《信息安全管理规范(移动)》由会员分享,可在线阅读,更多相关《信息安全管理规范(移动)(13页珍藏版)》请在金锄头文库上搜索。
1、1.0 目的为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。3.0 信息安全组织机构及职责:根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络
2、部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。3.1.1网络与信息安全工作管理组组长职责:负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。3.1.2网络与信息安全工作管理组副组长职责:负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。3.1.3省网络部信息安全职能管理职责:省公司网络部设置
3、信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。3.1.4信息安全技术管理职责:各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和
4、工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。设置信息安全评估审计员,根据有限公司及省公司制定的安全审计技术规范和有关技术要求,制定实施细则。牵头对各类网络和系统实施安全技术审计工作,根据SOX要求定期对各类网络和系统帐号、口令设置,操作日志等进行审计及复核,生成审计报告。3.1.5安全监控人员职责:省网管中心设置安全监控人员,对全网安全设备进行集中监控;及时发现全网信息安全事件,根据故障管理相关规定进行派单和督促处理;进行安全事件上报。3.1.6各系统维
5、护员职责:各单位分生产系统设置兼职系统安全维护员,负责本系统网络信息安全的技术工作及相关协调工作,贯彻执行集团公司和省/市公司网络部下发的相关信息安全技术规范及文件,根据相关安全技术规范和技术要求,对本系统进行包括安全在内的日常维护。处理本系统网络安全事件,协助分析、处理复杂和重大安全事件。提升系统安全级别,降低安全隐患,减少信息安全事件的发生,保障其安全运行。3.1.7信息安全关键岗位说明:信息安全关键岗位说明:对以下情况的工作岗位,属于信息安全关键岗位1、 掌握业务及支撑系统超级用户权限的岗位(各系统超级用户管理员,根据SOX要求,由各单位分管领导进行授权)2、 掌握查看客户信息(手机终端
6、客户的HLR信息、位置信息、通话纪录、短信、彩信内容等等)权限的岗位。3、 可能造成严重影响客户感知的岗位(具有进行用户群发,业务定制等权限的岗位)4、 掌握各类安全管理系统,如集中账号管理、网络认证接入、日志审计系统情操作行为权限的岗位(安全管理员)为加强信息安全关键岗位的管理,对以上岗位的情况要进行梳理备案,对1-3类岗位,由安全审计评估人员定期进行操作审计和确认。对第4类人员,由省网络部定期进行审查和考核。审计要求见安全审计管理细则。4.0 管理规范4.1 管理系统本管理规范适用于四川移动各业务生产、支撑系统,包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、
7、MISC系统、交换机系统、智能网系统、彩铃、短信、彩信、WAP、各增值业务平台、中央音乐平台、网管系统等。4.2网络与信息安全基本要求4.2.1网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则,逐级建立安全保护责任制。4.2.2各级网络维护部门应加强对系统管理人员安全意识的培养,建立完善的定时定人负责制,有效明确责任,提高维护管理效率。4.2.3 网络信息安全管理流程网络信息安全管理包含以下主要流程 用户帐号口令管理 信息安全监控流程 设备入网安全管理流程 终端接入管理流程 信息安全预警流程 安全审计流程 网络安全域管理流程 网络互联安全管理流程 远程
8、接入安全管理流程 网络与信息安全风险评估管理流程 客户信息保密管理流程 网络信息安全资源策略维护管理流程 安全维护作业计划4.2.4 各岗位人员职责对应说明:信息安全职能管理信息安全技术管理信息安全审计安全监控系统维护员信息安全关键岗位备注5.1用户帐号口令管理制定相关管理办法,组织考核进行账号管理系统维护,技术支持进行账号情况审计按照要求使用账号按照要求使用账号按照要求分配、使用、管理账号5.2信息安全监控制定相关管理办法,组织考核进行监控系统维护,技术支持进行安全监控5.3设备入网安全管理制定相关管理办法,组织评定考核对设备入网进行评估确认,提出存在风险和整改建议。提交入网设备安全情况,根
9、据建议进行整改5.4终端安全管理制定相关管理办法,组织评定考核进行终端安全管理系统技术管理和维护按照要求进行终端接入和使用5.5信息安全预警管理制定相关管理办法,组织评定考核进行预警信息发布,支持配合系统完成加固。根据预警信息进行系统加固5.6安全审计管理制定相关管理办法,组织评定考核。对审计情况进行抽查和再审计。进行操作进行定期分析和审计5.7网络安全域管理制定相关管理办法,组织评定考核提出安全域技术方案,进行技术支持。进行网络安全域划分割接和实施5.8网络互联安全管理制定相关管理办法,组织评定考核确认互联风险和实施要求,进行支持。进行互联实施配合5.9网络与信息安全风险评估管理制定相关管理
10、办法,组织评定考核组织进行系统评估,提交报告5.10远程接入安全管理制定相关管理办法,组织评定考核进行远程接入审核和接入管理5.11客户信息保密管理制定相关管理办法,组织评定考核对客户信息安全系统进行管理维护审计客户信息操作是否符合要求监控系统安全运行情况按要求进行执行5.12网络信息安全资源策略维护管理制定相关管理办法,组织评定考核。维护资源策略安全系统运行,进行技术支持。审计资源策略情况按要求进行资源更新按要求进行资源更新5.13安全维护作业计划制定相关管理办法,组织评定考核。执行相关安全作业计划执行相关安全作业计划执行相关安全作业计划执行相关安全作业计划执行相关安全作业计划5.0 安全管
11、理流程5.1用户帐号口令管理为了预防和遏制公司网络各类信息安全事件的发生,及时处理因账号使用上出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本流程。5.2 信息安全监控密切关注用户投诉情况,对所有短信息进行监控。杜绝反动、色情等有害信息。防止发现黑客攻击。5.3 设备安全入网管理流程按照集团公司网络与信息安全“同步规划、同步建设、同步运行”的三同步要求,规范公司各类网络、及系统的入网安全工作,保障网络和系统安全运行,5.4终端安全及移动存储介质管理流程为了加强公司各系统
12、局域网终端接入认证管理,确保只有通过认证的终端设备才可对公司内部局域网资源进行使用,保障移动通信网络畅通与信息安全,所有接入公司内部局域网终端,需按管理要求接入。为规范中国移动四川公司移动存储介质管理,防止通过移动存储介质泄露公司秘密,以及传播病毒、蠕虫等恶意软件,对移动存储介质进行加强管理。5.5 信息安全预警管理信息安全的预警工作实行预防为主、信息收集发布与及时处理相结合的原则,逐级建立安全预警责任制。各级网络维护部门应加强对系统管理人员安全意识的培养,明确责任,提高维护管理效果。5.6 安全审计管理 为检测非法活动,应该对系统进行审计,检测与访问控制策略不符的情况,将可以监控的事件记录下
13、来,在出现安全事故时作为证据使用。利用系统审计,可以检查所采用的控制措施是否有效,是否与访问策略相符。5.7网络安全域管理流程规范安全域建设及安全域日常维护工作,提高全网安全防护水平,按照国家等级保护及有限公司制定下发的中国移动支撑系统安全域划分及边界整合技术要求、中国移动防火墙部署总体技术要求等相关规范要求,制定本管理办法。5.8 网络互联安全管理流程为加强网络互联安全管理,保障在安全可控的前提下满足不同网络之间的互访需求,根据中华人民共和国计算机信息系统安全保护条例、中国移动网络与信息安全保障体系(NISS)总纲等国家和公司相关规定,制定本办法。5.9网络与信息安全风险评估管理为在确保网络
14、安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据电信网和互联网安全防护管理指南(YD/T 1728-2008)、电信网和互联网安全风险评估实施指南(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。5.10 远程接入安全管理为加强中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)对远程接入的管理,保障在安全可控的前提下实现远程维护、使用业务、获取数据等目的,根据国家要求及中国移动内控手册(2007版)、中国移动网络与信息安全保障体系(NISS)总纲等公司相关规定,制定本办法。5.11 客户信息保密管理为保障使用中国移动各项服务的客户隐私权益,保守中国移动客户信息秘密,特制定本办法。5.12 网络信息安全资源维护管理 为规范网络信息安全资源的维护管理,加强端口及服务相关要求,特制定本办法。5.13 安全维护作业计划参见ISO文件维护作业计划管理要求,根据省网络年初制定维护作业计划进行执行。6.0审阅更新要求 本规定每年由四川移动省公司网络部进行审阅更新,并将已更新的安全规章制度应及时下发各相关部门遵照执行。各部门和生产中心可根据本程序对不同的生产系统根据具体要求进行细
