電信it系統(tǒng)安全管理

全管理規(guī)范》各盟市,區(qū)公司信息化部為了加強(qiáng)中國(guó)電信內(nèi)IT系統(tǒng)及相關(guān)的網(wǎng)絡(luò)信息安全（以下簡(jiǎn)稱IT系統(tǒng)或）管理，保障各種信息資產(chǎn)的性、完整性和可用性，特制定《中國(guó)電信內(nèi)IT系統(tǒng)安全管理規(guī)范》。本辦法適用于電信內(nèi)IT系統(tǒng)司在涉及到IT系統(tǒng)時(shí)應(yīng)遵照?qǐng)?zhí)行，并依據(jù)本辦法加強(qiáng)對(duì)第的管理。聯(lián)系人：李子欽， 第一條通過建立中國(guó)電信內(nèi)IT安全組織，實(shí)（三）IT融入日常運(yùn)維工作中，實(shí)現(xiàn)IT安全工第二條中國(guó)電信內(nèi)信息化部按照“統(tǒng)一組IT（一）決策層形式上對(duì)應(yīng)公司和公司信息化指導(dǎo)，管理層形式上對(duì)應(yīng)公司和公司IT安全小組，執(zhí)行層形式上對(duì)應(yīng)公司和公司IT小IT層對(duì)管理層面的管理規(guī)定進(jìn)一步為具體的管理細(xì)則、實(shí)施IT第三條IT安全決策層由公司主管信息化的擔(dān)任組長(zhǎng)，信息化部的擔(dān)任副組長(zhǎng)，其他相關(guān)業(yè)務(wù)部門及信息化部主管安全作為成員，對(duì)整個(gè)中國(guó)電信內(nèi)ITIT（一）負(fù)責(zé)中國(guó)電信內(nèi)IT安全保障建設(shè)方針與安全策略的。（二）負(fù)責(zé)中國(guó)電信內(nèi)IT安全規(guī)劃與建設(shè)重（四）負(fù)責(zé)中國(guó)電信內(nèi)IT安全規(guī)劃和建設(shè)的第四條IT安全組織的管理層由中國(guó)電信內(nèi)IT安全小組組成，電信IT安全保障體系管理機(jī)構(gòu)。IT安全小組由信息化部牽頭其它部門組成，由信息化部領(lǐng)導(dǎo)擔(dān)任組長(zhǎng)，信息化部主管安全擔(dān)任副組長(zhǎng)。負(fù)責(zé)并指揮IT安全重大或突發(fā)的響應(yīng)和處（二）IT安全小組信息化部安全管理員承擔(dān)以下負(fù)責(zé)跨部門IT安全具體工作推進(jìn)過程中的溝通和ITIT第五條IT安全組織的執(zhí)行層由中國(guó)電信內(nèi)IT小組組成，電信IT安全保障體系具體執(zhí)行機(jī)構(gòu)。IT小組由IT系統(tǒng)建設(shè)的各參與主體構(gòu)成，由信息化部主管安全的擔(dān)任小組組長(zhǎng)，信息化部安全管理員擔(dān)任副組長(zhǎng)信息化。IT小組成員包括安全管理員安全審計(jì)員、IT系統(tǒng)安全責(zé)任人和責(zé)任人等，IT安（一）負(fù)責(zé)完成上級(jí)單位和IT安全小組布置的任（二）負(fù)責(zé)IT安全日常運(yùn)維工作，IT安全總體狀件，參與IT重大突發(fā)安全的應(yīng)急響應(yīng)。第六條中國(guó)電信IT全網(wǎng)安全檢測(cè)與防護(hù)團(tuán)隊(duì)由和省級(jí)兩級(jí)架構(gòu)組成，層面負(fù)責(zé)IT全網(wǎng)安全運(yùn)營(yíng)與保障以及總部IT安全防護(hù)與支撐工作，省級(jí)層面負(fù)責(zé)的安全建設(shè)IT1IT照IT安全檢測(cè)與防護(hù)團(tuán)隊(duì)組織架構(gòu)為每組設(shè)置組長(zhǎng)及組IT2IT人員和各業(yè)務(wù)人員組成，負(fù)責(zé)省IT系統(tǒng)的風(fēng)險(xiǎn)、風(fēng)險(xiǎn)識(shí)別與、安全應(yīng)急響應(yīng)，重大安全上報(bào)以組成，負(fù)責(zé)本省的安全檢查，安全培訓(xùn)等工作，配合安全第九條中國(guó)電信內(nèi)IT安全檢測(cè)與防護(hù)團(tuán)隊(duì)第十條中國(guó)電信IT安全檢測(cè)與防護(hù)團(tuán)隊(duì)兩級(jí)架構(gòu)間建立護(hù)團(tuán)隊(duì)利用協(xié)作系統(tǒng)，建立各小組間溝通平臺(tái)。各小組成 ,團(tuán)隊(duì)名稱為：“IT安全協(xié)作溝通平臺(tái)”。第十一條中國(guó)電信 （一）負(fù)責(zé)協(xié)助主管安全的開展IT安全相關(guān)工作（三）負(fù)責(zé)指導(dǎo)協(xié)調(diào)本單位的IT，督促開展IT。（四）負(fù)責(zé)IT安全的及時(shí)上報(bào)，并協(xié)助相關(guān)部門做好安全的、響應(yīng)和處理。（五）IT第十二條中國(guó)電信內(nèi)信息化部配備1名安全I(xiàn)T（三）負(fù)責(zé)對(duì)各類IT安全進(jìn)行獨(dú)立審核，確保符常運(yùn)行和管理工作。IT系統(tǒng)安全責(zé)任人的主要職責(zé)如下運(yùn)行及的具體工作，并對(duì)系統(tǒng)安全運(yùn)行情況進(jìn)行定期評(píng)估和安全加固，防止IT系統(tǒng)數(shù)據(jù)第十四條中國(guó)電信內(nèi)配備1名責(zé)任人。責(zé)任人的主要職責(zé)如下：（一）負(fù)責(zé)域的劃分與工作，對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行日常運(yùn)維管理，設(shè)置與調(diào)整策略。（二）負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的運(yùn)行和，及時(shí)提交相關(guān)報(bào)告（三）負(fù)責(zé)會(huì)同相關(guān)部門對(duì)網(wǎng)絡(luò)運(yùn)行中的安全及時(shí)響（一）參與操作系統(tǒng)系統(tǒng)安全策略、計(jì)劃和處理程序（二）承擔(dān)操作系統(tǒng)系統(tǒng)安全的處理（四）負(fù)責(zé)操作系統(tǒng)的日常安全和操作系統(tǒng)和文件系（一）參與數(shù)據(jù)庫(kù)系統(tǒng)安全策略、計(jì)劃和處理程序的（二）承擔(dān)數(shù)據(jù)庫(kù)系統(tǒng)安全的處理（四）負(fù)責(zé)數(shù)據(jù)庫(kù)系統(tǒng)的日常安全、配置和數(shù)據(jù)備（一）參與應(yīng)用系統(tǒng)安全策略、計(jì)劃和處理程序的制（二）承擔(dān)應(yīng)用系統(tǒng)安全的處理（四）負(fù)責(zé)應(yīng)用系統(tǒng)的日常安全和數(shù)據(jù)備份第二章員工管第十八條為加強(qiáng)中國(guó)電信內(nèi)人力資源管理力度，完善員工管理職責(zé)，提高整體員工安全管理水第十九條本指南適用于電信內(nèi)部員工入職、在職、（一）負(fù)責(zé)對(duì)崗位候選者進(jìn)行背景（三）負(fù)責(zé)通知部門創(chuàng)建、變更和注銷員工賬號(hào)。第二十一條部門職責(zé)：（一）負(fù)責(zé)審核員工協(xié)議的簽訂情況第二十二條全體員工職責(zé)IT第二十三條公司與公司應(yīng)明確定義各崗位安全第二十四條為規(guī)范員工入職管理，人力資源部應(yīng)制定員工的入職流程；入職手續(xù)正式生效后，經(jīng)相關(guān)部門同意才第二十五條人力資源部應(yīng)依據(jù)崗位的重要性，對(duì)崗位候選者進(jìn)行背景，對(duì)可能接觸到系統(tǒng)和敏感信息的崗位候選者應(yīng)從內(nèi)部員工中選拔，并簽署協(xié)議。第二十六條人力資源部應(yīng)要求崗位候選者在進(jìn)行面試時(shí)提供學(xué)歷、 、、和個(gè)人簡(jiǎn)歷等，第二十七條人力資源部應(yīng)在協(xié)議中明確規(guī)定入職員工需內(nèi)容、期限、義務(wù)、違約責(zé)任等。依據(jù)入職員工的工作崗位是否為崗位來(lái)確定是否需要簽訂脫密協(xié)（二）公司組織結(jié)構(gòu)及主要職責(zé)（三）公司IT安全組織架構(gòu)及主要職責(zé)IT第三十條員工在職期間，必須遵守公司IT安全相關(guān)規(guī)定，履行入職合同和協(xié)議所規(guī)定的IT安全職責(zé)；發(fā)現(xiàn)IT 相關(guān)部門和人員進(jìn)行IT安全的處理IT（一）員工在日常工作中，應(yīng)佩戴識(shí)別標(biāo)志（徽章、工作牌、名卡）等，不得或冒用他人的識(shí)別標(biāo)志； 公司的情況下組織敏感信息，并且遵守公司相關(guān)管理要求；（四）對(duì)公司敏感信息必須予以適當(dāng)?shù)臉?biāo)識(shí)，與任何的人員討論公司敏感信息，從途徑獲?。ㄎ澹⒐久舾行畔⒂谝苿?dòng)介質(zhì)上時(shí)，在介質(zhì)上要有標(biāo)識(shí)，同時(shí)必須要注意防范偷竊或 （六）需要在保證工作的前提下通過技術(shù)、優(yōu)（七）信息化部應(yīng)明確接觸敏感信息員工的責(zé)任，提強(qiáng)調(diào)對(duì)公司敏感信息的使用范圍和義務(wù)；（八）員工應(yīng)妥善保管自己的。在輸入時(shí)，應(yīng)保持必要的警惕性，以防止他人通過等獲取自己所擁有的。第三十二條人力資源部應(yīng)對(duì)重要崗位或敏感崗位采取崗A/B第三十四條員工崗位發(fā)生變化時(shí)，人力資源部應(yīng)及時(shí)通知部門依據(jù)《賬號(hào)權(quán)限與管理指南》完成賬號(hào)變更流第三十五條任何員工和外來(lái)人員，IT安全管理規(guī)定的可采取警告、批評(píng)或終止權(quán)限等措施；對(duì)于造成公司信息、設(shè)備損壞的情況，由其所在部門視情節(jié)輕重，交人力資源部進(jìn)行相應(yīng)處理。對(duì)有關(guān)法律、的，有關(guān)部門將依法其。協(xié)議，明確告知其在離職后的IT安全責(zé)任。IT第三十八條員工離職時(shí)嚴(yán)格遵守公司員工離職流程，人力資源部及離職員工所在部門應(yīng)及時(shí)通知部門關(guān)閉相應(yīng)員工的權(quán)限，相應(yīng)操作流程應(yīng)遵循《賬號(hào)權(quán)限與管理》第一節(jié)培訓(xùn)目的第三十九條為保證公司，提高員工的管理規(guī)定，公司員工需接受相應(yīng)的教育與培訓(xùn)。第四十條對(duì)信息化全體員工需進(jìn)行普遍性訓(xùn)，普遍性培訓(xùn)內(nèi)容包括崗位安全職責(zé)，公司管理辦法、基本的知識(shí)和技術(shù)。第四十一條對(duì)從事安全和管理工作的員工需定期進(jìn)第四十二條的教育和培訓(xùn)由組組織和應(yīng)包括培訓(xùn)項(xiàng)目、主要內(nèi)容、主要、培訓(xùn)日程安排、第四章第IT安全管理第一節(jié)總則第四十八條為加強(qiáng)中國(guó)電信內(nèi)信息化部（以下簡(jiǎn)稱“部門”）第人員在本部門實(shí)施服務(wù)活動(dòng)時(shí)必須遵守的管理，規(guī)范第人員及其接待人員在本部門第五十條第人員是指除部門以外，所有的組織和人第五十一條第人員類型可分為物理和邏輯，例如進(jìn)入公房、接入公司信息系統(tǒng)等。第五十二條對(duì)口部門是接待或申請(qǐng)引入第人員的部門，由該部門指定對(duì)口人員執(zhí)行陪同、指導(dǎo)、檢查、監(jiān)督第人員的工作。第五十三條部門職責(zé)（包括應(yīng)用管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員和系統(tǒng)管理員等人員）：（一）制定并安全管理制度（三）對(duì)第人員進(jìn)行安全教育或考核。第五十四條第單位/人員職責(zé)：（一）定期簽署安全協(xié)議（三）負(fù)責(zé)合同約定的IT系統(tǒng)或設(shè)施日常運(yùn)行（四）負(fù)責(zé)安全發(fā)生時(shí)協(xié)助進(jìn)行應(yīng)急響應(yīng)第五十五條網(wǎng)絡(luò)運(yùn)行代維單位責(zé)任：（一）負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)、系統(tǒng)的日常運(yùn)維，定期提交網(wǎng)（三）負(fù)責(zé)網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、脆弱性研究、（四）負(fù)責(zé)制定網(wǎng)絡(luò)設(shè)備的應(yīng)急響應(yīng)方案，及時(shí)向部門和安全部門報(bào)告IT安全并協(xié)助IT安全的處理。（一）負(fù)責(zé)制定小型機(jī)、、PC服務(wù)器硬件的相關(guān)作業(yè)（二）負(fù)責(zé)小型機(jī)、、PC服務(wù)器硬件的日常運(yùn)維管（三）負(fù)責(zé)小型機(jī)、、PC服務(wù)器硬件的運(yùn)行和安全，包括安全策略配置，系統(tǒng)升級(jí)、加固、掃描、日（五）負(fù)責(zé)制定小型機(jī)、、PC服務(wù)器硬件的應(yīng)急響應(yīng)方案，及時(shí)向部門和安全部門報(bào)告IT安全并協(xié)助IT安全的處理。 （三）負(fù)責(zé)數(shù)據(jù)庫(kù)、中間件和操作系統(tǒng)的運(yùn)行、安全狀態(tài)，包括升級(jí)、日志審計(jì)等；全的處理。第五十八條、備份系統(tǒng)代維單位責(zé)任（一）負(fù)責(zé)制定系統(tǒng)和備份系統(tǒng)等管理制度和作業(yè)指（二）負(fù)責(zé)、備份系統(tǒng)的日常運(yùn)維管理，包括軟、硬件的運(yùn)行狀態(tài)、系統(tǒng)升級(jí)、日志審計(jì)等；況，安全保管介質(zhì)，配合IT數(shù)據(jù)備份恢復(fù)和測(cè)試工作；（四）負(fù)責(zé)定期提交、備份系統(tǒng)的運(yùn)行和安全報(bào)告（五）負(fù)責(zé)制定、備份系統(tǒng)的應(yīng)急響應(yīng)方案，及時(shí)向時(shí)向部門和安全部門報(bào)告IT安全并協(xié)助的處（五）負(fù)責(zé)制定應(yīng)用系統(tǒng)的應(yīng)急響應(yīng)方案，及時(shí)向部門和安全部門報(bào)告IT安全并協(xié)助IT安全的處理。第四節(jié)安全服務(wù)管理第六十二條在與第組織簽訂服務(wù)合同時(shí)應(yīng)明確第三方管理部門，該部門應(yīng)指定第接口人負(fù)責(zé)相應(yīng)第的日常管理工作。以下為第可能帶來(lái)的安全風(fēng)險(xiǎn)：（一）物理引起的設(shè)備、資料失竊（四）對(duì)IT系統(tǒng)的和越權(quán)第六十三條第接口人員負(fù)責(zé)識(shí)別第進(jìn)入帶來(lái)（一）分析第的引入是否適應(yīng)公司的業(yè)務(wù)、總體風(fēng)險(xiǎn)控制，其是否有能力滿足公司對(duì)義務(wù)的要求；（二）第是否允許公司對(duì)其實(shí)施有效的監(jiān)督和控制（三）充分、評(píng)估第的財(cái)務(wù)穩(wěn)定性和專業(yè)經(jīng)驗(yàn)，對(duì)第進(jìn)行風(fēng)險(xiǎn)評(píng)估，考查第的設(shè)施和能力是否足以彌一家第可能帶來(lái)的潛在業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn).第條針對(duì)其他第可能引入的IT安全風(fēng)險(xiǎn)，各第六十五條在第與公司合作或者進(jìn)入公司前，接口 第六十六條第廠商負(fù)有對(duì)其為公司提供服務(wù)的關(guān)鍵崗位的第人員進(jìn)行人員背景的職責(zé)，出于背景目的收集、處理被人員信息時(shí)，應(yīng)不得相關(guān)的法律法第六十七條第接口人員需確保第人員在合作IT符合中國(guó)電信的IT安全要求，并定期對(duì)第人員進(jìn)行安全教育與培訓(xùn)，以降低設(shè)施竊、和誤用的風(fēng)險(xiǎn)。第六十八條對(duì)于第人員的安全角色和職責(zé)，應(yīng)按照（四）保護(hù)中國(guó)電信的信息資產(chǎn)免受非、、（六）報(bào)告安全、潛在安全、以及其他可能安全風(fēng)險(xiǎn)的。第六十九條在與第進(jìn)行合作前，接口人員應(yīng)確認(rèn)第已簽訂協(xié)議（附件4），條款或協(xié)議具有律效力，協(xié)議或包含條款的合同在簽訂前，要經(jīng)過公司相關(guān)部門的合規(guī)性，以避免風(fēng)險(xiǎn)。的要求（一）在可接受的時(shí)間段里不得公司的非（三）明確知識(shí)的歸屬（四）協(xié)議或合同的第七十條對(duì)于公司涉及國(guó)家的計(jì)算機(jī)IT系統(tǒng)建設(shè)項(xiàng)目，第合作單位資質(zhì)必須符合國(guó)家機(jī)關(guān)的有關(guān)要求第七十一條第人員進(jìn)入公司辦公場(chǎng)所前需辦理第三方人員出入證，第人員需持公司第人員出入證進(jìn)出公第七十二條應(yīng)為第設(shè)立獨(dú)立的辦公區(qū)域和網(wǎng)絡(luò)接入 第人員不得隨意出入其他工作區(qū)域或在其第七十三條第服務(wù)人員在現(xiàn)場(chǎng)或服務(wù)時(shí)，必須第七十四條第人員日常行為管理（一）遵守部門考勤制度，進(jìn)出需佩帶標(biāo)識(shí)卡，配合（二）遵守公共行為規(guī)范，吐痰、亂扔煙蒂等不文明 （八）以代維人員發(fā)起的工單需經(jīng)過公司對(duì)口人員審第七十五條第操作要求（一）應(yīng)制定專人負(fù)責(zé)第的安全管理，第人員使用的任何設(shè)備必須經(jīng)部門的正式認(rèn)可。（三）第人員需要使用網(wǎng)絡(luò)資源，必須向接口人員提交申請(qǐng)，遵循公司相關(guān)管理規(guī)定進(jìn)行處理，應(yīng)對(duì)第現(xiàn)場(chǎng)或者的進(jìn)行，避免系統(tǒng)的異常中斷和敏感信息的。（四）第人員應(yīng)確保中國(guó)電信各類設(shè)施資源的完好（五）長(zhǎng)期駐場(chǎng)第人員在公司工作時(shí)，接口部門或接IT（六）臨時(shí)第人員公司重要安全區(qū)域（如機(jī)房、出日期與時(shí)間、第人員簽名、事由等信息。（七）第人員對(duì)所有系統(tǒng)的運(yùn)維操作必須經(jīng)過安全管（八）所有第廠商每周應(yīng)提交一份本周工作周報(bào)及下周工作計(jì)劃，周附上本周操作記錄，記錄本周對(duì)系統(tǒng)所作的所有操作。（九）第人員因工作需要需使用公司敏感信息前，應(yīng)第七十六條第賬號(hào)使用（一）第人員為完成其工作，需要對(duì)公司IT系統(tǒng)進(jìn)行操作的，需嚴(yán)格遵守公司相關(guān)賬號(hào)安全管理規(guī)定。（二）第人員如需開通網(wǎng)絡(luò)或IT系統(tǒng)賬號(hào)需要按照公司規(guī)定流程單獨(dú)申請(qǐng)，并報(bào)接口部門、部門等部門（三）應(yīng)當(dāng)對(duì)第人員的邏輯權(quán)限實(shí)施“最小權(quán)限”原則，嚴(yán)禁第人員擁有公司IT系統(tǒng)的超級(jí)權(quán)限（四）若在發(fā)生故障或其他特殊情況下需給予第人員超級(jí)賬號(hào)，應(yīng)經(jīng)過相應(yīng)部門的，嚴(yán)禁共享賬號(hào)（五）應(yīng)建立第人員賬號(hào)管理由專人負(fù)責(zé)管理，接口人員應(yīng)每季度對(duì)第人員賬號(hào)權(quán)限進(jìn)行審核、清理和注（一）應(yīng)清晰地定義在與第廠商的合作變更或合作終IT（二）變更或終止應(yīng)傳達(dá)IT安全要求和職責(zé)，必要時(shí)，在與第廠商的合同、協(xié)議中應(yīng)包含在合作終IT（三）第廠商的合作變更或終止由接口部門及相關(guān)業(yè)（一）在與第廠商終止合作合同或協(xié)議時(shí)，第人出入證、紙質(zhì)文件資料和于電子介質(zhì)中的文檔、數(shù)據(jù)等生信息及其知識(shí)，除另有約定外，屬于中國(guó)電信所有。第七十九條變更、撤銷權(quán)限（一）第人員對(duì)信息和IT系統(tǒng)的權(quán)限應(yīng)在崗位（二）應(yīng)注銷或刪除或改變權(quán)的內(nèi)容包括物理授第八十條進(jìn)入公司工作的臨時(shí)第人員除了要遵守（一）臨時(shí)第人員進(jìn)入生產(chǎn)系統(tǒng)進(jìn)行系統(tǒng)安裝、測(cè)試（二）臨時(shí)第人員所涉及的系統(tǒng)含有敏感信息時(shí)，需要由敏感信息管理部門進(jìn)行評(píng)估，根據(jù)敏感信息的級(jí)別采 （四）進(jìn)入機(jī)房及其他生產(chǎn)測(cè)試環(huán)境的臨時(shí)第人員，應(yīng)遵守公房管理及辦公場(chǎng)所的有關(guān)規(guī)定。 ，臨時(shí)第人員不得使用公司的IT資產(chǎn)，不得對(duì)公司的網(wǎng)絡(luò)進(jìn)行掃描和滲透測(cè)試，不得把移動(dòng)（六）臨時(shí)第人員不得利用工作之便，私自搜集、復(fù)制、、公司敏感信息。第八十二條第人員攜帶的 第八十三條第人員不可脫離陪同人員擅自走動(dòng) ，第人員不可進(jìn)入與本次來(lái)訪第八十五條第人員在機(jī)房?jī)?nèi)應(yīng)在預(yù)定的時(shí)間內(nèi)完成第八十六條第人員在公司內(nèi)應(yīng)始終佩戴識(shí)別標(biāo) ，第人員不可在機(jī)房拍照、錄像、。第八十八條第人員來(lái)訪，接待部門應(yīng)事先指定專人第八十九條第人員的行蹤，應(yīng)在接待部門/陪同人員第九十條接待第人員，應(yīng)在專門的接待區(qū)域，不可醒外來(lái)人員交回識(shí)別標(biāo)志。第九十四條陪同人員應(yīng)合理預(yù)防、禮貌外來(lái)人員（二 拍照、、報(bào)、數(shù)據(jù)設(shè)備等；第九十五條第人員攜帶的便攜電腦等設(shè)備，需經(jīng)安全管理員的方可接入公司網(wǎng)絡(luò)。第九十六條第人員攜帶的便攜電腦、掌上電腦，若 批準(zhǔn)，第人員攜帶的便攜電腦、掌第九十八條第人員的具有數(shù)據(jù)功能的電子設(shè)備，如智能、MP3、數(shù)碼相機(jī)、數(shù)碼機(jī)等， 第九十九條第人員的便攜電腦、掌上電腦、具有據(jù)功能的電子設(shè)備等，接入公司網(wǎng)絡(luò)/獨(dú)立電腦時(shí)，須經(jīng)第一百條使用公司便攜電腦、掌上電腦、具有數(shù)據(jù)功能的電子設(shè)備等與第人員進(jìn)行數(shù)據(jù)交換，也須經(jīng)過殺毒第一百零一條第人員為完成其工作，需要互聯(lián)第一百零二條第人員在使用完帳戶后，需通知對(duì)口人員，由對(duì)口部門負(fù)責(zé)收回該第人員使用的全部權(quán)第一百零三條嚴(yán)禁第人員本部門網(wǎng)絡(luò)系統(tǒng)第一百零四條第接口人員應(yīng)負(fù)責(zé)監(jiān)督、管理和檢查第服務(wù)交付物的質(zhì)量，至少每季度對(duì)第廠商進(jìn)行一次評(píng)審，以保證第廠商服務(wù)及交付物的質(zhì)量和安全性。第一百零五條在實(shí)施對(duì)第廠商的IT安全檢查過程中，可根據(jù)第廠商服務(wù)性質(zhì)和內(nèi)容的實(shí)際情況進(jìn)行。第一百零七條第接口人應(yīng)對(duì)第廠商進(jìn)行IT安全檢查，每年至少一次，以確保本規(guī)定和相關(guān)協(xié)議得到有效第一百條對(duì)于不符合本規(guī)定要求的情況，第接口人應(yīng)責(zé)令第廠商采取整改措施，并及時(shí)向部門匯止與第廠商的合作。第一百零九條第接口人應(yīng)關(guān)注第服務(wù)的變更，謹(jǐn)慎評(píng)估由第服務(wù)變更所帶來(lái)的影響，并采取相應(yīng)的風(fēng)險(xiǎn)第一節(jié)總則第一百一十條為了加強(qiáng)資產(chǎn)（泛指信息系統(tǒng)資安全、完整，提高固定資產(chǎn)的利用效果，特制訂。IT5。第一百一十二條應(yīng)從性、完整性和可用性三個(gè)方ITIT第二節(jié)建立資產(chǎn)第一百一十三條為了方便、高效地管理各類資產(chǎn)，需要建設(shè)資產(chǎn)，要在資產(chǎn)中錄入并更新各業(yè)務(wù)部門的資產(chǎn)第三節(jié)資產(chǎn)信息第一百一十四條信息化部人員應(yīng)識(shí)別各個(gè)系統(tǒng)的資產(chǎn)信息，并將資產(chǎn)信息錄入資產(chǎn)中。安全管理員有責(zé)任協(xié)助本部門人員核實(shí)和本部門資產(chǎn)的信息。第一百一十五條資產(chǎn)內(nèi)部屬性發(fā)生變更，人員要及時(shí)更新到資產(chǎn)中。變更包括地理位置變動(dòng)、資產(chǎn)配置信息、補(bǔ)丁信息等變動(dòng)。資產(chǎn)管理權(quán)限發(fā)生變更，人員要及第一百一十六條應(yīng)按規(guī)定要求對(duì)資產(chǎn)，并建立記錄資產(chǎn)狀況的。第一百一十七條為加強(qiáng)資產(chǎn)管理，分析各類資產(chǎn)的保管使用情況，根據(jù)業(yè)務(wù)部門各系統(tǒng)職責(zé)不同，實(shí)行人員分工 并進(jìn)行標(biāo)識(shí)，標(biāo)識(shí)方法可采用有形和電子；（四）數(shù)據(jù)分類的對(duì)象包括各種介質(zhì)、磁帶、軟恰當(dāng)?shù)奈恢梅胖茫晃岔?yè)上放置安全級(jí)別；（六）對(duì)與無(wú)法采用物理的信息資產(chǎn)（如電子文檔），可采用電子的標(biāo)識(shí)方法。第一百一十九條歸口管理人員主要職責(zé)（三）電子數(shù)據(jù)、紙質(zhì)文檔等信息資產(chǎn)必須經(jīng)過工作組進(jìn)行安全等級(jí)確認(rèn)，在確認(rèn)之前不得將信息資產(chǎn)于第一百二十二條信息資產(chǎn)的（一）對(duì)于每項(xiàng)信息資產(chǎn)都應(yīng)該建立資產(chǎn)管理，詳細(xì)員保管并記錄于資產(chǎn)中，相關(guān)系統(tǒng)管理員單獨(dú)保存一份備份介質(zhì)。所有商業(yè)軟件到貨后應(yīng)在一周內(nèi)通過合適的確認(rèn)、License，軟件License由相應(yīng)管理員負(fù)責(zé)，并（三）在信息資產(chǎn)管理的基礎(chǔ)上進(jìn)行信息資產(chǎn)的分配，調(diào)撥和在用信息資產(chǎn)設(shè)備的管理；（四）資產(chǎn)管理應(yīng)及時(shí)更新，使信息資產(chǎn)管理與（四）軟件不再使用并經(jīng)過正式的后，可以從系統(tǒng)中盤、光盤等介質(zhì)以及打印有用戶數(shù)據(jù)、經(jīng)營(yíng)數(shù)據(jù)、財(cái)務(wù)數(shù)第一百二十四條及信息資產(chǎn)管理員應(yīng)當(dāng)對(duì)本部門各類信息資產(chǎn)進(jìn)行有效監(jiān)督和管理，對(duì)管理規(guī)定的行為要及時(shí)指正，對(duì)嚴(yán)重者要立即上報(bào)；第一百二十五條安全指導(dǎo)應(yīng)當(dāng)定期/不定期組織對(duì)各個(gè)部門的信息資產(chǎn)的安全狀態(tài)進(jìn)行審計(jì)，對(duì)管理規(guī)定CMDB進(jìn)行，核查CMDB資產(chǎn)信息是否為，不是的信息7。第一節(jié)總則第一百二十七條為進(jìn)一步提高內(nèi)公司IT系統(tǒng)上線工BSS統(tǒng)、MSSOSSEDA第一百三十條區(qū)公司信息化部各中心、各本地網(wǎng)業(yè)務(wù)支第一百三十三條實(shí)施人員資質(zhì)合格原則。承擔(dān)測(cè)試工作第一百三十四條文檔規(guī)范性原則。所有上線流程中涉及的文檔必須符合規(guī)范要求，應(yīng)嚴(yán)格按照要求提交相應(yīng)的第一百三十五條系統(tǒng)上線總負(fù)責(zé)制原則。系統(tǒng)上線總在新系統(tǒng)上線全過程中應(yīng)履行全局協(xié)調(diào)、整體指揮從系統(tǒng)上線總的統(tǒng)一指揮調(diào)度，服從大局，確保系統(tǒng)上第一百三十六條自本辦法發(fā)布之日起，所有MBOSS系統(tǒng)的新系統(tǒng)上線工作必須按本辦定的流程進(jìn)行。 作，凡本規(guī)定的供應(yīng)商將嚴(yán)格按中國(guó)電信內(nèi)的相關(guān)規(guī)定進(jìn)行考核。目前信息化部的業(yè)務(wù)平臺(tái)參照MOBSS第一百三十八條由上線系統(tǒng)相關(guān)的業(yè)務(wù)部門負(fù)責(zé)新系統(tǒng)第一百三十九條根據(jù)新系統(tǒng)上線流程劃分，新系統(tǒng)上線測(cè)試、上線時(shí)新系統(tǒng)安全交付等環(huán)節(jié)。各環(huán)節(jié)員及職責(zé)責(zé)人、部門、中心經(jīng)理，廠家人員，新系統(tǒng)上線測(cè)試人新系統(tǒng)上線總：總體負(fù)責(zé)匯總新系統(tǒng)上線報(bào)批所部門、中心經(jīng)理：審核上線申請(qǐng)材料，并給予指導(dǎo)責(zé)人、部門、中心經(jīng)理、新系統(tǒng)上線實(shí)施人員。新系統(tǒng)上線總：負(fù)責(zé)協(xié)調(diào)進(jìn)行安全性保障部門、中心經(jīng)理：審核新系統(tǒng)保障檢查內(nèi)容，并給（三）安全評(píng)估測(cè)試：涉及人員有新系統(tǒng)上線總、新系統(tǒng)上線總：負(fù)責(zé)協(xié)調(diào)系統(tǒng)測(cè)試、環(huán)境測(cè)試，新系統(tǒng)上線實(shí)施人員：根據(jù)新系統(tǒng)上線總的調(diào)度試過程中出現(xiàn)異常問題處理并將文檔進(jìn)行歸檔。新系統(tǒng)上線總：驗(yàn)證新系統(tǒng)上線是否成功并給部門經(jīng)理，中心通知新系統(tǒng)上線結(jié)果；負(fù)責(zé)安排新系統(tǒng)上線責(zé)新系統(tǒng)上線后第二天系統(tǒng)運(yùn)行和工作，接受廠商人測(cè)試、調(diào)試等臨時(shí)程序和，在交付過程中提供的相關(guān)系統(tǒng)文檔、手冊(cè)、系統(tǒng)端口服務(wù)和應(yīng)急措施等，賬號(hào)、密第一百四十條為保障新系統(tǒng)上線系統(tǒng)的穩(wěn)定性，新系統(tǒng)上線總員應(yīng)認(rèn)真做好新系統(tǒng)上線應(yīng)急預(yù)案及善后工作。如新系統(tǒng)上線失敗，由新系統(tǒng)上線總牽頭組織分析失敗原因，三日內(nèi)向安全管理員提交相應(yīng)分析報(bào)告。由安全管理員審核后將失敗分析報(bào)告發(fā)布給部門，根據(jù)意見第一百四十二條新系統(tǒng)需完成嚴(yán)格的自測(cè)試，包括系統(tǒng)的功能實(shí)現(xiàn)、安全性、性能、可用性、兼容性、集和恢第一百四十三條新系統(tǒng)需提供完整的培訓(xùn)計(jì)劃，培訓(xùn)對(duì)象包括系統(tǒng)的使用部門最終用戶和部門的有關(guān)人員，并完請(qǐng)，按由新系統(tǒng)上線總牽頭組織召開新系統(tǒng)上線協(xié)調(diào)會(huì)，重大項(xiàng)目應(yīng)有相關(guān)參加，通過會(huì)議討論明確新系統(tǒng)上第一百四十六條如發(fā)生基礎(chǔ)設(shè)施及機(jī)房環(huán)境變更和系統(tǒng)的配置變更等，提前兩周給新系統(tǒng)上線總上報(bào)相關(guān)內(nèi)容。新系統(tǒng)上線總在收到新系統(tǒng)上線內(nèi)容后第一周周一第一百四十七條新系統(tǒng)上線的安全性保障檢查由新系統(tǒng)上線總按照?qǐng)?bào)批流程確定的內(nèi)容、時(shí)間完成。新系統(tǒng)上線總不得隨意變更檢查內(nèi)容、檢查時(shí)間，新系統(tǒng)上線總第一百四十八條應(yīng)檢查新上線是否系統(tǒng)配套安全防護(hù)手段，并署情況的，對(duì)實(shí)施效果的進(jìn)行檢查，可從防火第一百四十九條應(yīng)檢查新上線系統(tǒng)是否具有相關(guān)安全策限于賬號(hào)口令設(shè)置策略，控制策略設(shè)置，備份策略等。第一百五十條檢查新上線系統(tǒng)是否能夠納入現(xiàn)有安全防第一百五十一條檢查新上線系統(tǒng)的補(bǔ)丁升級(jí)能力，是否第一百五十二條檢查新上線系統(tǒng)是否滿足《安全掃第一百五十三條新系統(tǒng)上線參與人員應(yīng)按照新系統(tǒng)上線總的指揮和調(diào)度提前做好有關(guān)準(zhǔn)備工作，包括但不限第一百五十五條安全評(píng)估測(cè)試前，應(yīng)審核廠家應(yīng)提交的第一百五十六條功能測(cè)試方案應(yīng)以系統(tǒng)需求說(shuō)明書和合（二）對(duì)測(cè)試的系統(tǒng)進(jìn)行嚴(yán)格的控制，只允許部分的測(cè)試人員進(jìn)試，且測(cè)試的人員應(yīng)簽訂安全承諾書；（三）每一次將真實(shí)的運(yùn)作信息到測(cè)試系統(tǒng)時(shí)均需要一個(gè)單獨(dú)的過程；（五）記錄測(cè)試數(shù)據(jù)的、使用和刪除情況，以便于審第一百五十七條應(yīng)組建本次執(zhí)行入網(wǎng)測(cè)試任務(wù)人員或測(cè)試小組中，應(yīng)將本系統(tǒng)歸屬業(yè)務(wù)單位的安全管理員納第一百五十八條在入網(wǎng)測(cè)試前，要充分了解本次測(cè)試申請(qǐng)廠家的測(cè)試情況，充分核實(shí)廠家環(huán)境和現(xiàn)網(wǎng)環(huán)第一百五十九條測(cè)試內(nèi)容包括但不限于以下內(nèi)容：安全3。配置基線規(guī)范，包括操作系統(tǒng)，應(yīng)用系統(tǒng)，數(shù)據(jù)庫(kù)，WLAN第一百六十一條賬號(hào)和口令測(cè)試。應(yīng)嚴(yán)格測(cè)試驗(yàn)證系統(tǒng)administrator除外），是否支持復(fù)雜性驗(yàn)證，嘗試第一百六十二條端口和服務(wù)測(cè)試。應(yīng)驗(yàn)證廠家入網(wǎng)申請(qǐng)第一百六十三條補(bǔ)丁測(cè)試。應(yīng)按照總部或區(qū)公司安第一百條登錄驗(yàn)證校驗(yàn)測(cè)試。應(yīng)測(cè)試新上線系統(tǒng)管理平臺(tái)接入方案的相關(guān)內(nèi)容，與現(xiàn)理平臺(tái)的對(duì)接和聯(lián)動(dòng)對(duì)系統(tǒng)進(jìn)行壓力測(cè)試和安全評(píng)估，重點(diǎn)系統(tǒng)的健壯性、穩(wěn)第一百六十六條滲透測(cè)試。測(cè)試新上線系統(tǒng)是否存在已知溢出和可利用的程序，測(cè)試WEB應(yīng)用系統(tǒng)是否具有跨站和SQL注入，形成系統(tǒng)滲透測(cè)試報(bào)告。第一百六十七條代碼評(píng)估測(cè)試。測(cè)試新上線系統(tǒng)的代碼質(zhì)量，主要對(duì)以下幾方面進(jìn)試：是否數(shù)據(jù)輸入驗(yàn)證、是否對(duì)用戶進(jìn)行認(rèn)證、是否有嚴(yán)格的權(quán)限管理、是否對(duì)用戶會(huì)第一百六十八條新系統(tǒng)上線測(cè)試完成后，新系統(tǒng)上線總第一百六十九條測(cè)試通過后，相關(guān)部門和人員應(yīng)密切觀1212出解決辦法、并在測(cè)試成功后，經(jīng)批準(zhǔn)，方可再次進(jìn)行第一百七十條測(cè)試和檢查結(jié)果由安全部門、使用部門一第一百七十一條對(duì)于安全驗(yàn)收不通過的新建系統(tǒng)，安全全驗(yàn)收實(shí)施單位在復(fù)測(cè)完成后3個(gè)工作日內(nèi)向網(wǎng)絡(luò)發(fā)展部及第一百七十二條新系統(tǒng)通過測(cè)試與安全檢查后，建設(shè)部設(shè)部門向部門提出系統(tǒng)試運(yùn)行申請(qǐng)（附件9），系統(tǒng)試運(yùn)第一百七十三條符合安全入網(wǎng)要求，并通過安全評(píng)估測(cè)第一百七十五條測(cè)試原始記錄（含觀察期系統(tǒng)性能指標(biāo)試和觀察情況來(lái)匯總，由測(cè)試和申請(qǐng)廠家代表簽字確認(rèn)第一百七十六條安全評(píng)估測(cè)試完成，進(jìn)入交付流程前，應(yīng)清除測(cè)試、調(diào)試等臨時(shí)程序和，并記錄結(jié)果作為附件提第一百七十七條應(yīng)明確交付所有的賬號(hào)、，并確認(rèn)IT（附件8），應(yīng)提供包括但不限于新上線系統(tǒng)文檔、手冊(cè)、系統(tǒng)端口服務(wù)和應(yīng)急預(yù)案等。第一百七十九條廠家提交的相關(guān)材料應(yīng)根據(jù)信息化部要第一百八十條口令接受，在口令交接完成后，一個(gè)工作日內(nèi)，需按照口令設(shè)置策略，更改。第七章網(wǎng)絡(luò)區(qū)域策第一百八十一條為規(guī)范中國(guó)電信內(nèi)信息化部域建設(shè)及日常工作，提高IT防護(hù)水第一百八十二條本指南適用于中國(guó)電信內(nèi)域規(guī)劃、建設(shè)、及使用管理第一百八十三條本指南所指“安全域”是具有相同或相用服務(wù)器、網(wǎng)絡(luò)設(shè)備、交換機(jī)以及等等。第一百八十五條建設(shè)、部門，包括應(yīng)用管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員和系統(tǒng)管理員等人員，負(fù)責(zé)所轄網(wǎng)絡(luò)的安全域建設(shè)及工作，維持安全域結(jié)構(gòu)的完整性、策（二）接收、相關(guān)設(shè)備部署及安全域變更申請(qǐng)，核查（四）負(fù)責(zé)詳細(xì)的安全域管理相關(guān)數(shù)據(jù)（一）遵循安全域管理部門制定的安全域管理指南和IT具體推進(jìn)和部門，主要職責(zé)包括：第一百八十八條是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者的原因而遭到破壞、更改、，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中全采用的技術(shù)也多種多樣，既有網(wǎng)絡(luò)層面的檢測(cè)、遠(yuǎn)全、桌面管理、防護(hù)、認(rèn)證等。第一百八十九條單純的采用一種或多種安全技術(shù)，性能、網(wǎng)絡(luò)、網(wǎng)絡(luò)優(yōu)化改造、邊界防護(hù)等多方面的因素，以網(wǎng)絡(luò)的整體安全為框架，融合安全技術(shù)、安全，并充分考慮系統(tǒng)生命周期內(nèi)的安全要素，才能達(dá)到預(yù)期的目第一百九十條性的網(wǎng)絡(luò)分為－省公司－地市分公司的三級(jí)結(jié)構(gòu)，包括中心、省中心和地市三層節(jié)點(diǎn)。第一百九十一條中心網(wǎng)絡(luò)及省際骨干網(wǎng)絡(luò)的安全建設(shè)和由負(fù)責(zé)，負(fù)責(zé)省內(nèi)網(wǎng)絡(luò)的安全建設(shè)和管理，地市負(fù)責(zé)地市的?；饓Φ纫约癡LAN或其他控制方式與技術(shù)將重要網(wǎng)段與其它網(wǎng)段開第一百九十五條網(wǎng)絡(luò)結(jié)構(gòu)要按照分層網(wǎng)絡(luò)設(shè)計(jì)的原則來(lái)干穩(wěn)定可靠、接入安全、便于擴(kuò)充和管理、易于故障和排第一百九十六條網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)應(yīng)滿足網(wǎng)絡(luò)整體的安全要求，包括：設(shè)備安全、控制、邊界完整性、防范、間，滿足業(yè)務(wù)期需要；（二）應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)期需要安全的路徑；部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間采取可靠的技術(shù)手域承擔(dān)的業(yè)務(wù)使命、業(yè)務(wù)功能以及受到的潛在的和安全風(fēng)體的安全保障體系，并通過控制、審計(jì)等，達(dá)到持久、有第一百九十八條安全域劃分是工作的基礎(chǔ)。護(hù)體系的時(shí)候，要綜合運(yùn)用鑒別、控制、檢測(cè)審計(jì)、BSS、OSS、MSS；域間可采用或網(wǎng)絡(luò)設(shè)備的控制策略進(jìn)行。管轄范圍不同，將各安全域分為公司、省公司和地市分公司三個(gè)層次的安全子域，如公司業(yè)務(wù)系統(tǒng)子域、省公司業(yè)務(wù)系統(tǒng)子域、地市業(yè)務(wù)系統(tǒng)子域；域間通過DCN或傳輸電路連接，邊界上可采用、MPLS或控制策略進(jìn)IATF務(wù)器構(gòu)造、客戶－服務(wù)器－構(gòu)造、服務(wù)器－服務(wù)器構(gòu)造、域（包括第接入?yún)^(qū)、移動(dòng)終端漫游區(qū)等）、服務(wù)域（包括DMZ）；系統(tǒng)內(nèi)部根據(jù)子區(qū)域的不同，分別適用終端管理、文檔保護(hù)、補(bǔ)丁管理、檢測(cè)、防護(hù)等多種技術(shù)手（八）集中的互聯(lián)區(qū)域：包括與合作伙伴、第、DCNInternet適用于這兩個(gè)區(qū)域，但顯然不同的連接風(fēng)險(xiǎn)、相差很大，因此，雖同樣適用、DDOS防護(hù)等技術(shù)，但程度不（九）集中的及管理區(qū)域：主要含SOC和集中認(rèn)證、承擔(dān)日志、安全等的綜合分析、工作。第一百九十九條根據(jù)安全域的設(shè)計(jì)原理，信息化部可以劃分為：生產(chǎn)區(qū)、內(nèi)部互聯(lián)區(qū)、互聯(lián)網(wǎng)接口區(qū)、交換（一）生產(chǎn)區(qū)：本區(qū)域僅和該業(yè)務(wù)系統(tǒng)其它安全子域值最高的設(shè)備位于本區(qū)域，如服務(wù)器群、數(shù)據(jù)庫(kù)以及重要設(shè)備，外部不能通過互聯(lián)網(wǎng)直接該區(qū)域內(nèi)設(shè)備。IP或可信任的第互聯(lián)的設(shè)備，如設(shè)備。置互聯(lián)網(wǎng)直接的設(shè)備。如業(yè)務(wù)系統(tǒng)門戶（Portal）。該區(qū)域的設(shè)備具備實(shí)現(xiàn)互聯(lián)網(wǎng)與內(nèi)部生產(chǎn)區(qū)數(shù)據(jù)的轉(zhuǎn)接作用（四）交換區(qū)：負(fù)責(zé)連接生產(chǎn)區(qū)、內(nèi)部互聯(lián)接口第二百條安全域明確定義之后，要在實(shí)際的信息系統(tǒng)環(huán)由、交換調(diào)整）；交換機(jī)VLAN劃分；部署（考慮冗余、DMZ、）；增加設(shè)備。部用戶整合；第用戶（廠商、撥號(hào)用戶等）整合；安全措施整合；認(rèn)證整合；補(bǔ)丁管理、管理、檢測(cè)、掃描、日志審計(jì)。第五節(jié)網(wǎng)絡(luò)系統(tǒng)控第二百零一條只有經(jīng)的網(wǎng)絡(luò)設(shè)備運(yùn)維操作員才可訪第二百零三條所有連接到第網(wǎng)絡(luò)或者連接公共網(wǎng)絡(luò)第二百零六條已安裝的網(wǎng)絡(luò)資產(chǎn)的文檔應(yīng)被并保持。一些網(wǎng)絡(luò)拓?fù)涞募?xì)節(jié)的描述如，協(xié)議，結(jié)構(gòu)，加密等等也應(yīng)被文檔化和保持。第二百零七條網(wǎng)絡(luò)按控制策略劃分不同的邏輯區(qū)第二百條公司內(nèi)部不同業(yè)務(wù)的計(jì)算機(jī)網(wǎng)絡(luò)之間的互（一）互連點(diǎn)上必須實(shí)施安全措施，如安裝、實(shí)施（三）網(wǎng)絡(luò)互連點(diǎn)及必須納入到體系的監(jiān)第二百零九條公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)和第網(wǎng)絡(luò)之間的（二）互連點(diǎn)上必須實(shí)施安全措施，如安裝、實(shí)施（三）網(wǎng)絡(luò)互連點(diǎn)及必須納入到體系的監(jiān)（四）在公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)必須設(shè)置接口機(jī)或服第網(wǎng)絡(luò)直接連接；（五）與第網(wǎng)絡(luò)的連接中，在互連點(diǎn)上的上應(yīng)該進(jìn)行IP地址轉(zhuǎn)換，保護(hù)公司內(nèi)部接口機(jī)或服務(wù)器真實(shí)IP（六）在上實(shí)施策略控制，嚴(yán)格限制的地址和安裝、實(shí)施檢測(cè)等；（四）遵循公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)和第網(wǎng)絡(luò)之間的互連第二百一十一條網(wǎng)絡(luò)管理部門負(fù)責(zé)對(duì)到廣 第二百一十二條省分網(wǎng)絡(luò)管理部門負(fù)責(zé)對(duì)省分到各地市 同意，各地市無(wú)權(quán)更改廣域網(wǎng)的網(wǎng)絡(luò)配置第二百一十三條各級(jí)網(wǎng)絡(luò)管理部門需負(fù)責(zé)網(wǎng)絡(luò)的性能分第二百一十七條網(wǎng)絡(luò)需保持持續(xù)不斷的運(yùn)行，工作VLAN（一）交換機(jī)和分布式交換機(jī)實(shí)施濾技術(shù)（二）只有用戶才能服務(wù)器，用有效的IP地址進(jìn)行。（三）限制和控制關(guān)鍵服務(wù)器應(yīng)用的流量，例如，只流量。配置控制列表，防止地址。要，這種控制對(duì)于和第的網(wǎng)絡(luò)共享非常重要。（三）網(wǎng)絡(luò)地址的轉(zhuǎn)換對(duì)分隔網(wǎng)絡(luò)和防止路由從網(wǎng)絡(luò)到另的網(wǎng)絡(luò)是非常有用的。（四）盡可能地采用集中認(rèn)證方式和口令（五）通過配置協(xié)議認(rèn)證，避免非網(wǎng)絡(luò)設(shè)備接入網(wǎng)（七）配置動(dòng)態(tài)路由協(xié)議（BGP/MP-BGP/OSPF）時(shí)必須啟用帶的驗(yàn)證功能，相鄰路由器只有在驗(yàn)（八）骨干路由器要求專門保護(hù)的部件要予以，以降（九）制定路由策略，發(fā)布或接收不安全的路由信第二百二十條在可能的情況下，需采取以下配（一）必須隱藏內(nèi)部主機(jī)及，必須隱藏IP（三）除了和應(yīng)用必須提供的服務(wù)之外，避免所（四）除了所選擇的ICMP信息外，必須阻擋所有ICMP（五）開啟帶有的防止DOS的功能。例如地址，SYN等第二百二十一條變更管理要求：動(dòng)，滿足帳號(hào)、口令和的強(qiáng)制要求。不具備上述條件的，（一）網(wǎng)絡(luò)設(shè)備的登陸退出日志、操作日志應(yīng)根據(jù)各信息化部的要求，保存在本機(jī)、或轉(zhuǎn)儲(chǔ)到外部介質(zhì)第二百二十四條控制要求（一）限制網(wǎng)絡(luò)設(shè)備的管理終端（二）設(shè)置安全控制，過濾掉已知蠕蟲常用端口（七）修改BANNER提示，避免缺省BANNER信息系統(tǒng)SNMP（一）SNMPCommunity第二百二十七條各級(jí)網(wǎng)絡(luò)管系統(tǒng)管理員至少要每三個(gè)月第二百二十八條重要的網(wǎng)元要有日志，系統(tǒng)管理員需要每天檢查和IDS設(shè)備日志，在必要時(shí)對(duì)路由器及交換機(jī)的日志進(jìn)行檢查（如日志發(fā)現(xiàn)異常時(shí)），檢查行和管理員的權(quán)限進(jìn)行。第二百三十一條重要資源的控制策略至少要每六個(gè)第八節(jié)網(wǎng)絡(luò)流量分第二百三十四條應(yīng)對(duì)網(wǎng)絡(luò)中的流量進(jìn)行長(zhǎng)期和不間斷的異常流量進(jìn)入網(wǎng)絡(luò)的端口和目標(biāo)。第二百三十六條應(yīng)對(duì)網(wǎng)絡(luò)中發(fā)生的異常流量進(jìn)行記錄，量的和方法。第二百三十七條關(guān)鍵業(yè)務(wù)系統(tǒng)，應(yīng)及時(shí)做好流量監(jiān)測(cè)分濾，以防止或減少異常流量的影響，異常流量控制包括：流量、行為驗(yàn)證、控制策略等。第一節(jié)總則第二百三十八條為加強(qiáng)中國(guó)電信 （一）按照網(wǎng)絡(luò)接入、變更、退網(wǎng)要求提出申第二百四十一條部門職責(zé)：?jiǎn)T等人員。（二）組織人員制定防護(hù)方案。第三節(jié)互聯(lián)網(wǎng)接入安全管理原則第二百四十三條凡要求接入國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)，須由使用部門提出申請(qǐng)，安全防范措施，配置必要的產(chǎn)品，安裝防軟件、軟件，報(bào)綜合部檢查確認(rèn)。未經(jīng)批準(zhǔn)，各單位一律不得開設(shè)服務(wù)器、路由器進(jìn)行NAT轉(zhuǎn)各級(jí)信息部門進(jìn)行備案，計(jì)算機(jī)IP地址與mac地址綁第二百四十五條經(jīng)連接國(guó)際互聯(lián)網(wǎng)的計(jì)算機(jī)，不得第二百四十六條從國(guó)際互聯(lián)網(wǎng)上的任何信息資源， 信化部，不得在內(nèi)網(wǎng)上使用從因特網(wǎng)上的信息（二）安全保護(hù)技術(shù)措施，保障本級(jí)網(wǎng)絡(luò)的運(yùn)行安全和。照一定的工作程序經(jīng)過嚴(yán)格和批準(zhǔn)，確保涉密信息不上（五）做好互聯(lián)網(wǎng)信息發(fā)布用戶的登記和定期更改原始記錄，并立即向和上級(jí)相關(guān)報(bào)告。第二百四十八條任何單位和個(gè)人不得利用因特網(wǎng)危害國(guó)家安全、國(guó)家，不得國(guó)家、社會(huì)、集體利益和公民合法權(quán)益，不得從事違法活動(dòng)。制、查閱和下列信息：（一）抗拒、破壞和法律、行政實(shí)施（二）國(guó)家、制度（三）國(guó)家、統(tǒng)一（四）民族、民族，破壞民族團(tuán)結(jié)（五）捏造或者歪曲事實(shí)，散布，擾亂社會(huì)秩序（六）宣揚(yáng)、穢、、、、兇殺、，教唆。 （九）其他和法律、行政第二百五十條上網(wǎng)電腦僅用于、查詢業(yè)務(wù)相關(guān)工作無(wú)關(guān)的事情。（一）只能允許被的網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)（二）需確定網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的流程（三）應(yīng)保護(hù)網(wǎng)絡(luò)連接和網(wǎng)絡(luò)服務(wù)的管理控制措施和（四）應(yīng)部署互聯(lián)網(wǎng)的防護(hù)第二百五十二條網(wǎng)絡(luò)（一）網(wǎng)絡(luò)的原則要滿足電信的相關(guān)要求，因特網(wǎng)必須與內(nèi)網(wǎng)物理，同一臺(tái)設(shè)備不能同時(shí)接入內(nèi)網(wǎng)和因特網(wǎng)（二）應(yīng)采用技術(shù)和VLAN技術(shù)實(shí)現(xiàn)邏輯分離，并保證各個(gè)網(wǎng)絡(luò)區(qū)域之間只有的信息流交換。（三）業(yè)務(wù)網(wǎng)與辦公網(wǎng)要實(shí)現(xiàn)物理或邏輯。第二百五十三條網(wǎng)絡(luò)連接控制（一）保持嚴(yán)格的分離控制措施，保證邊界的安全。邊界使用規(guī)則、VLAN或路由器控制列表，未授權(quán)IP地址的。（二）策略的設(shè)計(jì)要遵守“缺省全部”原則第二百五十四條應(yīng)清晰定義哪些業(yè)務(wù)系統(tǒng)可以與互聯(lián)網(wǎng)連接，對(duì)于不需要互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域限制其互聯(lián)網(wǎng)。第二百五十六條信息化部所屬生產(chǎn)系統(tǒng)中互聯(lián)網(wǎng)接入需IT安全員審核后，填寫信息化部生產(chǎn)系統(tǒng)互聯(lián)網(wǎng)接入需求表報(bào)送主管。多面評(píng)估后方可接入生產(chǎn)系統(tǒng)的DMZ區(qū)。由管理員進(jìn)行需求的策略配置。嚴(yán)格控制接入，原則上需接入互聯(lián)網(wǎng)的系統(tǒng)只開放80第二百五十七條對(duì)于特殊的業(yè)務(wù)需要互聯(lián)網(wǎng)的備，應(yīng)當(dāng)建立相應(yīng)的申請(qǐng)、和報(bào)備流程，并對(duì)結(jié)果進(jìn)行記設(shè)備發(fā)生變化時(shí)應(yīng)及時(shí)更新，及時(shí)取消不需要的設(shè)備權(quán)第二百五十八條網(wǎng)絡(luò)管理員需要對(duì)互聯(lián)網(wǎng)接口信息備案表定期核查，審核是否有新增或者不需要權(quán)限的設(shè)備，記第二百五十九條對(duì)于必須互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)，將原第二百六十條對(duì)于互聯(lián)網(wǎng)統(tǒng)一接口應(yīng)當(dāng)配備必要的安全保護(hù)措施，如部署網(wǎng)關(guān)殺毒、檢測(cè)、等，第二百六十一條來(lái)自互聯(lián)網(wǎng)的請(qǐng)求需通過部署在互聯(lián)網(wǎng)接口區(qū)的設(shè)備進(jìn)行處理或轉(zhuǎn)發(fā)?；ヂ?lián)網(wǎng)設(shè)備不能直接業(yè)務(wù)系統(tǒng)的服務(wù)器。第五節(jié)內(nèi)網(wǎng)到互聯(lián)網(wǎng)第二百條內(nèi)網(wǎng)終端接入互聯(lián)網(wǎng)，由部門相關(guān)人員填寫互聯(lián)網(wǎng)接入申請(qǐng)表》，詳細(xì)列出所需系統(tǒng)、權(quán)限、登錄方式、登錄時(shí)間段；申請(qǐng)人所在部門經(jīng)理進(jìn)行后方可接入；計(jì)算機(jī)終端的IP地址，由申請(qǐng)人所在部門管理IP第二百六十五條IP機(jī)終端方可接入互聯(lián)網(wǎng)。沒有經(jīng)過登記、的終端一律不得網(wǎng)絡(luò)資源。第二百六十六條為完成其工作，需要互聯(lián)網(wǎng)時(shí)，由第二百六十七條內(nèi)網(wǎng)終端的使用人離職、崗位變更、訪問權(quán)限變更時(shí)，其所在負(fù)責(zé)部門管理員接到通知后，刪除或關(guān)閉其相應(yīng)的互聯(lián)網(wǎng)權(quán)限，收回IP地址，并做好第二百六十八條接入互聯(lián)網(wǎng)的所有內(nèi)網(wǎng)終端由部門信息安全管理員填寫《可互聯(lián)網(wǎng)的終端列表》（附件15）,并保留審核記錄。第二百六十九條網(wǎng)絡(luò)管理員需要對(duì)可互聯(lián)網(wǎng)的終端第二百七十條嚴(yán)禁外部人員本部門網(wǎng)絡(luò)系統(tǒng)或第一節(jié)總則第二百七十一條為加強(qiáng)中國(guó)電信內(nèi)信息化部在突發(fā)緊急情況，應(yīng)對(duì)突發(fā)安全的快速反應(yīng)及應(yīng)急處置能第二百七十三條信息化安全小組（一）國(guó)家有關(guān)方針政策，審定安全應(yīng)急響應(yīng)相（三）根據(jù)上級(jí)部門指示，決策重大安全的應(yīng)急處理（一）負(fù)責(zé)與相關(guān)部門的溝通協(xié)調(diào)，并向信息化安全按照信息化安全小組下達(dá)令和指示，具體協(xié)調(diào)處理安揮協(xié)調(diào)，接受信息化安全小組的指示，組織系統(tǒng)管理員落上報(bào)/反饋的進(jìn)展情況，向省公司信息化安全小組報(bào)告并提出建議，并向信息化安全小組上報(bào)相關(guān)安全處（一）及時(shí)發(fā)現(xiàn)安全，協(xié)調(diào)資源保證系統(tǒng)正常運(yùn)行，第二百七十六條應(yīng)急工作主要是指由于自然、社會(huì)及技術(shù)問題而引起重大的信息后，為盡可能減少系統(tǒng)損失而采取的應(yīng)急工作，其中信息包括不可預(yù)期的、DoS、IT系統(tǒng)中的商秘信息泄漏等重大問題。應(yīng)急工作的目的是以最快速度恢復(fù)系統(tǒng)的機(jī)密性、完整性和可用性，和減小安全帶來(lái)的影響。同時(shí)收集與突發(fā)安全有關(guān)的信息，提供有價(jià)值的報(bào)告和建第二百七十七條及各級(jí)應(yīng)設(shè)置應(yīng)施整體應(yīng)急方案，管理信息系統(tǒng)安全的應(yīng)急事務(wù)，協(xié)調(diào)匯急響應(yīng)工作情況第二百七十八條及各級(jí)應(yīng)設(shè)置應(yīng)急響應(yīng)責(zé)任崗位，該崗位可以。負(fù)責(zé)設(shè)計(jì)和實(shí)施本部門的應(yīng)急方案，接受本部門的安全報(bào)告，并向應(yīng)急響應(yīng)職責(zé)的機(jī)構(gòu)匯報(bào)安全。第二百七十九條統(tǒng)一指揮、分工負(fù)責(zé)原則：各地州分公司，各系統(tǒng)管理員應(yīng)在省公司的統(tǒng)一、指揮下，按照規(guī)定誰(shuí)運(yùn)營(yíng)，誰(shuí)負(fù)責(zé)”原則，按照各自的職責(zé)。第二百八十條積極預(yù)防、及時(shí)原則：各地州分案的演練和總結(jié)，提高對(duì)安全的預(yù)防和應(yīng)急處理能力。加強(qiáng)相互間的信息溝通，盡早發(fā)現(xiàn)安全，及時(shí)進(jìn)行和信第二百八十一條快速處理、確?；謴?fù)原則：各地州分公第四節(jié)安全分類定第二百八十二條本指南所稱的IT安全具體包括但不（三）業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)丟失，或遭篡改（六）大面積、蠕蟲、木馬等程序爆發(fā)（七）敏感信息通過IT網(wǎng)絡(luò)或系統(tǒng)（八）大面積有害信息內(nèi)容通過IT網(wǎng)絡(luò)或系統(tǒng)（十）其他IT網(wǎng)絡(luò)或系統(tǒng)事故或緊急第二百八十三條安全的分級(jí)，安全根據(jù)危害和緊急程度分為“四級(jí)/普通”、“三級(jí)/”、“二級(jí)/緊16下列情況之一為“四級(jí)/一般”級(jí)別的安全發(fā)生未達(dá)到三級(jí)的一般性安全出現(xiàn)新的，尚未發(fā)現(xiàn)利用方法或者被利用跡象出現(xiàn)新的蠕蟲/或其他代碼，尚未證明可能造網(wǎng)絡(luò)設(shè)備）的主流操作系統(tǒng)和應(yīng)用程序的方法網(wǎng)絡(luò)性能和服務(wù)器性能明顯下降的導(dǎo)致三個(gè)以上系統(tǒng)網(wǎng)絡(luò)異常的出現(xiàn)一種新的利用主流操作系統(tǒng)和應(yīng)用程序的網(wǎng)絡(luò)蠕蟲（或）導(dǎo)致二級(jí)以上安全爆發(fā)并留下后門，其后一年內(nèi)出現(xiàn)了針對(duì)該后門的程序；導(dǎo)致一個(gè)系統(tǒng)癱瘓的安全導(dǎo)致一個(gè)以上系統(tǒng)癱瘓的安全第二百八十四條根據(jù)系統(tǒng)的重要程度和可能遭遇的問題嚴(yán)重程度，應(yīng)分別制定不同的應(yīng)急響應(yīng)計(jì)劃。系統(tǒng)是我公作的基礎(chǔ)。有嚴(yán)重發(fā)生時(shí)，應(yīng)首先對(duì)系統(tǒng)進(jìn)行搶救。重要系統(tǒng)是我公司正常生產(chǎn)和運(yùn)營(yíng)的保證，在出現(xiàn)問題后，（一）應(yīng)急工作應(yīng)堅(jiān)持“早預(yù)防、早發(fā)現(xiàn)、告、早處置”的方針。要對(duì)應(yīng)急保障的重點(diǎn)網(wǎng)絡(luò)、重點(diǎn)環(huán)節(jié)進(jìn)行監(jiān)測(cè)，分析可能出現(xiàn)的各種緊急情況，建立和完善安全信息預(yù)測(cè)預(yù)報(bào)機(jī)制，并加強(qiáng)重點(diǎn)。（二）建立各系統(tǒng)應(yīng)急計(jì)劃，描述各種安全發(fā)生后的應(yīng)急方案，包括具體安全描述，應(yīng)急參加的人員及聯(lián)系方式，需要采用的設(shè)備或工具，應(yīng)分析的數(shù)據(jù)或日志，最佳實(shí)第二百八十五條在應(yīng)急計(jì)劃的制定中，應(yīng)該與包括物理安全、人力資源、IT操作和緊急 第二百八十六條應(yīng)急響應(yīng)計(jì)劃應(yīng)確保有足夠的人員和資第二百八十八條所有應(yīng)急計(jì)劃在制訂或修訂完成后，都必須進(jìn)試，并根據(jù)修訂應(yīng)急計(jì)劃，保證應(yīng)急計(jì)劃（六）執(zhí)試第六節(jié)安全應(yīng)急響應(yīng)流第二百八十九條部門負(fù)責(zé)應(yīng)用各類監(jiān)測(cè)與審計(jì)系統(tǒng)對(duì)IT網(wǎng)絡(luò)與系統(tǒng)運(yùn)行實(shí)行實(shí)時(shí)，內(nèi)容包括但不限于物理環(huán)境、IT網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、系統(tǒng)和應(yīng)用系統(tǒng)等；對(duì)記錄進(jìn)行預(yù)測(cè)分析，定期將分析結(jié)果報(bào)告部門領(lǐng)第二百九十條公司應(yīng)急小組應(yīng)與各級(jí)有關(guān)部門建立第二百九十一條IT安全對(duì)外的信息通報(bào)工作由公司第二百九十二條發(fā)現(xiàn)IT網(wǎng)絡(luò)與系統(tǒng)運(yùn)行異常、故障等安全隱患后，應(yīng)立即向部門上報(bào)。部門初步判斷安全隱患級(jí)別后上報(bào)安全管理員，由安全管理員編制安全通知書（附件18）交IT安全小組發(fā)布。公司應(yīng)急小組批準(zhǔn)后，向公司、當(dāng)?shù)丶跋嚓P(guān)安全第二百九十四條發(fā)生IT安全后，發(fā)生單位收集問題和故障具體信息，及時(shí)匯總上報(bào)部門，報(bào)告內(nèi)容至少（一）發(fā)生單位概況（二）發(fā)生時(shí)間（三）簡(jiǎn)要經(jīng)過第二百九十五條發(fā)生特別重大或重大IT安全須在10分鐘內(nèi)向IT安全小組報(bào)告，響應(yīng)執(zhí)行每天兩次定點(diǎn)零報(bào)第二百九十六條發(fā)生較大、一般IT安 第二百九十七條信息的上報(bào)可以通過，傳真或情況，及時(shí)匯總上報(bào)安全管理員，并協(xié)助人員開展事第二百九十九條接到問題或故障情況上報(bào)后，匯總相關(guān)第三百條若未滿足定級(jí)條件，則作為非安全由使用部門和人員共同組織處理，記錄處理過程。第三百零一條若為一般或較大安全，則由使用部門協(xié)助人員和安全管理員進(jìn)行處理，記錄處理過第三白零二條若為重大或特別重大安全，則將信息上報(bào)IT安全小組，由IT安全小組安全管理員組織使用部門和人員啟動(dòng)相應(yīng)應(yīng)急預(yù)案開展現(xiàn)場(chǎng)處置第三百零三條根據(jù)本預(yù)案對(duì)安全的四級(jí)分類，安全管理員在接到公司、CMCERT/CC關(guān)于發(fā)生或可能發(fā)生“三級(jí)”、“二級(jí)”，“一級(jí)”級(jí)別的安全的緊急報(bào)告時(shí)，報(bào)請(qǐng)信息化安全小組批準(zhǔn)，指示省公司各相關(guān)部門啟動(dòng)本預(yù)第三百零四條在國(guó)內(nèi)發(fā)生特別重大突發(fā)公共、以及以上安全時(shí)，安全管理員根據(jù)信息化安全小組的指示，通知省公司各相關(guān)部門按照“三級(jí)”級(jí)別安全的處理全時(shí)，應(yīng)根據(jù)本預(yù)案，按相關(guān)級(jí)別安全的處理第三百零五條安全的應(yīng)急處理發(fā)生或可能發(fā)生的情況下，按照以程進(jìn)行處理（一）安全管理員根據(jù)指示，針對(duì)具體的安全類別采立即對(duì)該的特點(diǎn)、機(jī)理、危害、解決方案進(jìn)行研究，并及時(shí)將結(jié)果上報(bào)信息化安全小組；持續(xù)和收集相關(guān)信息，每24小時(shí)向省公司信息化安全小組上報(bào)動(dòng)態(tài)；（二）各系統(tǒng)管理員根據(jù)信息化安全小組的指令，結(jié)合實(shí)際，針對(duì)具體的安全類別采取以下的相應(yīng)措施：針對(duì)新出現(xiàn)方法，密切關(guān)注涉及的協(xié)議/端口的流消除；針對(duì)性能明顯下降的，積極組織安全加固，并密切針對(duì)大量設(shè)備的48的設(shè)備進(jìn)行登陸檢查和加固，在72小時(shí)內(nèi)對(duì)涉及范圍內(nèi)的設(shè)備進(jìn)行登陸抽樣檢查和加固，并將處理結(jié)果上報(bào)省信息化安全小組。第三百零六條針對(duì)系統(tǒng)癱瘓的小時(shí)內(nèi)將分析報(bào)告上報(bào)信息化安全小組（二）根據(jù)信息化安全小組的指令，對(duì)原因進(jìn)行深入；絡(luò)和系統(tǒng)采取相應(yīng)的技術(shù)處理措施。應(yīng)急結(jié)束。根據(jù)安全發(fā)展和應(yīng)急處理效果等情況，信息化安全小組對(duì)安全狀況進(jìn)行分析，判斷影響已降低到最低級(jí)別安全影響水平之下時(shí)，經(jīng)過信息化安全小組批準(zhǔn)后，應(yīng)急響應(yīng)小組終止第三百零七條情況匯報(bào)及總結(jié)。安全應(yīng)急處理結(jié)束后，各相關(guān)部門應(yīng)對(duì)本次安全發(fā)生的原因、規(guī)模進(jìn)行，估算損失，對(duì)應(yīng)急處理效果和后續(xù)風(fēng)險(xiǎn)進(jìn)第三百條安全管理員在匯總分析各相關(guān)部門和應(yīng)急響應(yīng)小組上報(bào)的總結(jié)報(bào)告的基礎(chǔ)上，向信息化安全小組及時(shí)上報(bào)本次的處理報(bào)告，包括規(guī)模、損失估算、應(yīng)急處理效果評(píng)估、經(jīng)驗(yàn)教訓(xùn)及下一步改進(jìn)建議等。小組簽發(fā)安全的處理通報(bào)。IT安全處置流程由安全管理員負(fù)責(zé)，具體流程圖見附件17。第三百一十條應(yīng)急保障隊(duì)伍：中心應(yīng)組成應(yīng)急隊(duì)伍，負(fù)責(zé)安全應(yīng)急處理工作，明確其職責(zé)權(quán)限，并配備（一）值班制度：安全啟動(dòng)后，相關(guān)部門安排24小內(nèi)趕赴或指定地點(diǎn)。（二）信息的歸檔整理制度：?jiǎn)?dòng)后，相關(guān)部門應(yīng)對(duì)通報(bào)、上報(bào)的信息以及有關(guān)部門和的反饋、對(duì)后續(xù)進(jìn)展的情況進(jìn)行統(tǒng)一編號(hào)或代號(hào)處理；任務(wù)結(jié)束后對(duì)相關(guān)信第三百一十二條人員培訓(xùn)，應(yīng)急保障隊(duì)伍的人員要不定（一）的基本知識(shí)（二）信息系統(tǒng)中可能發(fā)生的安全及其應(yīng)急處理措（三）實(shí)際發(fā)生的典型事故及應(yīng)急處理的經(jīng)驗(yàn)教第三百一十三條應(yīng)急演練。應(yīng)每年至少組織一次系統(tǒng)運(yùn)應(yīng)急的能力。（一）由信息化安全小組應(yīng)急響應(yīng)演練的目標(biāo)和應(yīng)急（二）按信息化安全小組的要求，安全管理員調(diào)配應(yīng)（三）信息化小組組織相關(guān)部門和單位進(jìn)行應(yīng)急（四）安全管理員對(duì)應(yīng)急演練進(jìn)行評(píng)估，并通急響應(yīng)后，信息化小組應(yīng)針對(duì)應(yīng)急響應(yīng)工作過程中遇到的問（一）必須明確安全應(yīng)急處理的、一般和緊急 郵件等聯(lián)系人的詳細(xì)聯(lián)系信息；聯(lián)系人必須7X24小時(shí)可以聯(lián)（二）使用電子郵件溝通涉及具體安全的內(nèi)容時(shí)應(yīng)加第三百一十五條監(jiān)督檢查。信息化安全小組負(fù)責(zé)對(duì)（六）安全應(yīng)急處理結(jié)束后的原因分析、責(zé)任劃分、第三百一十六條技術(shù)儲(chǔ)備與保障：依托各級(jí)各類組織組成應(yīng)急的技術(shù)支撐體系，開展對(duì)安全的、預(yù)測(cè)、預(yù)防和應(yīng)急處理的技術(shù)研究，加強(qiáng)技術(shù)儲(chǔ)備。系統(tǒng)應(yīng)安裝和檢測(cè)的，以便在安全發(fā)生后能和記錄系統(tǒng)的運(yùn)行狀態(tài)，便于從日志中分析安全 第三百一十七條知識(shí)儲(chǔ)備：管理員應(yīng)建立信息、每種安全的最佳應(yīng)急措施和備用方案以及發(fā)生過的安全的應(yīng)急響應(yīng)詳細(xì)記錄，以便為后面的應(yīng)急響應(yīng)工作做第一節(jié)總則第三百二十一條部門職責(zé)：（三）負(fù)責(zé)業(yè)務(wù)數(shù)據(jù)備份實(shí)施的制定、執(zhí)行和文件系（十）負(fù)責(zé)應(yīng)用系統(tǒng)業(yè)務(wù)數(shù)據(jù)的日常略，備份情況和問題處理；第三百二十二條安全部門職責(zé)：第三百二十三條備份介質(zhì)可選擇硬盤、光盤、磁帶等，第三百二十四條部門應(yīng)明確備份與恢復(fù)的工作第三百二十五條部門應(yīng)根據(jù)各種數(shù)據(jù)的重要性及其第三百二十六條對(duì)計(jì)算機(jī)和設(shè)備進(jìn)行軟件安裝、系統(tǒng)升48保存，避免后數(shù)據(jù)無(wú)法及時(shí)恢復(fù)；第三百二十八條各主管必須按為所管轄的系統(tǒng)略表》（20），具體包括：備份記錄表》（21）的備份對(duì)象字段時(shí)應(yīng)使用此編號(hào)。RMANRMAN在磁帶中保留3個(gè)月，在磁盤上保留一份最近版本。第三百三十條數(shù)據(jù)庫(kù)歸檔日志根據(jù)生成快慢情況定制合50%~60%，磁帶保留第三百三十一條重要業(yè)務(wù)數(shù)據(jù)備份由相關(guān)業(yè)務(wù)人員做備件、應(yīng)用程序等。導(dǎo)出文件要求采用固定格式名方式，通 33第三百三十四條完整月話單備份要求每月一次全備3第三百三十六條操作系統(tǒng)要求備份根盤所有內(nèi)容，保證12第三百三十八條各系統(tǒng)管理員負(fù)責(zé)備份策略的制定，將第三百三十九條應(yīng)用系統(tǒng)管理員負(fù)責(zé)在指定時(shí)間前收集 第三百四十二條數(shù)據(jù)庫(kù)管理員負(fù)責(zé)數(shù)據(jù)庫(kù)的全備份的實(shí)RMAN第三百四十三條備份管理員負(fù)責(zé)將應(yīng)用重要數(shù)據(jù)遷移至 及定份的定時(shí)策略。第三百四十四條應(yīng)用系統(tǒng)管理員負(fù)責(zé)對(duì)重要業(yè)務(wù)數(shù)據(jù)做第三百四十五條應(yīng)用系統(tǒng)管理員負(fù)責(zé)備份策略的更新。第三百四十六條各系統(tǒng)管理員根據(jù)策略要求按規(guī)定時(shí)間 ITSM第三百五十一條相關(guān)責(zé)任部門必須以磁帶管理臺(tái)賬的方各項(xiàng)數(shù)據(jù)備份作業(yè)文檔，不得涂改、、隱瞞作業(yè)記錄。第三百五十五條應(yīng)該防止因環(huán)境、人為等因素對(duì)磁帶造防止有人無(wú)意或?qū)浞菹到y(tǒng)及備份數(shù)據(jù)進(jìn)行破壞。第三百五十七條應(yīng)定期對(duì)日常備份工作進(jìn)行審核檢查，策略表，確保策略表為的狀態(tài)。第三百五十九條為進(jìn)一步提高內(nèi)公司IT系統(tǒng)上線工第三百六十條此數(shù)據(jù)備份策略制訂流程適用于為主機(jī)操（四）將《數(shù)據(jù)備份策略表》和評(píng)估結(jié)果或?qū)嵤┑谒墓?jié)數(shù)據(jù)恢復(fù)管理第三百六十二條異常發(fā)生后，應(yīng)做到認(rèn)真分析發(fā)生的原因，形成分析報(bào)告；依據(jù)分析報(bào)告，制訂恢復(fù)計(jì)進(jìn)一步的錯(cuò)誤；部門與需求部門后進(jìn)行恢復(fù)前的第三百六十三條恢復(fù)計(jì)劃應(yīng)包括恢復(fù)的內(nèi)容、恢復(fù)的時(shí)部門批準(zhǔn)。第三百條進(jìn)行恢復(fù)操作前，部門與需求部門應(yīng)確認(rèn)恢復(fù)計(jì)劃的可行性及可能造成的，確認(rèn)無(wú)誤后采取份數(shù)據(jù)恢復(fù)記錄表》（23），具體包括：第三百六十七條進(jìn)行恢復(fù)操作時(shí)應(yīng)將每一步的執(zhí)行過程作報(bào)告，IT保數(shù)據(jù)恢復(fù)的完整性和可用性。第三百七十條相關(guān)責(zé)任部門必須在備份數(shù)據(jù)恢復(fù)實(shí)施之第三百七十一條為確保備份數(shù)據(jù)的完整性和可用性，維第三百七十二條需求部門應(yīng)對(duì)恢復(fù)性進(jìn)行第三百七十三條此備份數(shù)據(jù)恢復(fù)流程適用于主機(jī)操作系（二）相關(guān)責(zé)任部門對(duì)《備份數(shù)據(jù)恢復(fù)記錄表》的案進(jìn)行（五）相關(guān)責(zé)任部門對(duì)《備份數(shù)據(jù)恢復(fù)記錄表》的實(shí)第三百七十五條應(yīng)根據(jù)日常備份的需要提前估算并第三百七十六條備份介質(zhì)達(dá)到使用年限后，應(yīng)對(duì)備份介質(zhì)上保存的數(shù)據(jù)進(jìn)行審核，如需繼續(xù)保存，則應(yīng)由人員將第三百七十七條人員在完成恢復(fù)性測(cè)試后應(yīng)將新舊第三百七十八條備份介質(zhì)管理員負(fù)責(zé)接收人員交來(lái)第三百七十九條對(duì)數(shù)據(jù)的保管，應(yīng)編制數(shù)據(jù)介質(zhì)保管，內(nèi)容應(yīng)包括介質(zhì)編號(hào)、備份內(nèi)容、備份時(shí)間和保第三百八十條存有備份數(shù)據(jù)的備份介質(zhì)應(yīng)貼好，明第三百八十一條數(shù)據(jù)備份介質(zhì)使用磁帶、磁盤或光盤等第三百八十二條數(shù)據(jù)介質(zhì)的存放和要滿足安全管理的要求，保證介質(zhì)的物理安全。備份的數(shù)據(jù)應(yīng)考慮異地存放，并明確異地備份數(shù)據(jù)的管理職責(zé)。及時(shí)記錄，填寫《備份介質(zhì)異地存放記錄表》（25）。第三百八十五條按照數(shù)據(jù)保存期限，對(duì)于到期的數(shù)據(jù)存儲(chǔ)介質(zhì)應(yīng)及時(shí)進(jìn)行清理，并將清理后的介質(zhì)轉(zhuǎn)為可用介第三百八十六條磁帶被寫滿后，必須及時(shí)地從帶庫(kù)取出做異地保存，并貼以注明：備份內(nèi)容、備份保存時(shí)間等。第三百八十八條磁帶因損壞（如掐帶、硬性損傷等）或第三百八十九條備份管理員應(yīng)定期對(duì)《備份介質(zhì)異地存第三百九十條所有備份介質(zhì)應(yīng)由備份介質(zhì)管理員負(fù)責(zé)保管。如人員需備份介質(zhì)，必須填寫相應(yīng)表單，由部門簽字確認(rèn)。第三百九十一條對(duì)備份介質(zhì)的應(yīng)進(jìn)行嚴(yán)格控制，只有經(jīng)過的備份操作人員才能接觸備份介質(zhì)。份介質(zhì)的情況，保證備份介質(zhì)數(shù)量完整。第三百九十三條為規(guī)范中國(guó)電信 IT第三百九十五條本辦法所稱的日志包括但不限于生產(chǎn)類應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、主機(jī)系統(tǒng)、、網(wǎng)絡(luò)設(shè)備的日第三百九十六條應(yīng)用系統(tǒng)的日志內(nèi)容主要包括：應(yīng)用系統(tǒng)用戶行為、用戶操作事項(xiàng)、異常記錄、日志等。第三百九十七條應(yīng)用系統(tǒng)的日志每天通過日志備份第三百九十八條應(yīng)用系統(tǒng)的日志至少保存兩年，應(yīng)第四百條數(shù)據(jù)庫(kù)系統(tǒng)的日志內(nèi)容主要包括：數(shù)據(jù)庫(kù)系統(tǒng)用戶行為、SQL第四百零一條數(shù)據(jù)庫(kù)系統(tǒng)的日志每天通過系統(tǒng)自帶的備 第四百零四條主機(jī)系統(tǒng)的日志內(nèi)容主要包括：系統(tǒng)開關(guān)機(jī)記錄、系統(tǒng)安全記錄、系統(tǒng)用戶行為、系統(tǒng)異常事第四百零五條主機(jī)系統(tǒng)的日志每天通過系統(tǒng)自帶的備份第五節(jié)日志管第四百條包括設(shè)備、檢測(cè)系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、安全審計(jì)系統(tǒng)、防系統(tǒng)等。第四百零九條的日志內(nèi)容主要包括：安全設(shè)備系統(tǒng)、配置變化、、安全、上網(wǎng)行為、第四百一十條設(shè)備的日志通過設(shè)備自帶的工具，將日志自動(dòng)保存到的日志服務(wù)器上，并生成相應(yīng)的日志分析報(bào)表，信息化部系統(tǒng)管理員負(fù)責(zé)對(duì)的日志和第四百一十一條檢測(cè)系統(tǒng)的日志通過檢測(cè)系統(tǒng)自帶的工具，將日志自動(dòng)保存到檢測(cè)系統(tǒng)的日志服務(wù)器第四百一十二條上網(wǎng)行為管理系統(tǒng)、安全審計(jì)系統(tǒng)、防計(jì)系統(tǒng)、防系統(tǒng)查看、備份日志分析報(bào)表。第四百一十三條設(shè)備、檢測(cè)系統(tǒng)、上網(wǎng)行為系統(tǒng)、安全審計(jì)系統(tǒng)、防系統(tǒng)等的日志和日志分第四百一十四條設(shè)備、檢測(cè)系統(tǒng)、上網(wǎng)行為系統(tǒng)、安全審計(jì)系統(tǒng)、防系統(tǒng)等的日志和日志分第四百一十五條網(wǎng)絡(luò)設(shè)備的日志內(nèi)容主要包括：網(wǎng)第四百一十六條網(wǎng)絡(luò)設(shè)備的日志通過軟件建立日志第四百一十九條各系統(tǒng)管理員負(fù)責(zé)日志的日常，并且需要定期對(duì)日志內(nèi)容進(jìn)行審核分析，分析是否存在未登錄、、未操作、操作、流量、、等26。第四百二十條各系統(tǒng)必須定期的將日志的資料按照編號(hào)順序整理裝訂，作為本部門重要的信息資料保存。第四百二十一條為規(guī)范中國(guó)電信內(nèi)信息化部房和IT資產(chǎn)的未物理、損壞和干擾，特制訂本管理第四百二十二條本指南適用于中國(guó)電信內(nèi)信出入機(jī)房的請(qǐng)求，對(duì)出入機(jī)房的登記信息進(jìn)行歸檔；防系統(tǒng)和供電系統(tǒng)等進(jìn)行日常巡檢與。第四百二十四條各類機(jī)房必須根據(jù)要求配備值班人員，嚴(yán)格執(zhí)行值班、交制度，明確職責(zé)，嚴(yán)格紀(jì)律，保證制度的進(jìn)行。在值班期間應(yīng)做好值班記錄，對(duì)發(fā)生的異常及情第四百二十五條機(jī)房應(yīng)設(shè)置門禁系統(tǒng)，門禁系統(tǒng)的建設(shè)員應(yīng)及時(shí)通知廠商進(jìn)行處理。第四百二十六條加強(qiáng)機(jī)房現(xiàn)門禁卡及的管理，保證齊全和完好，由機(jī)房值班人員進(jìn)行保管，并作為交的第四百二十七條工作人員出入機(jī)房工作必須得到部門領(lǐng)導(dǎo)審核，第人員出入機(jī)房工作需由接口部門審核并安排專人全程陪同，流程參見附件27所有出入機(jī)房工作人員均應(yīng)填寫進(jìn)入機(jī)房施工單（附件28）。員的件以核實(shí)來(lái)訪人員。對(duì)不能出示有效證件、不3第四百三十條在處理突發(fā)時(shí)，相關(guān)技術(shù)人員可暫不提交機(jī)房工作單，由其直接通知機(jī)房值班人員后，在值班人員陪同下進(jìn)行處理，但在事后應(yīng)及時(shí)補(bǔ)交工作單第四百三十一條進(jìn)入機(jī)房之前必須更換拖鞋或是配戴鞋將鞋套帶出機(jī)房，應(yīng)脫下放入簍中。凡帶走一雙鞋套罰款50第四百三十三條要保證備件、技術(shù)、原始資料的完設(shè)備運(yùn)行構(gòu)成的物品。司有權(quán)相關(guān)人員的責(zé)任。第四百三十七條工作人員在機(jī)房工作結(jié)束離開前必需清第四百三十八條嚴(yán)格執(zhí)行，對(duì)機(jī)房人員進(jìn)行保密教育，增強(qiáng)觀念，定期進(jìn)行檢查，防止泄密失密。自環(huán)境的或危害，并減少未的機(jī)會(huì)。以避免處理。（五）應(yīng)采取相應(yīng)措施保護(hù)機(jī)房通信線纜避免被或損及設(shè)備，應(yīng)采取包括但不限于以下管控措施：應(yīng)有專門儲(chǔ)物柜存放，并由專人負(fù)責(zé)管理，嚴(yán)禁將物理部門提交機(jī)房工作單，經(jīng)批準(zhǔn)，機(jī)房值班人員核實(shí)后，的數(shù)據(jù)進(jìn)行清除，避免公司敏感信息的。12（七）機(jī)房資產(chǎn)進(jìn)出處理操作必須填寫《機(jī)房資產(chǎn)取必要的安全防護(hù)，包括但不限于以下幾點(diǎn)：施工申請(qǐng)手續(xù)，經(jīng)同意后，才能進(jìn)入機(jī)房。施工完畢后必須清理現(xiàn)場(chǎng)，凡不清理的罰款（二十）0作單和施工方案監(jiān)督施工，協(xié)助處理施工中的各種緊急房工程施工的監(jiān)護(hù)，要求其提交申請(qǐng)、做好記錄，杜絕人供），明確施工內(nèi)容、時(shí)間、等信息，并放在施工區(qū)域（四）為保證設(shè)備運(yùn)行安全，機(jī)房施工應(yīng)使用電源，第四百四十二條在施工過程中，應(yīng)特別注意機(jī)房環(huán)境的第四百四十三條施工完成后由陪同人員和施工共第四百四十四條.公房的建設(shè)與，應(yīng)符合《電子第四百四十五條對(duì)于機(jī)房溫濕度調(diào)節(jié)系統(tǒng)的應(yīng)滿足（一）1824℃，相對(duì)濕度應(yīng)保持45%65%。（二）空調(diào)單位應(yīng)定期對(duì)空調(diào)系統(tǒng)進(jìn)行保養(yǎng)/h時(shí)，機(jī)房值班人員應(yīng)及時(shí)通知空調(diào)單位對(duì)空調(diào)系統(tǒng)進(jìn)行第四百四十六條對(duì)于機(jī)房系統(tǒng)的應(yīng)滿足以（一）單位應(yīng)定期對(duì)系統(tǒng)進(jìn)行和檢（二）系統(tǒng)應(yīng)安排專人負(fù)責(zé)和監(jiān)視，定期進(jìn)行數(shù)據(jù)備份，數(shù)據(jù)保存時(shí)間不少于180天。第四百四十七條對(duì)于機(jī)房消防系統(tǒng)的應(yīng)滿足以下要悉系統(tǒng)性能、方法和操作規(guī)程。（二）消防單位應(yīng)按消防要求和規(guī)程定期做好系統(tǒng)的和檢查，同時(shí)做好記錄。第四百四十八條對(duì)于機(jī)房供電系統(tǒng)的應(yīng)滿足以下要（一）99%，應(yīng)在機(jī)房供電線配置穩(wěn)壓器和過電壓防護(hù)設(shè)備。UPS機(jī)房供電系統(tǒng)應(yīng)由專業(yè)單位進(jìn)行保養(yǎng)和檢查，確員徹查機(jī)房?jī)?nèi)部墻壁的鼠洞，使用必要進(jìn)行滅鼠。（三）嚴(yán)禁攜帶易燃易爆、揮發(fā)性物質(zhì)和其他品進(jìn)入機(jī)房。各種與工作無(wú)關(guān)的書、報(bào)紙和其他物品帶入機(jī)房。將水帶入機(jī)房，在機(jī)房?jī)?nèi)不得大聲喧嘩，以免影響他第四百五十條原則上，參觀機(jī)房和拍照，如遇特殊情況需由機(jī)房管理部門批準(zhǔn)并由專人陪同。第四百五十一條在人員管理方面，機(jī)房管理人員應(yīng)定期對(duì)人員出入機(jī)房登記表（附件29）和機(jī)房權(quán)限申請(qǐng)表有非進(jìn)入機(jī)房的人員，及時(shí)記錄核查異常人員進(jìn)行處理，確保已經(jīng)得到。第四百五十二條在機(jī)房環(huán)境管理方面，機(jī)房管理人員應(yīng)異常應(yīng)該及時(shí)記錄通知相關(guān)處理，環(huán)境檢查表需要及時(shí)第四百五十三條為了加強(qiáng)內(nèi)公司業(yè)務(wù)系統(tǒng)的管理終端和終端的安全使用，保證業(yè)務(wù)系統(tǒng)的管理終端和終端操作系統(tǒng)、周邊硬件、通信設(shè)備、應(yīng)用系統(tǒng)的安全使用，切實(shí)防降低因終端使用不當(dāng)，對(duì)信息系統(tǒng)或數(shù)據(jù)的而所有業(yè)務(wù)系統(tǒng)的管理終端和終端管理。第四百五十五條公司范圍內(nèi)業(yè)務(wù)系統(tǒng)的管理終端和第四百五十六條業(yè)務(wù)系統(tǒng)的管理終端和終端設(shè)備接請(qǐng)，并經(jīng)使用單位（部門）后通過桌面系統(tǒng)需求變更單報(bào)第四百五十七條信息化部負(fù)有利用各種技術(shù)管理對(duì)所轄業(yè)務(wù)系統(tǒng)的管理終端和終端設(shè)備進(jìn)行管理的職責(zé)，將定期或不定期的組織針對(duì)業(yè)務(wù)系統(tǒng)的管理終端和終端設(shè)備第四百五十八條部門（包括應(yīng)用管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員和系統(tǒng)管理員等人員）：（一）負(fù)責(zé)對(duì)統(tǒng)一的終端設(shè)備驗(yàn)收、編號(hào)及貼IT相關(guān)的IT安全。（一）負(fù)責(zé)處理IT終端安全I(xiàn)T（一）最小原則：?jiǎn)T工終端的使用權(quán)限能滿足日常（六）終端工作需求的，必須按規(guī)定流程申請(qǐng)配（七）發(fā)現(xiàn)終端運(yùn)行異常，及時(shí)與終端部門或單位聯(lián)的，必須征得相關(guān)部門允許方可接入，并且要在相關(guān)人（九）終端只能用來(lái)進(jìn)行管理和優(yōu)化操第四百六十一條ITIT（一）IT終端設(shè)備時(shí)，按部門統(tǒng)計(jì)并上報(bào)統(tǒng)一采購(gòu)。購(gòu)入終端設(shè)備后，經(jīng)部門驗(yàn)收、編號(hào)、貼標(biāo)（二）IT終端設(shè)備使用人應(yīng)做到妥善保管，防止及（一）配備使用的筆記本電腦辦公使用，不得進(jìn)行。導(dǎo)，由公司酌案。如果失竊的筆記本電腦存放有公司重要作，由使用部門報(bào)部門。（一）公司及公司應(yīng)根據(jù)自身實(shí)際情況制定不同IT終端可安裝軟件，業(yè)務(wù)系統(tǒng)的管理終端和終端設(shè)備 在IT終端設(shè)備上安裝、運(yùn)行，否則由此引起的由個(gè)人承（二）公司的商業(yè)軟件安裝和使用必須遵從國(guó)家相關(guān)的，任何個(gè)人不得將公司所商業(yè)軟件用（三）IT括但不限于、系統(tǒng)、端口掃描或口令等軟件，不（四）不得使用業(yè)務(wù)系統(tǒng)的管理終端和終端制造和散布各種電腦程序，包括電腦、電腦木馬程序、電腦蠕蟲程序等。不得使用業(yè)務(wù)系統(tǒng)的管理終端和終端執(zhí)行網(wǎng)絡(luò)或主機(jī)掃描、網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)。不得擅自第四百條員工有責(zé)任保護(hù)含有公司敏感信息的文件、介質(zhì)、系統(tǒng)文檔等IT資產(chǎn)，避免這些信資產(chǎn)盜竊、的，具體管理要求包括：（一）公司及公司應(yīng)根據(jù)自身實(shí)際情況對(duì)本單位級(jí)文檔、敏感資料（包括第數(shù)據(jù)）的文件、數(shù)據(jù)介質(zhì)、系統(tǒng)文檔等信息資產(chǎn)，任何部門或個(gè)人，和，不得通過業(yè)務(wù)系統(tǒng)的管理終端和終端設(shè)備調(diào)用、收集、、傳送、打印或這些信息。（三）敏感信息的終端必須專人管理，應(yīng)將一切含有敏感信息的移動(dòng)介質(zhì)保存在安全可靠的地方，并按照相關(guān)要求定期更改用戶。當(dāng)相關(guān)介質(zhì)使用完成之后，應(yīng)將其中不介質(zhì)應(yīng)經(jīng)過各單位管理部門。（六）終端應(yīng)設(shè)置開碼，設(shè)置帶有的屏保程序，屏碼自動(dòng)啟動(dòng)時(shí)間應(yīng)設(shè)置為小于10分鐘。暫時(shí)離開IT異地備份，應(yīng)確保異地場(chǎng)所符合安全要求。全性，降低受到的可能性。（二）IT終端設(shè)備初始化工作應(yīng)由部門實(shí)施，包括正版操作系統(tǒng)軟件、系統(tǒng)補(bǔ)丁、統(tǒng)一的防軟件等的安裝。在辦公網(wǎng)絡(luò)內(nèi)對(duì)用戶賬號(hào)、口令進(jìn)行偵聽、盜用或進(jìn)行網(wǎng)算機(jī)名、組名、、IP地址、網(wǎng)卡MAC地址等。（四 （六）終端用戶不得網(wǎng)絡(luò)服務(wù)，例如利用電子郵件服務(wù)發(fā)送電子郵件、電子郵件，利用網(wǎng)絡(luò)服務(wù)實(shí)施對(duì)內(nèi)或?qū)ν獾木W(wǎng)絡(luò)等。如發(fā)現(xiàn)終端用戶網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)管理員可切斷用戶終端網(wǎng)絡(luò)并按終端安全處理。標(biāo)準(zhǔn)化配置管理，由部門統(tǒng)一安裝，如工作原因確需安裝其他應(yīng)用程序需向部門申請(qǐng)。變更，必須通知部門，由其進(jìn)行相關(guān)配置信息的修改。第四百六十六條終端、管理要求如下一的防軟件，并開啟系統(tǒng)自帶的軟件。防軟件軟件的安全設(shè)置和防軟件、軟件的設(shè)置。應(yīng)在系統(tǒng)或技術(shù)人員的提示和幫助下，確保操作系統(tǒng)、應(yīng)用軟件、防軟件、軟件等完成安全更新。（三）對(duì)于以下的情況，使用人必須通過防殺系統(tǒng)進(jìn)通過內(nèi)網(wǎng)文件和應(yīng)用程序在共享網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)和應(yīng)用程序拷貝光盤及其他移動(dòng)設(shè)備上的數(shù)據(jù)和應(yīng)用程序使用人應(yīng)確保防護(hù)軟件定期地自動(dòng)進(jìn)行系統(tǒng)掃描，（四）應(yīng)關(guān)注公司關(guān)于安全補(bǔ)丁和的統(tǒng)一信息系統(tǒng)公告，業(yè)務(wù)系統(tǒng)的管理終端和終端使用人應(yīng)及時(shí)按照公告和防軟件完成特征庫(kù)的更新。（五）如果防、軟件的正常運(yùn)行無(wú)法完成，應(yīng)及時(shí)撥打信息化部IT安全員的以獲得技術(shù)支持服務(wù)。（六）使用人一旦發(fā)現(xiàn)終端出現(xiàn)可能由或?qū)е碌慕j(luò)連接，并立即撥打相關(guān)部門故障報(bào)修以獲得支持。第四百六十七條終端安全管理必須建立一套有效的補(bǔ)丁的補(bǔ)丁及相關(guān)說(shuō)明，影響范圍、重要程度及優(yōu)先級(jí)；補(bǔ)丁獲取方式應(yīng)具有驗(yàn)證安全防護(hù)措施，如經(jīng)過數(shù)字簽名或丁情況，并自動(dòng)安裝補(bǔ)丁或者重定向到自動(dòng)補(bǔ)丁庫(kù)。（一）所有業(yè)務(wù)系統(tǒng)的管理終端和終端，必須設(shè)定開機(jī)帳號(hào)口令和屏碼。（四）90（五）（六）避免使用與個(gè)人有關(guān)數(shù)據(jù)（如生日、證字號(hào)、單位簡(jiǎn)稱、、同事名字等）當(dāng)作口令。（八）屏碼自動(dòng)啟動(dòng)時(shí)間應(yīng)設(shè)置為小于3分鐘第四百六十九條IT端使用人通過所在部門報(bào)部門檢查后方能接入，不得擅自將IT終端設(shè)備接入公司網(wǎng)絡(luò)。所在部門和公司部門（一）不得使用除公司網(wǎng)絡(luò)出口外的其它接入方式訪問國(guó)際互聯(lián)網(wǎng)，如撥號(hào)、ADSL（二）所有業(yè)務(wù)系統(tǒng)的管理終端和終端的網(wǎng)絡(luò)地址由網(wǎng)絡(luò)管理員統(tǒng)一管理，任何人不得私借、盜用、其他計(jì)算印機(jī)的共享設(shè)置由公司部門統(tǒng)一管理。應(yīng)避免在業(yè)務(wù)系統(tǒng)的管理終端和終端設(shè)備上使用的文件共享，避免信息，因工作需要共享文件的要設(shè)口令并及時(shí)取消共享。（五）在網(wǎng)絡(luò)上未得到的情況下使用別人的身 網(wǎng)絡(luò)管理員，不要在網(wǎng)絡(luò)上架設(shè)網(wǎng)絡(luò)設(shè)建子網(wǎng)，或使用服務(wù)器軟件供他人使用。（七）批準(zhǔn)的計(jì)算機(jī)接入互聯(lián)網(wǎng)。終端同時(shí)連接內(nèi)網(wǎng)與互聯(lián)網(wǎng)，對(duì)于需要互聯(lián)網(wǎng)的特殊情況，應(yīng)設(shè)置專門獨(dú)立終端互聯(lián)網(wǎng)，對(duì)可互聯(lián)網(wǎng)的終端信息化部進(jìn)格通過國(guó)際互聯(lián)網(wǎng)傳輸公密信息。（十）利用終端進(jìn)行大量占用網(wǎng)絡(luò)資源的操作，以免第四百七十條利用終端從事危害國(guó)家安全、泄漏國(guó)家等違法活動(dòng)，編制、運(yùn)行、危害的軟件，制作、查閱、和妨礙社會(huì)的信息和穢等信息。第四百七十三條存有公司敏感信息的移動(dòng)介質(zhì)需要帶離公司，應(yīng)事先向所在部門申請(qǐng)，經(jīng)其后方可將移動(dòng)介第十節(jié)終端安全要第四百七十四條終端安全是指因終端引起的安全事件，包括設(shè)備故障、爆發(fā)、敏感信息等。當(dāng)用戶發(fā)現(xiàn)終端安全時(shí)，應(yīng)立即報(bào)公司安全管理員。安全管理員根據(jù)《安全應(yīng)急管理》，迅速確定等級(jí)，并采規(guī) 爆發(fā)、公司敏感信息等安 立即報(bào)安全小組處理第十四章賬號(hào)權(quán)限與管理第一節(jié)總則第四百七十五條為規(guī)范中國(guó)電信內(nèi)IT系統(tǒng)和IT第四百七十六條本指南適用于中國(guó)電信內(nèi)集查工作，以及各賬號(hào)使用過程的使用要求。第四百七十七條本指南中的IT賬號(hào)權(quán)限和的管理僅第四百七十八條部門（包括應(yīng)用管理員、數(shù)據(jù)庫(kù)管理員、網(wǎng)絡(luò)管理員和系統(tǒng)管理員等人員）：（一）負(fù)責(zé)IT系統(tǒng)賬號(hào)、權(quán)限和的創(chuàng)建、權(quán)限變第四百七十九條使用部門：（二）IT（一）監(jiān)督協(xié)調(diào)系統(tǒng)賬號(hào)安全策略，處置因IT賬號(hào)管理不當(dāng)導(dǎo)致的安全；（二）對(duì)系統(tǒng)賬號(hào)的申請(qǐng)、變更記錄進(jìn)行審核檢查。第三節(jié)管理原則第四百八十一條員工從開始錄用、中間的轉(zhuǎn)崗/借調(diào)/調(diào)職到最后的離職/退休用戶可能需要多個(gè)IT系統(tǒng)，中間伴第四百八十二條IT賬號(hào)是用戶的標(biāo)識(shí)，為了便于管理人員檢索、歸檔IT賬號(hào)，賬號(hào)名應(yīng)該遵循預(yù)先定義的命名規(guī)則，IT賬號(hào)名應(yīng)符合以下的統(tǒng)一規(guī)則：（一）同一系統(tǒng)內(nèi)賬號(hào)應(yīng)具有統(tǒng)一名規(guī)則IT位、工作內(nèi)容的需要分配不同賬號(hào)權(quán)限。為規(guī)范管理賬號(hào)理其他賬號(hào)的能力將IT賬號(hào)分為賬號(hào)與非賬號(hào)兩（一）賬號(hào)：指可以對(duì)系統(tǒng)/網(wǎng)絡(luò)/數(shù)據(jù)庫(kù)所有配置進(jìn)ITITsys/system（oracle）IT管理權(quán)限的賬號(hào)，用于日常的。（二）非賬號(hào)：只允許使用不影響系統(tǒng)/網(wǎng)絡(luò)/數(shù)據(jù)庫(kù)第四百八十四條由于賬號(hào)可以分配不同的權(quán)限，不同用需要以外的權(quán)限，可能會(huì)導(dǎo)致用戶用該權(quán)限與工作無(wú)關(guān)的ITIT第四百八十五條當(dāng)因工作性質(zhì)需要/使用IT系統(tǒng)、請(qǐng)人所在部門批準(zhǔn)和IT部門復(fù)核后，方可開通賬號(hào)。申請(qǐng)中需詳細(xì)描述賬號(hào)所需限功能信息、賬號(hào)有效第四百八十六條申請(qǐng)使用賬號(hào)中的第一類賬號(hào)，即戶需要嚴(yán)格執(zhí)行申請(qǐng)、流程，并如實(shí)記錄使用情況和進(jìn)行現(xiàn)場(chǎng)監(jiān)督。申請(qǐng)賬號(hào)中的第二類賬號(hào)需遵循創(chuàng)建流程。任何賬號(hào)的申請(qǐng)和使用申請(qǐng)需在安全管理員處登記備案，便于及時(shí)了解賬號(hào)的使用狀態(tài)。第四百八十七條第人員如因工作需要臨時(shí)系統(tǒng)，可在簽定承諾書后，由陪同人員向部門申請(qǐng)，經(jīng)IT間。第人員在賬號(hào)過期后如需繼續(xù)使用臨時(shí)賬號(hào)，由陪同人員重新申請(qǐng)；第人員對(duì)系統(tǒng)賬號(hào)的申請(qǐng)、變更和刪除詳細(xì)管理過程見《第IT安全管理》。ITITIT第四百八十九條當(dāng)員工工作內(nèi)容變化需要新增對(duì)系統(tǒng)的權(quán)限，需由員工提出權(quán)限的變更申請(qǐng)，申請(qǐng)中應(yīng)詳細(xì)描述所需要新增的賬號(hào)權(quán)限信息，提交部門批準(zhǔn)和IT主管部某些權(quán)限，其所在部門及時(shí)要求員工遞交賬號(hào)權(quán)限變更的申請(qǐng)，申請(qǐng)中應(yīng)詳細(xì)描述所不再需要的權(quán)限信息；部門批準(zhǔn)和部門復(fù)核后，相應(yīng)的管理員對(duì)申請(qǐng)人賬號(hào)權(quán)限進(jìn)行調(diào)IT知部門相關(guān)人員離職信息，使用部門告知部門離職人第四百九十三條當(dāng)員工擁有無(wú)法禁用或刪除的賬號(hào)號(hào)移交申請(qǐng)，經(jīng)部門批準(zhǔn)，將賬號(hào)信息告知賬號(hào)新?lián)碛械谄吖?jié)IT賬號(hào)使用與管第四百九十四條IT賬號(hào)管理直接關(guān)系到賬號(hào)的安全性，簡(jiǎn)單的或容易猜測(cè)的將很容易被人員利用，從而需要考慮從的設(shè)置、使用、更換等措施進(jìn)行有效第四百九十五條IT賬號(hào)是用戶的標(biāo)識(shí)，安全、正確（一）IT賬號(hào)共享：一個(gè)賬號(hào)多人使用，將導(dǎo)致賬號(hào)使用無(wú)法審計(jì)，為安全的事后分析、責(zé)任認(rèn)定帶來(lái)困何形式的“自動(dòng)保存”功能和使用自動(dòng)登錄。終端安全配置過程中應(yīng)關(guān)閉的“自動(dòng)保存”功能。第四百九十六條設(shè)置（二）多個(gè)系統(tǒng)中設(shè)置相同的第四百九十七條使用：（二）賬號(hào)不得以存放于可公共的設(shè)備（三）不得在電子郵件、或、文件或表格中信息，不在任何人面前談及自己設(shè)定的。一旦發(fā)現(xiàn)或懷疑自己的獲取，應(yīng)立即進(jìn)行更新。員工必須妥善保護(hù)自己的賬號(hào)，防止賬號(hào)；引（五）使用系統(tǒng)內(nèi)置帳號(hào)進(jìn)行應(yīng)用系統(tǒng)數(shù)據(jù)的工（六）用戶通過公網(wǎng)連接到公司內(nèi)部時(shí)，需注意帳號(hào)、口令的，避免在公共場(chǎng)所泄漏帳號(hào)、口令。第四百九十八條（一）賬號(hào)必須定期更改，原則上每90天更改一（二）第人員因使用賬號(hào)，在使用結(jié)束后如果賬號(hào)無(wú)法禁用，相關(guān)必須立即更改。（三）對(duì)于因系統(tǒng)限制存在共享的賬號(hào)，在任一管理員離職時(shí)應(yīng)及時(shí)修改。IT第四百九十九條由于在系統(tǒng)的運(yùn)行過程中不斷創(chuàng)建新的賬號(hào)，賬號(hào)權(quán)限也在不停變化，離職人員和第人員的賬號(hào)變動(dòng)，使得賬號(hào)管理可能個(gè)別賬號(hào)長(zhǎng)期無(wú)人使用、或是賬號(hào)的權(quán)限未及時(shí)調(diào)整，第人員工作完成但賬號(hào)未收回等情況，這些都可能導(dǎo)致系統(tǒng)存在未的發(fā)生。因此，IT賬號(hào)的定期檢查與審計(jì)是IT部門的重要工作之一，各個(gè)業(yè)務(wù)系統(tǒng)賬號(hào)頻率詳見附件34。第五百條對(duì)于非賬號(hào)的檢查與審計(jì)，各IT系統(tǒng)管理34用部門審核確認(rèn)，非賬號(hào)審計(jì)表見附件36，IT系統(tǒng)第五百零一條在檢查與審計(jì)非賬號(hào)過程中，對(duì)超第五百零二條對(duì)于賬號(hào)的檢查與審計(jì)，按照附件34的時(shí)間頻率由使用部門對(duì)業(yè)務(wù)系統(tǒng)所有賬號(hào)進(jìn)行清查復(fù)核，賬號(hào)審計(jì)表見附件36，如果需要移交賬號(hào)，則第五百零三條在檢查與審計(jì)賬號(hào)過程中，對(duì)于臨時(shí)第十五章防安全管第五百零四條為加強(qiáng)中國(guó)電信內(nèi)IT系統(tǒng)防病IT第五百零五條本文件適用于中國(guó)電信內(nèi)IT網(wǎng)IT第五百零六條部門（一）從專業(yè)或者安全廠商獲取信息，對(duì)公司員工進(jìn)行必要的防意識(shí)培訓(xùn)；（二）各IT系統(tǒng)的防軟件，確保防軟件毒庫(kù)及時(shí)更新，并定期對(duì)服務(wù)器進(jìn)行掃描（一）確保所使用終端安裝統(tǒng)一的防軟件，負(fù)責(zé)終端防軟件、掃描和庫(kù)升級(jí)等工作；（二）發(fā)現(xiàn)時(shí)及時(shí)通知部門，并協(xié)助事第五百條安全部門第三節(jié)建立機(jī)（一）制定防的管理制度和操作指南（二）設(shè)立專門的管理員負(fù)責(zé)防的管理工作（三）管理員要及時(shí)了解專業(yè)和防殺計(jì)算機(jī)廠商公布的計(jì)算機(jī)，關(guān)注新產(chǎn)生的、面廣的計(jì)算機(jī)病出現(xiàn)的異常是否與新的計(jì)算機(jī)有關(guān)，并在公司內(nèi)部公告（四）管理員要及時(shí)了解操作系統(tǒng)廠商所發(fā)布的情況，對(duì)于很可能被利用的控制的要及時(shí)提醒用戶（五）對(duì)有嚴(yán)重破壞力的計(jì)算機(jī)的爆發(fā)日期或爆發(fā)條（六）如遇安全事故，則按照響應(yīng)。第四節(jié)防軟件使用第五百零一十條防軟件的部署（一）應(yīng)在全網(wǎng)范圍內(nèi)建立多層次的防體系，要使用用產(chǎn)品銷售證的網(wǎng)絡(luò)防產(chǎn)品。（二）省對(duì)防軟件的部署應(yīng)該做到統(tǒng)一規(guī)劃，要對(duì)進(jìn)入網(wǎng)絡(luò)的SMTP郵件進(jìn)行實(shí)時(shí)過濾。軟件，對(duì)郵件、文檔等進(jìn)行實(shí)時(shí)的過濾，防止計(jì)算機(jī)通過群件服務(wù)器擴(kuò)散、。（六）服務(wù)器和客戶端的防系統(tǒng)必須能夠統(tǒng)一管理，可以統(tǒng)一升級(jí)、殺毒、。第五百一十一條防軟件的安裝使用要在第一時(shí)間內(nèi)安裝防軟件，安裝完成后要進(jìn)行安全（三）防軟件的類型遵循統(tǒng)一規(guī)劃，不得私自安裝其不能清除的，應(yīng)使用專殺工具進(jìn)行處理。看，對(duì)于沒有完全清除的，應(yīng)立即使用專殺（六）清除完畢后，部門負(fù)責(zé)將被防軟件的保護(hù)的文件恢復(fù)，清除后不能正常運(yùn)行的軟件應(yīng)重新安第五百一十二條防軟件的升級(jí)（一）特征庫(kù)至少要做到每天自動(dòng)升級(jí)檢查，自動(dòng)部（二）對(duì)特征庫(kù)的升級(jí)情況應(yīng)該進(jìn)行手工檢查，將當(dāng)（三）一旦出現(xiàn)速度快，大的新，應(yīng)該立即第五百一十三條防軟件的（一）防系統(tǒng)管理員負(fù)責(zé)軟件的總體，定期檢防服務(wù)器端軟件的運(yùn)轉(zhuǎn)情況，異常及時(shí)處理（二）各個(gè)服務(wù)器系統(tǒng)的管理員有責(zé)任本機(jī)防系統(tǒng)的正常運(yùn)轉(zhuǎn)，也需要定期對(duì)防軟件的升級(jí)情況進(jìn)行監(jiān)控。如果遇到問題或者，與防管理員共同解決。（三）為保證防軟件運(yùn)行正常，盡量少占