中國移動網絡與信息安全總綱

1、中國移動網絡與信息安全總綱 精品資料網( HYPERLINK )25萬份精華管理資料，2萬多集管理視頻講座中國移動網絡與信息安全總綱中國移動通信集團公司2006年7月本文檔版權由中國移動通信集團公司所有。未經中國移動通信集團公司書面許可，任何單位和個精品資料網( HYPERLINK )專業(yè)提供企管培訓資料人不得以任何形式摘抄、復制本文檔的部分或全部，并以任何形式傳播、， 、.刖百中國移動注的通信網絡和支撐系統(tǒng)是國家基礎信息設施， 必須加以妥善保護。隨著網絡和通信技術的快速發(fā)展，網絡互聯(lián)與開放、信息共享帶來了日益增長的安全威脅。為了企業(yè)乃至國家的網絡與信息安全，為了保障客戶利益，加強各方面的安全

2、工 作刻不容緩！制訂和頒布本標準的目的是為中國移動的網絡與信息安全 管理工作建立科學的體系， 力爭通過科學規(guī)范的全過程管理，結合成熟和領先的技術，確保安全控制措施落實到位， 為各項業(yè)務 的安全運行提供保障。本標準主要依據國際規(guī)范， 參考業(yè)界的成熟經驗，結合中國 移動的實際情況進行補充、修改、完善而來。本標準目前主要針 對互聯(lián)網、支撐網等IT系統(tǒng)安全。注:本標準所稱“中國移動”是指中國移動通信集團公司及 由其直接或間接控股的公司。中國移動通信集團公司，以下簡稱“集團公司”。各移動通信有限責任公司，以下簡稱“各省公司”。目錄 TOC o 1-5 h z 前言2目錄3總則13.網絡與信息安全的基本概

3、念 13.網絡與信息安全的重要性和普遍性 13.中國移動網絡與信息安全體系與安全策略 14.安全需求的來源 16.安全風險的評估 17.安全措施的選擇原則 18.安全工作的起點 18.關鍵性的成功因素19.安全標準綜述20.適用范圍24第一章組織與人員26第一節(jié).組織機構26.領導機構26工作組織27安全職責的分配28職責分散與隔離29安全信息的獲取和發(fā)布 30加強與外部組織之間的協(xié)作 30安全審計的獨立性 31第二節(jié)崗位職責與人員考察31.崗位職責中的安全內容 31.人員考察32.保密協(xié)議33.勞動合同33.員工培訓33第三節(jié)第三方訪問與外包服務的安全34.第三方訪問的安全 34.外包服務的

4、安全 35第四節(jié)客戶使用業(yè)務的安全37第二章網絡與信息資產管理 38第一節(jié).網絡與信息資產責任制度38.資產清單38.資產責任制度39第二節(jié)資產安全等級及相應的安全要求42 TOC o 1-5 h z .信息的安全等級、標注及處置 42.網絡信息系統(tǒng)安全等級 44第三章物理及環(huán)境安全46第一節(jié).安全區(qū)域46.安全邊界 46.出入控制47.物理保護48.安全區(qū)域工作規(guī)章制度 49.送貨、裝卸區(qū)與設備的隔離 50第二節(jié).設備安全51.設備安置及物理保護 51.電源保護52.線纜安全53.工作區(qū)域外設備的安全 54.設備處置與重用的安全 54第三節(jié)存儲媒介的安全55.可移動存儲媒介的管理 55.存儲

5、媒介的處置55.信息處置程序56.系統(tǒng)文檔的安全 57第四節(jié)通用控制措施58.屏幕與桌面的清理 58.資產的移動控制 59第四章 通信和運營管理的安全 60第一節(jié)操作流程與職責60.規(guī)范操作細則60.設備維護61.變更控制62.安全事件響應程序 62.開發(fā)、測試與現網設備的分離 63第二節(jié)系統(tǒng)的規(guī)劃設計、建設和驗收64.系統(tǒng)規(guī)劃和設計64.審批制度64.系統(tǒng)建設和驗收 65.設備入網管理67第三節(jié)惡意軟件的防護67第四節(jié)軟件及補丁版本管理69第五節(jié)時鐘和時間同步70第六節(jié)第常工作70 TOC o 1-5 h z .維護作業(yè)計劃管理 70.數據與軟件備份70.操作日志72.日志審核72.故障管理

6、73.測試制度74.日常安全工作74第七節(jié)網絡安全控制75第八節(jié) （言息與軟件的交換76 TOC o 1-5 h z .信息與軟件交換協(xié)議 76. 交接過程中 的安全 76.電子商務安全77.電子郵件的安全 78.電子辦公系統(tǒng)的安全 79.信息發(fā)布的安全 80.其他形式7息交換的安全 81第五章網絡與信息系統(tǒng)的訪問控制 82第一節(jié)訪問控制策略82第二節(jié)用戶訪問管理84 TOC o 1-5 h z .用戶注冊84.超級權限的管理85. 口令管理87.用戶訪問權限核查 88第三節(jié).用戶職責88. 口令的使用88.無人值守的用戶設備 89第四節(jié)網絡訪問控制90.網絡服務使用策略 91.邏輯安全區(qū)域的

7、劃分與隔離 91.訪問路徑控制92.外部連接用戶的驗證 93.網元節(jié)點驗證93.端口保護94.網絡互聯(lián)控制94.網絡路由控制95.網絡服務的安全 95第五節(jié)操作系統(tǒng)的訪問控制95.終端自動識別96.終端登錄程序96.用戶識別和驗證97.口令管理系統(tǒng)97.限制系統(tǒng)工具的使用 98.強制警報99.終端超時關閉99.連接時間限制100第六節(jié)應用訪問控制100.信息訪問限制100.隔離敏感應用101第七節(jié)系統(tǒng)訪問與使用的監(jiān)控101 TOC o 1-5 h z .事件記錄102.監(jiān)控系統(tǒng)使用情況 102第八節(jié)移動與遠程工作104.移動辦公104.遠程辦公105第六章 系統(tǒng)開發(fā)與軟件維護的安全 107第一

8、節(jié)系統(tǒng)的安全需求107第二節(jié)應用系統(tǒng)的安全109 TOC o 1-5 h z .輸入數據驗證 109.內部處理控制110.消息認證111.輸出數據驗證111第三節(jié)系統(tǒng)文件的安全112.操作系統(tǒng)軟件的控制 112.系統(tǒng)測試數據的保護 113.系統(tǒng)源代碼的訪問控制 114第四節(jié)開發(fā)和支持過程中的安全11510 TOC o 1-5 h z .變更控制程序115.軟件包的變更限制 116.后門及特洛伊代碼的防范 117.軟件開發(fā)外包的安全控制 118第五節(jié)加密技術控制措施118.加密技術使用策略 118.使用加密技術119.數字簽名120.不可否認服務121.密鑰管理121第七章安全事件響應及業(yè)務連續(xù)

9、性管理 124第一節(jié)安全事件及安全響應124.及時發(fā)現與報告125.分析、協(xié)調與處理 125.總結與獎懲127第二節(jié)業(yè)務連續(xù)性管理127.建立業(yè)務連續(xù)性管理程序 127.業(yè)務連續(xù)性和影響分析 128.制定并實施業(yè)務連續(xù)性方案 12911 TOC o 1-5 h z .業(yè)務連續(xù)性方案框架 130.維護業(yè)務連續(xù)性方案 132第八章安全審計134第一節(jié)遵守法律法規(guī)要求134.識別適用的法律法規(guī) 134.保護知識產權135.保護個人3息135.防止網絡與信息處理設施的不當使用 136.加密技術控制規(guī)定 136.保護公司記錄137.收集證據137第二節(jié)安全審計的內容138第三節(jié)安全審計管理138 TOC

10、 o 1-5 h z .獨立審計原則139.控制安全審計過程 139.保護審計記錄和工具 140參考文獻141術語和專有名詞 142附錄1:安全體系第二層項目清單（列表） 14312總則.網絡與信息安全的基本概念網絡與信息安全包括下列三個基本屬性：機密性(Confidentiality ):確保網絡設施和信息資源只 允許被授權人員訪問。根據信息的重要性和保密要求， 可以分為不同密級，并具有時效性。完整性(Integrity ):確保網絡設施和信息及其處理的準 確性和完整性。可用性(Availability ):確保被授權用戶能夠在需要時獲 取網絡與信息資產。需要特別指出的是，網絡安全與信息安全

11、(包括但不限于內 容安全)是一體的，不可分割的。.網絡與信息安全的重要性和普遍性網絡與信息都是資產，具有不可或缺的重要價值。 無論對企 業(yè)、國家還是個人，保證其安全性是十分重要的。網絡與信息安全工作是企業(yè)運營與發(fā)展的基礎和核心；是保證網絡品質的基礎；是保障客戶利益的基礎。中國移動的網絡與信息安全也是國家安全的需要。13網絡與信息安全工作無所不在， 分散在每一個部門，每一個 崗位，甚至是每一個合作伙伴；同時，網絡與信息安全是中國移 動所有員工共同分擔的責任， 與每一個員工每一天的日常工作息 息相關。中國移動所有員工必須統(tǒng)一思想， 提高認識，高度重視， 從自己開始，堅持不懈地做好網絡與信息安全工作

12、。.中國移動網絡與信息安全體系與安全策略現有規(guī)范國內外標準合作方經驗安全評估結果卜第一層安全設備一絡務用網業(yè)應I信息資產組織人員-物理環(huán)境一運營維護系統(tǒng)開發(fā) 上訪問控制-,業(yè)務保障I 一 一安全審計L,第二層操作手冊流程、細則具體正施檢查1核,效果評估第三層中國移動網絡與信息安全體系如上圖所示。中國移動網絡與信息安全體系是由兩部分組成的。一部分是一系列安全策略和技術管理規(guī)范（第一、二層），另一部分是實 施層面的工作流程（第三層）。網絡與信息安全體系（NISS）總綱（以下簡稱總綱）位于 安全體系的第一層，是整個安全體系的最高綱領。 它主要闡述安 全的必要性、基本原則及宏觀策略?？偩V具有高度的概括

13、性，涵14蓋了技術和管理兩個方面，對中國移動各方面的安全工作具有通 用性。安全體系的第二層是一系列的技術規(guī)范和管理規(guī)定，是對總綱的分解和進一步闡述，側重于共性問題、操作實施和管理考核， 提出具體的要求，對安全工作具有實際的指導作用。安全體系的第三層是操作層面， 它根據第一層和第二層的要 求，結合具體的網絡和應用環(huán)境， 制訂具體實施的細則、流程等， 具備最直觀的可操作性。安全體系也包含了實施層面的工作流程，結合三層安全策 略，進行具體實施和檢查考核， 同時遵循動態(tài)管理和閉環(huán)管理的 原則，通過定期的評估不斷修改完善。安全策略是在公司內部，指導如何對網絡與信息資產進行管理、保護和分配的規(guī)則和指示。

14、中國移動必須制訂并實施統(tǒng)一的 網絡與信息安全策略，明確安全管理的方向、目標和范圍。安全 策略必須得到管理層的批準和支持。安全策略應被定期評審和修 訂，以確保其持續(xù)適宜性，特別是在組織結構或技術基礎改變、 出現新的漏洞和威脅、發(fā)生重大安全事件時。中國移動的安全策略是由安全體系三個層面的多個子策略組成的，具有分層結構的完整體系，包含了從宏觀到微觀，從原 則方向到具體措施等多方面的內容。 安全策略用來指導全網的網 絡與信息安全工作。15.安全需求的來源確立安全需求是建立完整的安全體系的首要工作。中國移動的安全需求主要源自下述三個方面：系統(tǒng)化的安全評估。結合經驗教訓和技術發(fā)展， 通過安全 評估分析公司

15、網絡和信息資產所面臨的威脅，存在的薄弱點和安全事件發(fā)生的可能性， 弁估計可能對公司造成的各 種直接的和潛在的影響。中國移動及其合作伙伴、承包商、服務提供商必需遵守的 法律法規(guī)、行政條例和合同約束，以及公司對客戶的服務 承諾。公司運營管理的目標與策略。下圖說明了安全需求、風險評估和安全措施三者的關系。運營管理 目標策略安全措施16.安全風險的評估安全風險評估可以應用于整個公司或某些部分，也可應用于單個網絡信息系統(tǒng)、特定系統(tǒng)組件或服務。安全風險評估應著重于：安全事件可能對中國移動造成的損失，以及所產生的直接和潛在的影響。綜合考慮所有風險，以及目前已實施的控制措施， 判斷此 類安全事件發(fā)生的實際可能

16、性。從安全角度，對公司現有的管理制度和流程本身的合理性 與完備程度進行評估。安全風險評估應本著可行、實際和有效的原則，通過標準統(tǒng) 一的評估程序和方法，量化安全風險，確定安全風險的危險級別， 從而采取合理措施防范或降低安全風險。需要特別指出的是：為適應業(yè)務發(fā)展的變化， 應對新出現的 威脅和漏洞，評估現有控制措施的有效性及合理性， 必須周期性 地進行安全風險評估并調整控制措施，且應在不同的層面進行， 為高風險領域優(yōu)先分配資金、人力等資源。17.安全措施的選擇原則有效性。安全措施的實施必須能夠確保風險被降低到可以 接受的水平，達到期望的安全目標?？尚行浴０踩胧┍仨氃诩夹g上是可操作的， 可以實現的。

17、某些安全措施不具備通用性， 需要因地制宜的考慮具體實施環(huán)境。實際性。應從管理、財務等非技術因素詳細分析待實施的安全措施，綜合比較實施成本與由此減少的潛在損失，非經濟因素也應考慮在內。公司應在遵循以上原則的基礎上， 根據網絡與信息資產面臨 風險的大小，區(qū)分輕重緩急，實施相應的安全控制措施。.安全工作的起點根據一般性規(guī)律和業(yè)界的實際經驗， 網絡與信息安全工作的開展可以從以下幾個方面著手：法律方面：數據保護以及個人隱私保護、 公司記錄保護和知識產權保護等。業(yè)界慣例：安全策略制訂、安全職責劃分、安全教育與培訓I、安全事件響應和業(yè)務連續(xù)性管理等。18需要指出的是，上述內容不能取代根據安全風險評估選擇控

18、制措施的基本原則。任何控制措施的選取都應當依據實際面臨的 具體風險來確定。.關鍵性的成功因素為了確保網絡與信息安全工作的順利實施，下列因素至關重要：公司管理層的高度重視、明確支持和承諾；安全工作組織與人員的落實；安全策略、目標和措施應與公司經營目標一致；安全工作的具體實施必須同公司的企業(yè)文化相兼容；深刻理解安全需求、風險評估及風險管理；在全體員工中建立網絡與信息安全無處不在的安全理念；建立全面、均衡、可行的評估、考核體系，以衡量網絡與信息安全管理工作的水平；向所有員工和第三方（ 包括承包商、合作伙伴、客戶等） 分發(fā)網絡與信息安全指南，并提供相應的培訓和教育。19.安全標準綜述本標準依據國際規(guī)范

19、，參考業(yè)界的成熟經驗，結合中國移動 的實際情況，制定并描述了網絡與信息安全管理必須遵守的基本 原則和要求，將安全工作要點歸結到以下八個方面：組織與人員集團公司和各省公司必須建立公司級別的網絡與信息安全 常設領導機構，全面負責公司的網絡與信息安全工作。安全領導機構必須明確劃分安全職責并建立內部協(xié)調機制。公司必須設立專職安全隊伍，建立安全事件響應流程和聯(lián)絡人制度。公司應與 外部安全專家和其他相關組織加強溝通與協(xié)作。中國移動的所有崗位職責中必須包含安全內容，并盡量實現職責分隔。公司應實施人員考察制度。 公司的所有員工及使用中 國移動網絡與信息資產的其他組織人員都應當簽署保密協(xié)議。中國移動的所有員工都

20、應當接受網絡與信息安全培訓。第三方訪問和外包服務必須受到控制，應事先進行風險評 估，分析安全影響并制訂相應措施。同第三方和外包服務機構簽 訂的合同中應包含雙方認可的安全條款。公司應與客戶簽署相關協(xié)議，明確雙方在網絡與信息安全方 面的權利與義務及違約責任，保障客戶與公司雙方的利益。網絡與信息資產管理20公司必須建立詳細準確的網絡與信息資產清單和嚴格的資 產責任制度。每一項資產都應當指定“責任人”，分配其相應的安 全管理職權，并由其承擔相應的安全責任?！柏熑稳恕笨梢詫⒕唧w 的工作職責委派給“維護人”，但“責任人”仍必須承擔資產安全的 最終責任。根據網絡與信息資產的敏感度和重要性，必須對其進行分類

21、和標注，并采取相應的管理措施。物理與環(huán)境安全公司的關鍵或敏感的網絡與信息處理設施應被放置在安全 區(qū)域內，由指定的安全邊界予以保護。根據不同的安全需求等級， 公司應劃分不同的安全區(qū)域，例如：機房、辦公區(qū)和第三方接入 區(qū)。針對不同的安全區(qū)域，公司應采取不同等級的安全防護和訪 問控制措施，阻止非法訪問、破壞和干擾。工程施工期間也應遵 守相關規(guī)定，加強安全區(qū)域的保護。公司必須制定清理辦公環(huán)境及合理使用計算機設備的規(guī)定。 網絡與信息處理設施的處置與轉移應遵守相應的安全要求。通信與運營管理安全公司應建立網絡與信息處理設施的管理和操作的職責及流 程，并盡可能地實現職責分離。開發(fā)、調測和運營環(huán)境應保持相 對隔

22、離。21公司應做好系統(tǒng)容量的監(jiān)視和規(guī)劃。配套安全系統(tǒng)應與業(yè)務 系統(tǒng)“同步規(guī)劃、同步建設、同步運行”。新建或擴容系統(tǒng)的審批 應包含安全內容，并在交付使用前做好測試和驗收工作。涉及安全方面的審批工作應由安全機構人員負責。公司應加強防范意識，采取有效措施，預防和控制惡意軟件。公司應采取相應技術手段，確保時鐘和時間同步。公司應建立嚴格的軟件管理制度，及時加載安全補丁，定期進行系統(tǒng)安全漏洞評估，并執(zhí)行系統(tǒng)加固解決方案。公司應當制定備份制度，執(zhí)行備份策略，并定期演練數據恢 復過程。記錄操作和故障日志。公司必須采取多種控制措施，保護網絡設備及其上信息的安 全，尤其是網絡邊界和與公共網絡交換的信息。可采取的控

23、制措施如：訪問控制技術、加密技術、網管技術、安全設備、安全協(xié) 議等。公司應制定信息存儲介質的管理制度和處置流程。應特別加強對可移動存儲介質和系統(tǒng)文檔的管理。公司在與其他組織交換信息和軟件時，應遵從相應的法律或 合同規(guī)定，采取必要的控制措施。公司應制定相應的程序和標準， 以保護傳送過程中的信息和媒介安全，尤其要考慮電子商務、電22 子郵件等應用的安全控制需求。公司還應制定信息發(fā)布管理規(guī) 定。訪問控制公司應基于業(yè)務和安全需求， 制定訪問控制策略，并明確用 戶職責，加強用戶訪問控制管理。 公司應加強對移動辦公和遠程 辦公的管理。公司應加強對網絡系統(tǒng)、操作系統(tǒng)、應用系統(tǒng)的訪問控制， 如在公司網絡邊界設

24、置合適的接口， 采取有效的用戶和設備驗證 機制，控制用戶訪問，隔離敏感信息。同時應監(jiān)控對系統(tǒng)的訪問 和使用，記錄并審查事件日志。開發(fā)與維護新系統(tǒng)的開發(fā)，包括網絡基礎設施、支撐系統(tǒng)，必須遵循系 統(tǒng)安全生命周期管理流程。在開發(fā)新系統(tǒng)之前，應確認安全需求。 在設計中應采用合適的控制措施、審計跟蹤記錄和活動日志， 包括輸入數據、內部處理和輸出數據的驗證。 應用系統(tǒng)不應在程序 或進程中固化賬戶和口令，系統(tǒng)應具備對口令猜測的防范機制和 監(jiān)控手段。公司應通過風險評估來確定加密策略，基于統(tǒng)一的標準和程 序建立加密管理規(guī)范。23在系統(tǒng)開發(fā)及維護過程中，應嚴格執(zhí)行系統(tǒng)開發(fā)流程管理， 包括對開發(fā)、測試和生產環(huán)境的變

25、更控制，以保證系統(tǒng)軟硬件和 數據的安全。安全事件響應與業(yè)務連續(xù)性公司必須貫徹“積極預防、及時發(fā)現、快速反應與確?；謴汀?的方針，建立安全事件響應流程和獎懲機制。如有必要，應盡快 收集相關證據。公司應實施業(yè)務連續(xù)性管理，通過分析安全事件對業(yè)務系統(tǒng) 的影響，制定并實施應急方案，并定期更新、維護和測試。安全審計網絡與信息系統(tǒng)的設計、 操作、使用和管理必須遵從國家法 律、信息產業(yè)部相關管理條例以及合同規(guī)定的安全要求。安全審計應遵循獨立原則，定期檢查網絡與信息系統(tǒng)安全， 檢驗安全政策和技術規(guī)范的執(zhí)行情況。應采取有效的控制措施保 護網絡與信息系統(tǒng)及審計工具， 使安全審計的效果最大化， 影響 最小化。.適用

26、范圍本標準適用于中國移動的所有網絡與信息系統(tǒng)（包括但不限于業(yè)務網絡、支撐網絡），及組織和人員。24本標準的解釋權和修改權歸中國移動通信集團公司25第一章組織與人員 第一節(jié)組織機構安全工作“三分靠技術，七分靠管理”，建立有效的組織機構 是安全管理的基礎。不健全的安全管理機制是網絡與信息安全最 大的薄弱點。.領導機構集團公司和各省公司必須建立公司級別的網絡與信息安全 常設領導機構，全面負責公司的網絡與信息安全工作。該機構應由公司級別主管領導負責，各相關部門領導組成。安全領導機構應為公司的安全管理指明清晰的方向，并提供強有力的管理層支持。安全領導機構應通過合理的承諾和充分的 資源配置，來推進整個公司

27、的網絡與信息安全工作。集團公司網絡與信息安全領導小組是中國移動網絡與信息 安全管理的最高決策機構。安全領導機構承擔以下責任：a）審查并批準公司的網絡與信息安全策略；b）分配安全管理總體職責；c）在網絡與信息資產暴露于重大威脅時，監(jiān)督控制可能發(fā)生的重大變化;26d）對安全管理的重大更改事項（例如：組織機構調整、關鍵人事變動、信息系統(tǒng)更改等）進行決策；e）指揮、協(xié)調、督促并審查重大安全事件的處理。.工作組織公司各部門應建立專職或兼職的安全隊伍，從事具體的安全工作。安全工作需要多個部門的共同參與，為迅速解決工作中出現的問題，防止相互推諉，提高工作效率，公司必須建立跨部門 的協(xié)調機制。具體協(xié)調機構應由

28、各部門從事安全工作的相關人員 組成，并明確牽頭部門或人員。條件成熟時，應成立獨立的安全 工作組織。集團公司網絡與信息安全辦公室是中國移動網絡與信息安 全工作的具體組織機構。工作組織承擔以下責任：a）制定相關的安全崗位及職責；b）制定并落實相關安全管理制度；c）制定并落實安全保護方案；d）審批新系統(tǒng)或服務的規(guī)劃和設計中的安全部分，并監(jiān)督其實施落實；e）審批業(yè)務連續(xù)性方案;27f）牽頭處理網絡與信息安全事件；g）組織安全評估和安全審計工作；h）輔助領導機構進行安全方面的決策；i）完成部門間的協(xié)調工作，分派并落實某項具體工作中各部 門的職責；j）獲取和發(fā)布安全信息；k）完成領導機構下達的各項任務。.

29、安全職責的分配為明確安全責任，劃分（界定）安全管理與具體執(zhí)行之間的 工作職責，公司必須建立安全責任制度。安全責任分配的基本原則是“誰主管，誰負責”。公司擁有的每 項網絡與信息資產，必須根據資產歸屬確定“責任人”。“責任人” 對資產安全保護負有完全責任。“責任人”可以是個人或部門，但 “責任人”是部門時，應由該部門領導實際負責?！柏熑稳恕笨梢詫⒕唧w的執(zhí)行工作委派給“維護人”，但“責任人” 仍然必須承擔資產安全的最終責任。 因此“責任人”應明確規(guī)定“維 護人”的工作職責，并定期檢查“維護人”是否正確履行了安全職 責。“維護人”可以是個人或部門,也可以是外包服務提供商。當“維 護人”是部門時，應由該

30、部門領導實際負責。28安全工作人員的職責是指導、監(jiān)督、管理、考核“責任人”的安全工作，不能替代“責任人”對具體網絡與信息資產進行安全保護。在資產的安全保護工作中，應重點關注以下內容：a)應清楚地說明每個獨立的網絡與信息系統(tǒng)所包含的各種資 產和相應的安全保護流程。b) “責任人”與“維護人”都應明確接受其負責的安全職責和安 全保護流程，并對該職責的詳細內容記錄在案。c)所有授權的內容和權限應當被明確規(guī)定，并記錄在案。.職責分散與隔離職責分隔(Segregation of Duties )是一種減少偶然或故意行為造成安全風險的方法。 公司應分散某些任務的管理、 執(zhí)行及職 責范圍，以減少誤用或濫用職

31、責帶來風險的概率。 例如關鍵數據 修改的審批與制作必須分開。在無法實現職責充分分散的情況下，應采取其他補償控制措 施并記錄在案。例如：活動監(jiān)控、檢查審計跟蹤記錄以及管理監(jiān)督等。為避免串通勾結等欺詐活動，公司應盡量隔離相應職責，并 增加執(zhí)行和監(jiān)督人員，以降低串通的可能性。29.安全信息的獲取和發(fā)布信息技術的發(fā)展日新月異，安全工作愈發(fā)復雜和困難。公司 必須建立有效可靠的渠道，獲取安全信息，不斷推進安全工作。 例如：a）從內部挑選經驗豐富的安全管理和技術人員，組成內部專家組，制定安全解決方案，參與安全事件處理，解決實際 安全問題，提供預防性建議等。為使內部專家組的工作更 具成效，應允許他們直接接觸公

32、司的管理層。b）與設備提供商、安全服務商等外部安全專家保持緊密聯(lián) 系，聽取他們的安全建議。c）從一些公開的信息渠道獲取安全信息，例如專業(yè)出版物、 定期公告等。中國移動權威的安全信息發(fā)布機構為集團公司安全辦公室。集團公司負責收集和整理并向各省發(fā)布安全信息；各省負責省內發(fā)布和信息上報。.加強與外部組織之間的協(xié)作公司應加強與國家安全機關、行業(yè)監(jiān)管部門、其他運營商和 信息服務提供商等外部組織的聯(lián)系，并建立協(xié)作流程，以便在出 現安全事件時，盡快獲取信息、采取措施。30公司在加入安全組織或與其他組織進行交流時，應對信息交 換予以嚴格限制，以確保公司信息的保密性。.安全審計的獨立性安全審計是從管理和技術兩個

33、方面檢查公司的安全策略和 控制措施的執(zhí)行情況，發(fā)現安全隱患的過程。安全審計的獨立性是指審計方與被審計方應保持相對獨立， 即不能自己審計自己的工作，以確保審計結果的公正可靠。安全審計可由公司內部審計組織， 或外聘的專業(yè)審計機構完 成。審計人員應接受審計培訓，掌握一定的技能和經驗。當采用 外聘審計機構時，應充分考慮其風險，并采取相應的控制措施。第二節(jié)崗位職責與人員考察.崗位職責中的安全內容中國移動的崗位描述中都應明確包含安全職責，并形成正式文件記錄在案。安全描述應包括落實安全政策的常規(guī)職責和保護 具體資產或執(zhí)行具體安全程序或活動的特定職責。公司管理層應向所有員工告知其自身的崗位職責，并監(jiān)督執(zhí)行。3

34、1.人員考察公司應明確員工的雇用條件和考察評價的方法與程序，減少因雇用不當而產生的安全風險。人員考察的內容應包括：a）來自組織和個人的品格鑒定；b）學歷和履歷的真實性和完整性；c）學術及專業(yè)資格；d）身份查驗。在首次聘用、內部轉崗、職位晉升等情況下，公司應進行人 員考察。需要特別指出的是：對接觸公司機密信息或擁有較大權 力的人員，應定期重復進行考察?？疾斓膶ο蟀ǎ赫絾T工、臨時人員、承包商。需要注意 的是：如果使用中介機構提供的人員， 同中介機構簽署的協(xié)議應 當明確規(guī)定中介機構的審查責任和通知程序。另外，對新員工和經驗不足的員工應加強指導和管理。員工的個人情況變化會影響他們的工作。例如個人問

35、題或經 濟問題、行為和生活方式的變化、 反復缺席以及明顯的壓力和消 沉都有可能導致欺詐、盜竊、差錯或者其他安全問題。管理層應 關注此情況，并遵照相關制度予以處置。32.保密協(xié)議公司應與所有員工簽訂保密協(xié)議。保密協(xié)議可以作為勞動合 同條款的一部分。保密協(xié)議應明確規(guī)定員工承擔的安全責任、保密要求和違約 責任。在雇用合同出現變化時應對保密協(xié)議的內容和執(zhí)行情況進行 審查，特別是當員工離開公司或者合同終止時。.勞動合同勞動合同中應包含網絡與信息安全條款，明確規(guī)定員工的安 全責任和違約罰則。這些責任可延伸至公司場所以外和正常工作 時間以外。必要時，這些責任應在雇用結束后延續(xù)一段特定的時 間。.員工培訓所有

36、員工必須接受安全教育或培訓，一般內容包括：公司網 絡與信息安全策略、安全職責、安全管理規(guī)章制度和法律法規(guī)。 不同崗位的員工應接受符合其工作要求的必要的專業(yè)技能培訓。33第三節(jié) 第三方訪問與外包服務的安全.第三方訪問的安全第三方，是指除中國移動以外，所有的組織和人員。第三方訪問的風險第三方的訪問類型可分為物理訪問和邏輯訪問，例如進入公 司機房、接入公司信息系統(tǒng)等。公司應審核第三方的訪問需求，進行風險分析，確定控制措 施。風險分析時需要考慮的因素有：訪問類型、信息的價值、第 三方采取的控制措施以及該訪問對公司造成的潛在影響。需要特別指出的是，應加強對第三方臨時人員現場訪問的管 理，清潔人員、餐飲服

37、務人員、保安人員、實習生、咨詢顧問等 人員也不應被忽視。第三方訪問的控制措施公司應采取以下措施，對第三方訪問進行控制：公司應與第三方公司法人簽署保密協(xié)議，并要求其第三方個人簽署保密承諾，此項工作應在第三方獲得網絡與 信息資產的訪問權限之前完成。實行訪問授權管理，未經授權，第三方不得進行任何形式的訪問34公司應加強第三方訪問的過程控制，監(jiān)督其活動及操作。公司應對第三方人員進行適當的安全宣傳與培訓。第三方人員應佩帶易于識別的標志，并在訪問公司重要場所時有專人陪同。在與第三方簽署合同時，應明確規(guī)定安全要求。如：安全目 標、保護對象、雙方責任與權力、服務種類與級別、事件通報處 理流程、第三方引入分包商

38、的規(guī)定等。需要特別指出的是，在相應的控制措施未落實之前，或相關 合同（保密協(xié)議）尚未簽署之前，第三方不得訪問公司的任何網 絡與信息系統(tǒng)。.外包服務的安全當公司將網絡與信息系統(tǒng)的管理職責全部或部分外包給其 他組織時，如果控制不當，會帶來很大的安全風險。因此，管理 層在進行外包決策時，應考慮下列事項：a）必須綜合權衡外包風險和由外包帶來的成本優(yōu)勢，并根據 公司安全策略決定何種服務可以外包。公司應明確禁止外 包的敏感和關鍵應用。b）必須獲得設備責任人的批準；35c）對業(yè)務連續(xù)性的影響;d）規(guī)定的安全標準以及用于審計的程序；e）有效監(jiān)控和管理所有與外包相關的安全活動所需的特定的 職責和程序；f）上報和

39、處理安全事件的責任和程序；g）對外包服務商的資格、素質、能力進行考核、管理和審計；在外包合同中，除了包含第三方合同中提到的安全要素外， 還應強調以下具體內容：a）如何確保參與外包的所有各方（包括分包商）都能夠意識 到自己的安全職責；b）如何保證并檢查公司相關資產（特別是敏感商業(yè)信息）的 完整性和機密性；c）如何保證在發(fā)生故障和災難時，服務與業(yè)務的連續(xù)性和可 用性；d）為外包設備提供什么樣的物理安全；e）審計權?？紤]到今后的發(fā)展，外包合同應允許在各方約定的安全框架 內擴展安全要求和流程。36第四節(jié)客戶使用業(yè)務的安全公司應與客戶簽署相關協(xié)議，明確雙方在網絡與信息安全方 面的權利、義務及違約責任，保

40、障客戶與公司雙方的利益。如專 線用戶、IDC用戶等。公司應提供必要的安全培訓，使客戶意識到網絡與信息安全 威脅及利害關系，了解并支持遵守公司的安全策略和控制措施， 提高他們的安全意識和防范能力。37第二章網絡與信息資產管理 第一節(jié)網絡與信息資產責任制度.資產清單公司各部門應編制并保留各自責任范圍內的各套網絡與信 息系統(tǒng)的重要資產清單，明確每件資產的責任人和安全保護級 別，同時還應當確定其當前位置。公司安全工作組織應匯總、保 留全公司完整的資產清單。網絡與信息資產例如：實物資產：計算機設備、數據網絡通信設備（路由器、 交換機等）；磁性媒介（磁帶和磁盤等）、其他技術設備（電源以及空調裝置等）等；信

41、息資產：技術文檔、配置數據、拓撲圖等；軟件資產：應用軟件、系統(tǒng)軟件以及開發(fā)工具等；需要特別指出的是，在確定資產清單中各項資產的安全保護 等級時，必須依據該資產的相對價值， 尤其要根據該資產所在系 統(tǒng)的服務對象、所處地點、承載業(yè)務等方面的不同，分為不同的 安全保護級別，采取不同的安全保護措施。38.資產責任制度網絡與信息都是資產，是企業(yè)運營與發(fā)展的基礎和核心， 具 有不可或缺的重要價值。中國移動必須建立嚴格的資產責任制 度，以有效保護網絡與信息資產。資產責任制度的要點如下：a）公司必須為網絡與信息資產建立詳細清單，并維護其準確 性與完整性。具體可以按照網絡與信息資產所屬系統(tǒng)或所 在部門列出，并給

42、出諸如資產名稱、所處位置、資產責任 人、資產分類及重要性級別等相關信息。b）公司應根據資產的相對價值大小來確定其重要性，即根據 資產受威脅所產生的實際影響和其本身的價值來綜合評 價。c） “誰主管,誰負責”。公司擁有的每項網絡與信息資產， 必須 根據資產歸屬確定“責任人”，分配其相應的安全管理職權， 并由其承擔相應的安全責任。資產“責任人”可以將具體的安 全職責委派給“維護人”，但“責任人”仍須承擔資產安全的最 終責任。d）任何對網絡與信息資產的變更、訪問必須在獲得資產責任人的批準后進行。39e）維護人應根據與資產責任人達成一致的維護要求，保證所 維護網絡與信息資產的機密性、完整性和可用性。f

43、）定期對網絡與信息資產進行清查盤點，確保資產帳物相符 和完好無損。g）未經管理人員批準，任何人都不得將公司資產用于私人目 的，公司有權對有意誤用者進行紀律懲戒。在資產責任制度中，可對資產責任人、資產維護人等的職責 和權利作如下細化：責任人的職責和權限網絡與信息資產的責任人是指負責管理網絡與信息資產并落 實相應安全措施的個人或部門。a）所有網絡與信息資產都必須指定責任人。b）責任人及其領導負責進行風險分析，根據信息保密標準分 類確定、鑒別并記錄其所擁有的網絡與信息資產的安全級 別。該級別至少每年評審一次。c）責任人必須貫徹、落實恰當的安全控制措施，確保只有在 工作必須的情況下才能使用相關資產。d

44、）責任人可以為由其負責的資產指派維護人，或自己擔當此 任。40e）責任人可基于工作相關性分配訪問權，并與維護人共同負 責保證網絡與信息資產的可用性。f）責任人必須至少每年審查一次其資產的訪問權限。評審流 程必須記錄在案，并保留到下一次審查結束之前。需要特別指出的是，數據責任人是一種職能角色，負責管理 控制特定數據的訪問權限及與安全相關的問題。數據責任人可以將自己負責的數據的所有權授予其他個人，但讓與此類權力決不意味著能夠免除數據責任人對數據的責任。例如：人事信息數據被應用系統(tǒng)調用，提供用戶查詢。數據的責任人是人力資源部， 其他人無權修改。維護人的職責和權限網絡與信息資產的維護人是指支持并維護網

45、絡與信息資產的 人員。a）維護人可以根據所保管的信息的保密類別來確定相應的實 物資產的安全管理流程，以確保網絡與信息資產責任人所 要求的機密性、完整性和可用性。b）責任人應確保適當的安全措施到位， 并可以適度向下委派。 如若需要，可以確定備用聯(lián)絡人。維護人必須保留責任人 的名單。c）維護人必須通知責任人其所應承擔的安全職責。41d）未經責任人許可，維護人不得重新劃分信息的類別。第二節(jié)資產安全等級及相應的安全要求公司應確定網絡與信息資產的相對價值和重要性，并明確相應的安全保護級別。資產分類時的注意事項如下：a）資產責任人負責指定資產級別并定期評審；b）資產的級別不是一成不變的，而是隨著分類政策的

46、變化而 變化的；c）必須綜合考慮資產分類方式的利弊，避免過度復雜的劃分 模式導致使用不便和成本升高。.信息的安全等級、標注及處置信息能夠以眾多形式存在，如：語音、書面、電子文檔等。 不論信息以何種形式存在， 也不論以何種方式被共享或存儲， 信 息始終應當得到妥善保護。信息具有不同的敏感度和重要性， 應從其機密性、完整性和 可用性等安全屬性對其進行分級， 反映不同的保護要求、優(yōu)先級 和程度。公司應明確規(guī)定信息處于不同載體的標注方法。信息的密級必須被明確標注。根據存儲和輸出方式的不同， 可以采用物理標42 簽、電子標記等方法。信息的存儲介質必須以物理標簽形式標明 其密級。當信息以可視方式輸出（如：

47、打印、屏幕顯示等）時， 必須以可視的方式顯示其密級。需要注意的是，其他機構可能對相同或類似的信息分級標志 作了不同的定義，在使用中應特別注意。處置是對實物形式和電子形式的信息資產進行以下類型的信息處理活動：a）復制；b）存儲；c）通過郵寄、傳真或電子郵件等方式進行傳輸；d）通過口頭對話方式進行傳播，包括電話、語音郵件、應答 設備等等；e）銷毀。公司應明確規(guī)定不同密級的信息，在處置過程中需要采取的相應控制和保護措施。中國移動的信息分級、標注和處置情況見下表。信息密級說明分級職責控制要求使用說明一般信息由公司各部門創(chuàng)建 擁有、無需分級的 信息，如：公司刊 物世紀虹、moternet 網頁創(chuàng)建者防止

48、非法修改使用者：所有對此類信息具有合法業(yè)務需求的人員。標記：無特殊要求，電子郵件必須標記“中國移動一般 性商業(yè)信息”。處置：無特殊預防措施。分發(fā)：采用任何適用的方式。43銷毀：無特殊要求。內部信息能夠因己方的損失 使競爭對手獲益的 信息，如：電話簿 或者內部備忘錄創(chuàng)建者?防止非法修改；?必須建立獨立的用戶賬戶和密碼；?基于讀寫訪問的必要性原則予以批準使用者：任何需要知道的人員。標記：在第一頁標記“僅供中國移動內部使用”。處置：控制。分發(fā)：經過批準的電子郵件或者電子文件傳輸系統(tǒng)。銷毀：所采用的銷毀手段必須確保相應信息不被非中國 移動員工獲得。機密信息對公司具有重大價 值的信息，如：財 務報表創(chuàng)建

49、者的直接主管?同“內部信息”控制要求?必須創(chuàng)建審計跟蹤紀錄，并保護、歸檔至少一年？筆記本電腦、移動硬盤中的秘密信息必須加密存儲使用者：“必須知道”的人員，需要簽署保密協(xié)議。標記：在每一頁都標記“中國移動機密信息”。處置：專人保管或者鎖閉。分發(fā)：經過批準的電子郵件或者具有訪問控制的電子文 件傳輸系統(tǒng)。銷毀：粉碎或者置于安全的文檔容器內。絕密信息從本質上講最敏感 的信息（比如商業(yè) 機密和軟硬件設計 等等）部門主管或 更局級別人 員?同“機密信息”控制要求？ 需要明文規(guī)7E,紀錄所有訪問歷史，并加密存儲使用者：“必須知道”的人員,需要簽署保密協(xié)議；授權訪 問至少由公司級別的分管領導決定。標記：在每一頁標記