《中国移动网络与信息安全总纲30883.docx》由会员分享,可在线阅读,更多相关《中国移动网络与信息安全总纲30883.docx(105页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国移动动网络与与信息安安全总纲纲中国移动动通信集集团公司司20066年7月月本文档版版权由中中国移动动通信集集团公司司所有。未未经中国国移动通通信集团团公司书书面许可可,任何何单位和和个人不不得以任任何形式式摘抄、复复制本文文档的部部分或全全部,并并以任何何形式传传播。前言中国移动动 注注的通通信网络络和支撑撑系统是是国家基基础信息息设施,必必须加以以妥善保保护。随随着网络络和通信信技术的的快速发发展,网网络互联联与开放放、信息息共享带带来了日日益增长长的安全全威胁。为为了企业业乃至国国家的网网络与信信息安全全,为了了保障客客户利益益,加强强各方面面的安全全工作刻刻不容缓缓!制订和颁颁布本标
2、标准的目目的是为为中国移移动的网网络与信信息安全全管理工工作建立立科学的的体系,力力争通过过科学规规范的全全过程管管理,结结合成熟熟和领先先的技术术,确保保安全控控制措施施落实到到位,为为各项业业务的安安全运行行提供保保障。本标准主主要依据据国际规规范,参参考业界界的成熟熟经验,结结合中国国移动的的实际情情况进行行补充、修修改、完完善而来来。本标标准目前前主要针针对互联联网、支支撑网等等IT系系统安全全。注:本标准准所称“中国移移动”是指中中国移动动通信集集团公司司及由其其直接或或间接控控股的公公司。中国移动动通信集集团公司司,以下下简称“集团公公司”。各移动通通信有限限责任公公司,以以下简称
3、称“各省公公司”。目录前言1目录1总则11网络络与信息息安全的的基本概概念12网络络与信息息安全的的重要性性和普遍遍性13中国国移动网网络与信信息安全全体系与与安全策策略14安全全需求的的来源115安全全风险的的评估116安全全措施的的选择原原则17安全全工作的的起点118关键键性的成成功因素素19安全全标准综综述110适适用范围围1第一章组组织与人人员1第一节组组织机构构11领导导机构112工作作组织113安全全职责的的分配114职责责分散与与隔离115安全全信息的的获取和和发布116加强强与外部部组织之之间的协协作17安全全审计的的独立性性1第二节岗岗位职责责与人员员考察111岗位位职责中
4、中的安全全内容112人员员考察113保密密协议114劳动动合同115员工工培训11第三节第第三方访访问与外外包服务务的安全全11第三三方访问问的安全全12外包包服务的的安全11第四节客客户使用用业务的的安全11第二章网网络与信信息资产产管理11第一节网网络与信信息资产产责任制制度11资产产清单112资产产责任制制度1第二节资资产安全全等级及及相应的的安全要要求11信息息的安全全等级、标标注及处处置12网络络信息系系统安全全等级11第三章物物理及环环境安全全1第一节安安全区域域11安全全边界112出入入控制113物理理保护114安全全区域工工作规章章制度115送货货、装卸卸区与设设备的隔隔离1第
5、二节设设备安全全11设备备安置及及物理保保护12电源源保护113线缆缆安全114工作作区域外外设备的的安全115设备备处置与与重用的的安全11第三节存存储媒介介的安全全11可移移动存储储媒介的的管理112存储储媒介的的处置113信息息处置程程序14系统统文档的的安全11第四节通通用控制制措施111屏幕幕与桌面面的清理理12资产产的移动动控制11第四章通通信和运运营管理理的安全全1第一节操操作流程程与职责责11规范范操作细细则12设备备维护113变更更控制114安全全事件响响应程序序15开发发、测试试与现网网设备的的分离11第二节系系统的规规划设计计、建设设和验收收11系统统规划和和设计112审
6、批批制度113系统统建设和和验收114设备备入网管管理1第三节恶恶意软件件的防护护1第四节软软件及补补丁版本本管理11第五节时时钟和时时间同步步1第六节日日常工作作11维护护作业计计划管理理12数据据与软件件备份113操作作日志114日志志审核115故障障管理116测试试制度117日常常安全工工作1第七节网网络安全全控制11第八节信信息与软软件的交交换11信息息与软件件交换协协议12交接接过程中中的安全全13电子子商务安安全14电子子邮件的的安全115电子子办公系系统的安安全16信息息发布的的安全117其他他形式信信息交换换的安全全1第五章网网络与信信息系统统的访问问控制11第一节访访问控制制
7、策略11第二节用用户访问问管理111用户户注册112超级级权限的的管理113口令令管理114用户户访问权权限核查查1第三节用用户职责责11口令令的使用用12无人人值守的的用户设设备1第四节网网络访问问控制111网络络服务使使用策略略12逻辑辑安全区区域的划划分与隔隔离13访问问路径控控制14外部部连接用用户的验验证15网元元节点验验证16端口口保护117网络络互联控控制18网络络路由控控制19网络络服务的的安全11第五节操操作系统统的访问问控制111终端端自动识识别12终端端登录程程序13用户户识别和和验证114口令令管理系系统15限制制系统工工具的使使用16强制制警报117终端端超时关关闭1
8、8连接接时间限限制1第六节应应用访问问控制111信息息访问限限制12隔离离敏感应应用1第七节系系统访问问与使用用的监控控11事件件记录112监控控系统使使用情况况1第八节移移动与远远程工作作11移动动办公112远程程办公11第六章系系统开发发与软件件维护的的安全11第一节系系统的安安全需求求1第二节应应用系统统的安全全11输入入数据验验证12内部部处理控控制13消息息认证114输出出数据验验证1第三节系系统文件件的安全全11操作作系统软软件的控控制12系统统测试数数据的保保护13系统统源代码码的访问问控制11第四节开开发和支支持过程程中的安安全11变更更控制程程序12软件件包的变变更限制制13
9、后门门及特洛洛伊代码码的防范范14软件件开发外外包的安安全控制制1第五节加加密技术术控制措措施11加密密技术使使用策略略12使用用加密技技术13数字字签名114不可可否认服服务15密钥钥管理11第七章安安全事件件响应及及业务连连续性管管理1第一节安安全事件件及安全全响应111及时时发现与与报告112分析析、协调调与处理理13总结结与奖惩惩1第二节业业务连续续性管理理11建立立业务连连续性管管理程序序12业务务连续性性和影响响分析113制定定并实施施业务连连续性方方案14业务务连续性性方案框框架15维护护业务连连续性方方案1第八章安安全审计计1第一节遵遵守法律律法规要要求11识别别适用的的法律法
10、法规12保护护知识产产权13保护护个人信信息14防止止网络与与信息处处理设施施的不当当使用115加密密技术控控制规定定16保护护公司记记录17收集集证据11第二节安安全审计计的内容容1第三节安安全审计计管理111独立立审计原原则12控制制安全审审计过程程13保护护审计记记录和工工具1参考文献献1术语和专专有名词词1附录1:安全体体系第二二层项目目清单(列列表)11总则1网络络与信息息安全的的基本概概念网络与信信息安全全包括下下列三个个基本属属性: 机密性(CConffideentiialiity):确保网网络设施施和信息息资源只只允许被被授权人人员访问问。根据据信息的的重要性性和保密密要求,可
11、可以分为为不同密密级,并并具有时时效性。 完整性(IInteegriity):确保网网络设施施和信息息及其处处理的准准确性和和完整性性。 可用性(AAvaiilabbiliity):确保被被授权用用户能够够在需要要时获取取网络与与信息资资产。需要特别别指出的的是,网网络安全全与信息息安全(包包括但不不限于内内容安全全)是一一体的,不不可分割割的。2网络络与信息息安全的的重要性性和普遍遍性网络与信信息都是是资产,具具有不可可或缺的的重要价价值。无无论对企企业、国国家还是是个人,保保证其安安全性是是十分重重要的。网络与信信息安全全工作是是企业运运营与发发展的基基础和核核心;是是保证网网络品质质的基
12、础础;是保保障客户户利益的的基础。中中国移动动的网络络与信息息安全也也是国家家安全的的需要。网络与信信息安全全工作无无所不在在,分散散在每一一个部门门,每一一个岗位位,甚至至是每一一个合作作伙伴;同时,网网络与信信息安全全是中国国移动所所有员工工共同分分担的责责任,与与每一个个员工每每一天的的日常工工作息息息相关。中中国移动动所有员员工必须须统一思思想,提提高认识识,高度度重视,从从自己开开始,坚坚持不懈懈地做好好网络与与信息安安全工作作。3中国国移动网网络与信信息安全全体系与与安全策策略中国移动动网络与与信息安安全体系系如上图图所示。中国移动动网络与与信息安安全体系系是由两两部分组组成的。一
13、一部分是是一系列列安全策策略和技技术管理理规范(第第一、二二层),另另一部分分是实施施层面的的工作流流程(第第三层)。网络与信信息安全全体系(NNISSS)总纲纲(以下下简称总总纲)位位于安全全体系的的第一层层,是整整个安全全体系的的最高纲纲领。它它主要阐阐述安全全的必要要性、基基本原则则及宏观观策略。总总纲具有有高度的的概括性性,涵盖盖了技术术和管理理两个方方面,对对中国移移动各方方面的安安全工作作具有通通用性。安全体系系的第二二层是一一系列的的技术规规范和管管理规定定,是对对总纲的的分解和和进一步步阐述,侧侧重于共共性问题题、操作作实施和和管理考考核,提提出具体体的要求求,对安安全工作作具
14、有实实际的指指导作用用。安全体系系的第三三层是操操作层面面,它根根据第一一层和第第二层的的要求,结结合具体体的网络络和应用用环境,制制订具体体实施的的细则、流流程等,具具备最直直观的可可操作性性。安全体系系也包含含了实施施层面的的工作流流程,结结合三层层安全策策略,进进行具体体实施和和检查考考核,同同时遵循循动态管管理和闭闭环管理理的原则则,通过过定期的的评估不不断修改改完善。安全策略略是在公公司内部部,指导导如何对对网络与与信息资资产进行行管理、保保护和分分配的规规则和指指示。中中国移动动必须制制订并实实施统一一的网络络与信息息安全策策略,明明确安全全管理的的方向、目目标和范范围。安安全策略
15、略必须得得到管理理层的批批准和支支持。安安全策略略应被定定期评审审和修订订,以确确保其持持续适宜宜性,特特别是在在组织结结构或技技术基础础改变、出出现新的的漏洞和和威胁、发发生重大大安全事事件时。中国移动动的安全全策略是是由安全全体系三三个层面面的多个个子策略略组成的的,具有有分层结结构的完完整体系系,包含含了从宏宏观到微微观,从从原则方方向到具具体措施施等多方方面的内内容。安安全策略略用来指指导全网网的网络络与信息息安全工工作。4安全全需求的的来源确立安全全需求是是建立完完整的安安全体系系的首要要工作。中中国移动动的安全全需求主主要源自自下述三三个方面面: 系统化的的安全评评估。结结合经验验
16、教训和和技术发发展,通通过安全全评估分分析公司司网络和和信息资资产所面面临的威威胁,存存在的薄薄弱点和和安全事事件发生生的可能能性,并并估计可可能对公公司造成成的各种种直接的的和潜在在的影响响。 中国移动动及其合合作伙伴伴、承包包商、服服务提供供商必需需遵守的的法律法法规、行行政条例例和合同同约束,以以及公司司对客户户的服务务承诺。 公司运营营管理的的目标与与策略。下图说明明了安全全需求、风风险评估估和安全全措施三三者的关关系。5安全全风险的的评估安全风险险评估可可以应用用于整个个公司或或某些部部分,也也可应用用于单个个网络信信息系统统、特定定系统组组件或服服务。安全风险险评估应应着重于于:
17、安全事件件可能对对中国移移动造成成的损失失,以及及所产生生的直接接和潜在在的影响响。 综合考虑虑所有风风险,以以及目前前已实施施的控制制措施,判判断此类类安全事事件发生生的实际际可能性性。 从安全角角度,对对公司现现有的管管理制度度和流程程本身的的合理性性与完备备程度进进行评估估。安全风险险评估应应本着可可行、实实际和有有效的原原则,通通过标准准统一的的评估程程序和方方法,量量化安全全风险,确确定安全全风险的的危险级级别,从从而采取取合理措措施防范范或降低低安全风风险。需要特别别指出的的是:为为适应业业务发展展的变化化,应对对新出现现的威胁胁和漏洞洞,评估估现有控控制措施施的有效效性及合合理性
18、,必必须周期期性地进进行安全全风险评评估并调调整控制制措施,且且应在不不同的层层面进行行,为高高风险领领域优先先分配资资金、人人力等资资源。6安全全措施的的选择原原则 有效性。安安全措施施的实施施必须能能够确保保风险被被降低到到可以接接受的水水平,达达到期望望的安全全目标。 可行性。安安全措施施必须在在技术上上是可操操作的,可可以实现现的。某某些安全全措施不不具备通通用性,需需要因地地制宜的的考虑具具体实施施环境。 实际性。应应从管理理、财务务等非技技术因素素详细分分析待实实施的安安全措施施,综合合比较实实施成本本与由此此减少的的潜在损损失,非非经济因因素也应应考虑在在内。公司应在在遵循以以上
19、原则则的基础础上,根根据网络络与信息息资产面面临风险险的大小小,区分分轻重缓缓急,实实施相应应的安全全控制措措施。7安全全工作的的起点根据一般般性规律律和业界界的实际际经验,网网络与信信息安全全工作的的开展可可以从以以下几个个方面着着手: 法律方面面:数据据保护以以及个人人隐私保保护、公公司记录录保护和和知识产产权保护护等。 业界惯例例:安全全策略制制订、安安全职责责划分、安安全教育育与培训训、安全全事件响响应和业业务连续续性管理理等。需要指出出的是,上上述内容容不能取取代根据据安全风风险评估估选择控控制措施施的基本本原则。任任何控制制措施的的选取都都应当依依据实际际面临的的具体风风险来确确定
20、。8关键键性的成成功因素素为了确保保网络与与信息安安全工作作的顺利利实施,下下列因素素至关重重要: 公司管理理层的高高度重视视、明确确支持和和承诺; 安全工作作组织与与人员的的落实; 安全策略略、目标标和措施施应与公公司经营营目标一一致; 安全工作作的具体体实施必必须同公公司的企企业文化化相兼容容; 深刻理解解安全需需求、风风险评估估及风险险管理; 在全体员员工中建建立网络络与信息息安全无无处不在在的安全全理念; 建立全面面、均衡衡、可行行的评估估、考核核体系,以以衡量网网络与信信息安全全管理工工作的水水平; 向所有员员工和第第三方( 包括承承包商、合合作伙伴伴、客户户等)分分发网络络与信息息
21、安全指指南,并并提供相相应的培培训和教教育。9安全全标准综综述本标准依依据国际际规范,参参考业界界的成熟熟经验,结结合中国国移动的的实际情情况,制制定并描描述了网网络与信信息安全全管理必必须遵守守的基本本原则和和要求,将将安全工工作要点点归结到到以下八八个方面面:组织与与人员集团公司司和各省省公司必必须建立立公司级级别的网网络与信信息安全全常设领领导机构构,全面面负责公公司的网网络与信信息安全全工作。安安全领导导机构必必须明确确划分安安全职责责并建立立内部协协调机制制。公司司必须设设立专职职安全队队伍,建建立安全全事件响响应流程程和联络络人制度度。公司司应与外外部安全全专家和和其他相相关组织织
22、加强沟沟通与协协作。中国移动动的所有有岗位职职责中必必须包含含安全内内容,并并尽量实实现职责责分隔。公公司应实实施人员员考察制制度。公公司的所所有员工工及使用用中国移移动网络络与信息息资产的的其他组组织人员员都应当当签署保保密协议议。中国国移动的的所有员员工都应应当接受受网络与与信息安安全培训训。第三方访访问和外外包服务务必须受受到控制制,应事事先进行行风险评评估,分分析安全全影响并并制订相相应措施施。同第第三方和和外包服服务机构构签订的的合同中中应包含含双方认认可的安安全条款款。公司应与与客户签签署相关关协议,明明确双方方在网络络与信息息安全方方面的权权利与义义务及违违约责任任,保障障客户与
23、与公司双双方的利利益。网络与与信息资资产管理理公司必须须建立详详细准确确的网络络与信息息资产清清单和严严格的资资产责任任制度。每每一项资资产都应应当指定定“责任人人”,分配配其相应应的安全全管理职职权,并并由其承承担相应应的安全全责任。“责任人”可以将具体的工作职责委派给“维护人”,但“责任人”仍必须承担资产安全的最终责任。根据网络络与信息息资产的的敏感度度和重要要性,必必须对其其进行分分类和标标注,并并采取相相应的管管理措施施。物理与与环境安安全公司的关关键或敏敏感的网网络与信信息处理理设施应应被放置置在安全全区域内内,由指指定的安安全边界界予以保保护。根根据不同同的安全全需求等等级,公公司
24、应划划分不同同的安全全区域,例例如:机机房、办办公区和和第三方方接入区区。针对对不同的的安全区区域,公公司应采采取不同同等级的的安全防防护和访访问控制制措施,阻阻止非法法访问、破破坏和干干扰。工工程施工工期间也也应遵守守相关规规定,加加强安全全区域的的保护。公司必须须制定清清理办公公环境及及合理使使用计算算机设备备的规定定。网络络与信息息处理设设施的处处置与转转移应遵遵守相应应的安全全要求。通信与与运营管管理安全全公司应建建立网络络与信息息处理设设施的管管理和操操作的职职责及流流程,并并尽可能能地实现现职责分分离。开开发、调调测和运运营环境境应保持持相对隔隔离。公司应做做好系统统容量的的监视和
25、和规划。配配套安全全系统应应与业务务系统“同步规规划、同同步建设设、同步步运行”。新建建或扩容容系统的的审批应应包含安安全内容容,并在在交付使使用前做做好测试试和验收收工作。涉涉及安全全方面的的审批工工作应由由安全机机构人员员负责。公司应加加强防范范意识,采采取有效效措施,预预防和控控制恶意意软件。公司应采采取相应应技术手手段,确确保时钟钟和时间间同步。公司应建建立严格格的软件件管理制制度,及及时加载载安全补补丁,定定期进行行系统安安全漏洞洞评估,并并执行系系统加固固解决方方案。公司应当当制定备备份制度度,执行行备份策策略,并并定期演演练数据据恢复过过程。记记录操作作和故障障日志。公司必须须采
26、取多多种控制制措施,保保护网络络设备及及其上信信息的安安全,尤尤其是网网络边界界和与公公共网络络交换的的信息。可可采取的的控制措措施如:访问控控制技术术、加密密技术、网网管技术术、安全全设备、安安全协议议等。公司应制制定信息息存储介介质的管管理制度度和处置置流程。应应特别加加强对可可移动存存储介质质和系统统文档的的管理。公司在与与其他组组织交换换信息和和软件时时,应遵遵从相应应的法律律或合同同规定,采采取必要要的控制制措施。公公司应制制定相应应的程序序和标准准,以保保护传送送过程中中的信息息和媒介介安全,尤尤其要考考虑电子子商务、电电子邮件件等应用用的安全全控制需需求。公公司还应应制定信信息发
27、布布管理规规定。访问控控制公司应基基于业务务和安全全需求,制制定访问问控制策策略,并并明确用用户职责责,加强强用户访访问控制制管理。公公司应加加强对移移动办公公和远程程办公的的管理。公司应加加强对网网络系统统、操作作系统、应应用系统统的访问问控制,如如在公司司网络边边界设置置合适的的接口,采采取有效效的用户户和设备备验证机机制,控控制用户户访问,隔隔离敏感感信息。同同时应监监控对系系统的访访问和使使用,记记录并审审查事件件日志。开发与与维护新系统的的开发,包包括网络络基础设设施、支支撑系统统,必须须遵循系系统安全全生命周周期管理理流程。在在开发新新系统之之前,应应确认安安全需求求。在设设计中应
28、应采用合合适的控控制措施施、审计计跟踪记记录和活活动日志志,包括括输入数数据、内内部处理理和输出出数据的的验证。应应用系统统不应在在程序或或进程中中固化账账户和口口令,系系统应具具备对口口令猜测测的防范范机制和和监控手手段。公司应通通过风险险评估来来确定加加密策略略,基于于统一的的标准和和程序建建立加密密管理规规范。在系统开开发及维维护过程程中,应应严格执执行系统统开发流流程管理理,包括括对开发发、测试试和生产产环境的的变更控控制,以以保证系系统软硬硬件和数数据的安安全。安全事事件响应应与业务务连续性性公司必须须贯彻“积极预预防、及及时发现现、快速速反应与与确保恢恢复”的方针针,建立立安全事事
29、件响应应流程和和奖惩机机制。如如有必要要,应尽尽快收集集相关证证据。公司应实实施业务务连续性性管理,通通过分析析安全事事件对业业务系统统的影响响,制定定并实施施应急方方案,并并定期更更新、维维护和测测试。安全审审计网络与信信息系统统的设计计、操作作、使用用和管理理必须遵遵从国家家法律、信信息产业业部相关关管理条条例以及及合同规规定的安安全要求求。安全审计计应遵循循独立原原则,定定期检查查网络与与信息系系统安全全,检验验安全政政策和技技术规范范的执行行情况。应应采取有有效的控控制措施施保护网网络与信信息系统统及审计计工具,使使安全审审计的效效果最大大化,影影响最小小化。10适适用范围围本标准适适
30、用于中中国移动动的所有有网络与与信息系系统(包包括但不不限于业业务网络络、支撑撑网络),及及组织和和人员。本标准的的解释权权和修改改权归中中国移动动通信集集团公司司。第一章组织与与人员第一节组织机机构安全工作作“三分靠靠技术,七七分靠管管理”,建立立有效的的组织机机构是安安全管理理的基础础。不健健全的安安全管理理机制是是网络与与信息安安全最大大的薄弱弱点。1领导导机构集团公司司和各省省公司必必须建立立公司级级别的网网络与信信息安全全常设领领导机构构,全面面负责公公司的网网络与信信息安全全工作。该该机构应应由公司司级别主主管领导导负责,各各相关部部门领导导组成。安全领导导机构应应为公司司的安全全
31、管理指指明清晰晰的方向向,并提提供强有有力的管管理层支支持。安安全领导导机构应应通过合合理的承承诺和充充分的资资源配置置,来推推进整个个公司的的网络与与信息安安全工作作。集团公司司网络与与信息安安全领导导小组是是中国移移动网络络与信息息安全管管理的最最高决策策机构。安全领导导机构承承担以下下责任:a) 审查并批批准公司司的网络络与信息息安全策策略;b) 分配安全全管理总总体职责责;c) 在网络与与信息资资产暴露露于重大大威胁时时,监督督控制可可能发生生的重大大变化;d) 对安全管管理的重重大更改改事项(例例如:组组织机构构调整、关关键人事事变动、信信息系统统更改等等)进行行决策;e) 指挥、协
32、协调、督督促并审审查重大大安全事事件的处处理。2工作作组织公司各部部门应建建立专职职或兼职职的安全全队伍,从从事具体体的安全全工作。安安全工作作需要多多个部门门的共同同参与,为为迅速解解决工作作中出现现的问题题,防止止相互推推诿,提提高工作作效率,公公司必须须建立跨跨部门的的协调机机制。具具体协调调机构应应由各部部门从事事安全工工作的相相关人员员组成,并并明确牵牵头部门门或人员员。条件件成熟时时,应成成立独立立的安全全工作组组织。集团公司司网络与与信息安安全办公公室是中中国移动动网络与与信息安安全工作作的具体体组织机机构。工作组织织承担以以下责任任:a) 制定相关关的安全全岗位及及职责;b)
33、制定并落落实相关关安全管管理制度度;c) 制定并落落实安全全保护方方案;d) 审批新系系统或服服务的规规划和设设计中的的安全部部分,并并监督其其实施落落实;e) 审批业务务连续性性方案;f) 牵头处理理网络与与信息安安全事件件;g) 组织安全全评估和和安全审审计工作作;h) 辅助领导导机构进进行安全全方面的的决策;i) 完成部门门间的协协调工作作,分派派并落实实某项具具体工作作中各部部门的职职责;j) 获取和发发布安全全信息;k) 完成领导导机构下下达的各各项任务务。3安全全职责的的分配为明确安安全责任任,划分分(界定定)安全全管理与与具体执执行之间间的工作作职责,公公司必须须建立安安全责任任
34、制度。安全责任任分配的的基本原原则是“谁主管管,谁负负责”。公司司拥有的的每项网网络与信信息资产产,必须须根据资资产归属属确定“责任人人”。“责任人人”对资产产安全保保护负有有完全责责任。“责任人人”可以是是个人或或部门,但但“责任人人”是部门门时,应应由该部部门领导导实际负负责。“责任人人”可以将将具体的的执行工工作委派派给“维护人人”,但“责任人人”仍然必必须承担担资产安安全的最最终责任任。因此此“责任人人”应明确确规定“维护人人”的工作作职责,并并定期检检查“维护人人”是否正正确履行行了安全全职责。“维护人”可以是个人或部门,也可以是外包服务提供商。当“维护人”是部门时,应由该部门领导实
35、际负责。安全工作作人员的的职责是是指导、监监督、管管理、考考核“责任人人”的安全全工作,不不能替代代“责任人人”对具体体网络与与信息资资产进行行安全保保护。在资产的的安全保保护工作作中,应应重点关关注以下下内容:a) 应清楚地地说明每每个独立立的网络络与信息息系统所所包含的的各种资资产和相相应的安安全保护护流程。b) “责任人人”与“维护人人”都应明明确接受受其负责责的安全全职责和和安全保保护流程程,并对对该职责责的详细细内容记记录在案案。c) 所有授权权的内容容和权限限应当被被明确规规定,并并记录在在案。4职责责分散与与隔离职责分隔隔(Seegreegattionn off Duutiees
36、)是是一种减减少偶然然或故意意行为造造成安全全风险的的方法。公公司应分分散某些些任务的的管理、执执行及职职责范围围,以减减少误用用或滥用用职责带带来风险险的概率率。例如如关键数数据修改改的审批批与制作作必须分分开。在无法实实现职责责充分分分散的情情况下,应应采取其其他补偿偿控制措措施并记记录在案案。例如如:活动动监控、检检查审计计跟踪记记录以及及管理监监督等。为避免串串通勾结结等欺诈诈活动,公公司应尽尽量隔离离相应职职责,并并增加执执行和监监督人员员,以降降低串通通的可能能性。5安全全信息的的获取和和发布信息技术术的发展展日新月月异,安安全工作作愈发复复杂和困困难。公公司必须须建立有有效可靠靠
37、的渠道道,获取取安全信信息,不不断推进进安全工工作。例例如:a) 从内部挑挑选经验验丰富的的安全管管理和技技术人员员,组成成内部专专家组,制制定安全全解决方方案,参参与安全全事件处处理,解解决实际际安全问问题,提提供预防防性建议议等。为为使内部部专家组组的工作作更具成成效,应应允许他他们直接接接触公公司的管管理层。b) 与设备提提供商、安安全服务务商等外外部安全全专家保保持紧密密联系,听听取他们们的安全全建议。c) 从一些公公开的信信息渠道道获取安安全信息息,例如如专业出出版物、定定期公告告等。中国移动动权威的的安全信信息发布布机构为为集团公公司安全全办公室室。集团团公司负负责收集集和整理理并
38、向各各省发布布安全信信息;各各省负责责省内发发布和信信息上报报。6加强强与外部部组织之之间的协协作公司应加加强与国国家安全全机关、行行业监管管部门、其其他运营营商和信信息服务务提供商商等外部部组织的的联系,并并建立协协作流程程,以便便在出现现安全事事件时,尽尽快获取取信息、采采取措施施。公司在加加入安全全组织或或与其他他组织进进行交流流时,应应对信息息交换予予以严格格限制,以以确保公公司信息息的保密密性。7安全全审计的的独立性性安全审计计是从管管理和技技术两个个方面检检查公司司的安全全策略和和控制措措施的执执行情况况,发现现安全隐隐患的过过程。安全审计计的独立立性是指指审计方方与被审审计方应应
39、保持相相对独立立,即不不能自己己审计自自己的工工作,以以确保审审计结果果的公正正可靠。安全审计计可由公公司内部部审计组组织,或或外聘的的专业审审计机构构完成。审审计人员员应接受受审计培培训,掌掌握一定定的技能能和经验验。当采采用外聘聘审计机机构时,应应充分考考虑其风风险,并并采取相相应的控控制措施施。第二节岗位职职责与人人员考察察1岗位位职责中中的安全全内容中国移动动的岗位位描述中中都应明明确包含含安全职职责,并并形成正正式文件件记录在在案。安安全描述述应包括括落实安安全政策策的常规规职责和和保护具具体资产产或执行行具体安安全程序序或活动动的特定定职责。公司管理理层应向向所有员员工告知知其自身
40、身的岗位位职责,并并监督执执行。2人员员考察公司应明明确员工工的雇用用条件和和考察评评价的方方法与程程序,减减少因雇雇用不当当而产生生的安全全风险。人员考察察的内容容应包括括:a) 来自组织织和个人人的品格格鉴定; b) 学历和履履历的真真实性和和完整性性; c) 学术及专专业资格格; d) 身份查验验。在首次聘聘用、内内部转岗岗、职位位晋升等等情况下下,公司司应进行行人员考考察。需需要特别别指出的的是:对对接触公公司机密密信息或或拥有较较大权力力的人员员,应定定期重复复进行考考察。考察的对对象包括括:正式式员工、临临时人员员、承包包商。需需要注意意的是:如果使使用中介介机构提提供的人人员,同
41、同中介机机构签署署的协议议应当明明确规定定中介机机构的审审查责任任和通知知程序。另另外,对对新员工工和经验验不足的的员工应应加强指指导和管管理。员工的个个人情况况变化会会影响他他们的工工作。例例如个人人问题或或经济问问题、行行为和生生活方式式的变化化、反复复缺席以以及明显显的压力力和消沉沉都有可可能导致致欺诈、盗盗窃、差差错或者者其他安安全问题题。管理理层应关关注此情情况,并并遵照相相关制度度予以处处置。3保密密协议公司应与与所有员员工签订订保密协协议。保保密协议议可以作作为劳动动合同条条款的一一部分。保密协议议应明确确规定员员工承担担的安全全责任、保保密要求求和违约约责任。在雇用合合同出现现
42、变化时时应对保保密协议议的内容容和执行行情况进进行审查查,特别别是当员员工离开开公司或或者合同同终止时时。4劳动动合同劳动合同同中应包包含网络络与信息息安全条条款,明明确规定定员工的的安全责责任和违违约罚则则。这些些责任可可延伸至至公司场场所以外外和正常常工作时时间以外外。必要要时,这这些责任任应在雇雇用结束束后延续续一段特特定的时时间。5员工工培训所有员工工必须接接受安全全教育或或培训,一一般内容容包括:公司网网络与信信息安全全策略、安安全职责责、安全全管理规规章制度度和法律律法规。不不同岗位位的员工工应接受受符合其其工作要要求的必必要的专专业技能能培训。第三节第三方方访问与与外包服服务的安
43、安全1第三三方访问问的安全全第三方,是是指除中中国移动动以外,所所有的组组织和人人员。1.1 第三方方访问的的风险第三方的的访问类类型可分分为物理理访问和和逻辑访访问,例例如进入入公司机机房、接接入公司司信息系系统等。公司应审审核第三三方的访访问需求求,进行行风险分分析,确确定控制制措施。风风险分析析时需要要考虑的的因素有有:访问问类型、信信息的价价值、第第三方采采取的控控制措施施以及该该访问对对公司造造成的潜潜在影响响。需要特别别指出的的是,应应加强对对第三方方临时人人员现场场访问的的管理,清清洁人员员、餐饮饮服务人人员、保保安人员员、实习习生、咨咨询顾问问等人员员也不应应被忽视视。1.2
44、第三方方访问的的控制措措施公司应采采取以下下措施,对对第三方方访问进进行控制制:a) 公司应与与第三方方公司法法人签署署保密协协议,并并要求其其第三方方个人签签署保密密承诺,此此项工作作应在第第三方获获得网络络与信息息资产的的访问权权限之前前完成。b) 实行访问问授权管管理,未未经授权权,第三三方不得得进行任任何形式式的访问问。c) 公司应加加强第三三方访问问的过程程控制,监监督其活活动及操操作。d) 公司应对对第三方方人员进进行适当当的安全全宣传与与培训。e) 第三方人人员应佩佩带易于于识别的的标志,并并在访问问公司重重要场所所时有专专人陪同同。在与第三三方签署署合同时时,应明明确规定定安全
45、要要求。如如:安全全目标、保保护对象象、双方方责任与与权力、服服务种类类与级别别、事件件通报处处理流程程、第三三方引入入分包商商的规定定等。需要特别别指出的的是,在在相应的的控制措措施未落落实之前前,或相相关合同同(保密密协议)尚尚未签署署之前,第第三方不不得访问问公司的的任何网网络与信信息系统统。2外包包服务的的安全当公司将将网络与与信息系系统的管管理职责责全部或或部分外外包给其其他组织织时,如如果控制制不当,会会带来很很大的安安全风险险。因此此,管理理层在进进行外包包决策时时,应考考虑下列列事项:a) 必须综合合权衡外外包风险险和由外外包带来来的成本本优势,并并根据公公司安全全策略决决定何
46、种种服务可可以外包包。公司司应明确确禁止外外包的敏敏感和关关键应用用。b) 必须获得得设备责责任人的的批准;c) 对业务连连续性的的影响;d) 规定的安安全标准准以及用用于审计计的程序序;e) 有效监控控和管理理所有与与外包相相关的安安全活动动所需的的特定的的职责和和程序;f) 上报和处处理安全全事件的的责任和和程序;g) 对外包服服务商的的资格、素素质、能能力进行行考核、管管理和审审计;在外包合合同中,除除了包含含第三方方合同中中提到的的安全要要素外,还还应强调调以下具具体内容容:a) 如何确保保参与外外包的所所有各方方(包括括分包商商)都能能够意识识到自己己的安全全职责;b) 如何保证证并检查查公司相相关资产产(特别别是敏感感商业信信息)的的完整性性和机密密性;c) 如何保证证在发生生故障和和灾难时时,服务务与业务务的连续续性和可可用性;d) 为外包设设备提供供什么样样的物理理安全;e) 审计权。考虑到今今后的发发