信息安全管理體系及重點(diǎn)制度介紹詳解

1、信息安全管理體系及重點(diǎn)制度(zhd)介紹 信息系統(tǒng)部2011年5月4日1共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎(chǔ)電信(dinxn)企業(yè)信息安全責(zé)任管理辦法2基礎(chǔ)信息安全要求3客戶信息保護(hù)管理規(guī)定4信息安全三同步管理辦法5業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)62共五十一頁ISO17799:2000國際標(biāo)準(zhǔn)(u j bio zhn)BS7799-1:1999BS7799-2:1999英國(yn u)標(biāo)準(zhǔn)BS7799-2: 2002BS7799-1:2000ISO17799:2005ISO27001:2005BS7799:1996BS7799-3:2005安全管理體系標(biāo)準(zhǔn)的發(fā)展歷史3共五十一頁IS

2、O 27001的標(biāo)準(zhǔn)全稱 Information technology- Security techniques-Information security management systems-Requirements 信息技術(shù)-安全(nqun)技術(shù)-信息安全管理體系-要求ISMS 信息安全管理體系 - 管理體系 - 信息安全相關(guān) - ISO 27001 的3 術(shù)語和定義(dngy)-3.7Requirements 要求ISO/IEC 27001介紹4共五十一頁建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的相互關(guān)聯(lián)或相互作用的一組要素。管理體系包括(boku)組織結(jié)構(gòu)，策略，規(guī)劃，角色，職責(zé)，流程，程序和資源

3、等。(ISO 270013 術(shù)語和定義-3.7)管理的方方面面以及公司的所有雇員，均囊括在管理體系范圍內(nèi)。什么(shn me)是管理體系？Quality management system (ISO 9001)Environmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System (ISO 20000)Information security management sy

4、stem(ISO 27001)5共五十一頁什么(shn me)是信息安全？AlterationDestructionDisclosureInformationIntegrity Availability ConfidentialityInformation保護(hù)信息的保密性、完整性和可用性(CIA);另外也可包括諸如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性 (ISO 270013 術(shù)語和定義-3.4) 機(jī)密性（Confidentiality） 信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性 (ISO 270013 術(shù)語和定義-3.3)完整性（Integrity）保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性

5、(ISO 270013 術(shù)語和定義-3.8).確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)被非授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示(biosh)的一致性?？捎眯裕ˋvailability） 根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性(ISO 270013 術(shù)語和定義-3.2).確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問信息及資源6共五十一頁信息安全管理體系所涵蓋(hn i)的領(lǐng)域安全策略合規(guī)性信息安全組織資產(chǎn)管理信息系統(tǒng)獲取開發(fā)和維護(hù)人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息安全事件管理業(yè)務(wù)連續(xù)性管理7共五十一頁湖

6、南移動(dòng)(ydng)信息安全管理體系8共五十一頁湖南移動(dòng)(ydng)信息安全管理制度已發(fā)布制度湖南移動(dòng)信息安全管理辦法和責(zé)任矩陣湖南移動(dòng)信息安全三同步管理辦法中國移動(dòng)客戶信息安全保護(hù)管理規(guī)定（試行）和控制矩陣中國移動(dòng)業(yè)務(wù)信息安全評(píng)估標(biāo)準(zhǔn)（2011）中國移動(dòng)基礎(chǔ)信息安全管理通用(tngyng)要求（試行）和檢查矩陣實(shí)踐案例匯編“客戶信息安全保護(hù)解決方案匯編”“基礎(chǔ)信息安全案例匯編”計(jì)劃完善的制度安全應(yīng)急處置責(zé)任追究安全檢查管理辦法9共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎(chǔ)電信企業(yè)信息安全責(zé)任管理(gunl)辦法2基礎(chǔ)信息安全要求3客戶信息保護(hù)管理規(guī)定4信息安全三同步管理辦法5業(yè)務(wù)

7、安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)610共五十一頁基礎(chǔ)電信企業(yè)(qy)信息安全責(zé)任管理辦法互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的廣泛，信息安全事件時(shí)有發(fā)生普遍存在“重市場發(fā)展、輕安全管理”的現(xiàn)象,甚至還有“只顧賺錢，漠視安全”的情況存在基礎(chǔ)電信企業(yè)的信息安全責(zé)任和要求不盡明確。企業(yè)對(duì)自身應(yīng)承擔(dān)的信息安全責(zé)任重視不夠、投入不足(bz)。行業(yè)監(jiān)管機(jī)構(gòu)對(duì)企業(yè)信息安全責(zé)任和義務(wù)缺乏有效監(jiān)督和管理的方式方法。企業(yè)信息安全責(zé)任保障條件總則監(jiān)督管理基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法（工信部保2009713號(hào)）11共五十一頁基礎(chǔ)(jch)電信企業(yè)信息安全責(zé)任管理辦法-總則第三條（信息安全）本辦法所稱信息安全指電信網(wǎng)絡(luò)（包括(boku)固定網(wǎng)、移動(dòng)

8、網(wǎng)和互聯(lián)網(wǎng)）上的公共信息內(nèi)容安全。第四條（企業(yè)信息安全責(zé)任）企業(yè)有義務(wù)維護(hù)國家安全、社會(huì)穩(wěn)定和用戶合法權(quán)益；應(yīng)在網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)提供、應(yīng)急處置、信息報(bào)備、人員培訓(xùn)等方面建立健全企業(yè)信息安全責(zé)任制度，同步建設(shè)與企業(yè)網(wǎng)絡(luò)、業(yè)務(wù)和用戶發(fā)展相適應(yīng)的信息安全保障體系和技術(shù)保障手段；保障必要的人員和資金投入?？?則12共五十一頁基礎(chǔ)電信(dinxn)企業(yè)信息安全責(zé)任管理辦法企業(yè)信息安全責(zé)任企業(yè)信息(xnx)安全責(zé)任規(guī)范合作經(jīng)營技術(shù)保障措施配合監(jiān)管信息報(bào)備網(wǎng)絡(luò)建設(shè)開辦業(yè)務(wù)日常監(jiān)測用戶信息保護(hù)接入責(zé)任13共五十一頁企業(yè)信息安全責(zé)任(zrn)-（網(wǎng)絡(luò)建設(shè)）企業(yè)在電信網(wǎng)絡(luò)的設(shè)計(jì)、建設(shè)和運(yùn)行過程中，應(yīng)做到與國家信息安

9、全的需求同步規(guī)劃，同步建設(shè)，同步運(yùn)行。企業(yè)在系統(tǒng)規(guī)劃、建設(shè)、升級(jí)、改造等環(huán)節(jié)(hunji)應(yīng)認(rèn)真落實(shí)國家信息安全要求，同步配套相關(guān)信息安全設(shè)備和設(shè)施。企業(yè)在網(wǎng)絡(luò)設(shè)備選型、采購和使用時(shí)，應(yīng)遵守電信設(shè)備進(jìn)網(wǎng)要求，滿足信息安全管理需要。 14共五十一頁企業(yè)信息安全責(zé)任- （開辦(kibn)業(yè)務(wù)）企業(yè)應(yīng)履行(lxng)信息安全承諾，按照電信業(yè)務(wù)經(jīng)營許可的信息安全要求開展和經(jīng)營相關(guān)電信業(yè)務(wù)。企業(yè)要在新產(chǎn)品立項(xiàng)、產(chǎn)品開發(fā)和業(yè)務(wù)上線（包括合作開辦）的各環(huán)節(jié)：建立實(shí)施信息安全評(píng)估制度，同步配套與業(yè)務(wù)特點(diǎn)和用戶規(guī)模相適應(yīng)的信息安全保障措施，明確業(yè)務(wù)的信息安全負(fù)責(zé)人，建立相應(yīng)的管理制度和應(yīng)急處置流程，按規(guī)定向電信

10、監(jiān)管機(jī)構(gòu)進(jìn)行業(yè)務(wù)信息報(bào)備。 15共五十一頁企業(yè)信息安全責(zé)任(zrn)- （日常監(jiān)測）對(duì)本企業(yè)通信網(wǎng)絡(luò)中發(fā)現(xiàn)的違法信息，企業(yè)應(yīng)立即停止傳輸，保存(bocn)相關(guān)記錄，并向國家有關(guān)機(jī)關(guān)報(bào)告。對(duì)有關(guān)部門依法通知停止傳輸?shù)倪`法信息，企業(yè)應(yīng)配合執(zhí)行。 16共五十一頁企業(yè)(qy)信息安全責(zé)任- （用戶信息保護(hù)）電信(dinxn)用戶依法使用電信(dinxn)的自由和通信秘密受法律保護(hù)。企業(yè)及其工作人員不得擅自向他人提供電信(dinxn)用戶使用電信(dinxn)網(wǎng)絡(luò)所傳輸信息的內(nèi)容（法律另有規(guī)定的除外）。對(duì)于本企業(yè)業(yè)務(wù)網(wǎng)絡(luò)/系統(tǒng)中保存的有關(guān)用戶資料和信息，企業(yè)應(yīng)依法予以保護(hù)，不得非法出售或者提供給其他組織

11、和個(gè)人、不得用于與企業(yè)業(yè)務(wù)無關(guān)的用途。 17共五十一頁企業(yè)(qy)信息安全責(zé)任- （接入責(zé)任）企業(yè)不得向未取得電信業(yè)務(wù)經(jīng)營許可證的單位或個(gè)人提供用于經(jīng)營性電信業(yè)務(wù)的電信資源、網(wǎng)絡(luò)接入和業(yè)務(wù)接入；不得向未備案非經(jīng)營性互聯(lián)網(wǎng)站提供網(wǎng)絡(luò)接入。企業(yè)應(yīng)監(jiān)督接入用戶按照約定的用途使用電信資源或開展業(yè)務(wù)。發(fā)現(xiàn)擅自改變使用用途的，及時(shí)通知(tngzh)整改，涉及違法犯罪的，及時(shí)向有關(guān)部門報(bào)告。企業(yè)應(yīng)定期檢查接入內(nèi)容。發(fā)現(xiàn)信息安全問題和隱患及時(shí)做出相應(yīng)處理。 18共五十一頁企業(yè)(qy)信息安全責(zé)任- （規(guī)范合作經(jīng)營）企業(yè)在開展業(yè)務(wù)合作前，要對(duì)合作方的經(jīng)營資質(zhì)、業(yè)務(wù)許可等信息進(jìn)行審核，并在合同中明確各方的信息安全

12、責(zé)任。企業(yè)應(yīng)當(dāng)對(duì)合作提供的各類業(yè)務(wù)進(jìn)行規(guī)范和監(jiān)督，建立違法信息發(fā)現(xiàn)、監(jiān)測和處置制度。對(duì)合作中出現(xiàn)的信息安全問題和隱患，企業(yè)應(yīng)督促合作單位及時(shí)整改，或者按照(nzho)合同約定進(jìn)行處理，對(duì)違反法律的，報(bào)送相關(guān)部門查處。 19共五十一頁企業(yè)信息安全責(zé)任- （技術(shù)(jsh)保障措施）企業(yè)應(yīng)當(dāng)建立并完善事前防范(fngfn)、事中阻斷、事后追溯的信息安全技術(shù)保障體系。企業(yè)應(yīng)當(dāng)建立必要的技術(shù)手段，加強(qiáng)對(duì)重要電信資源（如電信碼號(hào)、網(wǎng)絡(luò)帶寬、IP地址、域名等）的管理。企業(yè)應(yīng)當(dāng)認(rèn)真落實(shí)接入責(zé)任，建全信息安全管理和公共信息服務(wù)內(nèi)容日常核查手段。20共五十一頁企業(yè)信息安全責(zé)任(zrn)- （配合監(jiān)管）企業(yè)應(yīng)當(dāng)認(rèn)真

13、配合電信監(jiān)管機(jī)構(gòu)開展信息安全監(jiān)督管理工作，保證相關(guān)工作順利實(shí)施。企業(yè)應(yīng)當(dāng)依法記錄并妥善保存用戶使用電信網(wǎng)絡(luò)的有關(guān)信息，相關(guān)信息應(yīng)當(dāng)至少保存60日。對(duì)存在的信息安全問題和隱患，企業(yè)應(yīng)當(dāng)嚴(yán)格按照(nzho)電信監(jiān)管機(jī)構(gòu)的處理意見進(jìn)行整改。因涉及國家安全或處置緊急事件的需要，電信監(jiān)管機(jī)構(gòu)根據(jù)國家的有關(guān)規(guī)定和要求組織實(shí)施通信管制，企業(yè)應(yīng)當(dāng)配合執(zhí)行。21共五十一頁企業(yè)(qy)信息安全責(zé)任- （信息報(bào)備）企業(yè)應(yīng)當(dāng)遵照有關(guān)信息安全要求和規(guī)定，執(zhí)行信息安全信息上報(bào)、備案制度，接受并配合電信監(jiān)管機(jī)構(gòu)的監(jiān)督檢查?？赡芤l(fā)信息安全隱患(ynhun)的網(wǎng)絡(luò)調(diào)整、擴(kuò)容、電信基礎(chǔ)資源使用變更等；可能引發(fā)信息安全隱患的新開

14、展業(yè)務(wù)；企業(yè)信息安全責(zé)任人或聯(lián)系人信息變更；企業(yè)業(yè)務(wù)網(wǎng)絡(luò)/系統(tǒng)內(nèi)發(fā)生的各類信息安全事件。企業(yè)應(yīng)保證相關(guān)報(bào)備信息的及時(shí)、準(zhǔn)確、完整。22共五十一頁基礎(chǔ)電信企業(yè)(qy)信息安全責(zé)任管理辦法通報(bào)整改制度電信監(jiān)管機(jī)構(gòu)對(duì)企業(yè)落實(shí)信息安全責(zé)任情況建立日常監(jiān)測機(jī)制，實(shí)行通報(bào)整改制度。對(duì)存在信息安全隱患或者發(fā)生信息安全事故的企業(yè)，電信監(jiān)管機(jī)構(gòu)向企業(yè)提出書面整改意見，責(zé)成企業(yè)限期整改，并視情況在一定范圍內(nèi)予以通報(bào)。電信監(jiān)管機(jī)構(gòu)定期或不定期對(duì)企業(yè)落實(shí)信息安全責(zé)任的情況進(jìn)行專項(xiàng)監(jiān)督檢查。企業(yè)應(yīng)當(dāng)將每年落實(shí)信息安全責(zé)任的有關(guān)情況形成書面報(bào)告報(bào)電信監(jiān)管機(jī)構(gòu)。對(duì)在新產(chǎn)品立項(xiàng)、產(chǎn)品開發(fā)和業(yè)務(wù)上線（包括合作開辦）各環(huán)節(jié)(hu

15、nji)未同步開展信息安全評(píng)估、未同步配套與該業(yè)務(wù)相適應(yīng)的信息安全保障措施、未按規(guī)定要求向電信監(jiān)管機(jī)構(gòu)進(jìn)行業(yè)務(wù)信息報(bào)備，而造成特（重）大信息安全事件（或被有關(guān)部門通報(bào)并經(jīng)電信監(jiān)管機(jī)構(gòu)組織專家研究認(rèn)定該業(yè)務(wù)存在嚴(yán)重信息安全隱患）的，由電信監(jiān)管機(jī)構(gòu)責(zé)令相關(guān)企業(yè)限期整改，未經(jīng)整改合格的，不得開展該業(yè)務(wù)。監(jiān)督管理23共五十一頁基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法通報(bào)整改(zhn i)制度對(duì)因自身管理原因造成信息安全事件，由電信監(jiān)管機(jī)構(gòu)追究相關(guān)企業(yè)責(zé)任。（一）企業(yè)在一年內(nèi)，發(fā)生1次特大信息安全事件的，或累計(jì)發(fā)生3次（及3次以上）重大信息安全事件的，由電信監(jiān)管機(jī)構(gòu)予以通報(bào)批評(píng)，對(duì)相關(guān)責(zé)任人提出處理意見或建議，

16、通報(bào)相關(guān)管理部門，并視情況向社會(huì)(shhu)通告。（二）企業(yè)在一年內(nèi)，發(fā)生1次重大信息安全事件的，或累計(jì)發(fā)生5次（及5次以上）一般信息安全事件的，由電信監(jiān)管機(jī)構(gòu)予以通報(bào)批評(píng)，對(duì)相關(guān)責(zé)任人提出處理意見或建議，并通報(bào)相關(guān)管理部門。（三）企業(yè)在一年內(nèi)，發(fā)生5次以下一般信息安全事件的，由電信監(jiān)管機(jī)構(gòu)在電信行業(yè)內(nèi)進(jìn)行通報(bào)。 （四）企業(yè)存在信息安全問題或隱患，未按要求在規(guī)定期限內(nèi)進(jìn)行相應(yīng)整改的，由電信監(jiān)管機(jī)構(gòu)予以通報(bào)批評(píng)，對(duì)相關(guān)責(zé)任人提出處理意見或建議，并視情況通報(bào)相關(guān)管理部門。構(gòu)成犯罪的，移送司法機(jī)關(guān)依法追究刑事責(zé)任。監(jiān)督管理24共五十一頁基礎(chǔ)(jch)電信企業(yè)信息安全責(zé)任管理辦法 重點(diǎn)（一）落實(shí)基礎(chǔ)(

17、jch)企業(yè)領(lǐng)導(dǎo)人問責(zé)制明確和落實(shí)企業(yè)領(lǐng)導(dǎo)責(zé)任。對(duì)工作不落實(shí)、措施不到位、被電信主管部門通報(bào)批評(píng)的，追究企業(yè)信息安全責(zé)任人的領(lǐng)導(dǎo)責(zé)任。對(duì)整改不力、屢改屢犯、故意違規(guī)的，通報(bào)批評(píng)相應(yīng)企業(yè)信息安全責(zé)任人，并函告其上級(jí)主管部門追究企業(yè)信息安全責(zé)任人的領(lǐng)導(dǎo)責(zé)任。25共五十一頁基礎(chǔ)電信(dinxn)企業(yè)信息安全責(zé)任管理辦法 （二）加強(qiáng)業(yè)務(wù)推廣、合作經(jīng)營的管理對(duì)業(yè)務(wù)推廣渠道中業(yè)務(wù)合作(hzu)的建立、合作(hzu)內(nèi)容的規(guī)范、合作(hzu)問題的發(fā)現(xiàn)和監(jiān)督、業(yè)務(wù)推廣模式的實(shí)現(xiàn)等相關(guān)細(xì)節(jié)明確制度化、規(guī)范化的要求。監(jiān)督合作單位相關(guān)責(zé)任和義務(wù)落實(shí)情況，確保實(shí)效。對(duì)合作中出現(xiàn)的信息安全問題和隱患，企業(yè)應(yīng)督促合作單

18、位及時(shí)整改；發(fā)現(xiàn)存在違規(guī)的，立即暫?；蚪K止合作；發(fā)現(xiàn)違反法律的，報(bào)送相關(guān)部門查處。 26共五十一頁基礎(chǔ)電信企業(yè)(qy)信息安全責(zé)任管理辦法 （三）落實(shí)接入環(huán)節(jié)(hunji)管理責(zé)任為無證服務(wù)商提供接入、為未取得經(jīng)營許可或備案的網(wǎng)站接入的，追究相關(guān)人員責(zé)任。與接入服務(wù)商、網(wǎng)站簽訂信息安全管理協(xié)議。監(jiān)督接入服務(wù)商、網(wǎng)站的日常活動(dòng)，配合相關(guān)主管部門對(duì)接入服務(wù)商、網(wǎng)站接入的查處。對(duì)發(fā)現(xiàn)涉及違法犯罪的，應(yīng)及時(shí)停止接入、保存記錄，并向有關(guān)部門報(bào)告。對(duì)無法判定的涉嫌違規(guī)內(nèi)容，應(yīng)保存記錄，并向有關(guān)部門報(bào)告，配合有關(guān)部門的研判和處置。 27共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎(chǔ)電信(dinx

19、n)企業(yè)信息安全責(zé)任管理辦法2基礎(chǔ)信息安全要求3客戶信息保護(hù)管理規(guī)定4信息安全三同步管理辦法5業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)628共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求29共五十一頁基礎(chǔ)信息安全管理(gunl)通用要求安全預(yù)警預(yù)警信息分為一級(jí)、二級(jí)、三級(jí)、四級(jí)，一級(jí)為最高級(jí)。集團(tuán)公司信息安全管理責(zé)任部門負(fù)責(zé)面向全網(wǎng)發(fā)布預(yù)警信息，各省公司或?qū)I(yè)部門向所轄地域與專業(yè)發(fā)布預(yù)警信息。各單位接到預(yù)警信息后，應(yīng)依據(jù)上級(jí)主管部門要求落實(shí)，及時(shí)跟蹤預(yù)警項(xiàng)進(jìn)展，預(yù)警內(nèi)容出現(xiàn)變化應(yīng)及時(shí)上報(bào)，必要時(shí)調(diào)高預(yù)警級(jí)別并采取更嚴(yán)格防范措施。各單位可根據(jù)預(yù)警信息對(duì)系統(tǒng)的影響情況調(diào)高預(yù)警級(jí)別，但不允許(ynx)調(diào)低預(yù)警級(jí)別；

20、對(duì)安全補(bǔ)丁類預(yù)警，應(yīng)根據(jù)設(shè)備所處位置和重要性采取不同的加載策略。在設(shè)備沒打補(bǔ)丁期間，要采取相應(yīng)的加固措施，保證設(shè)備不易被攻擊。對(duì)于安全預(yù)警信息，應(yīng)在預(yù)警信息規(guī)定時(shí)限內(nèi)向預(yù)警信息發(fā)布主體反饋處理結(jié)果。安全預(yù)警處理結(jié)果反饋內(nèi)容應(yīng)包括預(yù)警的影響范圍、防范措施實(shí)施范圍、防范措施實(shí)施效果、進(jìn)一步計(jì)劃等內(nèi)容。30共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求安全監(jiān)控 要由監(jiān)控專業(yè)或相應(yīng)專業(yè)人員實(shí)施對(duì)各專業(yè)網(wǎng)絡(luò)與系統(tǒng)的集中化安全監(jiān)控。重點(diǎn)監(jiān)控范圍包括安全等級(jí)三級(jí)及以上的IT系統(tǒng)，以及基地業(yè)務(wù)、彩信、OA、ERP、郵件系統(tǒng)、對(duì)外網(wǎng)站、IDC、WLAN、DNS、LSP等系統(tǒng)。 細(xì)化安全監(jiān)控內(nèi)容，包括但不限于

21、：內(nèi)網(wǎng)系統(tǒng)：帳號(hào)登錄信息，帳號(hào)、權(quán)限、口令的變更，服務(wù)與端口的啟用，系統(tǒng)日志是否正常；互聯(lián)網(wǎng)系統(tǒng)：除了滿足內(nèi)網(wǎng)系統(tǒng)監(jiān)控內(nèi)容要求外，還應(yīng)包括網(wǎng)站頁面是否被篡改，系統(tǒng)可用性；安全設(shè)備：防病毒系統(tǒng)、入侵檢測系統(tǒng)、防火墻等安全告警信息。 針對(duì)各監(jiān)控對(duì)象細(xì)化制定安全監(jiān)控的各項(xiàng)控制基線與量化指標(biāo)，基線與指標(biāo)的數(shù)值應(yīng)至少設(shè)定正常，一般(ybn)告警，緊急告警三個(gè)等級(jí)。 應(yīng)完善和優(yōu)化安全監(jiān)控手段，提升監(jiān)控的效率與覆蓋面。 應(yīng)制定細(xì)化的安全監(jiān)控作業(yè)計(jì)劃，實(shí)施對(duì)重點(diǎn)監(jiān)控對(duì)象的724小時(shí)監(jiān)控。 對(duì)于監(jiān)控中發(fā)現(xiàn)的安全問題，及時(shí)進(jìn)行詳細(xì)記錄并形成監(jiān)控日志，監(jiān)控日志應(yīng)留存3個(gè)月以上。 要及時(shí)對(duì)監(jiān)控中發(fā)現(xiàn)的問題進(jìn)行識(shí)別、分

22、析與處置。 按照安全事件管理相關(guān)要求對(duì)監(jiān)控中發(fā)現(xiàn)的安全事件進(jìn)行處置。 31共五十一頁基礎(chǔ)(jch)信息安全管理通用要求訪問控制1 內(nèi)網(wǎng)接入安全要求嚴(yán)禁任何設(shè)備以雙網(wǎng)卡方式同時(shí)連接(linji)互聯(lián)網(wǎng)和公司內(nèi)網(wǎng)；嚴(yán)禁向任何未經(jīng)防火墻隔離的對(duì)外網(wǎng)站等互聯(lián)網(wǎng)系統(tǒng)分配公司內(nèi)網(wǎng)IP地址；接入公司內(nèi)網(wǎng)的終端設(shè)備必須通過802.1X認(rèn)證，安全網(wǎng)關(guān)認(rèn)證，MAC地址綁定等方式之一實(shí)現(xiàn)網(wǎng)絡(luò)接入認(rèn)證，只有通過接入認(rèn)證的設(shè)備才可訪問局域網(wǎng)資源；如因系統(tǒng)限制暫時(shí)無法在系統(tǒng)中實(shí)現(xiàn)網(wǎng)絡(luò)登錄認(rèn)證，任何外來設(shè)備只能在接入申請(qǐng)批準(zhǔn)后方可接入，并由局域網(wǎng)的維護(hù)人員對(duì)接入終端進(jìn)行登記；原則上不應(yīng)采用無線AP方式接入內(nèi)網(wǎng)，如遇特殊情況

23、，依據(jù)“誰接入、誰負(fù)責(zé)”的原則，管理上必須經(jīng)主管領(lǐng)導(dǎo)審批授權(quán)，技術(shù)上必須采用MAC地址綁定，強(qiáng)安全認(rèn)證，強(qiáng)加密算法保護(hù)的安全傳輸，配置隱藏SSID，保證AP口令強(qiáng)度等配置；各單位要維護(hù)一份已使用內(nèi)網(wǎng)IP地址清單，清單內(nèi)容包括但不限于每個(gè)IP地址的使用單位、設(shè)備用途、責(zé)任人（使用人）和聯(lián)系方式等信息。 遠(yuǎn)程接入 遠(yuǎn)程接入指從外部網(wǎng)絡(luò)接入公司內(nèi)網(wǎng)；各單位要制定遠(yuǎn)程接入的實(shí)施細(xì)則、遠(yuǎn)程接入審批和授權(quán)流程，規(guī)范帳號(hào)權(quán)限的申請(qǐng)、變更與刪除等工作，審批與授權(quán)記錄應(yīng)予以歸檔留存；各單位對(duì)遠(yuǎn)程接入應(yīng)做到系統(tǒng)集中管控（接入4A系統(tǒng)），采用短信動(dòng)態(tài)口令，令牌等強(qiáng)認(rèn)證方式，并對(duì)遠(yuǎn)程接入用戶的登錄過程、操作行為進(jìn)行記

24、錄（記錄內(nèi)容包括但不限于：用戶名、操作內(nèi)容、登陸方式、登入時(shí)間、登出時(shí)間）；遠(yuǎn)程接入帳號(hào)只能授予內(nèi)部員工，廠家人員需要使用遠(yuǎn)程維護(hù)時(shí)，按次授權(quán)，用畢收回；遠(yuǎn)程接入帳號(hào)的創(chuàng)建、調(diào)整和刪除申請(qǐng)審批通過后，應(yīng)及時(shí)更新系統(tǒng)中的帳號(hào)狀態(tài)，確保與審批結(jié)果保持一致；定期（每半年至少一次）檢查遠(yuǎn)程接入帳號(hào)與權(quán)限，清除過期或者未授權(quán)的訪問帳號(hào)與權(quán)限。32共五十一頁基礎(chǔ)信息安全管理(gunl)通用要求訪問控制2 防火墻配置管理各單位應(yīng)制定防火墻策略管理的實(shí)施細(xì)則、防火墻策略變更審批和授權(quán)流程，規(guī)范防火墻策略新建、更新與刪除工作，審批與授權(quán)記錄應(yīng)予以歸檔留存；防火墻配置應(yīng)滿足中國移動(dòng)防火墻功能和配置規(guī)范要求，做好日

25、志、告警、安全策略、攻擊防護(hù)的配置；系統(tǒng)管理員應(yīng)遵循“最小化”原則，根據(jù)系統(tǒng)內(nèi)外部互聯(lián)需求，建立細(xì)化到連接雙方的IP、端口、有效時(shí)間范圍、承載信息、信息敏感性等內(nèi)容在內(nèi)的網(wǎng)絡(luò)連接信息表，并據(jù)此配置防火墻策略，禁止出現(xiàn)非業(yè)務(wù)需要的大段IP、連續(xù)端口開放的配置；除數(shù)據(jù)網(wǎng)管、安全管控平臺(tái)等因業(yè)務(wù)需要外，互聯(lián)網(wǎng)邊界防火墻從外網(wǎng)至內(nèi)網(wǎng)的方向僅允許業(yè)務(wù)應(yīng)用端口，嚴(yán)禁(ynjn)開放維護(hù)管理和數(shù)據(jù)庫服務(wù)端口；內(nèi)網(wǎng)不同區(qū)域之間的邊界防火墻對(duì)于維護(hù)管理、數(shù)據(jù)庫服務(wù)端口僅允許配置點(diǎn)對(duì)點(diǎn)訪問策略，嚴(yán)禁開放大段IP地址的訪問策略；內(nèi)部核心區(qū)不允許開放到互聯(lián)網(wǎng)的訪問權(quán)限。建立維護(hù)作業(yè)計(jì)劃，定期（至少每周一次）對(duì)非永久有

26、效的臨時(shí)防火墻策略進(jìn)行清理。定期審核防火墻策略，確保網(wǎng)絡(luò)連接信息、防火墻策略與實(shí)際情況的一致性，確保防火墻策略滿足公司安全要求。 第三方訪問控制管理第三方是指與中國移動(dòng)在業(yè)務(wù)上具有合作關(guān)系，或是向中國移動(dòng)提供開發(fā)、維護(hù)等服務(wù)的公司及其員工；各單位要與第三方公司簽訂保密協(xié)議，在協(xié)議中明確第三方公司及其參與服務(wù)的員工的保密責(zé)任以及違約罰則；第三方人員的開發(fā)、維護(hù)的接入?yún)^(qū)域要與中國移動(dòng)的生產(chǎn)、內(nèi)部辦公、維護(hù)區(qū)域分離，并采用更嚴(yán)格的訪問控制策略和管控手段；第三方工作區(qū)域的終端接入中國移動(dòng)的內(nèi)部網(wǎng)絡(luò)時(shí)要滿足內(nèi)網(wǎng)接入要求，嚴(yán)格限制U盤等外設(shè)拷貝，禁止使用無線上網(wǎng)，必須安裝防病毒軟件；通過接入4A系統(tǒng)等方式

27、對(duì)第三方人員的登錄過程、操作行為進(jìn)行記錄（記錄內(nèi)容包括但不限于：用戶名、操作內(nèi)容、登錄方式、登入時(shí)間、登出時(shí)間），日志記錄至少保留6個(gè)月。嚴(yán)格禁止第三方人員擁有重要系統(tǒng)管理員權(quán)限，創(chuàng)建系統(tǒng)帳號(hào)權(quán)限，查詢客戶敏感信息或者超出工作范圍的高級(jí)權(quán)限的帳號(hào)。各單位應(yīng)至少每3個(gè)月對(duì)第三方的帳號(hào)權(quán)限進(jìn)行一次審核清理。33共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求訪問控制3 帳號(hào)口令管理各單位要制定帳號(hào)口令管理辦法，帳號(hào)口令管理滿足：帳號(hào)管理遵循職責(zé)匹配、最小授權(quán)原則，規(guī)范帳號(hào)創(chuàng)建、變更、刪除審批流程，嚴(yán)格限制程序帳號(hào)的使用；口令設(shè)置滿足字母、數(shù)字組合等復(fù)雜度要求，不得(bu de)以明文方式保存或者

28、傳輸，口令長度不得(bu de)小于8位，至少每90天更換一次，且5次以內(nèi)不得設(shè)置相同的口令；定期（至少每半年一次）對(duì)帳號(hào)申請(qǐng)審批、權(quán)限變更等流程執(zhí)行情況進(jìn)行審核，避免出現(xiàn)非法創(chuàng)建帳號(hào)、無主帳號(hào)以及權(quán)限與職責(zé)不相容的帳號(hào)。要通過系統(tǒng)功能強(qiáng)制實(shí)現(xiàn)口令策略管理，防止出現(xiàn)弱口令設(shè)置。重要系統(tǒng)要采用短信動(dòng)態(tài)口令、證書等強(qiáng)認(rèn)證登錄方式。 34共五十一頁基礎(chǔ)(jch)信息安全管理通用要求安全分析 各單位要建立安全分析制度，定期對(duì)基礎(chǔ)信息安全工作情況進(jìn)行分析通報(bào)。 分析內(nèi)容包括：基礎(chǔ)信息安全相關(guān)的安全形勢與威脅變化，安全事件，安全預(yù)警、安全監(jiān)控、風(fēng)險(xiǎn)評(píng)估、合規(guī)性檢查等發(fā)現(xiàn)的安全問題，部署相關(guān)整改工作，追蹤安

29、全問題整改情況，對(duì)重大安全事項(xiàng)進(jìn)行專題研究等。 對(duì)于分析中形成的信息安全工作決議，工作部署等記錄歸檔(gudng)，并追蹤落實(shí)。35共五十一頁基礎(chǔ)信息安全(nqun)管理通用要求安全(nqun)合規(guī)性檢查 各省信息安全歸口管理部門要制定合規(guī)性檢查制度，配備必要的檢查工具，建立內(nèi)部檢查機(jī)制。信息安全歸口管理部門每年年初要組織相關(guān)單位共同制定安全合規(guī)性檢查計(jì)劃，并按照計(jì)劃開展檢查工作。在計(jì)劃中要明確檢查的方式、方法，抽調(diào)各單位安全力量，以自查或交叉檢查方式進(jìn)行。 安全合規(guī)性檢查范圍與頻次要求：每年至少對(duì)各IT系統(tǒng)組織完成一次全面檢查；各單位應(yīng)結(jié)合自身情況開展不定期的自查。安全運(yùn)營管理和基礎(chǔ)IT設(shè)施

30、安全防護(hù)的合規(guī)性檢查應(yīng)依據(jù)本要求執(zhí)行(zhxng)；單點(diǎn)設(shè)備安全配置的合規(guī)性檢查建議采用設(shè)備安全配置審核工具進(jìn)行。 合規(guī)性檢查的方法包括但不限于：抽樣檢查、全面檢查、現(xiàn)場檢測、日志審核、人員訪談、工具自動(dòng)檢查等。 每次檢查結(jié)束后檢查小組要及時(shí)編制安全合規(guī)性檢查報(bào)告、安全合規(guī)性檢查問題整改計(jì)劃及實(shí)施方案。 被檢查單位要及時(shí)向本省信息安全歸口管理部門上報(bào)整改進(jìn)度與成果及安全合規(guī)性檢查問題整改工作總結(jié)。36共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求安全事件管理1安全事件分為(fn wi)特別重大、重大、較大和一般四個(gè)級(jí)別。系統(tǒng)（含內(nèi)網(wǎng)系統(tǒng)）安全事件信息分級(jí)定義參照互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦

31、法規(guī)定，及集團(tuán)相關(guān)部門要求。 安全事件組織分為三級(jí)，一級(jí)管理組織是集團(tuán)公司，負(fù)責(zé)跨省、跨專業(yè)事件的協(xié)調(diào)處置。二級(jí)管理組織為各省公司，負(fù)責(zé)轄區(qū)內(nèi)事件的協(xié)調(diào)處置。三級(jí)管理組織由省公司各部門的安全小組組成，負(fù)責(zé)事件的具體處置。 各級(jí)組織應(yīng)負(fù)責(zé)執(zhí)行所主管IT系統(tǒng)與網(wǎng)絡(luò)的安全事件管理工作，并接受上一級(jí)組織的統(tǒng)籌與指導(dǎo)。 國家重大活動(dòng)保障時(shí)期發(fā)生的安全事件的級(jí)別應(yīng)在原有級(jí)別上提升一級(jí)，特別重大安全事件級(jí)別不再向上提升。 各級(jí)組織對(duì)于安全監(jiān)控發(fā)現(xiàn)的安全事件，要及時(shí)對(duì)安全事件的影響范圍和級(jí)別進(jìn)行判斷并決定是否需要上報(bào)；對(duì)于省內(nèi)跨專業(yè)的安全事件應(yīng)及時(shí)上報(bào)二級(jí)事件管理組織協(xié)調(diào)處理，對(duì)于跨省的安全事件應(yīng)及時(shí)上報(bào)一級(jí)

32、事件管理組織協(xié)調(diào)處理。上報(bào)模板參見附錄一。 各級(jí)組織收到安全事件投訴后應(yīng)及時(shí)對(duì)投訴內(nèi)容進(jìn)行核實(shí)，并協(xié)調(diào)做好投訴的處理。 特別重大安全事件發(fā)生時(shí)，二級(jí)管理組織應(yīng)立即上報(bào)集團(tuán)公司，經(jīng)審批后，上報(bào)當(dāng)?shù)匕踩种行?。特別重大安全事件確認(rèn)至上報(bào)集團(tuán)不得超過1小時(shí)。 重大安全事件發(fā)生時(shí)，二級(jí)管理組織應(yīng)及時(shí)上報(bào)集團(tuán)公司。重大安全事件確認(rèn)至上報(bào)到集團(tuán)公司不得超過2小時(shí)。較大或一般安全事件由二級(jí)管理組織匯總后于次月5個(gè)工作日內(nèi)報(bào)送當(dāng)?shù)赝ㄐ殴芾砭趾虲NCERT/CC當(dāng)?shù)胤种行?，并在每月安全?bào)表中向集團(tuán)公司上報(bào)。二級(jí)管理組織應(yīng)記錄安全事件的審計(jì)核查結(jié)果，進(jìn)行匯總分析，總結(jié)存在的問題并歸檔形成安全事件案例庫，并上報(bào)集團(tuán)

33、公司。37共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求安全事件管理2 安全事件發(fā)生后應(yīng)立即啟動(dòng)響應(yīng)機(jī)制。 按照“誰下達(dá)任務(wù)，誰結(jié)束任務(wù)”的原則，重大活動(dòng)保障任務(wù)下達(dá)單位或部門應(yīng)明確安全響應(yīng)任務(wù)的結(jié)束時(shí)間。 在網(wǎng)絡(luò)入侵事件的處理過程中，應(yīng)保護(hù)被入侵設(shè)備現(xiàn)場，盡可能進(jìn)行離線封存問題設(shè)備，交二級(jí)管理組織處理，禁止擅自重裝、刪除系統(tǒng)，為將來的取證或者分析(fnx)入侵行為提供證據(jù)。 做好事件恢復(fù)后的安全檢查工作，避免設(shè)備上線后再次出現(xiàn)同類問題。 各級(jí)組織應(yīng)定期完善安全事件預(yù)案，對(duì)安全人員進(jìn)行培訓(xùn)，每年至少執(zhí)行一次信息安全演練。 應(yīng)定期檢查、補(bǔ)充安全事件處理所用的硬件及軟件工具，相關(guān)支撐文檔資料等

34、，做到有備無患。 應(yīng)完善安全事件響應(yīng)的技術(shù)支撐體系，提升事件處置能力。 對(duì)于安全事件處理中關(guān)鍵節(jié)點(diǎn)的訪問與操作日志應(yīng)建立備份機(jī)制，在線日志至少應(yīng)保存三個(gè)月，離線日志至少應(yīng)保存半年。38共五十一頁基礎(chǔ)信息安全管理通用要求人員(rnyun)與資產(chǎn)安全管理 各省應(yīng)與合作第三方、關(guān)鍵崗位員工單獨(dú)簽訂保密協(xié)議，在協(xié)議中明確其保密責(zé)任以及違約罰則。 各省應(yīng)建立所轄系統(tǒng)中有IP地址的基礎(chǔ)設(shè)備資產(chǎn)管理清單，并集中建立與互聯(lián)網(wǎng)接口的資產(chǎn)清單，必須詳細(xì)記錄信息資產(chǎn)的狀態(tài)、IP地址、系統(tǒng)類型與版本、功能與用途、所處位置、相關(guān)責(zé)任人等。 各省應(yīng)確保資產(chǎn)清單與在線系統(tǒng)狀態(tài)、責(zé)任人員信息一致。 應(yīng)定期通過IP段掃描或者人

35、工檢查(jinch)的方式比對(duì)審計(jì)資產(chǎn)清單與現(xiàn)網(wǎng)資產(chǎn)信息，對(duì)于未經(jīng)登記的無主設(shè)備一經(jīng)發(fā)現(xiàn)立即處理，對(duì)于資產(chǎn)信息發(fā)生變化的應(yīng)予以更新。 各省每半年應(yīng)對(duì)省內(nèi)所有公網(wǎng)IP設(shè)備的潛在安全高危端口（如遠(yuǎn)程登錄，網(wǎng)站服務(wù)，數(shù)據(jù)庫服務(wù)，網(wǎng)管服務(wù)等）進(jìn)行一次掃描，每年應(yīng)對(duì)所有公網(wǎng)IP完成一次全面漏洞掃描，及時(shí)對(duì)自有業(yè)務(wù)和系統(tǒng)存在的安全風(fēng)險(xiǎn)進(jìn)行整改。 各省應(yīng)建立完善資產(chǎn)退服管理流程。定期清查盤點(diǎn)，確保退服系統(tǒng)及時(shí)下線并移出機(jī)房。對(duì)于退服設(shè)備的數(shù)據(jù)，要徹底清除。39共五十一頁基礎(chǔ)信息安全管理(gunl)通用要求系統(tǒng)安全 單點(diǎn)設(shè)備安全要求：單點(diǎn)設(shè)備包括IT系統(tǒng)與網(wǎng)絡(luò)中的終端、主機(jī)、中間件、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等；單點(diǎn)設(shè)

36、備在規(guī)劃建設(shè)、工程驗(yàn)收、運(yùn)行維護(hù)各個(gè)環(huán)節(jié)中，必須嚴(yán)格遵守中國移動(dòng)設(shè)備安全功能和配置規(guī)范相關(guān)要求。規(guī)范清單參見附錄二。 業(yè)務(wù)和應(yīng)用安全要求：業(yè)務(wù)和應(yīng)用在規(guī)劃、建設(shè)、上線階段應(yīng)滿足以下安全要求：在業(yè)務(wù)和應(yīng)用規(guī)劃階段，應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)面臨的安全威脅以及業(yè)務(wù)、管理與維護(hù)上的需要，遵循“基礎(chǔ)IT設(shè)施安全防護(hù)要求”以及公司相關(guān)業(yè)務(wù)安全規(guī)范和標(biāo)準(zhǔn)，提出相應(yīng)的安全要求；在業(yè)務(wù)和應(yīng)用在規(guī)劃設(shè)計(jì)階段，應(yīng)組織需求單位、建設(shè)單位、運(yùn)維管理單位及安全管理部門對(duì)規(guī)劃設(shè)計(jì)方案的安全性進(jìn)行會(huì)審，確保方案的合理性，避免在規(guī)劃設(shè)計(jì)階段引入安全風(fēng)險(xiǎn)；在系統(tǒng)后續(xù)的開發(fā)建設(shè)、測試交付以及運(yùn)行期間需要驗(yàn)證安全要求是否得到滿足；應(yīng)對(duì)第三方

37、開源組件在開發(fā)中的使用進(jìn)行管控，不得采用(ciyng)已知存在安全漏洞的組件版本。Web應(yīng)用軟件安全應(yīng)遵循WEB類應(yīng)用系統(tǒng)安全防護(hù)技術(shù)要求，在身份驗(yàn)證、會(huì)話管理、權(quán)限管理、敏感數(shù)據(jù)保護(hù)、輸入輸出校驗(yàn)、內(nèi)容安全等方面必須具備一定的安全功能，保證系統(tǒng)本身不易被攻擊；40共五十一頁基礎(chǔ)信息安全管理(gunl)通用要求系統(tǒng)安全 生產(chǎn)環(huán)境安全要求：生產(chǎn)環(huán)境中的工具軟件安裝與使用要求應(yīng)對(duì)生產(chǎn)環(huán)境中工具軟件進(jìn)行統(tǒng)一管理，不得安裝與生產(chǎn)無關(guān)的軟件；嚴(yán)禁安裝能夠穿透防火墻，從互聯(lián)網(wǎng)訪問和控制內(nèi)網(wǎng)設(shè)備的軟件，如Teamviewer等；除部門領(lǐng)導(dǎo)授權(quán)外，任何非安全專用設(shè)備嚴(yán)禁安裝漏洞掃描、網(wǎng)絡(luò)嗅探等安全工具；及時(shí)修

38、補(bǔ)Serv-U、VNC等常用第三方工具軟件存在(cnzi)的安全漏洞。移動(dòng)存儲(chǔ)介質(zhì)使用安全要求各單位應(yīng)完善本單位內(nèi)移動(dòng)存儲(chǔ)介質(zhì)使用管理辦法，并指定專人負(fù)責(zé)對(duì)存儲(chǔ)介質(zhì)的使用進(jìn)行指導(dǎo)、監(jiān)督和檢查；各單位應(yīng)明確允許使用移動(dòng)存儲(chǔ)介質(zhì)的人員、系統(tǒng)與網(wǎng)絡(luò)范圍，對(duì)于不允許使用的，應(yīng)實(shí)施控制策略、物理封閉或端口封禁等手段；對(duì)準(zhǔn)許接入系統(tǒng)與網(wǎng)絡(luò)的存儲(chǔ)介質(zhì)進(jìn)行嚴(yán)格控制，在接入前必須進(jìn)行病毒查殺；未經(jīng)授權(quán)，嚴(yán)禁使用移動(dòng)存儲(chǔ)設(shè)備（如移動(dòng)硬盤、U盤等）處理涉密數(shù)據(jù)或文件；涉密信息的移動(dòng)存儲(chǔ)介質(zhì)的管理應(yīng)按照國家、公司相關(guān)保密制度執(zhí)行。應(yīng)做到辦公終端與維護(hù)生產(chǎn)終端的專機(jī)專用，原則上要求實(shí)現(xiàn)兩者的物理隔離，嚴(yán)禁采用雙網(wǎng)卡（包

39、括無線網(wǎng)卡）跨接不同網(wǎng)絡(luò)。開發(fā)測試系統(tǒng)的安全要求：開發(fā)測試環(huán)境應(yīng)與生產(chǎn)環(huán)境隔離，不得在現(xiàn)網(wǎng)生產(chǎn)環(huán)境上進(jìn)行開發(fā)與測試；開發(fā)測試過程中不得使用真實(shí)生產(chǎn)數(shù)據(jù)，僅能使用經(jīng)過模糊化處理的數(shù)據(jù)；應(yīng)對(duì)開發(fā)測試環(huán)境采取適當(dāng)?shù)谋Ｗo(hù)措施，防止被互聯(lián)網(wǎng)區(qū)域滲透。41共五十一頁基礎(chǔ)(jch)信息安全管理通用要求安全域劃分 安全域指具有相同或相近的安全需求、相互信任的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)實(shí)體的集合。安全域的劃分應(yīng)依據(jù)業(yè)務(wù)保障、結(jié)構(gòu)簡化、等級(jí)保護(hù)、生命周期四項(xiàng)原則執(zhí)行。 網(wǎng)管、業(yè)務(wù)支撐、信息化3大支撐系統(tǒng)(xtng)應(yīng)分別依據(jù)中國移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求、中國移動(dòng)業(yè)務(wù)支撐網(wǎng)安全域劃分和邊界整合技術(shù)要求、中國移動(dòng)

40、管理信息系統(tǒng)安全域劃分技術(shù)要求劃分安全域；數(shù)據(jù)業(yè)務(wù)系統(tǒng)應(yīng)依據(jù)中國移動(dòng)數(shù)據(jù)業(yè)務(wù)系統(tǒng)集中化安全防護(hù)技術(shù)要求劃分安全域。 各單位可結(jié)合自身安全需求，通過安全域風(fēng)險(xiǎn)分析，制訂更細(xì)粒度的安全域劃分方案，進(jìn)一步定義相關(guān)安全子域。42共五十一頁基礎(chǔ)信息安全管理通用要求邊界(binji)整合與域間互聯(lián) 在保證業(yè)務(wù)系統(tǒng)的互聯(lián)需求的前提下，應(yīng)對(duì)安全域的邊界進(jìn)行合理的整合，對(duì)系統(tǒng)接口進(jìn)行整理和歸并，實(shí)現(xiàn)重點(diǎn)防護(hù)。 安全域的邊界整合包括但不限于以下內(nèi)容：與互聯(lián)網(wǎng)的邊界整合：省內(nèi)支撐系統(tǒng)與互聯(lián)網(wǎng)邊界應(yīng)整合到省公司一級(jí)，地市單位支撐系統(tǒng)不應(yīng)設(shè)置互聯(lián)網(wǎng)出口；數(shù)據(jù)業(yè)務(wù)系統(tǒng)應(yīng)根據(jù)物理位置，設(shè)置集中的互聯(lián)網(wǎng)出口；與合作伙伴的邊界整合：應(yīng)梳理各類業(yè)務(wù)系統(tǒng)、合作伙伴的安全要求，合并整合后采取(ciq)對(duì)應(yīng)安全措施進(jìn)行防護(hù)；與第三方廠商的邊界整合：對(duì)第三方的遠(yuǎn)程接入進(jìn)行統(tǒng)一整合，納入第三方遠(yuǎn)程接入安全子域，并采取遠(yuǎn)程接入集中控制、防火墻、4A系統(tǒng)等措施實(shí)施安全管控。對(duì)第三方現(xiàn)場支持納入第三方現(xiàn)場維護(hù)子域進(jìn)行安全管控；各系統(tǒng)之間的邊界整合：將有相近安全防護(hù)需求的業(yè)務(wù)系統(tǒng)安全子域進(jìn)行整合，避免各系統(tǒng)之間安全防護(hù)手段的重復(fù)投資。 43共五十一頁基礎(chǔ)信息安全管