《信息安全管理细则》由会员分享,可在线阅读,更多相关《信息安全管理细则(17页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理细则文件编号:SCMC-WL-14A版 本: 3.01.0 目的为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。3.0 信息安全组织机构及职责:根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理组,由公司分管网络的副总经
2、理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行管理,省公司网络部门设置信息安全管理专职人员,负责信息安全职能管理和安全技术管理,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,负责全省各系统及网络的信息安全管理协调工作。3.1.1网络与信息安全工作管理组组长职责:负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。3.1.2网络与信息安全工作管理组副组长职责:负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。3.1.3信息安全职能管理职责
3、:负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度与相关工作流程;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。3.1.4信息安全技术管理职责:根据有限公司制定的技术规范和有关技术要求,对各类网络、业务系统和支撑系统提出相应安全技术要求,并审核技术方案;牵头对各类网络和系统实施安全技术评估和技术审计工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定
4、网络与信息安全的应急预案,参与应急演练;针对重大安全事件,参与实施应急处理,并定期对各类安全事件进行技术分析。3.1.5安全监控人员职责:对全网安全设备进行集中监控;处理日常的安全事件;协助网络安全处分析、处理复杂和重大安全事件。3.1.6安全管理员职责:在省公司及分公司网络部领导下,负责各市州分公司及生产中心网络信息安全的技术工作及相关协调工作,贯彻执行集团公司和省省/市公司网络部下发的相关信息安全技术规范及文件,根据相关安全技术规范和技术要求,对各类网络、业务系统和支撑系统进行包括安全在内的日常维护。协调各相关部门进行具体实施,对各市州分公司及生产中心业务系统、支撑系统网络安全进行分析、审
5、计,降低各市州分公司及生产中心各业务系统、支撑系统安全隐患,减少信息安全事件的发生,保障其安全运行。4.0 管理规范4.1 管理系统本管理规范适用于四川移动各生产、支撑系统,包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃平台等。4.2网络与信息安全基本要求:4.2.1网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则,逐级建立安全保护责任制。4.2.2各级网络维护部门应加强对系统管理人员安全意识的培养,建立完善的定时定人负责制,有效明确责任,提高维护管理效率。4.3 用户帐号/权限
6、管理流程4.3.1用户帐号/权限管理适用于四川省移动通信有限责任公司及下属各分公司,主要为了规范四川移动各业务系统涉及系统级(含数据库级)、应用级层面的的帐号、权限及密码的管理。4.3.2 系统管理人员逻辑分类 四川省移动通信有限责任公司所属系统及网络(包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃平台等)的信息安全管理及公司内部信息技术整体的控制,各系统分别具有不同层面管理员及用户:岗位职责涉及相关记录部门负责人如各生产中心分管领导1、需对相关授权表进行审批授权签字,每季度需复核审批;2、需对员工变动情况进行审批;3、
7、需对远程维护接入申请进行审批远程维护接入申请和情况记录表员工变动登陆公司网络系统申请表网络/系统层/应用层超级管理员授权表安全管理员授权表用户帐号审阅表系统预设用户帐号审阅表超级管理员帐号移交单系统层/应用层/网络超级管理员:1、 系统层超级管理员:按各系统进行设置,如智能网、彩铃、BOSS、交换机操作系统及数据库维护管理人员。2、 应用层超级管理员:按业务应用管理进行设置,如彩铃应用层超级管理员由数据部彩铃管理员负责。3、 网络超级管理员:按公司网络划分进行设置,省公司及地市各生产中心分别设置网络超级管理员。 系统/应用程序/网络最高权限管理员,负责管理所辖系统的帐号分配和管理,需要部门负责
8、人对其进行授权。网络超级管理员、系统层超级管理员、应用层超级管理员需由部门领导分别进行授权,可以兼任。终端接入公司局域网申请表远程维护接入申请和情况记录表员工变动登陆公司网络系统申请表网络/系统层/应用层超级管理员授权表帐号创建、变更申请表用户帐号审阅表系统预设用户帐号审阅表帐号密码更改记录超级管理员帐号移交单账号临时使用申请表系统层/应用层普通用户:系统层普通用户:如交换机、智能网、短信等监控、普通系统维护人员应用层普通用户:智能网地市操作人员,彩铃业务操作人员。系统维护、应用操作执行人员,为普通维护人员及第三方人员,只能申请自身帐号进行操作,不能进行帐号分配管理。终端接入公司局域网申请表系
9、统备份记录帐号创建、变更申请表帐号密码更改记录账号临时使用申请表安全管理员:各生产中心及地市分公司分别进行设置。负责所辖各系统及设备的信息安全管理工作。每月检查所辖中心信息安全管理的执行情况,汇总安全分析报告;负责所辖中心机房管理审查。与网络超级管理员、系统层超级管理员、应用层管理员需职责分离。安全分析记录报告远程维护接入申请和情况记录表员工变动登陆公司网络系统申请表帐号创建、变更申请表安全管理员授权表用户帐号审阅表系统预设用户帐号审阅表帐号密码更改记录4.3.3 用户授权管理流程管理流程管理要求开 始由使用部门(厂商)人员填写变更/申请表 F 在发生变动情况时,由使用部门/第三方人员填写帐号
10、创建/变更申请表。F 各市州分公司、信息技术中心(网管、数据、计费、信息中心)网络超级管理员、系统层超级管理员、应用层超级管理员、安全管理员分别填写网络超级管理员授权表、系统层超级管理员授权表、安全管理员授权表、应用层超级管理员授权表,由相关信息系统部门负责人审批并进行授权,并对各清单每季度进行复核并签字确认,对多余或不恰当的账号进行调整。由业务部门主管审批,并考虑不相容职责分工原则报省公司安保部审批超级管理员按申请进行创建/修改超级管理员进行记录,形成用户帐号清单业务部门主管对系统用户帐号清单复核报省公司安保部进行审批F由应用层超级管理员提交业务部门主管进行书面审批后F创立新用户角色或对用户
11、组或用户角色定义进行修改时,应考虑不相容职责分工原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确认,以合理确保用户在系统中的权限与其职责相符。超级管理员根据经审批的用户角色权限,在系统中设置用户角色权限。F各部门在发生人员新增、调动及离职情况经部门领导审核盖章后提交省公司安保部审批通过,员工变动登陆公司网络系统申请表。F由超级管理员在系统中创建用户账号,避免未经授权的账号及权限创建/修改F对系统、数据库、应用层,除查询用户外应按个人创建单独的用户账号,并赋予相应的权限,以避免共享账号的产生。F各超级管理员每季度形成用户帐号清单。 F业务部门主管对网络、系统用户的清单每季度
12、进行复核签字确认,对第三方用户的清单每季度进行复核签字确认。形成用户帐号审阅表、四川移动通信有限责任公司员工(合作单位员工)登陆公司网络系统审批表F四川移动通信有限责任公司员工(合作单位员工)登陆公司网络系统审批表由部门领导复核盖章后,提交省公司安保部审批如发现多余或不恰当的账号系统超级管理员进行调整F各部门网络超级管理员每季度准备本部门登陆公司网络系统用户清单,由部门领导复核盖章后,提交省公司网络部及安保部进行审查。如发现多余或不恰当的账号应进行及时根据要求进行调整并反馈安保部。F各市、州移动分公司登陆省公司网络系统的公司员工和合作单位人员,由安保部门每季度汇总报省公司安保部审核,相关业务部
13、门根据省公司安保部通知予以授权。F如发现多余或不恰当的账号系统管理员需进行及时调整,并反馈调整结果。F超级管理员变更时,应填写超级管理员帐号移交单,由相应部门主管进行审批签字,移交双方签字确认。F公司业务流程发生重大变更时,由各超级管理员打印系统用户的访问权限清单,并交由相关业务部门主管,对用户的权限进行审阅签字,以避免在用户的权限中有不兼容职责的存在。如发现不相容职责,应及时通知超级管理员,对用户的权限进行调整。4.3.4如果存在第三方厂商人员使用超级管理员帐号的情况,应和第三方厂商签订相关的安全保密协议,以合理确保第三方厂商能够执行中国移动的安全管理要求和职责不相容要求。厂商要保留帐号创建
14、,帐号变更,帐号删除和密码变更的记录,供我方人员进行定期的检查。4.3.6各生产、支撑网络系统如因维护要求有第三方远程登陆接入需求,应填写远程维护接入申请和情况记录表,经本维护单位安全管理员和部门分管负责人签字后,临时开通远程登录功能,方可接入。操作完毕后,应及时关闭远程维护接入点,并填写远程维护接入申请和情况记录表。本维护单位安全管理员及时审阅相应的操作日志记录并签字确认。4.3.7 各业务及支撑系统的厂商开发人员由于需要进行系统故障处理、检查等原因拥有生产系统的用户名及口令。公司进行对开发人员(包括外包厂商)对生产系统进行程序更新的控制,只有在有必要时才临时由信息技术部门主管授权开发人员访
15、问并更新生产系统,开发人员访问生产系统时由信息技术部门系统维护人员对其访问进行监督,并在访问结束后及时删除或禁止开发人员在生产系统中的账号。4.3.8 因系统原因不能按个人创建独立的用户账号的,由超级管理员按使用权限制定相应账号,授权到到使用部门指定人员。其他维护人员工作若需要使用该账号,每次需要填写账号临时使用申请表,由超级管理员审批后,在超级管理员的帮助下进入系统进行维护,工作完成后立即退出系统,保证系统安全。4.3.9 质量管理和考核办法见6.04.4 密码口令管理要求管理流程管理要求开 始用户创建/修改密码各中心系统管理员在系统中进行密码策略设置密码长度大于6位以上,是字母大小写和数字混用
