XX移动信息系统运营部互联网暴露面资产与智能终端应用安全实施细则

XX移动信息系统运营部互联网暴露面资产与智能终端应用安全实施细则第一章总则第一条为保障中国移动通信集团XX有限公司（以下简称“XX公司”）信息系统运营部中各类暴露面资产与智能终端应用的安全，特制定本实施细则。第二条本办法中IT系统涵盖管理信息系统、业务支撑系统、网管支撑系统。第三条本办法中互联网暴露面资产（以下简称暴露面资产）指具有公网IP地址、可以从公网访问的资产，包括向互联网直接提供访问端口或通过反向代理提供访问的，包括已投入使用的与仍处于工程状态的。第四条本办法中智能终端应用指运行在用户手机、Pad等终端上的客户端应用程序，包括APP、微信小程序与支付宝小程序等。第五条本办法山信息系统运营部安全运营部负责制定和解释。第六条本办法自发布之日起实行，安全运营部将根据集团或XX公司最新管理要求定期复审和修订。第二章组织与职责第七条暴露面资产与智能终端应用安全管理责任划分的基本原则是：“谁主管，谁负责，谁接入，谁负责”。第八条安全运营部是信息系统运营部IT系统暴露面资产与智能终端应用安全的管理部门，负责根据集团和XX公司要求制定暴露面资产与智能终端应用安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 ，负责组织应用渗透，并按照集团与主管单位要求完成对智能终端应用的报备，负责根据管理要求对各部门落实执行情况进行监督。第九条基础设施维护部、管理系统运营部、网管系统运营部是XX公司IT系统暴露面资产安全的维护部门，负责所维护的暴露面资产的报备工作。在建工程项U的相关职责，由项口随工部门承担。第十条业务系统开发部、数据资产运营部、资源与能力运营部、管理系统运营部、网管系统运营部、基础设施维护部是XX公司IT系统暴露面资产与智能终端应用安全的开发部门，负责所开发的智能终端应用的报备工作，并配合维护部门进行应用站点类暴露面资产报备工作。在建工程项口的相关职责，山项U随工部门承担。第十一条基础设施维护部、管理系统运营部、网管系统运营部是暴露面资产与智能终端应用安全管理的网络管理部门，负责落实对防火墙与反向代理等策略的安全管理要求，并根据集团与主管单位要求完成对暴露面资产的报备。第三章人员职责第十二条暴露面资产与智能终端应用安全管理涉及人员主要包括：安全运营部安全管理员；开发部门安全管理员、系统责任人；维护部门安全管理员、系统责任人；网络管理部门策略管理员；第十三条安全运营部安全管理员主要职责如下：根据上级管理单位要求制定信息系统运营部IT系统暴露面资产与智能终端应用管理制度，落实专项安全工作；组织对智能终端应用及web或包含H5页面站点的应用渗透对暴露面资产及智能终端应用新增、变更组织安全评估；根据上级管理单位要求，对智能终端应用进行报备；对暴露面资产与智能终端应用管理中的安全管理工作进行监督检查；对上级管理单位发现的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 组织查证与整改。第十四条维护部门安全管理员主要职责如下：总体负责本部门管理要求落实；在发现未报备暴露面资产时配合策略管理员确认责任人；第十五条维护部门系统责任人主要职责如下：根据需求对暴露面资产进行报备；对暴露面资产进行安全自查与加固；在暴露面资产发成变动时，及时更新报备信息；第十六条开发部门安全管理员主要职责如下：总体负责本部门管理要求落实；在发现未报备智能终端应用时配合确认责任人；第十七条开发部门责任人主要职责如下：根据需求对智能终端应用进行报备；配合维护部门系统责任人进行应用站点类暴露面资产报备；对应用站点、应用接口与智能终端应用进行安全自查与整改；在智能终端应用发成变动时，及时更新报备信息；在应用站点类暴露面资产发生变动时，及时通知维护部门系统责任人;第十八条策略管理员主要的职责如下：所管网段内暴露面资产相关策略的日常管理；对新增与变更的暴露面资产策略与报备信息一致性的审核；根据集团与主管单位要求完成对暴露面资产的报备暴露面资产策略新增与变更的执行；对未报备暴露面资产情况的核实与反馈；根据管理要求，对暴露面资产进行策略限制、临时关停与恢复；第四章暴露面资产安全管理第十九条暴露面资产的报备管理的基本原则是：“先报备，后开放”;“全量报备，提前申报”。第二十条暴露面资产的报备管理主要包含报备新增，报备变更，报备注销与补充报备四类场景，其中：报备新增，指一个未使用的公网IP端口，被分配上线使用，或一条新的反向代理策略需被添加，包括因工程项LI配合与测试等原因申请，也包括做了源地址限定等保护策略的；报备变更，指一个在用的公网IP端口或反向代理策略、应用场景、使用用途等报备信息发生变更以及保护性策略做较大调整的，如指向新站点，服务对象变化或源地址限定成段增加；报备注销，指一个在用的公网IP端口或反向代理策略不再需要使用，如源站点退服或收为内网访问等；补充报备，指日常运营中发现在用未报备公网IP端口或反向代理策略，或报备信息不符后，对其报备信息进行补录的情况。第二十一条暴露面资产的报备工作山维护部门负责，开发部门配合；第二十二条暴露面资产的报备新增与报备变更当维护部门需新增或对现有暴露面资产进行变更时，应提前参照《附件1:暴露面资产与智能终端应用新增、变更、补充》填写报备表，明确报备对象相关信息，并根据附件列表，在开发部门的配合下提交相应附件；安全运营部根据上述 材料 关于××同志的政审材料调查表环保先进个人材料国家普通话测试材料农民专业合作社注销四查四问剖析材料 组织对报备对象的安全评估，通过后通知维护部门提出策略新增与变更申请；维护部门发起网络策略新增与变更申请时，应附上安全运营部的通知作为依据；网络管理部门核对报备信息与策略变更工单一致性，并按要求完成集团平台报备，通过后开通策略；第二十三条暴露面资产的报备注销对于不再使用的暴露面资产，维护部门应在3个工作日内参照《附件3：暴露面资产与智能终端应用注销》填写报备表，发起暴露面资产注销 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 ，经安全运营部审核后，山网络管理部门关闭端口移除策略，并完成集团平台的报备注销，以降低互联网暴露面风险。第二十四条暴露面资产的补充报备对于检查中发现的未经报备或报备信息不符的暴露面资产，山安全运营部通知网络管理部门向维护部门进行核实，网络管理部门应在3个工作日内完成补充报备材料的提交以及集团平台的报备；第二十五条网络管理部门应对公网地址段、防火墙与反向代理设备进行集中管理，对工程建设与日常运营中涉及公网地址段、防火墙与反向代理设备新增、变动或退服的，应通知策略管理员，并确保其对所有公网地址段、在网防火墙与反向代理设备具有控制权；严禁厂商对公网地址段、在网防火墙与反向代理设备具有独立控制权；严禁未经安全运营部批准开通或变更任何暴露面资产相关策略，包括但不限于防火墙策略与反向代理策略。第二十六条对扫描、渗透中发现漏洞的暴露面资产，山安全运营部评佔后安排策略管理员临时关停或限制，待漏洞修复后再做恢复。第五章智能终端应用安全管理第二十七条智能终端应用的报备管理的基本原则是：“全量报备，及时更新”，“先报备，后发布，先申报，后推送”。第二十八条智能终端应用的报备管理主要包含报备新增，报备变更，报备注销与补充报备四类场景，其中：报备新增，指一个新的智能终端应用需上线发布，不同平台版本或衍生版本应独立报备；报备变更，指一个已报备的在用智能终端应用，其应用场景、服务对象、使用用途、发布渠道等报备信息发生变更，如版本升级、服务对象变化、发布渠道变化等；报备注销，指一个已报备的智能终端应用不再需要使用，如智能终端应用退服或整合等；补充报备，指日常运营中发现智能终端应用未报备、新版本发布未报备，或其他报备信息与实情明显不符后，对其报备信息进行补录的情况。第二十九条智能终端应用的报备工作山开发部门负责，维护部门配合。第三十条智能终端应用的报备新增与报备变更当开发部门需新增或对现有智能终端应用进行变更时，应提前根据是否涉及暴露面资产变动，参照《附件1:暴露面资产与智能终端应用新增、变更、补充》（涉及）或《附件2：智能终端应用升级》（不涉及）填写报备表，明确报备对象相关信息，并根据附件列表，在维护部门的配合下提交相应附件；安全运营部根据上述材料组织对报备对象的安全评估，通过后按要求完成集团平台报备，完成后通知开发部门发布应用；涉及暴露面资产新增或变更的，安全运营部将同步通知维护部门提出网络策略新增与变更申请；第三十一条智能终端应用的报备注销对于不再使用的智能终端应用，开发部门应在3个工作日内参照《附件3：暴露面资产与智能终端应用注销》填写报备表，发起智能终端应用报备注销流程，经安全运营部审核后，由网络管理部门关闭端口移除策略，并完成集团平台的报备注销，降低系统安全风险。第三十二条智能终端应用的补充报备对于检查中发现的未经报备或报备信息不符的智能终端应用，山安全运营部核实情况后通知开发部门补充报备，开发部门应在2个工作日内完成补充报备材料提交；第三十三条智能终端应用的发布参照上线进行管理，严禁通过任何渠道私下发布未报备版本的智能终端应用，包括但不限于应用市场与独立下载链接。第三十四条对扫描、渗透中发现漏洞的智能终端应用，山安全运营部评佔后关闭升级推送并撤除下载链接，待漏洞修复后恢复。第六章监督第三十五条安全运营部在日常管理考核中对各部门的执行情况进行评分和通报，包含但不限于以下情况：1、暴露面资产或智能终端应用未完成报备即开放或发布的；2、暴露面资产或智能终端应用报备 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 准确性和完整性不符要求的；3、未按时限要求完成暴露面资产或智能终端应用报备更新与注销的；4、未按时限要求完成暴露面资产或智能终端应用补充报备的；5、防火墙或反向代理设备未纳入集中管理的；第七章附则第三十六条本细则解释权归属中国移动XX公司信息系统运营部安全运营部。第三十七条本细则自下发之日起实施。