家客安全检查（现状20170407）.docVIP

四、??????家客 1.软探针关键数据全生命周期管理 ?【检查目的】督促省公司制定本省家客软探针数据使用和审批流程，确保数据使用的最小范围授权。保障数据采集和存储的健壮性，避免安全漏洞导致数据泄密。 【检查依据】总部《中国移动家庭终端软探针数据安全管理规定（2016版）》（网通?[2016] 213?号） 【检查对象】省公司 【检查办法】 检查步骤如下： （1）??软探针数据使用审批流程：检查省公司是否具备软探针数据安全管理的详细规定以及数据应用的申请和审批流程。省公司提供相关部门使用软探针数据时，依照相关流程提交的申请以及软探针系统传输的文本字段。总部审核是否按能够满足使用要求的最小范围进行授权。目前邮件审批、eoms审批流程未有 1、省内规范要下（几个部门的职责） 16年客响有下过初定版，17年重新修订； 2、最小范围定义？（安增室有无大网相关规范？厂家能否要到他省？少于2个管理员，其他人员由管理员管理（人员上限：一类分公司10个、二类8个、三类6个）；能看到具体用户信息；其他人员只能看到质量信息；） 3、账号管理：管理员提申请，走eoms，客响第一审批，转网维互联网室第二审批、做数据； 4、数据使用申请：走eoms， 管理员：导入导出统一提交，提eoms通用工单，客响第一审批，转网维互联室审批、提取； 普通人员：向管理员提出审批（建议eoms），地市管理员分配数据； （性能平台的现有安全规范，海哥帮忙找找） 检查办法：省公司建立完善的软探针数据使用申请和审批流程，并按照数据最小范围进行授权。 （2）??数据采集和存储的健壮性：检查省公司是否对使用的软探针、软探针监测平台存在软件和安全漏洞进行扫描评估；是否有定期对数据存储服务器进行安全漏洞扫描；数据存储服务器是否存在可被利用的安全漏洞。SQM有进行安全扫描，软探针未进行安全扫描 检查办法：省公司提供使用的软探针健壮性报告以及数据存储安全扫描报告，且数据存储服务器不存在可被利用的安全漏洞。 1、平台已扫描2—3次，将扫描结果和整改情况； 2、管理办法，平台每月1次； 3、（1）数据及产品研发中心，合作单位提供APK扫描报告；周期？ （2）网管中心安全小组，？ （3）厂家提供软探针业界安全扫描结果（4月中前），半年1次； （3）??采集数据的规范性：省公司提供软探针监测平台需求文档及软探针上传数据字段，检查软探针上传数据的字段是否与省内需求文档中要求一致；是否存在未审批的数据双送情况。规范，不存在双送 检查办法：省公司提供系统建设的需求文档与探针上传数据文档格式一致，且数据双送有审批流程。 1、需求文档，平台、软探针FPA，重新整理； 2、是否，3个扫描结果核对。 【检查用时】预计5人时 【现场检查时间】2017年3月 【结果记录表格】 2.软探针数据维护人员管理 【检查目的】 ??确保软探针系统账号和人员对应，人员岗位和账号权限对应，三方厂家系统建设和维护人员应与人员报备信息一致。对应，实名、短信认证 【检查依据】 总部《中国移动家庭终端软探针数据安全管理规定（2016版）》（网通?[2016] 213?号） 总部《关于组织签署网优、DPI、网管、信令、CDN等关键系统数据安全责任承诺书及必威体育官网网址协议的通知?》（网通[2016]255号） 总部工单《关于组织使用机顶盒/智能网关软探针关键系统数据的公司内部人员及外部厂家签署安全责任承诺书和必威体育官网网址协议的通知》（JT-001-170109-00039） 省、厂家已签；分公司部分自有人员未签； 1、厂家建设、维护人员申请eoms账号、申请12583短信实名权限； 2、所有人申请账号权限，需打印安全责任承诺书、手签、部门盖章，扫描件作为申请附件；分公司管理员，汇总分公司人员的手签件；省公司人员手签件，省公司管理汇总。 【检查对象】省公司 【检查办法】 检查步骤如下： （1）??自维人员管理：检查各省是否明确软探针数据系统的管理人员、维护人员、审计人员等角色的数据安全职责，并签署数据安全责任承诺书及必威体育官网网址协议。省公司提供软探针监测平台系统自维人员账号。总部核查账号权限是否与角色岗位一致。 1、管理人员：林海、余裔庭 2、维护人员：黄睿哲、蔡静仪 3、审计人员：严晗、欧阳林波 4、系统自维人员：林海、黄睿哲 权限与角色岗位一致，系统能否实现？ （2）??三方厂家人员管理：检查各省是否对软探针、软探针监测平台厂家建设和维护人员信息报备和周期性核查，且签署了数据安全责任承诺书及必威体育官网网址协议。省公司提供软探针监测平台系统厂家账号。总部核查账号权限是否审批权限一致。 1、参考前面的账号申请流程 2、安全协议书，手签、盖公司章，作为申请附件，省公司管理员汇总手签件 【检查用时】预计1人时 【现场检查时间】2017年3月 【结果记录表格】