返回
数据业务信息安全风险评估标准及模板-0910

数据业务信息安全风险评估标准及模板-0910

ID:43967542

大小:1.45 MB

页数:44页

时间:2019-10-17

数据业务信息安全风险评估标准及模板-0910_第1页
数据业务信息安全风险评估标准及模板-0910_第2页
数据业务信息安全风险评估标准及模板-0910_第3页
数据业务信息安全风险评估标准及模板-0910_第4页
数据业务信息安全风险评估标准及模板-0910_第5页
资源描述:

《数据业务信息安全风险评估标准及模板-0910》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、数据业务信息安全风险评估标准及模板信息安全管理部移动设计院2010年9月目录一、评估标准二、评估模板总体结构内容计费营销用户信息系统人员传播总体结构评估分类主要内容内容从业务内容来源、内容操作、内容存储等方面评估业务所可能面临的风险。计费从业务的计费点防盗方面考虑所可能面临的风险。营销从业务营销单位、营销防盗链、营销渠道管控等方面评估业务所可能面临的风险。用户信息从业务所涉及的用户信息类别方面考虑所可能面临的风险。系统从业务的系统权限设置、系统维护、系统存放等方面考虑所可能面临的风险。人员从业务的人员设置方面考虑所可能面临的风险。传播从业务的传播方式、传播发起方等方面考虑所可能面临的风险

2、。数据业务信息安全风险评估从7个方面考虑:目录一、评估标准二、评估模板总体结构内容计费营销用户信息系统人员传播内容-内容来源-1业务类型:评估标准:业务类型为功能型时,风险为低;业务类型为内容型时,风险为高;参考控制措施:对于内容型业务,制定严格的内容源引入流程和机制,对内容提供方进行严格挑选,合作前进行背景调查。(事前防范)内容-内容来源-2业务内容提供流程:评估标准:业务类型为合作业务,内容由合作方提供时,风险为高;业务类型为自有业务,内容由运营支撑单位提供时,风险为中;业务类型为自有业务,内容由移动公司提供,风险为低;业务内容由用户原创时,风险为高。参考控制措施:对于由SP、CP提

3、供内容的方式,签订保证书,明确其信息安全责任;对于运营支撑单位提供内容的方式,签订保证书,明确其信息安全责任;对于用户原创提供内容的方式,在用户注册时明确对其发布内容的要求及相应的信息安全责任,相应内容进行审核后才能使用。(事前防范风险)内容-内容操作-1内容发布流程:评估标准:业务内容未经中国移动审核就发布,风险为高;业务平台直接开放接口由合作方发布时,风险为高;业务内容由合作方编辑,审核发布由运营支撑单位进行时,风险为中;业务内容由合作方编辑,审核发布由移动公司进行时,风险为低;业务内容由用户原创且未经审核,风险为高。内容-内容操作-2内容发布流程:参考控制措施:对于自有业务:(事前

4、)建立相关的制度,对内容的发布制定规范的流程,内容发布前必须进行审核;(事前)对内容的操作遵循编辑、审核、发布权限和人员分离的机制,建立相应的技术手段或业务支撑系统;(事中)对于业务内容进行定期拨测,发现不合规的内容并及时处理;(事中)使用自动程序过滤和人工检查结合的方式进行有害信息检查、屏蔽和删除;(事中)严格规定传播范围,具备限制群发的技术手段,对于高风险的用户选择应作发送范围限制,或发送频率限制等对于合作业务:(事前)签署相关的保证书,(事中)定期进行拨测,发现不合规的内容并及时处理;(事中)严格规定传播范围,具备限制群发的技术手段,对于高风险的用户选择应作发送范围限制,或发送频率

5、限制等;内容-内容存储-1内容存放:评估标准:已发布内容保留存档记录,并由专人负责,风险为低;发布内容缺乏存档记录,或存档保留期不能达到两年以上时,风险为高。参考控制措施:制定政策对存放内容的文件进行有效管理,规定其保存、传输、销毁等流程。内容-内容存储-2内容访问:评估标准:存档人员具有内容变更权限时,风险为高。参考控制措施:确认存档人员不具备内容变更权限;严格控制合作方的访问帐号及权限,记录其访问/操作日志并进行定期审核。目录一、评估标准二、评估模板总体结构内容计费营销用户信息系统人员传播计费-计费点防盗-1业务类型:评估标准:业务类型为移动自有业务且由移动公司运营时,计费点套用风险

6、为低;业务类型为移动自有业务,运营由支撑单位进行时,计费点套用风险为中;业务类型为合作业务时,计费点套用风险为高。参考控制措施:识别来自合作方的信息安全风险,在合作前进行背景调查,并签署安全保密协议;对合作方及运营支撑单位的代收费进行定期拨测,及时发现问题并解决。计费-计费点防盗-2计费流程:评估标准:计费流程缺少“二次确认”时,风险为高;计费点不在中国移动自有设备时,风险为高。参考控制措施:要求计费流程中实现“二次确认”;要求所有的计费点都要在中国移动自有设备上;防盗链计费、防计费点被套用;wap订购方式(MISC):采用动态码验证机制,防止被套用;实行二次确认(事中);进行订购量监控

7、(事后);短信订购方式:实行二次确认(事中),进行业务信息费异常监控,业务订购短信长度、字符数合规性监控(事后);www订购方式:采用短信验证码,实行二次确认(事中),进行业务信息费异常监控(事后)。目录一、评估标准二、评估模板总体结构内容计费营销用户信息系统人员传播营销-营销单位营销渠道:评估标准:营销方式包含合作的互联网渠道方式时,风险为高;营销主体为SP时,风险为高;SP、CP可以通过营销获利时,风险为高;运营支撑方可以通过营

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。