一. 概况(Overview)
《新加坡电信集团网络安全政策中国专章》(以下简称“《本专章》”)是新加坡电信集团(以下简称“新加坡电信”)在中华人民共和国大陆地区(以下简称“中国大陆”)开展网络安全合规工作的指导性文件,目的在于确保涉及网络安全的相关员工均充分了解并遵循法律法规的要求,在业务实践中实际落实各项网络安全保护规定,提升新加坡电信集团公司在中国大陆的网络安全合规水平。
二. 基本政策(Policy)
2.1. 适用范围(Scope)
本专章适用于位于中国大陆的新加坡电信所有业务单位、附属子公司及各类分支机构等(以下简称“公司”)的全体员工、实习生、外包人员及其他相关人员(以下统称“员工”)在处理网络相关活动的所有事项。
2.2. 偏离(Deviations)
若本专章内容与《Group Cyber Security Policy》之间产生偏离,应当以本专章要求为准,以满足中国法项下网络安全相关的条款和规定。
若公司员工采取的相关网络安全活动与《Group Cyber Security Policy》和本专章要求不符,应当获得其所在公司网络安全负责人的同意。
2.3. 术语(Terminology)
网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
网络运营者:是指网络的所有者、管理者和网络服务提供者。
三. 沟通和操作管理(Communications and Operations Management)
除《Group Cyber Security Policy》第7条中规定的职责和要求外,公司作为网络运营者应当根据法律法规的要求对网络运行状态进行记录,并留存网络安全日志不小于六个月。
四. 系统采购、更新和维护(Systems Acquisition, Development and Maintenance)
除《Group Cyber Security Policy》中规定的职责和要求外,公司作为网络运营者应当履行下列职责:
4.1 网络关键设备和网络安全专用产品采购(Critical network equipment and special-purpose cybersecurity products management)
在采购网络关键设备和网络安全专用产品时,公司应审核候选供应商提供的该类产品已经通过具备资格的安全认证机构的认证或安全检测,具体包括:
4.1.1. 是否有认证机构颁发的认证证书;
4.1.2. 认证证书是否有效(证书有效期5年)。
4.2 漏洞管理(Vulnerabilities management)
除《Group Cyber Security Policy》中规定的职责和要求外,公司如果发现其网络系统、产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
如果公司发现网络产品的安全缺陷、漏洞时,应当根据法律法规的要求采取如下措施:
4.2.1. 公司发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;如果涉及该产品上游的产品或者组件存在的安全漏洞时,公司应当立即通知相关产品提供者。
4.2.2. 公司在发现该漏洞后,应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等相关内容。
4.2.3. 公司应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户采取软件、固件升级等措施时,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
五. 网络安全事件管理 ( Cyber Security Incident Management)
除《Group Cyber Security Policy》第10条中规定的职责和要求外,如发生网络安全事件,公司应当及时向有关主管部门进行报告,并向社会发布相关信息。