版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、中國移動(dòng)網(wǎng)絡(luò)與信息安全總綱 精品資料網(wǎng)( HYPERLINK )25萬份精華管理資料,2萬多集管理視頻講座中國移動(dòng)網(wǎng)絡(luò)與信息安全總綱中國移動(dòng)通信集團(tuán)公司2006年7月本文檔版權(quán)由中國移動(dòng)通信集團(tuán)公司所有。未經(jīng)中國移動(dòng)通信集團(tuán)公司書面許可,任何單位和個(gè)精品資料網(wǎng)( HYPERLINK )專業(yè)提供企管培訓(xùn)資料人不得以任何形式摘抄、復(fù)制本文檔的部分或全部,并以任何形式傳播、, 、.刖百中國移動(dòng)注的通信網(wǎng)絡(luò)和支撐系統(tǒng)是國家基礎(chǔ)信息設(shè)施, 必須加以妥善保護(hù)。隨著網(wǎng)絡(luò)和通信技術(shù)的快速發(fā)展,網(wǎng)絡(luò)互聯(lián)與開放、信息共享帶來了日益增長的安全威脅。為了企業(yè)乃至國家的網(wǎng)絡(luò)與信息安全,為了保障客戶利益,加強(qiáng)各方面的安全
2、工 作刻不容緩!制訂和頒布本標(biāo)準(zhǔn)的目的是為中國移動(dòng)的網(wǎng)絡(luò)與信息安全 管理工作建立科學(xué)的體系, 力爭通過科學(xué)規(guī)范的全過程管理,結(jié)合成熟和領(lǐng)先的技術(shù),確保安全控制措施落實(shí)到位, 為各項(xiàng)業(yè)務(wù) 的安全運(yùn)行提供保障。本標(biāo)準(zhǔn)主要依據(jù)國際規(guī)范, 參考業(yè)界的成熟經(jīng)驗(yàn),結(jié)合中國 移動(dòng)的實(shí)際情況進(jìn)行補(bǔ)充、修改、完善而來。本標(biāo)準(zhǔn)目前主要針 對(duì)互聯(lián)網(wǎng)、支撐網(wǎng)等IT系統(tǒng)安全。注:本標(biāo)準(zhǔn)所稱“中國移動(dòng)”是指中國移動(dòng)通信集團(tuán)公司及 由其直接或間接控股的公司。中國移動(dòng)通信集團(tuán)公司,以下簡稱“集團(tuán)公司”。各移動(dòng)通信有限責(zé)任公司,以下簡稱“各省公司”。目錄 TOC o 1-5 h z 前言2目錄3總則13.網(wǎng)絡(luò)與信息安全的基本概
3、念 13.網(wǎng)絡(luò)與信息安全的重要性和普遍性 13.中國移動(dòng)網(wǎng)絡(luò)與信息安全體系與安全策略 14.安全需求的來源 16.安全風(fēng)險(xiǎn)的評(píng)估 17.安全措施的選擇原則 18.安全工作的起點(diǎn) 18.關(guān)鍵性的成功因素19.安全標(biāo)準(zhǔn)綜述20.適用范圍24第一章組織與人員26第一節(jié).組織機(jī)構(gòu)26.領(lǐng)導(dǎo)機(jī)構(gòu)26工作組織27安全職責(zé)的分配28職責(zé)分散與隔離29安全信息的獲取和發(fā)布 30加強(qiáng)與外部組織之間的協(xié)作 30安全審計(jì)的獨(dú)立性 31第二節(jié)崗位職責(zé)與人員考察31.崗位職責(zé)中的安全內(nèi)容 31.人員考察32.保密協(xié)議33.勞動(dòng)合同33.員工培訓(xùn)33第三節(jié)第三方訪問與外包服務(wù)的安全34.第三方訪問的安全 34.外包服務(wù)的
4、安全 35第四節(jié)客戶使用業(yè)務(wù)的安全37第二章網(wǎng)絡(luò)與信息資產(chǎn)管理 38第一節(jié).網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任制度38.資產(chǎn)清單38.資產(chǎn)責(zé)任制度39第二節(jié)資產(chǎn)安全等級(jí)及相應(yīng)的安全要求42 TOC o 1-5 h z .信息的安全等級(jí)、標(biāo)注及處置 42.網(wǎng)絡(luò)信息系統(tǒng)安全等級(jí) 44第三章物理及環(huán)境安全46第一節(jié).安全區(qū)域46.安全邊界 46.出入控制47.物理保護(hù)48.安全區(qū)域工作規(guī)章制度 49.送貨、裝卸區(qū)與設(shè)備的隔離 50第二節(jié).設(shè)備安全51.設(shè)備安置及物理保護(hù) 51.電源保護(hù)52.線纜安全53.工作區(qū)域外設(shè)備的安全 54.設(shè)備處置與重用的安全 54第三節(jié)存儲(chǔ)媒介的安全55.可移動(dòng)存儲(chǔ)媒介的管理 55.存儲(chǔ)
5、媒介的處置55.信息處置程序56.系統(tǒng)文檔的安全 57第四節(jié)通用控制措施58.屏幕與桌面的清理 58.資產(chǎn)的移動(dòng)控制 59第四章 通信和運(yùn)營管理的安全 60第一節(jié)操作流程與職責(zé)60.規(guī)范操作細(xì)則60.設(shè)備維護(hù)61.變更控制62.安全事件響應(yīng)程序 62.開發(fā)、測試與現(xiàn)網(wǎng)設(shè)備的分離 63第二節(jié)系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)和驗(yàn)收64.系統(tǒng)規(guī)劃和設(shè)計(jì)64.審批制度64.系統(tǒng)建設(shè)和驗(yàn)收 65.設(shè)備入網(wǎng)管理67第三節(jié)惡意軟件的防護(hù)67第四節(jié)軟件及補(bǔ)丁版本管理69第五節(jié)時(shí)鐘和時(shí)間同步70第六節(jié)第常工作70 TOC o 1-5 h z .維護(hù)作業(yè)計(jì)劃管理 70.數(shù)據(jù)與軟件備份70.操作日志72.日志審核72.故障管理
6、73.測試制度74.日常安全工作74第七節(jié)網(wǎng)絡(luò)安全控制75第八節(jié) (言息與軟件的交換76 TOC o 1-5 h z .信息與軟件交換協(xié)議 76. 交接過程中 的安全 76.電子商務(wù)安全77.電子郵件的安全 78.電子辦公系統(tǒng)的安全 79.信息發(fā)布的安全 80.其他形式7息交換的安全 81第五章網(wǎng)絡(luò)與信息系統(tǒng)的訪問控制 82第一節(jié)訪問控制策略82第二節(jié)用戶訪問管理84 TOC o 1-5 h z .用戶注冊(cè)84.超級(jí)權(quán)限的管理85. 口令管理87.用戶訪問權(quán)限核查 88第三節(jié).用戶職責(zé)88. 口令的使用88.無人值守的用戶設(shè)備 89第四節(jié)網(wǎng)絡(luò)訪問控制90.網(wǎng)絡(luò)服務(wù)使用策略 91.邏輯安全區(qū)域的
7、劃分與隔離 91.訪問路徑控制92.外部連接用戶的驗(yàn)證 93.網(wǎng)元節(jié)點(diǎn)驗(yàn)證93.端口保護(hù)94.網(wǎng)絡(luò)互聯(lián)控制94.網(wǎng)絡(luò)路由控制95.網(wǎng)絡(luò)服務(wù)的安全 95第五節(jié)操作系統(tǒng)的訪問控制95.終端自動(dòng)識(shí)別96.終端登錄程序96.用戶識(shí)別和驗(yàn)證97.口令管理系統(tǒng)97.限制系統(tǒng)工具的使用 98.強(qiáng)制警報(bào)99.終端超時(shí)關(guān)閉99.連接時(shí)間限制100第六節(jié)應(yīng)用訪問控制100.信息訪問限制100.隔離敏感應(yīng)用101第七節(jié)系統(tǒng)訪問與使用的監(jiān)控101 TOC o 1-5 h z .事件記錄102.監(jiān)控系統(tǒng)使用情況 102第八節(jié)移動(dòng)與遠(yuǎn)程工作104.移動(dòng)辦公104.遠(yuǎn)程辦公105第六章 系統(tǒng)開發(fā)與軟件維護(hù)的安全 107第一
8、節(jié)系統(tǒng)的安全需求107第二節(jié)應(yīng)用系統(tǒng)的安全109 TOC o 1-5 h z .輸入數(shù)據(jù)驗(yàn)證 109.內(nèi)部處理控制110.消息認(rèn)證111.輸出數(shù)據(jù)驗(yàn)證111第三節(jié)系統(tǒng)文件的安全112.操作系統(tǒng)軟件的控制 112.系統(tǒng)測試數(shù)據(jù)的保護(hù) 113.系統(tǒng)源代碼的訪問控制 114第四節(jié)開發(fā)和支持過程中的安全11510 TOC o 1-5 h z .變更控制程序115.軟件包的變更限制 116.后門及特洛伊代碼的防范 117.軟件開發(fā)外包的安全控制 118第五節(jié)加密技術(shù)控制措施118.加密技術(shù)使用策略 118.使用加密技術(shù)119.數(shù)字簽名120.不可否認(rèn)服務(wù)121.密鑰管理121第七章安全事件響應(yīng)及業(yè)務(wù)連續(xù)
9、性管理 124第一節(jié)安全事件及安全響應(yīng)124.及時(shí)發(fā)現(xiàn)與報(bào)告125.分析、協(xié)調(diào)與處理 125.總結(jié)與獎(jiǎng)懲127第二節(jié)業(yè)務(wù)連續(xù)性管理127.建立業(yè)務(wù)連續(xù)性管理程序 127.業(yè)務(wù)連續(xù)性和影響分析 128.制定并實(shí)施業(yè)務(wù)連續(xù)性方案 12911 TOC o 1-5 h z .業(yè)務(wù)連續(xù)性方案框架 130.維護(hù)業(yè)務(wù)連續(xù)性方案 132第八章安全審計(jì)134第一節(jié)遵守法律法規(guī)要求134.識(shí)別適用的法律法規(guī) 134.保護(hù)知識(shí)產(chǎn)權(quán)135.保護(hù)個(gè)人3息135.防止網(wǎng)絡(luò)與信息處理設(shè)施的不當(dāng)使用 136.加密技術(shù)控制規(guī)定 136.保護(hù)公司記錄137.收集證據(jù)137第二節(jié)安全審計(jì)的內(nèi)容138第三節(jié)安全審計(jì)管理138 TOC
10、 o 1-5 h z .獨(dú)立審計(jì)原則139.控制安全審計(jì)過程 139.保護(hù)審計(jì)記錄和工具 140參考文獻(xiàn)141術(shù)語和專有名詞 142附錄1:安全體系第二層項(xiàng)目清單(列表) 14312總則.網(wǎng)絡(luò)與信息安全的基本概念網(wǎng)絡(luò)與信息安全包括下列三個(gè)基本屬性:機(jī)密性(Confidentiality ):確保網(wǎng)絡(luò)設(shè)施和信息資源只 允許被授權(quán)人員訪問。根據(jù)信息的重要性和保密要求, 可以分為不同密級(jí),并具有時(shí)效性。完整性(Integrity ):確保網(wǎng)絡(luò)設(shè)施和信息及其處理的準(zhǔn) 確性和完整性??捎眯?Availability ):確保被授權(quán)用戶能夠在需要時(shí)獲 取網(wǎng)絡(luò)與信息資產(chǎn)。需要特別指出的是,網(wǎng)絡(luò)安全與信息安全
11、(包括但不限于內(nèi) 容安全)是一體的,不可分割的。.網(wǎng)絡(luò)與信息安全的重要性和普遍性網(wǎng)絡(luò)與信息都是資產(chǎn),具有不可或缺的重要價(jià)值。 無論對(duì)企 業(yè)、國家還是個(gè)人,保證其安全性是十分重要的。網(wǎng)絡(luò)與信息安全工作是企業(yè)運(yùn)營與發(fā)展的基礎(chǔ)和核心;是保證網(wǎng)絡(luò)品質(zhì)的基礎(chǔ);是保障客戶利益的基礎(chǔ)。中國移動(dòng)的網(wǎng)絡(luò)與信息安全也是國家安全的需要。13網(wǎng)絡(luò)與信息安全工作無所不在, 分散在每一個(gè)部門,每一個(gè) 崗位,甚至是每一個(gè)合作伙伴;同時(shí),網(wǎng)絡(luò)與信息安全是中國移 動(dòng)所有員工共同分擔(dān)的責(zé)任, 與每一個(gè)員工每一天的日常工作息 息相關(guān)。中國移動(dòng)所有員工必須統(tǒng)一思想, 提高認(rèn)識(shí),高度重視, 從自己開始,堅(jiān)持不懈地做好網(wǎng)絡(luò)與信息安全工作
12、。.中國移動(dòng)網(wǎng)絡(luò)與信息安全體系與安全策略現(xiàn)有規(guī)范國內(nèi)外標(biāo)準(zhǔn)合作方經(jīng)驗(yàn)安全評(píng)估結(jié)果卜第一層安全設(shè)備一絡(luò)務(wù)用網(wǎng)業(yè)應(yīng)I信息資產(chǎn)組織人員-物理環(huán)境一運(yùn)營維護(hù)系統(tǒng)開發(fā) 上訪問控制-,業(yè)務(wù)保障I 一 一安全審計(jì)L,第二層操作手冊(cè)流程、細(xì)則具體正施檢查1核,效果評(píng)估第三層中國移動(dòng)網(wǎng)絡(luò)與信息安全體系如上圖所示。中國移動(dòng)網(wǎng)絡(luò)與信息安全體系是由兩部分組成的。一部分是一系列安全策略和技術(shù)管理規(guī)范(第一、二層),另一部分是實(shí) 施層面的工作流程(第三層)。網(wǎng)絡(luò)與信息安全體系(NISS)總綱(以下簡稱總綱)位于 安全體系的第一層,是整個(gè)安全體系的最高綱領(lǐng)。 它主要闡述安 全的必要性、基本原則及宏觀策略??偩V具有高度的概括
13、性,涵14蓋了技術(shù)和管理兩個(gè)方面,對(duì)中國移動(dòng)各方面的安全工作具有通 用性。安全體系的第二層是一系列的技術(shù)規(guī)范和管理規(guī)定,是對(duì)總綱的分解和進(jìn)一步闡述,側(cè)重于共性問題、操作實(shí)施和管理考核, 提出具體的要求,對(duì)安全工作具有實(shí)際的指導(dǎo)作用。安全體系的第三層是操作層面, 它根據(jù)第一層和第二層的要 求,結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用環(huán)境, 制訂具體實(shí)施的細(xì)則、流程等, 具備最直觀的可操作性。安全體系也包含了實(shí)施層面的工作流程,結(jié)合三層安全策 略,進(jìn)行具體實(shí)施和檢查考核, 同時(shí)遵循動(dòng)態(tài)管理和閉環(huán)管理的 原則,通過定期的評(píng)估不斷修改完善。安全策略是在公司內(nèi)部,指導(dǎo)如何對(duì)網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。
14、中國移動(dòng)必須制訂并實(shí)施統(tǒng)一的 網(wǎng)絡(luò)與信息安全策略,明確安全管理的方向、目標(biāo)和范圍。安全 策略必須得到管理層的批準(zhǔn)和支持。安全策略應(yīng)被定期評(píng)審和修 訂,以確保其持續(xù)適宜性,特別是在組織結(jié)構(gòu)或技術(shù)基礎(chǔ)改變、 出現(xiàn)新的漏洞和威脅、發(fā)生重大安全事件時(shí)。中國移動(dòng)的安全策略是由安全體系三個(gè)層面的多個(gè)子策略組成的,具有分層結(jié)構(gòu)的完整體系,包含了從宏觀到微觀,從原 則方向到具體措施等多方面的內(nèi)容。 安全策略用來指導(dǎo)全網(wǎng)的網(wǎng) 絡(luò)與信息安全工作。15.安全需求的來源確立安全需求是建立完整的安全體系的首要工作。中國移動(dòng)的安全需求主要源自下述三個(gè)方面:系統(tǒng)化的安全評(píng)估。結(jié)合經(jīng)驗(yàn)教訓(xùn)和技術(shù)發(fā)展, 通過安全 評(píng)估分析公司
15、網(wǎng)絡(luò)和信息資產(chǎn)所面臨的威脅,存在的薄弱點(diǎn)和安全事件發(fā)生的可能性, 弁估計(jì)可能對(duì)公司造成的各 種直接的和潛在的影響。中國移動(dòng)及其合作伙伴、承包商、服務(wù)提供商必需遵守的 法律法規(guī)、行政條例和合同約束,以及公司對(duì)客戶的服務(wù) 承諾。公司運(yùn)營管理的目標(biāo)與策略。下圖說明了安全需求、風(fēng)險(xiǎn)評(píng)估和安全措施三者的關(guān)系。運(yùn)營管理 目標(biāo)策略安全措施16.安全風(fēng)險(xiǎn)的評(píng)估安全風(fēng)險(xiǎn)評(píng)估可以應(yīng)用于整個(gè)公司或某些部分,也可應(yīng)用于單個(gè)網(wǎng)絡(luò)信息系統(tǒng)、特定系統(tǒng)組件或服務(wù)。安全風(fēng)險(xiǎn)評(píng)估應(yīng)著重于:安全事件可能對(duì)中國移動(dòng)造成的損失,以及所產(chǎn)生的直接和潛在的影響。綜合考慮所有風(fēng)險(xiǎn),以及目前已實(shí)施的控制措施, 判斷此 類安全事件發(fā)生的實(shí)際可能
16、性。從安全角度,對(duì)公司現(xiàn)有的管理制度和流程本身的合理性 與完備程度進(jìn)行評(píng)估。安全風(fēng)險(xiǎn)評(píng)估應(yīng)本著可行、實(shí)際和有效的原則,通過標(biāo)準(zhǔn)統(tǒng) 一的評(píng)估程序和方法,量化安全風(fēng)險(xiǎn),確定安全風(fēng)險(xiǎn)的危險(xiǎn)級(jí)別, 從而采取合理措施防范或降低安全風(fēng)險(xiǎn)。需要特別指出的是:為適應(yīng)業(yè)務(wù)發(fā)展的變化, 應(yīng)對(duì)新出現(xiàn)的 威脅和漏洞,評(píng)估現(xiàn)有控制措施的有效性及合理性, 必須周期性 地進(jìn)行安全風(fēng)險(xiǎn)評(píng)估并調(diào)整控制措施,且應(yīng)在不同的層面進(jìn)行, 為高風(fēng)險(xiǎn)領(lǐng)域優(yōu)先分配資金、人力等資源。17.安全措施的選擇原則有效性。安全措施的實(shí)施必須能夠確保風(fēng)險(xiǎn)被降低到可以 接受的水平,達(dá)到期望的安全目標(biāo)??尚行?。安全措施必須在技術(shù)上是可操作的, 可以實(shí)現(xiàn)的。
17、某些安全措施不具備通用性, 需要因地制宜的考慮具體實(shí)施環(huán)境。實(shí)際性。應(yīng)從管理、財(cái)務(wù)等非技術(shù)因素詳細(xì)分析待實(shí)施的安全措施,綜合比較實(shí)施成本與由此減少的潛在損失,非經(jīng)濟(jì)因素也應(yīng)考慮在內(nèi)。公司應(yīng)在遵循以上原則的基礎(chǔ)上, 根據(jù)網(wǎng)絡(luò)與信息資產(chǎn)面臨 風(fēng)險(xiǎn)的大小,區(qū)分輕重緩急,實(shí)施相應(yīng)的安全控制措施。.安全工作的起點(diǎn)根據(jù)一般性規(guī)律和業(yè)界的實(shí)際經(jīng)驗(yàn), 網(wǎng)絡(luò)與信息安全工作的開展可以從以下幾個(gè)方面著手:法律方面:數(shù)據(jù)保護(hù)以及個(gè)人隱私保護(hù)、 公司記錄保護(hù)和知識(shí)產(chǎn)權(quán)保護(hù)等。業(yè)界慣例:安全策略制訂、安全職責(zé)劃分、安全教育與培訓(xùn)I、安全事件響應(yīng)和業(yè)務(wù)連續(xù)性管理等。18需要指出的是,上述內(nèi)容不能取代根據(jù)安全風(fēng)險(xiǎn)評(píng)估選擇控
18、制措施的基本原則。任何控制措施的選取都應(yīng)當(dāng)依據(jù)實(shí)際面臨的 具體風(fēng)險(xiǎn)來確定。.關(guān)鍵性的成功因素為了確保網(wǎng)絡(luò)與信息安全工作的順利實(shí)施,下列因素至關(guān)重要:公司管理層的高度重視、明確支持和承諾;安全工作組織與人員的落實(shí);安全策略、目標(biāo)和措施應(yīng)與公司經(jīng)營目標(biāo)一致;安全工作的具體實(shí)施必須同公司的企業(yè)文化相兼容;深刻理解安全需求、風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)管理;在全體員工中建立網(wǎng)絡(luò)與信息安全無處不在的安全理念;建立全面、均衡、可行的評(píng)估、考核體系,以衡量網(wǎng)絡(luò)與信息安全管理工作的水平;向所有員工和第三方( 包括承包商、合作伙伴、客戶等) 分發(fā)網(wǎng)絡(luò)與信息安全指南,并提供相應(yīng)的培訓(xùn)和教育。19.安全標(biāo)準(zhǔn)綜述本標(biāo)準(zhǔn)依據(jù)國際規(guī)范
19、,參考業(yè)界的成熟經(jīng)驗(yàn),結(jié)合中國移動(dòng) 的實(shí)際情況,制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守的基本 原則和要求,將安全工作要點(diǎn)歸結(jié)到以下八個(gè)方面:組織與人員集團(tuán)公司和各省公司必須建立公司級(jí)別的網(wǎng)絡(luò)與信息安全 常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu),全面負(fù)責(zé)公司的網(wǎng)絡(luò)與信息安全工作。安全領(lǐng)導(dǎo)機(jī)構(gòu)必須明確劃分安全職責(zé)并建立內(nèi)部協(xié)調(diào)機(jī)制。公司必須設(shè)立專職安全隊(duì)伍,建立安全事件響應(yīng)流程和聯(lián)絡(luò)人制度。公司應(yīng)與 外部安全專家和其他相關(guān)組織加強(qiáng)溝通與協(xié)作。中國移動(dòng)的所有崗位職責(zé)中必須包含安全內(nèi)容,并盡量實(shí)現(xiàn)職責(zé)分隔。公司應(yīng)實(shí)施人員考察制度。 公司的所有員工及使用中 國移動(dòng)網(wǎng)絡(luò)與信息資產(chǎn)的其他組織人員都應(yīng)當(dāng)簽署保密協(xié)議。中國移動(dòng)的所有員工都
20、應(yīng)當(dāng)接受網(wǎng)絡(luò)與信息安全培訓(xùn)。第三方訪問和外包服務(wù)必須受到控制,應(yīng)事先進(jìn)行風(fēng)險(xiǎn)評(píng) 估,分析安全影響并制訂相應(yīng)措施。同第三方和外包服務(wù)機(jī)構(gòu)簽 訂的合同中應(yīng)包含雙方認(rèn)可的安全條款。公司應(yīng)與客戶簽署相關(guān)協(xié)議,明確雙方在網(wǎng)絡(luò)與信息安全方 面的權(quán)利與義務(wù)及違約責(zé)任,保障客戶與公司雙方的利益。網(wǎng)絡(luò)與信息資產(chǎn)管理20公司必須建立詳細(xì)準(zhǔn)確的網(wǎng)絡(luò)與信息資產(chǎn)清單和嚴(yán)格的資 產(chǎn)責(zé)任制度。每一項(xiàng)資產(chǎn)都應(yīng)當(dāng)指定“責(zé)任人”,分配其相應(yīng)的安 全管理職權(quán),并由其承擔(dān)相應(yīng)的安全責(zé)任?!柏?zé)任人”可以將具體 的工作職責(zé)委派給“維護(hù)人”,但“責(zé)任人”仍必須承擔(dān)資產(chǎn)安全的 最終責(zé)任。根據(jù)網(wǎng)絡(luò)與信息資產(chǎn)的敏感度和重要性,必須對(duì)其進(jìn)行分類
21、和標(biāo)注,并采取相應(yīng)的管理措施。物理與環(huán)境安全公司的關(guān)鍵或敏感的網(wǎng)絡(luò)與信息處理設(shè)施應(yīng)被放置在安全 區(qū)域內(nèi),由指定的安全邊界予以保護(hù)。根據(jù)不同的安全需求等級(jí), 公司應(yīng)劃分不同的安全區(qū)域,例如:機(jī)房、辦公區(qū)和第三方接入 區(qū)。針對(duì)不同的安全區(qū)域,公司應(yīng)采取不同等級(jí)的安全防護(hù)和訪 問控制措施,阻止非法訪問、破壞和干擾。工程施工期間也應(yīng)遵 守相關(guān)規(guī)定,加強(qiáng)安全區(qū)域的保護(hù)。公司必須制定清理辦公環(huán)境及合理使用計(jì)算機(jī)設(shè)備的規(guī)定。 網(wǎng)絡(luò)與信息處理設(shè)施的處置與轉(zhuǎn)移應(yīng)遵守相應(yīng)的安全要求。通信與運(yùn)營管理安全公司應(yīng)建立網(wǎng)絡(luò)與信息處理設(shè)施的管理和操作的職責(zé)及流 程,并盡可能地實(shí)現(xiàn)職責(zé)分離。開發(fā)、調(diào)測和運(yùn)營環(huán)境應(yīng)保持相 對(duì)隔
22、離。21公司應(yīng)做好系統(tǒng)容量的監(jiān)視和規(guī)劃。配套安全系統(tǒng)應(yīng)與業(yè)務(wù) 系統(tǒng)“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”。新建或擴(kuò)容系統(tǒng)的審批 應(yīng)包含安全內(nèi)容,并在交付使用前做好測試和驗(yàn)收工作。涉及安全方面的審批工作應(yīng)由安全機(jī)構(gòu)人員負(fù)責(zé)。公司應(yīng)加強(qiáng)防范意識(shí),采取有效措施,預(yù)防和控制惡意軟件。公司應(yīng)采取相應(yīng)技術(shù)手段,確保時(shí)鐘和時(shí)間同步。公司應(yīng)建立嚴(yán)格的軟件管理制度,及時(shí)加載安全補(bǔ)丁,定期進(jìn)行系統(tǒng)安全漏洞評(píng)估,并執(zhí)行系統(tǒng)加固解決方案。公司應(yīng)當(dāng)制定備份制度,執(zhí)行備份策略,并定期演練數(shù)據(jù)恢 復(fù)過程。記錄操作和故障日志。公司必須采取多種控制措施,保護(hù)網(wǎng)絡(luò)設(shè)備及其上信息的安 全,尤其是網(wǎng)絡(luò)邊界和與公共網(wǎng)絡(luò)交換的信息??刹扇〉目?/p>
23、制措施如:訪問控制技術(shù)、加密技術(shù)、網(wǎng)管技術(shù)、安全設(shè)備、安全協(xié) 議等。公司應(yīng)制定信息存儲(chǔ)介質(zhì)的管理制度和處置流程。應(yīng)特別加強(qiáng)對(duì)可移動(dòng)存儲(chǔ)介質(zhì)和系統(tǒng)文檔的管理。公司在與其他組織交換信息和軟件時(shí),應(yīng)遵從相應(yīng)的法律或 合同規(guī)定,采取必要的控制措施。公司應(yīng)制定相應(yīng)的程序和標(biāo)準(zhǔn), 以保護(hù)傳送過程中的信息和媒介安全,尤其要考慮電子商務(wù)、電22 子郵件等應(yīng)用的安全控制需求。公司還應(yīng)制定信息發(fā)布管理規(guī) 定。訪問控制公司應(yīng)基于業(yè)務(wù)和安全需求, 制定訪問控制策略,并明確用 戶職責(zé),加強(qiáng)用戶訪問控制管理。 公司應(yīng)加強(qiáng)對(duì)移動(dòng)辦公和遠(yuǎn)程 辦公的管理。公司應(yīng)加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)的訪問控制, 如在公司網(wǎng)絡(luò)邊界設(shè)
24、置合適的接口, 采取有效的用戶和設(shè)備驗(yàn)證 機(jī)制,控制用戶訪問,隔離敏感信息。同時(shí)應(yīng)監(jiān)控對(duì)系統(tǒng)的訪問 和使用,記錄并審查事件日志。開發(fā)與維護(hù)新系統(tǒng)的開發(fā),包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、支撐系統(tǒng),必須遵循系 統(tǒng)安全生命周期管理流程。在開發(fā)新系統(tǒng)之前,應(yīng)確認(rèn)安全需求。 在設(shè)計(jì)中應(yīng)采用合適的控制措施、審計(jì)跟蹤記錄和活動(dòng)日志, 包括輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)的驗(yàn)證。 應(yīng)用系統(tǒng)不應(yīng)在程序 或進(jìn)程中固化賬戶和口令,系統(tǒng)應(yīng)具備對(duì)口令猜測的防范機(jī)制和 監(jiān)控手段。公司應(yīng)通過風(fēng)險(xiǎn)評(píng)估來確定加密策略,基于統(tǒng)一的標(biāo)準(zhǔn)和程 序建立加密管理規(guī)范。23在系統(tǒng)開發(fā)及維護(hù)過程中,應(yīng)嚴(yán)格執(zhí)行系統(tǒng)開發(fā)流程管理, 包括對(duì)開發(fā)、測試和生產(chǎn)環(huán)境的變
25、更控制,以保證系統(tǒng)軟硬件和 數(shù)據(jù)的安全。安全事件響應(yīng)與業(yè)務(wù)連續(xù)性公司必須貫徹“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)與確?;謴?fù)” 的方針,建立安全事件響應(yīng)流程和獎(jiǎng)懲機(jī)制。如有必要,應(yīng)盡快 收集相關(guān)證據(jù)。公司應(yīng)實(shí)施業(yè)務(wù)連續(xù)性管理,通過分析安全事件對(duì)業(yè)務(wù)系統(tǒng) 的影響,制定并實(shí)施應(yīng)急方案,并定期更新、維護(hù)和測試。安全審計(jì)網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、 操作、使用和管理必須遵從國家法 律、信息產(chǎn)業(yè)部相關(guān)管理?xiàng)l例以及合同規(guī)定的安全要求。安全審計(jì)應(yīng)遵循獨(dú)立原則,定期檢查網(wǎng)絡(luò)與信息系統(tǒng)安全, 檢驗(yàn)安全政策和技術(shù)規(guī)范的執(zhí)行情況。應(yīng)采取有效的控制措施保 護(hù)網(wǎng)絡(luò)與信息系統(tǒng)及審計(jì)工具, 使安全審計(jì)的效果最大化, 影響 最小化。.適用
26、范圍本標(biāo)準(zhǔn)適用于中國移動(dòng)的所有網(wǎng)絡(luò)與信息系統(tǒng)(包括但不限于業(yè)務(wù)網(wǎng)絡(luò)、支撐網(wǎng)絡(luò)),及組織和人員。24本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)歸中國移動(dòng)通信集團(tuán)公司25第一章組織與人員 第一節(jié)組織機(jī)構(gòu)安全工作“三分靠技術(shù),七分靠管理”,建立有效的組織機(jī)構(gòu) 是安全管理的基礎(chǔ)。不健全的安全管理機(jī)制是網(wǎng)絡(luò)與信息安全最 大的薄弱點(diǎn)。.領(lǐng)導(dǎo)機(jī)構(gòu)集團(tuán)公司和各省公司必須建立公司級(jí)別的網(wǎng)絡(luò)與信息安全 常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu),全面負(fù)責(zé)公司的網(wǎng)絡(luò)與信息安全工作。該機(jī)構(gòu)應(yīng)由公司級(jí)別主管領(lǐng)導(dǎo)負(fù)責(zé),各相關(guān)部門領(lǐng)導(dǎo)組成。安全領(lǐng)導(dǎo)機(jī)構(gòu)應(yīng)為公司的安全管理指明清晰的方向,并提供強(qiáng)有力的管理層支持。安全領(lǐng)導(dǎo)機(jī)構(gòu)應(yīng)通過合理的承諾和充分的 資源配置,來推進(jìn)整個(gè)公司
27、的網(wǎng)絡(luò)與信息安全工作。集團(tuán)公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組是中國移動(dòng)網(wǎng)絡(luò)與信息 安全管理的最高決策機(jī)構(gòu)。安全領(lǐng)導(dǎo)機(jī)構(gòu)承擔(dān)以下責(zé)任:a)審查并批準(zhǔn)公司的網(wǎng)絡(luò)與信息安全策略;b)分配安全管理總體職責(zé);c)在網(wǎng)絡(luò)與信息資產(chǎn)暴露于重大威脅時(shí),監(jiān)督控制可能發(fā)生的重大變化;26d)對(duì)安全管理的重大更改事項(xiàng)(例如:組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信息系統(tǒng)更改等)進(jìn)行決策;e)指揮、協(xié)調(diào)、督促并審查重大安全事件的處理。.工作組織公司各部門應(yīng)建立專職或兼職的安全隊(duì)伍,從事具體的安全工作。安全工作需要多個(gè)部門的共同參與,為迅速解決工作中出現(xiàn)的問題,防止相互推諉,提高工作效率,公司必須建立跨部門 的協(xié)調(diào)機(jī)制。具體協(xié)調(diào)機(jī)構(gòu)應(yīng)由
28、各部門從事安全工作的相關(guān)人員 組成,并明確牽頭部門或人員。條件成熟時(shí),應(yīng)成立獨(dú)立的安全 工作組織。集團(tuán)公司網(wǎng)絡(luò)與信息安全辦公室是中國移動(dòng)網(wǎng)絡(luò)與信息安 全工作的具體組織機(jī)構(gòu)。工作組織承擔(dān)以下責(zé)任:a)制定相關(guān)的安全崗位及職責(zé);b)制定并落實(shí)相關(guān)安全管理制度;c)制定并落實(shí)安全保護(hù)方案;d)審批新系統(tǒng)或服務(wù)的規(guī)劃和設(shè)計(jì)中的安全部分,并監(jiān)督其實(shí)施落實(shí);e)審批業(yè)務(wù)連續(xù)性方案;27f)牽頭處理網(wǎng)絡(luò)與信息安全事件;g)組織安全評(píng)估和安全審計(jì)工作;h)輔助領(lǐng)導(dǎo)機(jī)構(gòu)進(jìn)行安全方面的決策;i)完成部門間的協(xié)調(diào)工作,分派并落實(shí)某項(xiàng)具體工作中各部 門的職責(zé);j)獲取和發(fā)布安全信息;k)完成領(lǐng)導(dǎo)機(jī)構(gòu)下達(dá)的各項(xiàng)任務(wù)。.
29、安全職責(zé)的分配為明確安全責(zé)任,劃分(界定)安全管理與具體執(zhí)行之間的 工作職責(zé),公司必須建立安全責(zé)任制度。安全責(zé)任分配的基本原則是“誰主管,誰負(fù)責(zé)”。公司擁有的每 項(xiàng)網(wǎng)絡(luò)與信息資產(chǎn),必須根據(jù)資產(chǎn)歸屬確定“責(zé)任人”?!柏?zé)任人” 對(duì)資產(chǎn)安全保護(hù)負(fù)有完全責(zé)任?!柏?zé)任人”可以是個(gè)人或部門,但 “責(zé)任人”是部門時(shí),應(yīng)由該部門領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)?!柏?zé)任人”可以將具體的執(zhí)行工作委派給“維護(hù)人”,但“責(zé)任人” 仍然必須承擔(dān)資產(chǎn)安全的最終責(zé)任。 因此“責(zé)任人”應(yīng)明確規(guī)定“維 護(hù)人”的工作職責(zé),并定期檢查“維護(hù)人”是否正確履行了安全職 責(zé)?!熬S護(hù)人”可以是個(gè)人或部門,也可以是外包服務(wù)提供商。當(dāng)“維 護(hù)人”是部門時(shí),應(yīng)由該
30、部門領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)。28安全工作人員的職責(zé)是指導(dǎo)、監(jiān)督、管理、考核“責(zé)任人”的安全工作,不能替代“責(zé)任人”對(duì)具體網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行安全保護(hù)。在資產(chǎn)的安全保護(hù)工作中,應(yīng)重點(diǎn)關(guān)注以下內(nèi)容:a)應(yīng)清楚地說明每個(gè)獨(dú)立的網(wǎng)絡(luò)與信息系統(tǒng)所包含的各種資 產(chǎn)和相應(yīng)的安全保護(hù)流程。b) “責(zé)任人”與“維護(hù)人”都應(yīng)明確接受其負(fù)責(zé)的安全職責(zé)和安 全保護(hù)流程,并對(duì)該職責(zé)的詳細(xì)內(nèi)容記錄在案。c)所有授權(quán)的內(nèi)容和權(quán)限應(yīng)當(dāng)被明確規(guī)定,并記錄在案。.職責(zé)分散與隔離職責(zé)分隔(Segregation of Duties )是一種減少偶然或故意行為造成安全風(fēng)險(xiǎn)的方法。 公司應(yīng)分散某些任務(wù)的管理、 執(zhí)行及職 責(zé)范圍,以減少誤用或?yàn)E用職
31、責(zé)帶來風(fēng)險(xiǎn)的概率。 例如關(guān)鍵數(shù)據(jù) 修改的審批與制作必須分開。在無法實(shí)現(xiàn)職責(zé)充分分散的情況下,應(yīng)采取其他補(bǔ)償控制措 施并記錄在案。例如:活動(dòng)監(jiān)控、檢查審計(jì)跟蹤記錄以及管理監(jiān)督等。為避免串通勾結(jié)等欺詐活動(dòng),公司應(yīng)盡量隔離相應(yīng)職責(zé),并 增加執(zhí)行和監(jiān)督人員,以降低串通的可能性。29.安全信息的獲取和發(fā)布信息技術(shù)的發(fā)展日新月異,安全工作愈發(fā)復(fù)雜和困難。公司 必須建立有效可靠的渠道,獲取安全信息,不斷推進(jìn)安全工作。 例如:a)從內(nèi)部挑選經(jīng)驗(yàn)豐富的安全管理和技術(shù)人員,組成內(nèi)部專家組,制定安全解決方案,參與安全事件處理,解決實(shí)際 安全問題,提供預(yù)防性建議等。為使內(nèi)部專家組的工作更 具成效,應(yīng)允許他們直接接觸公
32、司的管理層。b)與設(shè)備提供商、安全服務(wù)商等外部安全專家保持緊密聯(lián) 系,聽取他們的安全建議。c)從一些公開的信息渠道獲取安全信息,例如專業(yè)出版物、 定期公告等。中國移動(dòng)權(quán)威的安全信息發(fā)布機(jī)構(gòu)為集團(tuán)公司安全辦公室。集團(tuán)公司負(fù)責(zé)收集和整理并向各省發(fā)布安全信息;各省負(fù)責(zé)省內(nèi)發(fā)布和信息上報(bào)。.加強(qiáng)與外部組織之間的協(xié)作公司應(yīng)加強(qiáng)與國家安全機(jī)關(guān)、行業(yè)監(jiān)管部門、其他運(yùn)營商和 信息服務(wù)提供商等外部組織的聯(lián)系,并建立協(xié)作流程,以便在出 現(xiàn)安全事件時(shí),盡快獲取信息、采取措施。30公司在加入安全組織或與其他組織進(jìn)行交流時(shí),應(yīng)對(duì)信息交 換予以嚴(yán)格限制,以確保公司信息的保密性。.安全審計(jì)的獨(dú)立性安全審計(jì)是從管理和技術(shù)兩個(gè)
33、方面檢查公司的安全策略和 控制措施的執(zhí)行情況,發(fā)現(xiàn)安全隱患的過程。安全審計(jì)的獨(dú)立性是指審計(jì)方與被審計(jì)方應(yīng)保持相對(duì)獨(dú)立, 即不能自己審計(jì)自己的工作,以確保審計(jì)結(jié)果的公正可靠。安全審計(jì)可由公司內(nèi)部審計(jì)組織, 或外聘的專業(yè)審計(jì)機(jī)構(gòu)完 成。審計(jì)人員應(yīng)接受審計(jì)培訓(xùn),掌握一定的技能和經(jīng)驗(yàn)。當(dāng)采用 外聘審計(jì)機(jī)構(gòu)時(shí),應(yīng)充分考慮其風(fēng)險(xiǎn),并采取相應(yīng)的控制措施。第二節(jié)崗位職責(zé)與人員考察.崗位職責(zé)中的安全內(nèi)容中國移動(dòng)的崗位描述中都應(yīng)明確包含安全職責(zé),并形成正式文件記錄在案。安全描述應(yīng)包括落實(shí)安全政策的常規(guī)職責(zé)和保護(hù) 具體資產(chǎn)或執(zhí)行具體安全程序或活動(dòng)的特定職責(zé)。公司管理層應(yīng)向所有員工告知其自身的崗位職責(zé),并監(jiān)督執(zhí)行。3
34、1.人員考察公司應(yīng)明確員工的雇用條件和考察評(píng)價(jià)的方法與程序,減少因雇用不當(dāng)而產(chǎn)生的安全風(fēng)險(xiǎn)。人員考察的內(nèi)容應(yīng)包括:a)來自組織和個(gè)人的品格鑒定;b)學(xué)歷和履歷的真實(shí)性和完整性;c)學(xué)術(shù)及專業(yè)資格;d)身份查驗(yàn)。在首次聘用、內(nèi)部轉(zhuǎn)崗、職位晉升等情況下,公司應(yīng)進(jìn)行人 員考察。需要特別指出的是:對(duì)接觸公司機(jī)密信息或擁有較大權(quán) 力的人員,應(yīng)定期重復(fù)進(jìn)行考察。考察的對(duì)象包括:正式員工、臨時(shí)人員、承包商。需要注意 的是:如果使用中介機(jī)構(gòu)提供的人員, 同中介機(jī)構(gòu)簽署的協(xié)議應(yīng) 當(dāng)明確規(guī)定中介機(jī)構(gòu)的審查責(zé)任和通知程序。另外,對(duì)新員工和經(jīng)驗(yàn)不足的員工應(yīng)加強(qiáng)指導(dǎo)和管理。員工的個(gè)人情況變化會(huì)影響他們的工作。例如個(gè)人問
35、題或經(jīng) 濟(jì)問題、行為和生活方式的變化、 反復(fù)缺席以及明顯的壓力和消 沉都有可能導(dǎo)致欺詐、盜竊、差錯(cuò)或者其他安全問題。管理層應(yīng) 關(guān)注此情況,并遵照相關(guān)制度予以處置。32.保密協(xié)議公司應(yīng)與所有員工簽訂保密協(xié)議。保密協(xié)議可以作為勞動(dòng)合 同條款的一部分。保密協(xié)議應(yīng)明確規(guī)定員工承擔(dān)的安全責(zé)任、保密要求和違約 責(zé)任。在雇用合同出現(xiàn)變化時(shí)應(yīng)對(duì)保密協(xié)議的內(nèi)容和執(zhí)行情況進(jìn)行 審查,特別是當(dāng)員工離開公司或者合同終止時(shí)。.勞動(dòng)合同勞動(dòng)合同中應(yīng)包含網(wǎng)絡(luò)與信息安全條款,明確規(guī)定員工的安 全責(zé)任和違約罰則。這些責(zé)任可延伸至公司場所以外和正常工作 時(shí)間以外。必要時(shí),這些責(zé)任應(yīng)在雇用結(jié)束后延續(xù)一段特定的時(shí) 間。.員工培訓(xùn)所有
36、員工必須接受安全教育或培訓(xùn),一般內(nèi)容包括:公司網(wǎng) 絡(luò)與信息安全策略、安全職責(zé)、安全管理規(guī)章制度和法律法規(guī)。 不同崗位的員工應(yīng)接受符合其工作要求的必要的專業(yè)技能培訓(xùn)。33第三節(jié) 第三方訪問與外包服務(wù)的安全.第三方訪問的安全第三方,是指除中國移動(dòng)以外,所有的組織和人員。第三方訪問的風(fēng)險(xiǎn)第三方的訪問類型可分為物理訪問和邏輯訪問,例如進(jìn)入公 司機(jī)房、接入公司信息系統(tǒng)等。公司應(yīng)審核第三方的訪問需求,進(jìn)行風(fēng)險(xiǎn)分析,確定控制措 施。風(fēng)險(xiǎn)分析時(shí)需要考慮的因素有:訪問類型、信息的價(jià)值、第 三方采取的控制措施以及該訪問對(duì)公司造成的潛在影響。需要特別指出的是,應(yīng)加強(qiáng)對(duì)第三方臨時(shí)人員現(xiàn)場訪問的管 理,清潔人員、餐飲服
37、務(wù)人員、保安人員、實(shí)習(xí)生、咨詢顧問等 人員也不應(yīng)被忽視。第三方訪問的控制措施公司應(yīng)采取以下措施,對(duì)第三方訪問進(jìn)行控制:公司應(yīng)與第三方公司法人簽署保密協(xié)議,并要求其第三方個(gè)人簽署保密承諾,此項(xiàng)工作應(yīng)在第三方獲得網(wǎng)絡(luò)與 信息資產(chǎn)的訪問權(quán)限之前完成。實(shí)行訪問授權(quán)管理,未經(jīng)授權(quán),第三方不得進(jìn)行任何形式的訪問34公司應(yīng)加強(qiáng)第三方訪問的過程控制,監(jiān)督其活動(dòng)及操作。公司應(yīng)對(duì)第三方人員進(jìn)行適當(dāng)?shù)陌踩麄髋c培訓(xùn)。第三方人員應(yīng)佩帶易于識(shí)別的標(biāo)志,并在訪問公司重要場所時(shí)有專人陪同。在與第三方簽署合同時(shí),應(yīng)明確規(guī)定安全要求。如:安全目 標(biāo)、保護(hù)對(duì)象、雙方責(zé)任與權(quán)力、服務(wù)種類與級(jí)別、事件通報(bào)處 理流程、第三方引入分包商
38、的規(guī)定等。需要特別指出的是,在相應(yīng)的控制措施未落實(shí)之前,或相關(guān) 合同(保密協(xié)議)尚未簽署之前,第三方不得訪問公司的任何網(wǎng) 絡(luò)與信息系統(tǒng)。.外包服務(wù)的安全當(dāng)公司將網(wǎng)絡(luò)與信息系統(tǒng)的管理職責(zé)全部或部分外包給其 他組織時(shí),如果控制不當(dāng),會(huì)帶來很大的安全風(fēng)險(xiǎn)。因此,管理 層在進(jìn)行外包決策時(shí),應(yīng)考慮下列事項(xiàng):a)必須綜合權(quán)衡外包風(fēng)險(xiǎn)和由外包帶來的成本優(yōu)勢(shì),并根據(jù) 公司安全策略決定何種服務(wù)可以外包。公司應(yīng)明確禁止外 包的敏感和關(guān)鍵應(yīng)用。b)必須獲得設(shè)備責(zé)任人的批準(zhǔn);35c)對(duì)業(yè)務(wù)連續(xù)性的影響;d)規(guī)定的安全標(biāo)準(zhǔn)以及用于審計(jì)的程序;e)有效監(jiān)控和管理所有與外包相關(guān)的安全活動(dòng)所需的特定的 職責(zé)和程序;f)上報(bào)和
39、處理安全事件的責(zé)任和程序;g)對(duì)外包服務(wù)商的資格、素質(zhì)、能力進(jìn)行考核、管理和審計(jì);在外包合同中,除了包含第三方合同中提到的安全要素外, 還應(yīng)強(qiáng)調(diào)以下具體內(nèi)容:a)如何確保參與外包的所有各方(包括分包商)都能夠意識(shí) 到自己的安全職責(zé);b)如何保證并檢查公司相關(guān)資產(chǎn)(特別是敏感商業(yè)信息)的 完整性和機(jī)密性;c)如何保證在發(fā)生故障和災(zāi)難時(shí),服務(wù)與業(yè)務(wù)的連續(xù)性和可 用性;d)為外包設(shè)備提供什么樣的物理安全;e)審計(jì)權(quán)??紤]到今后的發(fā)展,外包合同應(yīng)允許在各方約定的安全框架 內(nèi)擴(kuò)展安全要求和流程。36第四節(jié)客戶使用業(yè)務(wù)的安全公司應(yīng)與客戶簽署相關(guān)協(xié)議,明確雙方在網(wǎng)絡(luò)與信息安全方 面的權(quán)利、義務(wù)及違約責(zé)任,保
40、障客戶與公司雙方的利益。如專 線用戶、IDC用戶等。公司應(yīng)提供必要的安全培訓(xùn),使客戶意識(shí)到網(wǎng)絡(luò)與信息安全 威脅及利害關(guān)系,了解并支持遵守公司的安全策略和控制措施, 提高他們的安全意識(shí)和防范能力。37第二章網(wǎng)絡(luò)與信息資產(chǎn)管理 第一節(jié)網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任制度.資產(chǎn)清單公司各部門應(yīng)編制并保留各自責(zé)任范圍內(nèi)的各套網(wǎng)絡(luò)與信 息系統(tǒng)的重要資產(chǎn)清單,明確每件資產(chǎn)的責(zé)任人和安全保護(hù)級(jí) 別,同時(shí)還應(yīng)當(dāng)確定其當(dāng)前位置。公司安全工作組織應(yīng)匯總、保 留全公司完整的資產(chǎn)清單。網(wǎng)絡(luò)與信息資產(chǎn)例如:實(shí)物資產(chǎn):計(jì)算機(jī)設(shè)備、數(shù)據(jù)網(wǎng)絡(luò)通信設(shè)備(路由器、 交換機(jī)等);磁性媒介(磁帶和磁盤等)、其他技術(shù)設(shè)備(電源以及空調(diào)裝置等)等;信
41、息資產(chǎn):技術(shù)文檔、配置數(shù)據(jù)、拓?fù)鋱D等;軟件資產(chǎn):應(yīng)用軟件、系統(tǒng)軟件以及開發(fā)工具等;需要特別指出的是,在確定資產(chǎn)清單中各項(xiàng)資產(chǎn)的安全保護(hù) 等級(jí)時(shí),必須依據(jù)該資產(chǎn)的相對(duì)價(jià)值, 尤其要根據(jù)該資產(chǎn)所在系 統(tǒng)的服務(wù)對(duì)象、所處地點(diǎn)、承載業(yè)務(wù)等方面的不同,分為不同的 安全保護(hù)級(jí)別,采取不同的安全保護(hù)措施。38.資產(chǎn)責(zé)任制度網(wǎng)絡(luò)與信息都是資產(chǎn),是企業(yè)運(yùn)營與發(fā)展的基礎(chǔ)和核心, 具 有不可或缺的重要價(jià)值。中國移動(dòng)必須建立嚴(yán)格的資產(chǎn)責(zé)任制 度,以有效保護(hù)網(wǎng)絡(luò)與信息資產(chǎn)。資產(chǎn)責(zé)任制度的要點(diǎn)如下:a)公司必須為網(wǎng)絡(luò)與信息資產(chǎn)建立詳細(xì)清單,并維護(hù)其準(zhǔn)確 性與完整性。具體可以按照網(wǎng)絡(luò)與信息資產(chǎn)所屬系統(tǒng)或所 在部門列出,并給
42、出諸如資產(chǎn)名稱、所處位置、資產(chǎn)責(zé)任 人、資產(chǎn)分類及重要性級(jí)別等相關(guān)信息。b)公司應(yīng)根據(jù)資產(chǎn)的相對(duì)價(jià)值大小來確定其重要性,即根據(jù) 資產(chǎn)受威脅所產(chǎn)生的實(shí)際影響和其本身的價(jià)值來綜合評(píng) 價(jià)。c) “誰主管,誰負(fù)責(zé)”。公司擁有的每項(xiàng)網(wǎng)絡(luò)與信息資產(chǎn), 必須 根據(jù)資產(chǎn)歸屬確定“責(zé)任人”,分配其相應(yīng)的安全管理職權(quán), 并由其承擔(dān)相應(yīng)的安全責(zé)任。資產(chǎn)“責(zé)任人”可以將具體的安 全職責(zé)委派給“維護(hù)人”,但“責(zé)任人”仍須承擔(dān)資產(chǎn)安全的最 終責(zé)任。d)任何對(duì)網(wǎng)絡(luò)與信息資產(chǎn)的變更、訪問必須在獲得資產(chǎn)責(zé)任人的批準(zhǔn)后進(jìn)行。39e)維護(hù)人應(yīng)根據(jù)與資產(chǎn)責(zé)任人達(dá)成一致的維護(hù)要求,保證所 維護(hù)網(wǎng)絡(luò)與信息資產(chǎn)的機(jī)密性、完整性和可用性。f
43、)定期對(duì)網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行清查盤點(diǎn),確保資產(chǎn)帳物相符 和完好無損。g)未經(jīng)管理人員批準(zhǔn),任何人都不得將公司資產(chǎn)用于私人目 的,公司有權(quán)對(duì)有意誤用者進(jìn)行紀(jì)律懲戒。在資產(chǎn)責(zé)任制度中,可對(duì)資產(chǎn)責(zé)任人、資產(chǎn)維護(hù)人等的職責(zé) 和權(quán)利作如下細(xì)化:責(zé)任人的職責(zé)和權(quán)限網(wǎng)絡(luò)與信息資產(chǎn)的責(zé)任人是指負(fù)責(zé)管理網(wǎng)絡(luò)與信息資產(chǎn)并落 實(shí)相應(yīng)安全措施的個(gè)人或部門。a)所有網(wǎng)絡(luò)與信息資產(chǎn)都必須指定責(zé)任人。b)責(zé)任人及其領(lǐng)導(dǎo)負(fù)責(zé)進(jìn)行風(fēng)險(xiǎn)分析,根據(jù)信息保密標(biāo)準(zhǔn)分 類確定、鑒別并記錄其所擁有的網(wǎng)絡(luò)與信息資產(chǎn)的安全級(jí) 別。該級(jí)別至少每年評(píng)審一次。c)責(zé)任人必須貫徹、落實(shí)恰當(dāng)?shù)陌踩刂拼胧_保只有在 工作必須的情況下才能使用相關(guān)資產(chǎn)。d
44、)責(zé)任人可以為由其負(fù)責(zé)的資產(chǎn)指派維護(hù)人,或自己擔(dān)當(dāng)此 任。40e)責(zé)任人可基于工作相關(guān)性分配訪問權(quán),并與維護(hù)人共同負(fù) 責(zé)保證網(wǎng)絡(luò)與信息資產(chǎn)的可用性。f)責(zé)任人必須至少每年審查一次其資產(chǎn)的訪問權(quán)限。評(píng)審流 程必須記錄在案,并保留到下一次審查結(jié)束之前。需要特別指出的是,數(shù)據(jù)責(zé)任人是一種職能角色,負(fù)責(zé)管理 控制特定數(shù)據(jù)的訪問權(quán)限及與安全相關(guān)的問題。數(shù)據(jù)責(zé)任人可以將自己負(fù)責(zé)的數(shù)據(jù)的所有權(quán)授予其他個(gè)人,但讓與此類權(quán)力決不意味著能夠免除數(shù)據(jù)責(zé)任人對(duì)數(shù)據(jù)的責(zé)任。例如:人事信息數(shù)據(jù)被應(yīng)用系統(tǒng)調(diào)用,提供用戶查詢。數(shù)據(jù)的責(zé)任人是人力資源部, 其他人無權(quán)修改。維護(hù)人的職責(zé)和權(quán)限網(wǎng)絡(luò)與信息資產(chǎn)的維護(hù)人是指支持并維護(hù)網(wǎng)
45、絡(luò)與信息資產(chǎn)的 人員。a)維護(hù)人可以根據(jù)所保管的信息的保密類別來確定相應(yīng)的實(shí) 物資產(chǎn)的安全管理流程,以確保網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任人所 要求的機(jī)密性、完整性和可用性。b)責(zé)任人應(yīng)確保適當(dāng)?shù)陌踩胧┑轿唬?并可以適度向下委派。 如若需要,可以確定備用聯(lián)絡(luò)人。維護(hù)人必須保留責(zé)任人 的名單。c)維護(hù)人必須通知責(zé)任人其所應(yīng)承擔(dān)的安全職責(zé)。41d)未經(jīng)責(zé)任人許可,維護(hù)人不得重新劃分信息的類別。第二節(jié)資產(chǎn)安全等級(jí)及相應(yīng)的安全要求公司應(yīng)確定網(wǎng)絡(luò)與信息資產(chǎn)的相對(duì)價(jià)值和重要性,并明確相應(yīng)的安全保護(hù)級(jí)別。資產(chǎn)分類時(shí)的注意事項(xiàng)如下:a)資產(chǎn)責(zé)任人負(fù)責(zé)指定資產(chǎn)級(jí)別并定期評(píng)審;b)資產(chǎn)的級(jí)別不是一成不變的,而是隨著分類政策的
46、變化而 變化的;c)必須綜合考慮資產(chǎn)分類方式的利弊,避免過度復(fù)雜的劃分 模式導(dǎo)致使用不便和成本升高。.信息的安全等級(jí)、標(biāo)注及處置信息能夠以眾多形式存在,如:語音、書面、電子文檔等。 不論信息以何種形式存在, 也不論以何種方式被共享或存儲(chǔ), 信 息始終應(yīng)當(dāng)?shù)玫酵咨票Wo(hù)。信息具有不同的敏感度和重要性, 應(yīng)從其機(jī)密性、完整性和 可用性等安全屬性對(duì)其進(jìn)行分級(jí), 反映不同的保護(hù)要求、優(yōu)先級(jí) 和程度。公司應(yīng)明確規(guī)定信息處于不同載體的標(biāo)注方法。信息的密級(jí)必須被明確標(biāo)注。根據(jù)存儲(chǔ)和輸出方式的不同, 可以采用物理標(biāo)42 簽、電子標(biāo)記等方法。信息的存儲(chǔ)介質(zhì)必須以物理標(biāo)簽形式標(biāo)明 其密級(jí)。當(dāng)信息以可視方式輸出(如:
47、打印、屏幕顯示等)時(shí), 必須以可視的方式顯示其密級(jí)。需要注意的是,其他機(jī)構(gòu)可能對(duì)相同或類似的信息分級(jí)標(biāo)志 作了不同的定義,在使用中應(yīng)特別注意。處置是對(duì)實(shí)物形式和電子形式的信息資產(chǎn)進(jìn)行以下類型的信息處理活動(dòng):a)復(fù)制;b)存儲(chǔ);c)通過郵寄、傳真或電子郵件等方式進(jìn)行傳輸;d)通過口頭對(duì)話方式進(jìn)行傳播,包括電話、語音郵件、應(yīng)答 設(shè)備等等;e)銷毀。公司應(yīng)明確規(guī)定不同密級(jí)的信息,在處置過程中需要采取的相應(yīng)控制和保護(hù)措施。中國移動(dòng)的信息分級(jí)、標(biāo)注和處置情況見下表。信息密級(jí)說明分級(jí)職責(zé)控制要求使用說明一般信息由公司各部門創(chuàng)建 擁有、無需分級(jí)的 信息,如:公司刊 物世紀(jì)虹、moternet 網(wǎng)頁創(chuàng)建者防止
48、非法修改使用者:所有對(duì)此類信息具有合法業(yè)務(wù)需求的人員。標(biāo)記:無特殊要求,電子郵件必須標(biāo)記“中國移動(dòng)一般 性商業(yè)信息”。處置:無特殊預(yù)防措施。分發(fā):采用任何適用的方式。43銷毀:無特殊要求。內(nèi)部信息能夠因己方的損失 使競爭對(duì)手獲益的 信息,如:電話簿 或者內(nèi)部備忘錄創(chuàng)建者?防止非法修改;?必須建立獨(dú)立的用戶賬戶和密碼;?基于讀寫訪問的必要性原則予以批準(zhǔn)使用者:任何需要知道的人員。標(biāo)記:在第一頁標(biāo)記“僅供中國移動(dòng)內(nèi)部使用”。處置:控制。分發(fā):經(jīng)過批準(zhǔn)的電子郵件或者電子文件傳輸系統(tǒng)。銷毀:所采用的銷毀手段必須確保相應(yīng)信息不被非中國 移動(dòng)員工獲得。機(jī)密信息對(duì)公司具有重大價(jià) 值的信息,如:財(cái) 務(wù)報(bào)表創(chuàng)建
49、者的直接主管?同“內(nèi)部信息”控制要求?必須創(chuàng)建審計(jì)跟蹤紀(jì)錄,并保護(hù)、歸檔至少一年?筆記本電腦、移動(dòng)硬盤中的秘密信息必須加密存儲(chǔ)使用者:“必須知道”的人員,需要簽署保密協(xié)議。標(biāo)記:在每一頁都標(biāo)記“中國移動(dòng)機(jī)密信息”。處置:專人保管或者鎖閉。分發(fā):經(jīng)過批準(zhǔn)的電子郵件或者具有訪問控制的電子文 件傳輸系統(tǒng)。銷毀:粉碎或者置于安全的文檔容器內(nèi)。絕密信息從本質(zhì)上講最敏感 的信息(比如商業(yè) 機(jī)密和軟硬件設(shè)計(jì) 等等)部門主管或 更局級(jí)別人 員?同“機(jī)密信息”控制要求? 需要明文規(guī)7E,紀(jì)錄所有訪問歷史,并加密存儲(chǔ)使用者:“必須知道”的人員,需要簽署保密協(xié)議;授權(quán)訪 問至少由公司級(jí)別的分管領(lǐng)導(dǎo)決定。標(biāo)記:在每一頁標(biāo)記
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《近代燃燒技術(shù)》課件
- 甲下外生骨疣的臨床護(hù)理
- 株紫丁香課件趙秀梅
- 孕期手腳心發(fā)紅的健康宣教
- 《改革進(jìn)入新時(shí)期》課件
- 股份增值合同三篇
- 鐵路機(jī)車車輛修造合同三篇
- 健身運(yùn)動(dòng)APP相關(guān)行業(yè)投資規(guī)劃報(bào)告范本
- ALN-BN復(fù)合陶瓷相關(guān)行業(yè)投資規(guī)劃報(bào)告
- 保障性住房管理服務(wù)相關(guān)行業(yè)投資規(guī)劃報(bào)告
- (完整)《神經(jīng)病學(xué)》考試題庫及答案
- 閑置固定資產(chǎn)明細(xì)表
- 2022年雅思翻譯句精華版
- 單軸水泥攪拌樁施工方案設(shè)計(jì)
- 老年人睡眠障礙的護(hù)理(PPT課件)
- 《家庭禮儀》PPT課件
- 應(yīng)聘人員面試登記表(應(yīng)聘者填寫)
- T∕CAAA 005-2018 青貯飼料 全株玉米
- s鐵路預(yù)應(yīng)力混凝土連續(xù)梁(鋼構(gòu))懸臂澆筑施工技術(shù)指南
- 撥叉831006設(shè)計(jì)說明書
- 程序語言課程設(shè)計(jì)任意兩個(gè)高次多項(xiàng)式的加法和乘法運(yùn)算
評(píng)論
0/150
提交評(píng)論