整改，并于整改完成后再次进行初评。第十七条 各业务单位的初评委托工业和信息化部各级互联网新业务评估机构完成且评估结果为可运营的，可不进行复审。集团信息安全部门负责统一发布工业和信息化部部属互联网新业务评估机构名单。第十八条 复审部门收到业务单位的复审申请后，应及时启动复审工作，原则上应于15个工作日内组织完成复审，复审完成后将复审结果及时通知业务单位。第十九条 复审结果为可运营的， 方可上线。复审结果为存在较大风险需整改重评的，业务单位必须组织整改，整改完成后再次提交复审申请。第二十条 互联网新业务上线运营不超过三年的，业务单位应至少每六个月对其开展的互联网新业务是否存在第

9、十条第二款规定的情形进行自查，保留自查记录；发现存在第十条第二款规定情形的，应当按照要求及时启动并完成评估。第二十一条 已上线运营的互联网新业务，评估结果（含初评结果和复审结果）为存在较大风险需整改重评的，要立即组织整改，整改期间要采取暂停发展新用户，限制功能升级等安全保障措施，直至信息安全隐患消除。第二十二条 互联网新业务上线运营达到三年及以上的，纳入存量业务日常监督管理，可以不再按照本办法第十条第二款规定进行评估。第二十三条 评估过程中，各单位应建立评估档案，并妥善保存备查。第五章 监督检查第二十四条 各级信息安全部门依据职责负责对同级各业务单位和下属单位开展互联网新业务评估、落实相关管理

10、要求等情况进行日常监督和定期检查。第二十五条 互联网新业务未评估或评估不通过即上线运营的，或已上线运营互联网新业务存在较大风险不整改的，总部业务部门和不参加工业和信息化部网络与信息安全考核的子公司在年度绩效考核成绩中进行扣减，每发生一起扣0.1分；省级分公司和参加工业和信息化部网络与信息安全考核的子公司在年度网络与信息安全考核成绩中进行扣减，扣分标准按照工业和信息化部当年考核要求执行。第二十六条 发生第二十五条违规情况，并由此引发安全事件或监管部门认定存在严重信息安全隐患被通报的，要按照总部、子公司和省级分公司绩效考核办法规定，参照发生信息安全事故情况扣分，同时，还应按照中国联通网络与信息安全

11、管理办法相关规定追究有关部门和人员的责任。第六章 保障机制第二十七条 各单位业务审批部门对互联网新业务上线审批要建立一票否决机制，评估不合格（含未评估或评估不通过）不能上线运营。第二十八条 各单位要定期开展互联网新业务评估工作自查，及时发现问题，并督促整改。第二十九条 各级信息安全部门应建立互联网新业务信息安全评估台账，收集分析评估案例，建立动态评估数据库，为有效推动评估工作提供数据支撑和案例支撑。第三十条 各单位应建立评估队伍定期培训机制，开展互联网新业务评估相关政策、法规、标准、技能的培训和考核，切实提高评估队伍的政策水平和评估技能。第三十一条 各单位要加大对互联网新业务评估工作的资金支持和人员保障，确保评估工作的开展和落实。第三十二条 总部业务部门、子公司、省级分公司应根据评估工作需要设置评估专岗。第三十三条 为保持信息畅通，各级信息安全部门要建立本单位联系人制度，总部各业务部门、子公司和各省级分公司要指定本单位评估负责人和联系人，并分别向总部信息安全部门和省级分公司信息安全部门报备，联系人变更