信息安全管理體系及重點制度介紹

1、1信息安全管理體系及重點制度介紹信息安全管理體系及重點制度介紹 信息系統(tǒng)部信息系統(tǒng)部2011年年5月月4日日2目目 錄錄信息安全管理體系介紹信息安全管理體系介紹1 基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法2基礎(chǔ)信息安全要求基礎(chǔ)信息安全要求3客戶信息保護管理規(guī)定客戶信息保護管理規(guī)定4信息安全三同步管理辦法信息安全三同步管理辦法5業(yè)務(wù)安全風(fēng)險評估標(biāo)準(zhǔn)業(yè)務(wù)安全風(fēng)險評估標(biāo)準(zhǔn)63ISO17799:2000國際標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)BS7799-1:1999BS7799-2:1999英國標(biāo)準(zhǔn)英國標(biāo)準(zhǔn)BS7799-2: 2002BS7799-1:2000ISO17799:2005ISO2700

2、1:2005BS7799:1996BS7799-3:20054pISO 27001的標(biāo)準(zhǔn)全稱的標(biāo)準(zhǔn)全稱 Information technology- Security techniques-Information security management systems-Requirements 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息安全管理體系信息安全管理體系- -要求要求nISMS 信息安全管理體系信息安全管理體系 - 管理體系管理體系 - 信息安全相關(guān)信息安全相關(guān) - ISO 27001 的的3 術(shù)語和定義術(shù)語和定義-3.7nRequirements 要求要求5p建立方針和目標(biāo)

3、并實現(xiàn)這些目建立方針和目標(biāo)并實現(xiàn)這些目標(biāo)的相互關(guān)聯(lián)或相互作用的一標(biāo)的相互關(guān)聯(lián)或相互作用的一組要素。組要素。p管理體系包括組織結(jié)構(gòu)，策略，管理體系包括組織結(jié)構(gòu)，策略，規(guī)劃，角色，職責(zé)，流程，程規(guī)劃，角色，職責(zé)，流程，程序和資源等。序和資源等。(ISO 270013 術(shù)術(shù)語和定義語和定義-3.7)p管理的方方面面以及公司的所管理的方方面面以及公司的所有雇員，均囊括在管理體系范有雇員，均囊括在管理體系范圍內(nèi)。圍內(nèi)。Quality management system (ISO 9001)Environmental management system(ISO 14001)Safety managemen

4、t system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System (ISO 20000)Information security management system(ISO 27001)6AlterationDestructionDisclosureInformationIntegrity Availability ConfidentialityInformation保護信息的保密性、完整性和可用性保護信息的保密性、完整性和可用性(CIA);另另外也可包括諸如真實性，可核查性，

5、不可否認外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性性和可靠性等特性 (ISO 270013 術(shù)語和定義術(shù)語和定義-3.4)p 機密性（機密性（Confidentiality） 信息不能被未授權(quán)的個人，實體或者過程利用信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性或知悉的特性 (ISO 270013 術(shù)語和定義術(shù)語和定義-3.3)p完整性（完整性（Integrity）保護資產(chǎn)的準(zhǔn)確和完整的特性保護資產(chǎn)的準(zhǔn)確和完整的特性(ISO 270013 術(shù)術(shù)語和定義語和定義-3.8).確保信息在存儲、使用、傳輸確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止過程中不會被

6、非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當(dāng)?shù)拇鄹?，保授?quán)用戶對系統(tǒng)及信息進行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。持信息內(nèi)、外部表示的一致性。p可用性（可用性（Availability） 根據(jù)授權(quán)實體的要求可訪問和利用的特性根據(jù)授權(quán)實體的要求可訪問和利用的特性(ISO 270013 術(shù)語和定義術(shù)語和定義-3.2).確保授權(quán)用戶或?qū)嵈_保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源允許其可靠而及時地訪問信息及資源7安全策略安全策略合規(guī)性合規(guī)性信息安全組織信息安全組織資產(chǎn)管理資產(chǎn)管理信息系統(tǒng)信息系統(tǒng)

7、獲取開發(fā)獲取開發(fā)和維護和維護人力資源安全人力資源安全物理和環(huán)境安全物理和環(huán)境安全通信和操作管理通信和操作管理訪問控制訪問控制信息安全事件管理信息安全事件管理業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理89湖南移動信息安全管理制度湖南移動信息安全管理制度n已發(fā)布制度已發(fā)布制度湖南移動信息安全管理辦法和責(zé)任矩陣湖南移動信息安全三同步管理辦法中國移動客戶信息安全保護管理規(guī)定（試行）和控制矩陣中國移動業(yè)務(wù)信息安全評估標(biāo)準(zhǔn)（2011）中國移動基礎(chǔ)信息安全管理通用要求（試行）和檢查矩陣n實踐案例匯編實踐案例匯編“客戶信息安全保護解決方案匯編”“基礎(chǔ)信息安全案例匯編”n計劃完善的制度計劃完善的制度安全應(yīng)急處置責(zé)任追究安全檢

8、查管理辦法10目目 錄錄信息安全管理體系介紹信息安全管理體系介紹1 基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法2基礎(chǔ)信息安全要求基礎(chǔ)信息安全要求3客戶信息保護管理規(guī)定客戶信息保護管理規(guī)定4信息安全三同步管理辦法信息安全三同步管理辦法5業(yè)務(wù)安全風(fēng)險評估標(biāo)準(zhǔn)業(yè)務(wù)安全風(fēng)險評估標(biāo)準(zhǔn)611基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法n互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的廣泛，信息安全事件時廣泛，信息安全事件時有發(fā)生有發(fā)生n普遍存在普遍存在“重市場發(fā)展、重市場發(fā)展、輕安全管理輕安全管理”的現(xiàn)象的現(xiàn)象,甚甚至還有至還有“只顧賺錢，漠只顧賺錢，漠視安全視安全”的情

9、況存在的情況存在n基礎(chǔ)電信企業(yè)的信息安全責(zé)任和要求不盡明確。n企業(yè)對自身應(yīng)承擔(dān)的信息安全責(zé)任重視不夠、投入不足。n行業(yè)監(jiān)管機構(gòu)對企業(yè)信息安全責(zé)任和義務(wù)缺乏有效監(jiān)督和管理的方式方法。企業(yè)信息安全責(zé)任保障條件總則總則監(jiān)督管理n基礎(chǔ)電信企業(yè)信息安全責(zé)任管理基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法（工信部保辦法（工信部保2009713號）號）12基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法-總則總則n 第三條（信息安全）本辦法所稱信息安全指電信網(wǎng)絡(luò)本辦法所稱信息安全指電信網(wǎng)絡(luò)（包括固定網(wǎng)、移動網(wǎng)和互聯(lián)網(wǎng)）上的公共信息內(nèi)容安（包括固定網(wǎng)、移動網(wǎng)和互聯(lián)網(wǎng)）上的公共信息內(nèi)容安全。全。n 第四條（

10、企業(yè)信息安全責(zé)任）企業(yè)有義務(wù)維護國家安全、企業(yè)有義務(wù)維護國家安全、社會穩(wěn)定和用戶合法權(quán)益；應(yīng)在網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)提供、社會穩(wěn)定和用戶合法權(quán)益；應(yīng)在網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)提供、應(yīng)急處置、信息報備、人員培訓(xùn)等方面建立健全企業(yè)信應(yīng)急處置、信息報備、人員培訓(xùn)等方面建立健全企業(yè)信息安全責(zé)任制度，同步建設(shè)與企業(yè)網(wǎng)絡(luò)、業(yè)務(wù)和用戶發(fā)息安全責(zé)任制度，同步建設(shè)與企業(yè)網(wǎng)絡(luò)、業(yè)務(wù)和用戶發(fā)展相適應(yīng)的信息安全保障體系和技術(shù)保障手段；保障必展相適應(yīng)的信息安全保障體系和技術(shù)保障手段；保障必要的人員和資金投入。要的人員和資金投入?？偪?則則13基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法企業(yè)信息安全責(zé)任企業(yè)信息安全責(zé)任

11、企業(yè)信息企業(yè)信息安全責(zé)任安全責(zé)任規(guī)范合作經(jīng)營規(guī)范合作經(jīng)營技術(shù)保障措施技術(shù)保障措施配合監(jiān)管配合監(jiān)管信息報備信息報備網(wǎng)絡(luò)建設(shè)網(wǎng)絡(luò)建設(shè)開辦業(yè)務(wù)開辦業(yè)務(wù)日常監(jiān)測日常監(jiān)測用戶信息保護用戶信息保護接入責(zé)任接入責(zé)任14企業(yè)信息安全責(zé)任-（網(wǎng)絡(luò)建設(shè)）n 企業(yè)在電信網(wǎng)絡(luò)的設(shè)計、建設(shè)和運行過程中，應(yīng)企業(yè)在電信網(wǎng)絡(luò)的設(shè)計、建設(shè)和運行過程中，應(yīng)做到與國家信息安全的需求同步規(guī)劃，同步建設(shè)，做到與國家信息安全的需求同步規(guī)劃，同步建設(shè)，同步運行。同步運行。n 企業(yè)在系統(tǒng)規(guī)劃、建設(shè)、升級、改造等環(huán)節(jié)應(yīng)認企業(yè)在系統(tǒng)規(guī)劃、建設(shè)、升級、改造等環(huán)節(jié)應(yīng)認真落實國家信息安全要求，同步配套相關(guān)信息安真落實國家信息安全要求，同步配套相關(guān)信息

12、安全設(shè)備和設(shè)施。全設(shè)備和設(shè)施。n 企業(yè)在網(wǎng)絡(luò)設(shè)備選型、采購和使用時，應(yīng)遵守電企業(yè)在網(wǎng)絡(luò)設(shè)備選型、采購和使用時，應(yīng)遵守電信設(shè)備進網(wǎng)要求，滿足信息安全管理需要。信設(shè)備進網(wǎng)要求，滿足信息安全管理需要。 15企業(yè)信息安全責(zé)任- （開辦業(yè)務(wù)）n 企業(yè)應(yīng)履行信息安全承諾，按照電信業(yè)務(wù)經(jīng)營許可的信企業(yè)應(yīng)履行信息安全承諾，按照電信業(yè)務(wù)經(jīng)營許可的信息安全要求開展和經(jīng)營相關(guān)電信業(yè)務(wù)。息安全要求開展和經(jīng)營相關(guān)電信業(yè)務(wù)。n 企業(yè)要在新產(chǎn)品立項、產(chǎn)品開發(fā)和業(yè)務(wù)上線（包括合作企業(yè)要在新產(chǎn)品立項、產(chǎn)品開發(fā)和業(yè)務(wù)上線（包括合作開辦）的各環(huán)節(jié)：開辦）的各環(huán)節(jié)：建立實施信息安全評估制度，同步配套與業(yè)務(wù)特點和用戶規(guī)模相適應(yīng)的信息安

13、全保障措施，明確業(yè)務(wù)的信息安全負責(zé)人，建立相應(yīng)的管理制度和應(yīng)急處置流程，按規(guī)定向電信監(jiān)管機構(gòu)進行業(yè)務(wù)信息報備。 16企業(yè)信息安全責(zé)任- （日常監(jiān)測）n 對本企業(yè)通信網(wǎng)絡(luò)中發(fā)現(xiàn)的違法信息，企業(yè)應(yīng)立對本企業(yè)通信網(wǎng)絡(luò)中發(fā)現(xiàn)的違法信息，企業(yè)應(yīng)立即停止傳輸，保存相關(guān)記錄，并向國家有關(guān)機關(guān)即停止傳輸，保存相關(guān)記錄，并向國家有關(guān)機關(guān)報告。報告。n 對有關(guān)部門依法通知停止傳輸?shù)倪`法信息，企業(yè)對有關(guān)部門依法通知停止傳輸?shù)倪`法信息，企業(yè)應(yīng)配合執(zhí)行。應(yīng)配合執(zhí)行。 17企業(yè)信息安全責(zé)任- （用戶信息保護）n 電信用戶依法使用電信的自由和通信秘密受法律電信用戶依法使用電信的自由和通信秘密受法律保護。企業(yè)及其工作人員不得

14、擅自向他人提供電保護。企業(yè)及其工作人員不得擅自向他人提供電信用戶使用電信網(wǎng)絡(luò)所傳輸信息的內(nèi)容（法律另信用戶使用電信網(wǎng)絡(luò)所傳輸信息的內(nèi)容（法律另有規(guī)定的除外）。有規(guī)定的除外）。n 對于本企業(yè)業(yè)務(wù)網(wǎng)絡(luò)對于本企業(yè)業(yè)務(wù)網(wǎng)絡(luò)/系統(tǒng)中保存的有關(guān)用戶資系統(tǒng)中保存的有關(guān)用戶資料和信息，企業(yè)應(yīng)依法予以保護，不得非法出售料和信息，企業(yè)應(yīng)依法予以保護，不得非法出售或者提供給其他組織和個人、不得用于與企業(yè)業(yè)或者提供給其他組織和個人、不得用于與企業(yè)業(yè)務(wù)無關(guān)的用途。務(wù)無關(guān)的用途。 18企業(yè)信息安全責(zé)任- （接入責(zé)任）n 企業(yè)不得向未取得電信業(yè)務(wù)經(jīng)營許可證的單位或企業(yè)不得向未取得電信業(yè)務(wù)經(jīng)營許可證的單位或個人提供用于經(jīng)營性

15、電信業(yè)務(wù)的電信資源、網(wǎng)絡(luò)個人提供用于經(jīng)營性電信業(yè)務(wù)的電信資源、網(wǎng)絡(luò)接入和業(yè)務(wù)接入；不得向未備案非經(jīng)營性互聯(lián)網(wǎng)接入和業(yè)務(wù)接入；不得向未備案非經(jīng)營性互聯(lián)網(wǎng)站提供網(wǎng)絡(luò)接入。站提供網(wǎng)絡(luò)接入。n 企業(yè)應(yīng)監(jiān)督接入用戶按照約定的用途使用電信資企業(yè)應(yīng)監(jiān)督接入用戶按照約定的用途使用電信資源或開展業(yè)務(wù)。發(fā)現(xiàn)擅自改變使用用途的，及時源或開展業(yè)務(wù)。發(fā)現(xiàn)擅自改變使用用途的，及時通知整改，涉及違法犯罪的，及時向有關(guān)部門報通知整改，涉及違法犯罪的，及時向有關(guān)部門報告。告。n 企業(yè)應(yīng)定期檢查接入內(nèi)容。發(fā)現(xiàn)信息安全問題和企業(yè)應(yīng)定期檢查接入內(nèi)容。發(fā)現(xiàn)信息安全問題和隱患及時做出相應(yīng)處理。隱患及時做出相應(yīng)處理。 19企業(yè)信息安全責(zé)任

16、- （規(guī)范合作經(jīng)營）n 企業(yè)在開展業(yè)務(wù)合作前，要對合作方的經(jīng)營資質(zhì)、企業(yè)在開展業(yè)務(wù)合作前，要對合作方的經(jīng)營資質(zhì)、業(yè)務(wù)許可等信息進行審核，并在合同中明確各方業(yè)務(wù)許可等信息進行審核，并在合同中明確各方的信息安全責(zé)任。的信息安全責(zé)任。n 企業(yè)應(yīng)當(dāng)對合作提供的各類業(yè)務(wù)進行規(guī)范和監(jiān)督，企業(yè)應(yīng)當(dāng)對合作提供的各類業(yè)務(wù)進行規(guī)范和監(jiān)督，建立違法信息發(fā)現(xiàn)、監(jiān)測和處置制度。對合作中建立違法信息發(fā)現(xiàn)、監(jiān)測和處置制度。對合作中出現(xiàn)的信息安全問題和隱患，企業(yè)應(yīng)督促合作單出現(xiàn)的信息安全問題和隱患，企業(yè)應(yīng)督促合作單位及時整改，或者按照合同約定進行處理，對違位及時整改，或者按照合同約定進行處理，對違反法律的，報送相關(guān)部門查處。

17、反法律的，報送相關(guān)部門查處。 20企業(yè)信息安全責(zé)任- （技術(shù)保障措施）n 企業(yè)應(yīng)當(dāng)建立并完善事前防范、事中阻斷、事后企業(yè)應(yīng)當(dāng)建立并完善事前防范、事中阻斷、事后追溯的信息安全技術(shù)保障體系。追溯的信息安全技術(shù)保障體系。n 企業(yè)應(yīng)當(dāng)建立必要的技術(shù)手段，加強對重要電信企業(yè)應(yīng)當(dāng)建立必要的技術(shù)手段，加強對重要電信資源（如電信碼號、網(wǎng)絡(luò)帶寬、資源（如電信碼號、網(wǎng)絡(luò)帶寬、IP地址、域名等）地址、域名等）的管理。的管理。n 企業(yè)應(yīng)當(dāng)認真落實接入責(zé)任，建全信息安全管理企業(yè)應(yīng)當(dāng)認真落實接入責(zé)任，建全信息安全管理和公共信息服務(wù)內(nèi)容日常核查手段。和公共信息服務(wù)內(nèi)容日常核查手段。21企業(yè)信息安全責(zé)任- （配合監(jiān)管）n 企

18、業(yè)應(yīng)當(dāng)認真配合電信監(jiān)管機構(gòu)開展信息安全監(jiān)企業(yè)應(yīng)當(dāng)認真配合電信監(jiān)管機構(gòu)開展信息安全監(jiān)督管理工作，保證相關(guān)工作順利實施。督管理工作，保證相關(guān)工作順利實施。 企業(yè)應(yīng)當(dāng)依法記錄并妥善保存用戶使用電信網(wǎng)絡(luò)的有關(guān)信息，相關(guān)信息應(yīng)當(dāng)至少保存60日。 對存在的信息安全問題和隱患，企業(yè)應(yīng)當(dāng)嚴格按照電信監(jiān)管機構(gòu)的處理意見進行整改。 因涉及國家安全或處置緊急事件的需要，電信監(jiān)管機構(gòu)根據(jù)國家的有關(guān)規(guī)定和要求組織實施通信管制，企業(yè)應(yīng)當(dāng)配合執(zhí)行。22企業(yè)信息安全責(zé)任- （信息報備）n 企業(yè)應(yīng)當(dāng)遵照有關(guān)信息安全要求和規(guī)定，執(zhí)行信息安全企業(yè)應(yīng)當(dāng)遵照有關(guān)信息安全要求和規(guī)定，執(zhí)行信息安全信息上報、備案制度，接受并配合電信監(jiān)管機構(gòu)

19、的監(jiān)督信息上報、備案制度，接受并配合電信監(jiān)管機構(gòu)的監(jiān)督檢查。檢查?？赡芤l(fā)信息安全隱患的網(wǎng)絡(luò)調(diào)整、擴容、電信基礎(chǔ)資源使用變更等；可能引發(fā)信息安全隱患的新開展業(yè)務(wù)；企業(yè)信息安全責(zé)任人或聯(lián)系人信息變更；企業(yè)業(yè)務(wù)網(wǎng)絡(luò)/系統(tǒng)內(nèi)發(fā)生的各類信息安全事件。n 企業(yè)應(yīng)保證相關(guān)報備信息的及時、準(zhǔn)確、完整。企業(yè)應(yīng)保證相關(guān)報備信息的及時、準(zhǔn)確、完整。23基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法通報整改制度通報整改制度n電信監(jiān)管機構(gòu)對企業(yè)落實信息安全責(zé)任情況建立日常監(jiān)測機制，實行通報整改制度。對存在信息安全隱患或者發(fā)生信息安全事故的企業(yè)，電信監(jiān)管機構(gòu)向企業(yè)提出書面整改意見，責(zé)成企業(yè)限期整改，并

20、視情況在一定范圍內(nèi)予以通報。n電信監(jiān)管機構(gòu)定期或不定期對企業(yè)落實信息安全責(zé)任的情況進行專項監(jiān)督檢查。企業(yè)應(yīng)當(dāng)將每年落實信息安全責(zé)任的有關(guān)情況形成書面報告報電信監(jiān)管機構(gòu)。n對在新產(chǎn)品立項、產(chǎn)品開發(fā)和業(yè)務(wù)上線（包括合作開辦）各環(huán)節(jié)未同步開展信息安全評估、未同步配套與該業(yè)務(wù)相適應(yīng)的信息安全保障措施、未按規(guī)定要求向電信監(jiān)管機構(gòu)進行業(yè)務(wù)信息報備，而造成特（重）大信息安全事件（或被有關(guān)部門通報并經(jīng)電信監(jiān)管機構(gòu)組織專家研究認定該業(yè)務(wù)存在嚴重信息安全隱患）的，由電信監(jiān)管機由電信監(jiān)管機構(gòu)責(zé)令相關(guān)企業(yè)限期整改，未經(jīng)整改合格的，不得開展該業(yè)務(wù)。構(gòu)責(zé)令相關(guān)企業(yè)限期整改，未經(jīng)整改合格的，不得開展該業(yè)務(wù)。監(jiān)督管理監(jiān)督管理

21、24基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法通報整改制度通報整改制度n對因自身管理原因造成信息安全事件，由電信監(jiān)管機構(gòu)追究相關(guān)企業(yè)責(zé)任。對因自身管理原因造成信息安全事件，由電信監(jiān)管機構(gòu)追究相關(guān)企業(yè)責(zé)任。 （一）企業(yè)在一年內(nèi)，發(fā)生1次特大信息安全事件的，或累計發(fā)生3次（及3次以上）重大信息安全事件的，由電信監(jiān)管機構(gòu)予以通報批評，對相關(guān)責(zé)任人提出處理意見或建議，通報相關(guān)管理部門，并視情況向社會通告。 （二）企業(yè)在一年內(nèi)，發(fā)生1次重大信息安全事件的，或累計發(fā)生5次（及5次以上）一般信息安全事件的，由電信監(jiān)管機構(gòu)予以通報批評，對相關(guān)責(zé)任人提出處理意見或建議，并通報相關(guān)管理部門。

22、 （三）企業(yè)在一年內(nèi)，發(fā)生5次以下一般信息安全事件的，由電信監(jiān)管機構(gòu)在電信行業(yè)內(nèi)進行通報。 （四）企業(yè)存在信息安全問題或隱患，未按要求在規(guī)定期限內(nèi)進行相應(yīng)整改的，由電信監(jiān)管機構(gòu)予以通報批評，對相關(guān)責(zé)任人提出處理意見或建議，并視情況通報相關(guān)管理部門。構(gòu)成犯罪的，移送司法機關(guān)依法追究刑事責(zé)任。監(jiān)督管理監(jiān)督管理25基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法 重點（一）重點（一）n 落實基礎(chǔ)企業(yè)領(lǐng)導(dǎo)人問責(zé)制落實基礎(chǔ)企業(yè)領(lǐng)導(dǎo)人問責(zé)制 明確和落實企業(yè)領(lǐng)導(dǎo)責(zé)任。 對工作不落實、措施不到位、被電信主管部門通報批評的，追究企業(yè)信息安全責(zé)任人的領(lǐng)導(dǎo)責(zé)任。 對整改不力、屢改屢犯、故意違規(guī)的，通

23、報批評相應(yīng)企業(yè)信息安全責(zé)任人，并函告其上級主管部門追究企業(yè)信息安全責(zé)任人的領(lǐng)導(dǎo)責(zé)任。26基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法 （二）（二）n 加強業(yè)務(wù)推廣、合作經(jīng)營的管理加強業(yè)務(wù)推廣、合作經(jīng)營的管理 對業(yè)務(wù)推廣渠道中業(yè)務(wù)合作的建立、合作內(nèi)容的規(guī)范、合作問題的發(fā)現(xiàn)和監(jiān)督、業(yè)務(wù)推廣模式的實現(xiàn)等相關(guān)細節(jié)明確制度化、規(guī)范化的要求。 監(jiān)督合作單位相關(guān)責(zé)任和義務(wù)落實情況，確保實效。 對合作中出現(xiàn)的信息安全問題和隱患，企業(yè)應(yīng)督促合作單位及時整改；發(fā)現(xiàn)存在違規(guī)的，立即暫?；蚪K止合作；發(fā)現(xiàn)違反法律的，報送相關(guān)部門查處。 27基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理

24、辦法 （三）（三）n 落實接入環(huán)節(jié)管理責(zé)任落實接入環(huán)節(jié)管理責(zé)任 為無證服務(wù)商提供接入、為未取得經(jīng)營許可或備案的網(wǎng)站接入的，追究相關(guān)人員責(zé)任。 與接入服務(wù)商、網(wǎng)站簽訂信息安全管理協(xié)議。 監(jiān)督接入服務(wù)商、網(wǎng)站的日?；顒樱浜舷嚓P(guān)主管部門對接入服務(wù)商、網(wǎng)站接入的查處。 對發(fā)現(xiàn)涉及違法犯罪的，應(yīng)及時停止接入、保存記錄，并向有關(guān)部門報告。 對無法判定的涉嫌違規(guī)內(nèi)容，應(yīng)保存記錄，并向有關(guān)部門報告，配合有關(guān)部門的研判和處置。 28目目 錄錄信息安全管理體系介紹信息安全管理體系介紹1 基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法2基礎(chǔ)信息安全要求基礎(chǔ)信息安全要求3客戶信息保護管理規(guī)定客戶信

25、息保護管理規(guī)定4信息安全三同步管理辦法信息安全三同步管理辦法5業(yè)務(wù)安全風(fēng)險評估標(biāo)準(zhǔn)業(yè)務(wù)安全風(fēng)險評估標(biāo)準(zhǔn)629基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求30基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求安全預(yù)警安全預(yù)警n預(yù)警信息分為一級、二級、三級、四級，一級為最高級。預(yù)警信息分為一級、二級、三級、四級，一級為最高級。n集團公司信息安全管理責(zé)任部門負責(zé)面向全網(wǎng)發(fā)布預(yù)警信息，各省集團公司信息安全管理責(zé)任部門負責(zé)面向全網(wǎng)發(fā)布預(yù)警信息，各省公司或?qū)I(yè)部門向所轄地域與專業(yè)公司或?qū)I(yè)部門向所轄地域與專業(yè)發(fā)布發(fā)布預(yù)警信息。預(yù)警信息。n各單位接到預(yù)警信息后，應(yīng)依據(jù)上級主管部門要求各單位接到預(yù)警信息后，

26、應(yīng)依據(jù)上級主管部門要求落實落實，及時，及時跟蹤跟蹤預(yù)警項進展，預(yù)警內(nèi)容出現(xiàn)變化應(yīng)及時預(yù)警項進展，預(yù)警內(nèi)容出現(xiàn)變化應(yīng)及時上報上報，必要時調(diào)高預(yù)警級別，必要時調(diào)高預(yù)警級別并采取更嚴格防范措施。并采取更嚴格防范措施。n各單位可根據(jù)預(yù)警信息對系統(tǒng)的影響情況調(diào)高預(yù)警級別，但不允許各單位可根據(jù)預(yù)警信息對系統(tǒng)的影響情況調(diào)高預(yù)警級別，但不允許調(diào)低預(yù)警級別；調(diào)低預(yù)警級別；對安全補丁類預(yù)警，應(yīng)根據(jù)設(shè)備所處位置和重要性采取不同的加載策略。在設(shè)備沒打補丁期間，要采取相應(yīng)的加固措施，保證設(shè)備不易被攻擊。對于安全預(yù)警信息，應(yīng)在預(yù)警信息規(guī)定時限內(nèi)向預(yù)警信息發(fā)布主體反饋處理結(jié)果。n安全預(yù)警安全預(yù)警處理結(jié)果反饋處理結(jié)果反饋內(nèi)容

27、應(yīng)包括預(yù)警的影響范圍、防范措施實施內(nèi)容應(yīng)包括預(yù)警的影響范圍、防范措施實施范圍、防范措施實施效果、進一步計劃等內(nèi)容。范圍、防范措施實施效果、進一步計劃等內(nèi)容。31基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求安全監(jiān)控安全監(jiān)控 n要由監(jiān)控專業(yè)或相應(yīng)專業(yè)人員實施對各專業(yè)網(wǎng)絡(luò)與系統(tǒng)的要由監(jiān)控專業(yè)或相應(yīng)專業(yè)人員實施對各專業(yè)網(wǎng)絡(luò)與系統(tǒng)的集中化安全監(jiān)控集中化安全監(jiān)控。n重點監(jiān)控范圍重點監(jiān)控范圍包括安全等級三級及以上的包括安全等級三級及以上的IT系統(tǒng)，以及基地業(yè)務(wù)、彩信、系統(tǒng)，以及基地業(yè)務(wù)、彩信、OA、ERP、郵件系統(tǒng)、對外網(wǎng)站、郵件系統(tǒng)、對外網(wǎng)站、IDC、WLAN、DNS、LSP等系統(tǒng)。等系統(tǒng)。n 細化安

28、全細化安全監(jiān)控內(nèi)容監(jiān)控內(nèi)容，包括但不限于：，包括但不限于：內(nèi)網(wǎng)系統(tǒng)：帳號登錄信息，帳號、權(quán)限、口令的變更，服務(wù)與端口的啟用，系統(tǒng)日志是否正常；互聯(lián)網(wǎng)系統(tǒng)：除了滿足內(nèi)網(wǎng)系統(tǒng)監(jiān)控內(nèi)容要求外，還應(yīng)包括網(wǎng)站頁面是否被篡改，系統(tǒng)可用性；安全設(shè)備：防病毒系統(tǒng)、入侵檢測系統(tǒng)、防火墻等安全告警信息。n 針對各監(jiān)控對象細化制定安全監(jiān)控的各項針對各監(jiān)控對象細化制定安全監(jiān)控的各項控制基線與量化指標(biāo)控制基線與量化指標(biāo)，基線與指，基線與指標(biāo)的數(shù)值應(yīng)至少設(shè)定正常，一般告警，緊急告警三個等級。標(biāo)的數(shù)值應(yīng)至少設(shè)定正常，一般告警，緊急告警三個等級。n 應(yīng)完善和優(yōu)化安全監(jiān)控手段，提升監(jiān)控的效率與覆蓋面。應(yīng)完善和優(yōu)化安全監(jiān)控手段，

29、提升監(jiān)控的效率與覆蓋面。n 應(yīng)制定細化的安全應(yīng)制定細化的安全監(jiān)控作業(yè)計劃監(jiān)控作業(yè)計劃，實施對重點監(jiān)控對象的，實施對重點監(jiān)控對象的724小時監(jiān)控。小時監(jiān)控。n 對于監(jiān)控中發(fā)現(xiàn)的安全問題，及時進行詳細記錄并形成對于監(jiān)控中發(fā)現(xiàn)的安全問題，及時進行詳細記錄并形成監(jiān)控日志監(jiān)控日志，監(jiān)控日，監(jiān)控日志應(yīng)留存志應(yīng)留存3個月以上。個月以上。n 要及時對監(jiān)控中發(fā)現(xiàn)的問題進行要及時對監(jiān)控中發(fā)現(xiàn)的問題進行識別、分析與處置識別、分析與處置。n 按照安全事件管理相關(guān)要求對監(jiān)控中發(fā)現(xiàn)的安全事件進行處置。按照安全事件管理相關(guān)要求對監(jiān)控中發(fā)現(xiàn)的安全事件進行處置。 32基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求訪問控制訪問

30、控制1 n內(nèi)網(wǎng)接入安全要求內(nèi)網(wǎng)接入安全要求嚴禁任何設(shè)備以雙網(wǎng)卡方式同時連接互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)；嚴禁向任何未經(jīng)防火墻隔離的對外網(wǎng)站等互聯(lián)網(wǎng)系統(tǒng)分配公司內(nèi)網(wǎng)IP地址；接入公司內(nèi)網(wǎng)的終端設(shè)備必須通過802.1X認證，安全網(wǎng)關(guān)認證，MAC地址綁定等方式之一實現(xiàn)網(wǎng)絡(luò)接入認證，只有通過接入認證的設(shè)備才可訪問局域網(wǎng)資源；如因系統(tǒng)限制暫時無法在系統(tǒng)中實現(xiàn)網(wǎng)絡(luò)登錄認證，任何外來設(shè)備只能在接入申請批準(zhǔn)后方可接入，并由局域網(wǎng)的維護人員對接入終端進行登記；原則上不應(yīng)采用無線AP方式接入內(nèi)網(wǎng)，如遇特殊情況，依據(jù)“誰接入、誰負責(zé)”的原則，管理上必須經(jīng)主管領(lǐng)導(dǎo)審批授權(quán)，技術(shù)上必須采用MAC地址綁定，強安全認證，強加密算法保護

31、的安全傳輸，配置隱藏SSID，保證AP口令強度等配置；各單位要維護一份已使用內(nèi)網(wǎng)IP地址清單，清單內(nèi)容包括但不限于每個IP地址的使用單位、設(shè)備用途、責(zé)任人（使用人）和聯(lián)系方式等信息。n 遠程接入遠程接入 遠程接入指從外部網(wǎng)絡(luò)接入公司內(nèi)網(wǎng)；各單位要制定遠程接入的實施細則、遠程接入審批和授權(quán)流程，規(guī)范帳號權(quán)限的申請、變更與刪除等工作，審批與授權(quán)記錄應(yīng)予以歸檔留存；各單位對遠程接入應(yīng)做到系統(tǒng)集中管控（接入4A系統(tǒng)），采用短信動態(tài)口令，令牌等強認證方式，并對遠程接入用戶的登錄過程、操作行為進行記錄（記錄內(nèi)容包括但不限于：用戶名、操作內(nèi)容、登陸方式、登入時間、登出時間）；遠程接入帳號只能授予內(nèi)部員工，廠

32、家人員需要使用遠程維護時，按次授權(quán)，用畢收回；遠程接入帳號的創(chuàng)建、調(diào)整和刪除申請審批通過后，應(yīng)及時更新系統(tǒng)中的帳號狀態(tài)，確保與審批結(jié)果保持一致；定期（每半年至少一次）檢查遠程接入帳號與權(quán)限，清除過期或者未授權(quán)的訪問帳號與權(quán)限。33基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求訪問控制訪問控制2 n防火墻配置管理防火墻配置管理各單位應(yīng)制定防火墻策略管理的實施細則、防火墻策略變更審批和授權(quán)流程，規(guī)范防火墻策略新建、更新與刪除工作，審批與授權(quán)記錄應(yīng)予以歸檔留存；防火墻配置應(yīng)滿足中國移動防火墻功能和配置規(guī)范要求，做好日志、告警、安全策略、攻擊防護的配置；系統(tǒng)管理員應(yīng)遵循“最小化”原則，根據(jù)系統(tǒng)內(nèi)外部

33、互聯(lián)需求，建立細化到連接雙方的IP、端口、有效時間范圍、承載信息、信息敏感性等內(nèi)容在內(nèi)的網(wǎng)絡(luò)連接信息表，并據(jù)此配置防火墻策略，禁止出現(xiàn)非業(yè)務(wù)需要的大段IP、連續(xù)端口開放的配置；除數(shù)據(jù)網(wǎng)管、安全管控平臺等因業(yè)務(wù)需要外，互聯(lián)網(wǎng)邊界防火墻從外網(wǎng)至內(nèi)網(wǎng)的方向僅允許業(yè)務(wù)應(yīng)用端口，嚴禁開放維護管理和數(shù)據(jù)庫服務(wù)端口；內(nèi)網(wǎng)不同區(qū)域之間的邊界防火墻對于維護管理、數(shù)據(jù)庫服務(wù)端口僅允許配置點對點訪問策略，嚴禁開放大段IP地址的訪問策略；內(nèi)部核心區(qū)不允許開放到互聯(lián)網(wǎng)的訪問權(quán)限。建立維護作業(yè)計劃，定期（至少每周一次）對非永久有效的臨時防火墻策略進行清理。定期審核防火墻策略，確保網(wǎng)絡(luò)連接信息、防火墻策略與實際情況的一致性

34、，確保防火墻策略滿足公司安全要求。n 第三方訪問控制管理第三方訪問控制管理第三方是指與中國移動在業(yè)務(wù)上具有合作關(guān)系，或是向中國移動提供開發(fā)、維護等服務(wù)的公司及其員工；各單位要與第三方公司簽訂保密協(xié)議，在協(xié)議中明確第三方公司及其參與服務(wù)的員工的保密責(zé)任以及違約罰則；第三方人員的開發(fā)、維護的接入?yún)^(qū)域要與中國移動的生產(chǎn)、內(nèi)部辦公、維護區(qū)域分離，并采用更嚴格的訪問控制策略和管控手段；第三方工作區(qū)域的終端接入中國移動的內(nèi)部網(wǎng)絡(luò)時要滿足內(nèi)網(wǎng)接入要求，嚴格限制U盤等外設(shè)拷貝，禁止使用無線上網(wǎng)，必須安裝防病毒軟件；通過接入4A系統(tǒng)等方式對第三方人員的登錄過程、操作行為進行記錄（記錄內(nèi)容包括但不限于：用戶名、操

35、作內(nèi)容、登錄方式、登入時間、登出時間），日志記錄至少保留6個月。嚴格禁止第三方人員擁有重要系統(tǒng)管理員權(quán)限，創(chuàng)建系統(tǒng)帳號權(quán)限，查詢客戶敏感信息或者超出工作范圍的高級權(quán)限的帳號。各單位應(yīng)至少每3個月對第三方的帳號權(quán)限進行一次審核清理。34基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求訪問控制訪問控制3 n 帳號口令管理帳號口令管理各單位要制定帳號口令管理辦法，帳號口令管理滿足：帳號管理遵循職責(zé)匹配、最小授權(quán)原則，規(guī)范帳號創(chuàng)建、變更、刪除審批流程，嚴格限制程序帳號的使用；口令設(shè)置滿足字母、數(shù)字組合等復(fù)雜度要求，不得以明文方式保存或者傳輸，口令長度不得小于8位，至少每90天更換一次，且5次以內(nèi)不得設(shè)

36、置相同的口令；定期（至少每半年一次）對帳號申請審批、權(quán)限變更等流程執(zhí)行情況進行審核，避免出現(xiàn)非法創(chuàng)建帳號、無主帳號以及權(quán)限與職責(zé)不相容的帳號。要通過系統(tǒng)功能強制實現(xiàn)口令策略管理，防止出現(xiàn)弱口令設(shè)置。重要系統(tǒng)要采用短信動態(tài)口令、證書等強認證登錄方式。 35基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求安全分析安全分析 n各單位要建立各單位要建立安全分析制度安全分析制度，定期對基礎(chǔ)信息安全工作情況進行分，定期對基礎(chǔ)信息安全工作情況進行分析通報。析通報。n 分析內(nèi)容分析內(nèi)容包括：基礎(chǔ)信息安全相關(guān)的安全形勢與威脅變化，安全事包括：基礎(chǔ)信息安全相關(guān)的安全形勢與威脅變化，安全事件，安全預(yù)警、安全監(jiān)控、風(fēng)

37、險評估、合規(guī)性檢查等發(fā)現(xiàn)的安全問件，安全預(yù)警、安全監(jiān)控、風(fēng)險評估、合規(guī)性檢查等發(fā)現(xiàn)的安全問題，部署相關(guān)整改工作，追蹤安全問題整改情況，對重大安全事項題，部署相關(guān)整改工作，追蹤安全問題整改情況，對重大安全事項進行專題研究等。進行專題研究等。n 對于分析中形成的信息安全對于分析中形成的信息安全工作決議工作決議，工作部署等記錄歸檔，并，工作部署等記錄歸檔，并追追蹤落實蹤落實。36基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求安全合規(guī)性檢查安全合規(guī)性檢查 n各省信息安全歸口管理部門要制定合規(guī)性檢查制度，配備必要的檢查工具，各省信息安全歸口管理部門要制定合規(guī)性檢查制度，配備必要的檢查工具，建立內(nèi)部檢查

38、機制。建立內(nèi)部檢查機制。n信息安全歸口管理部門每年年初要組織相關(guān)單位共同制定信息安全歸口管理部門每年年初要組織相關(guān)單位共同制定安全合規(guī)性檢安全合規(guī)性檢查計劃查計劃，并按照計劃開展檢查工作。，并按照計劃開展檢查工作。n在計劃中要明確在計劃中要明確檢查的方式、方法檢查的方式、方法，抽調(diào)各單位安全力量，以自查或交叉，抽調(diào)各單位安全力量，以自查或交叉檢查方式進行。檢查方式進行。 安全合規(guī)性檢查范圍與頻次要求：每年至少對各IT系統(tǒng)組織完成一次全面檢查；各單位應(yīng)結(jié)合自身情況開展不定期的自查。n安全運營管理和基礎(chǔ)安全運營管理和基礎(chǔ)IT設(shè)施安全防護的合規(guī)性檢查應(yīng)依據(jù)本要求執(zhí)行；單設(shè)施安全防護的合規(guī)性檢查應(yīng)依據(jù)

39、本要求執(zhí)行；單點設(shè)備安全配置的合規(guī)性檢查建議采用設(shè)備安全配置審核工具進行。點設(shè)備安全配置的合規(guī)性檢查建議采用設(shè)備安全配置審核工具進行。n 合規(guī)性檢查的合規(guī)性檢查的方法方法包括但不限于：抽樣檢查、全面檢查、現(xiàn)場檢測、日志包括但不限于：抽樣檢查、全面檢查、現(xiàn)場檢測、日志審核、人員訪談、工具自動檢查等。審核、人員訪談、工具自動檢查等。n 每次檢查結(jié)束后檢查小組要及時編制每次檢查結(jié)束后檢查小組要及時編制安全合規(guī)性安全合規(guī)性檢查報告檢查報告、安全合安全合規(guī)性檢查問題整改計劃及實施方案規(guī)性檢查問題整改計劃及實施方案。n 被檢查單位要及時向本省信息安全歸口管理部門上報整改進度與成果及被檢查單位要及時向本省信

40、息安全歸口管理部門上報整改進度與成果及安全合規(guī)性檢查問題安全合規(guī)性檢查問題整改工作總結(jié)整改工作總結(jié)。37基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求安全事件管理安全事件管理1n安全事件分為特別重大、重大、較大和一般四個級別。系統(tǒng)（含內(nèi)網(wǎng)系統(tǒng)）安全事件分為特別重大、重大、較大和一般四個級別。系統(tǒng)（含內(nèi)網(wǎng)系統(tǒng)）安全事安全事件信息分級定義件信息分級定義參照參照互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法規(guī)定，及集團相關(guān)部門規(guī)定，及集團相關(guān)部門要求。要求。n 安全事件組織安全事件組織分為三級，一級管理組織是集團公司，負責(zé)跨省、跨專業(yè)事件的協(xié)調(diào)分為三級，一級管理組織是集團公司，負責(zé)跨

41、省、跨專業(yè)事件的協(xié)調(diào)處置。二級管理組織為各省公司，負責(zé)轄區(qū)內(nèi)事件的協(xié)調(diào)處置。三級管理組織由省處置。二級管理組織為各省公司，負責(zé)轄區(qū)內(nèi)事件的協(xié)調(diào)處置。三級管理組織由省公司各部門的安全小組組成，負責(zé)事件的具體處置。公司各部門的安全小組組成，負責(zé)事件的具體處置。n 各級組織應(yīng)負責(zé)執(zhí)行所主管各級組織應(yīng)負責(zé)執(zhí)行所主管IT系統(tǒng)與網(wǎng)絡(luò)的安全事件管理工作，并接受上一級組織系統(tǒng)與網(wǎng)絡(luò)的安全事件管理工作，并接受上一級組織的統(tǒng)籌與指導(dǎo)。的統(tǒng)籌與指導(dǎo)。n 國家重大活動保障時期國家重大活動保障時期發(fā)生的安全事件的級別應(yīng)在原有級別上發(fā)生的安全事件的級別應(yīng)在原有級別上提升一級提升一級，特別重大，特別重大安全事件級別不再向上

42、提升。安全事件級別不再向上提升。n 各級組織對于安全監(jiān)控發(fā)現(xiàn)的安全事件，要及時對安全事件的影響范圍和級別進行各級組織對于安全監(jiān)控發(fā)現(xiàn)的安全事件，要及時對安全事件的影響范圍和級別進行判斷并決定是否需要上報；對于省內(nèi)跨專業(yè)的安全事件應(yīng)及時上報二級事件管理組判斷并決定是否需要上報；對于省內(nèi)跨專業(yè)的安全事件應(yīng)及時上報二級事件管理組織協(xié)調(diào)處理，對于跨省的安全事件應(yīng)及時上報一級事件管理組織協(xié)調(diào)處理?？梾f(xié)調(diào)處理，對于跨省的安全事件應(yīng)及時上報一級事件管理組織協(xié)調(diào)處理。上報上報模模板參見附錄一。板參見附錄一。n 各級組織收到安全事件投訴后應(yīng)及時對投訴內(nèi)容進行各級組織收到安全事件投訴后應(yīng)及時對投訴內(nèi)容進行核實核實

43、，并協(xié)調(diào)做好投訴的，并協(xié)調(diào)做好投訴的處理處理。 特別重大安全事件發(fā)生時，二級管理組織應(yīng)立即上報集團公司，經(jīng)審批后，上報當(dāng)?shù)匕踩种行摹Ｌ貏e重大安全事件確認至上報集團不得超過1小時。 重大安全事件發(fā)生時，二級管理組織應(yīng)及時上報集團公司。重大安全事件確認至上報到集團公司不得超過2小時。較大或一般安全事件由二級管理組織匯總后于次月5個工作日內(nèi)報送當(dāng)?shù)赝ㄐ殴芾砭趾虲NCERT/CC當(dāng)?shù)胤种行?，并在每月安全報表中向集團公司上報。n二級管理組織應(yīng)記錄安全事件的審計核查結(jié)果，進行匯總分析，二級管理組織應(yīng)記錄安全事件的審計核查結(jié)果，進行匯總分析，總結(jié)總結(jié)存在的問題并存在的問題并歸檔歸檔形成安全事件案例庫，并上

44、報集團公司。形成安全事件案例庫，并上報集團公司。38基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求安全事件管理安全事件管理2 n 安全事件發(fā)生后應(yīng)立即啟動安全事件發(fā)生后應(yīng)立即啟動響應(yīng)機制響應(yīng)機制。n 按照按照“誰下達任務(wù)，誰結(jié)束任務(wù)誰下達任務(wù)，誰結(jié)束任務(wù)”的原則，重大活動保障任務(wù)下達的原則，重大活動保障任務(wù)下達單位或部門應(yīng)明確安全響應(yīng)任務(wù)的結(jié)束時間。單位或部門應(yīng)明確安全響應(yīng)任務(wù)的結(jié)束時間。n 在在網(wǎng)絡(luò)入侵事件網(wǎng)絡(luò)入侵事件的處理過程中，應(yīng)保護被入侵設(shè)備現(xiàn)場，盡可能進的處理過程中，應(yīng)保護被入侵設(shè)備現(xiàn)場，盡可能進行離線封存問題設(shè)備，交二級管理組織處理，禁止擅自重裝、刪除行離線封存問題設(shè)備，交二級管

45、理組織處理，禁止擅自重裝、刪除系統(tǒng)，為將來的取證或者分析入侵行為提供證據(jù)。系統(tǒng)，為將來的取證或者分析入侵行為提供證據(jù)。n 做好事件恢復(fù)后的安全檢查工作，避免設(shè)備上線后再次出現(xiàn)同類問做好事件恢復(fù)后的安全檢查工作，避免設(shè)備上線后再次出現(xiàn)同類問題。題。n 各級組織應(yīng)定期完善各級組織應(yīng)定期完善安全事件預(yù)案安全事件預(yù)案，對安全人員進行培訓(xùn)，每年至，對安全人員進行培訓(xùn)，每年至少執(zhí)行一次信息安全演練。少執(zhí)行一次信息安全演練。n 應(yīng)定期檢查、補充安全事件處理所用的硬件及軟件工具，相關(guān)支撐應(yīng)定期檢查、補充安全事件處理所用的硬件及軟件工具，相關(guān)支撐文檔資料等，做到有備無患。文檔資料等，做到有備無患。n 應(yīng)完善安全

46、事件響應(yīng)的應(yīng)完善安全事件響應(yīng)的技術(shù)支撐體系技術(shù)支撐體系，提升事件處置能力。，提升事件處置能力。n 對于安全事件處理中關(guān)鍵節(jié)點的訪問與操作日志應(yīng)建立對于安全事件處理中關(guān)鍵節(jié)點的訪問與操作日志應(yīng)建立備份機制備份機制，在線日志至少應(yīng)保存三個月，離線日志至少應(yīng)保存半年。在線日志至少應(yīng)保存三個月，離線日志至少應(yīng)保存半年。39基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求人員與資產(chǎn)安全管理人員與資產(chǎn)安全管理 n各省應(yīng)與合作第三方、關(guān)鍵崗位員工單獨簽訂各省應(yīng)與合作第三方、關(guān)鍵崗位員工單獨簽訂保密協(xié)議保密協(xié)議，在協(xié)議中，在協(xié)議中明確其保密責(zé)任以及違約罰則。明確其保密責(zé)任以及違約罰則。n 各省應(yīng)建立所轄系統(tǒng)中

47、有各省應(yīng)建立所轄系統(tǒng)中有IP地址的地址的基礎(chǔ)設(shè)備資產(chǎn)管理清單基礎(chǔ)設(shè)備資產(chǎn)管理清單，并集中，并集中建立與互聯(lián)網(wǎng)接口的資產(chǎn)清單，必須詳細記錄信息資產(chǎn)的狀態(tài)、建立與互聯(lián)網(wǎng)接口的資產(chǎn)清單，必須詳細記錄信息資產(chǎn)的狀態(tài)、IP地址、系統(tǒng)類型與版本、功能與用途、所處位置、相關(guān)責(zé)任人等。地址、系統(tǒng)類型與版本、功能與用途、所處位置、相關(guān)責(zé)任人等。n 各省應(yīng)確保資產(chǎn)清單與在線系統(tǒng)狀態(tài)、責(zé)任人員信息一致。各省應(yīng)確保資產(chǎn)清單與在線系統(tǒng)狀態(tài)、責(zé)任人員信息一致。n 應(yīng)應(yīng)定期定期通過通過IP段掃描或者人工檢查的方式段掃描或者人工檢查的方式比對審計資產(chǎn)清單比對審計資產(chǎn)清單與現(xiàn)網(wǎng)與現(xiàn)網(wǎng)資產(chǎn)信息，對于未經(jīng)登記的無主設(shè)備一經(jīng)發(fā)現(xiàn)立即

48、處理，對于資產(chǎn)資產(chǎn)信息，對于未經(jīng)登記的無主設(shè)備一經(jīng)發(fā)現(xiàn)立即處理，對于資產(chǎn)信息發(fā)生變化的應(yīng)予以更新。信息發(fā)生變化的應(yīng)予以更新。n 各省每半年應(yīng)對省內(nèi)所有公網(wǎng)各省每半年應(yīng)對省內(nèi)所有公網(wǎng)IP設(shè)備的潛在安全高危端口（如遠程設(shè)備的潛在安全高危端口（如遠程登錄，網(wǎng)站服務(wù)，數(shù)據(jù)庫服務(wù)，網(wǎng)管服務(wù)等）進行一次登錄，網(wǎng)站服務(wù)，數(shù)據(jù)庫服務(wù)，網(wǎng)管服務(wù)等）進行一次掃描掃描，每年，每年應(yīng)對所有公網(wǎng)應(yīng)對所有公網(wǎng)IP完成一次全面完成一次全面漏洞掃描漏洞掃描，及時對自有業(yè)務(wù)和系統(tǒng)存，及時對自有業(yè)務(wù)和系統(tǒng)存在的安全風(fēng)險進行在的安全風(fēng)險進行整改整改。n 各省應(yīng)建立完善各省應(yīng)建立完善資產(chǎn)退服管理流程資產(chǎn)退服管理流程。定期清查盤點，確

49、保退服系統(tǒng)。定期清查盤點，確保退服系統(tǒng)及時下線并移出機房。對于退服設(shè)備的數(shù)據(jù)，要徹底清除。及時下線并移出機房。對于退服設(shè)備的數(shù)據(jù)，要徹底清除。40基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求系統(tǒng)安全系統(tǒng)安全 n單點設(shè)備安全要求：單點設(shè)備安全要求：單點設(shè)備包括IT系統(tǒng)與網(wǎng)絡(luò)中的終端、主機、中間件、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等；單點設(shè)備在規(guī)劃建設(shè)、工程驗收、運行維護各個環(huán)節(jié)中，必須嚴格遵守中國移動設(shè)備安全功能和配置規(guī)范相關(guān)要求。規(guī)范清單參見附錄二。n 業(yè)務(wù)和應(yīng)用安全要求：業(yè)務(wù)和應(yīng)用安全要求：業(yè)務(wù)和應(yīng)用在規(guī)劃、建設(shè)、上線階段應(yīng)滿足以下安全要求：在業(yè)務(wù)和應(yīng)用規(guī)劃階段，應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)面臨的安全威脅以及業(yè)務(wù)、

50、管理與維護上的需要，遵循“基礎(chǔ)IT設(shè)施安全防護要求”以及公司相關(guān)業(yè)務(wù)安全規(guī)范和標(biāo)準(zhǔn)，提出相應(yīng)的安全要求；在業(yè)務(wù)和應(yīng)用在規(guī)劃設(shè)計階段，應(yīng)組織需求單位、建設(shè)單位、運維管理單位及安全管理部門對規(guī)劃設(shè)計方案的安全性進行會審，確保方案的合理性，避免在規(guī)劃設(shè)計階段引入安全風(fēng)險；在系統(tǒng)后續(xù)的開發(fā)建設(shè)、測試交付以及運行期間需要驗證安全要求是否得到滿足；應(yīng)對第三方開源組件在開發(fā)中的使用進行管控，不得采用已知存在安全漏洞的組件版本。Web應(yīng)用軟件安全應(yīng)遵循WEB類應(yīng)用系統(tǒng)安全防護技術(shù)要求，在身份驗證、會話管理、權(quán)限管理、敏感數(shù)據(jù)保護、輸入輸出校驗、內(nèi)容安全等方面必須具備一定的安全功能，保證系統(tǒng)本身不易被攻擊；41

51、基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求系統(tǒng)安全系統(tǒng)安全 n生產(chǎn)環(huán)境安全要求：生產(chǎn)環(huán)境安全要求：生產(chǎn)環(huán)境中的工具軟件安裝與使用要求應(yīng)對生產(chǎn)環(huán)境中工具軟件進行統(tǒng)一管理，不得安裝與生產(chǎn)無關(guān)的軟件；嚴禁安裝能夠穿透防火墻，從互聯(lián)網(wǎng)訪問和控制內(nèi)網(wǎng)設(shè)備的軟件，如Teamviewer等；除部門領(lǐng)導(dǎo)授權(quán)外，任何非安全專用設(shè)備嚴禁安裝漏洞掃描、網(wǎng)絡(luò)嗅探等安全工具；及時修補Serv-U、VNC等常用第三方工具軟件存在的安全漏洞。移動存儲介質(zhì)使用安全要求各單位應(yīng)完善本單位內(nèi)移動存儲介質(zhì)使用管理辦法，并指定專人負責(zé)對存儲介質(zhì)的使用進行指導(dǎo)、監(jiān)督和檢查；各單位應(yīng)明確允許使用移動存儲介質(zhì)的人員、系統(tǒng)與網(wǎng)絡(luò)范圍，

52、對于不允許使用的，應(yīng)實施控制策略、物理封閉或端口封禁等手段；對準(zhǔn)許接入系統(tǒng)與網(wǎng)絡(luò)的存儲介質(zhì)進行嚴格控制，在接入前必須進行病毒查殺；未經(jīng)授權(quán)，嚴禁使用移動存儲設(shè)備（如移動硬盤、U盤等）處理涉密數(shù)據(jù)或文件；涉密信息的移動存儲介質(zhì)的管理應(yīng)按照國家、公司相關(guān)保密制度執(zhí)行。應(yīng)做到辦公終端與維護生產(chǎn)終端的專機專用，原則上要求實現(xiàn)兩者的物理隔離，嚴禁采用雙網(wǎng)卡（包括無線網(wǎng)卡）跨接不同網(wǎng)絡(luò)。開發(fā)測試系統(tǒng)的安全要求：開發(fā)測試環(huán)境應(yīng)與生產(chǎn)環(huán)境隔離，不得在現(xiàn)網(wǎng)生產(chǎn)環(huán)境上進行開發(fā)與測試；開發(fā)測試過程中不得使用真實生產(chǎn)數(shù)據(jù)，僅能使用經(jīng)過模糊化處理的數(shù)據(jù)；應(yīng)對開發(fā)測試環(huán)境采取適當(dāng)?shù)谋Ｗo措施，防止被互聯(lián)網(wǎng)區(qū)域滲透。42基礎(chǔ)

53、信息安全管理通用要求基礎(chǔ)信息安全管理通用要求安全域劃分安全域劃分 n安全域指具有相同或相近的安全需求、相互信任的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)安全域指具有相同或相近的安全需求、相互信任的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)實體的集合。實體的集合。n安全域的劃分應(yīng)依據(jù)安全域的劃分應(yīng)依據(jù)業(yè)務(wù)保障、結(jié)構(gòu)簡化、等級保護、生命周期業(yè)務(wù)保障、結(jié)構(gòu)簡化、等級保護、生命周期四四項原則執(zhí)行。項原則執(zhí)行。 n 網(wǎng)管、業(yè)務(wù)支撐、信息化網(wǎng)管、業(yè)務(wù)支撐、信息化3大支撐系統(tǒng)大支撐系統(tǒng)應(yīng)分別依據(jù)應(yīng)分別依據(jù)中國移動支撐中國移動支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求系統(tǒng)安全域劃分與邊界整合技術(shù)要求、中國移動業(yè)務(wù)支撐網(wǎng)安中國移動業(yè)務(wù)支撐網(wǎng)安全域劃分和邊界整合技術(shù)要求全

54、域劃分和邊界整合技術(shù)要求、中國移動管理信息系統(tǒng)安全域中國移動管理信息系統(tǒng)安全域劃分技術(shù)要求劃分技術(shù)要求劃分安全域；劃分安全域；數(shù)據(jù)業(yè)務(wù)系統(tǒng)數(shù)據(jù)業(yè)務(wù)系統(tǒng)應(yīng)依據(jù)應(yīng)依據(jù)中國移動數(shù)據(jù)中國移動數(shù)據(jù)業(yè)務(wù)系統(tǒng)集中化安全防護技術(shù)要求業(yè)務(wù)系統(tǒng)集中化安全防護技術(shù)要求劃分安全域。劃分安全域。n 各單位可結(jié)合自身安全需求，通過安全域風(fēng)險分析，制訂更細粒度各單位可結(jié)合自身安全需求，通過安全域風(fēng)險分析，制訂更細粒度的安全域劃分方案，進一步定義相關(guān)安全子域。的安全域劃分方案，進一步定義相關(guān)安全子域。43基礎(chǔ)信息安全管理通用要求基礎(chǔ)信息安全管理通用要求邊界整合與域間互聯(lián)邊界整合與域間互聯(lián) n在保證業(yè)務(wù)系統(tǒng)的互聯(lián)需求的前提下，應(yīng)對安全域的邊界進行合理在保證業(yè)務(wù)系統(tǒng)的互聯(lián)需求的前提下，應(yīng)對安全域的邊界進行合理的整合，對系統(tǒng)接口進行整理和歸并，實現(xiàn)重點防護。的整合，對系統(tǒng)接口進行整理和歸并