信息安全管理規(guī)范(移動(dòng)

1、1.0 目的為了預(yù)防和遏制公司網(wǎng)絡(luò)各類信息安全事件的發(fā)生，及時(shí)處理網(wǎng)絡(luò)出現(xiàn)的各類信息安全事件，減輕和消除突發(fā)事件造成的經(jīng)濟(jì)損失和社會(huì)影響，確保移動(dòng)通信網(wǎng)絡(luò)暢通與信息安全，營(yíng)造良好的網(wǎng)絡(luò)競(jìng)爭(zhēng)環(huán)境，有效進(jìn)行公司內(nèi)部網(wǎng)絡(luò)信息技術(shù)安全整體控制，特制定本規(guī)范。2.0 適用范圍 本管理規(guī)范適用于四川移動(dòng)所屬系統(tǒng)及網(wǎng)絡(luò)的信息安全管理及公司內(nèi)部信息技術(shù)整體的控制。3.0 信息安全組織機(jī)構(gòu)及職責(zé)：根據(jù)集團(tuán)公司關(guān)于信息安全組織的指導(dǎo)意見，為保證信息安全工作的有效組織與指揮，四川移動(dòng)通信有限責(zé)任公司建立了網(wǎng)絡(luò)與信息安全工作管理領(lǐng)導(dǎo)小組，由公司分管網(wǎng)絡(luò)的副總經(jīng)理任組長(zhǎng)，網(wǎng)絡(luò)部分管信息安全副總經(jīng)理任副組長(zhǎng)，由省公司網(wǎng)絡(luò)

2、部歸口進(jìn)行職能管理，省公司各網(wǎng)絡(luò)生產(chǎn)維護(hù)部門設(shè)置信息安全管理及技術(shù)人員，負(fù)責(zé)信息安全管理工作，省監(jiān)控中心設(shè)置安全監(jiān)控人員，各市州分公司及生產(chǎn)中心設(shè)置專職或兼職信息安全管理員，各系統(tǒng)維護(hù)班組負(fù)責(zé)系統(tǒng)信息安全負(fù)責(zé)全省各系統(tǒng)及網(wǎng)絡(luò)的信息安全管理協(xié)調(diào)工作。3.1.1網(wǎng)絡(luò)與信息安全工作管理組組長(zhǎng)職責(zé)：負(fù)責(zé)公司與相關(guān)領(lǐng)導(dǎo)之間的聯(lián)系，跟蹤重大網(wǎng)絡(luò)信息安全事件的處理過(guò)程，并負(fù)責(zé)與政府相關(guān)應(yīng)急部門聯(lián)絡(luò)，匯報(bào)情況。3.1.2網(wǎng)絡(luò)與信息安全工作管理組副組長(zhǎng)職責(zé)：負(fù)責(zé)牽頭制定網(wǎng)絡(luò)信息安全相關(guān)管理規(guī)范，負(fù)責(zé)網(wǎng)絡(luò)信息安全工作的安排與落實(shí)，協(xié)調(diào)網(wǎng)絡(luò)信息安全事件的解決。3.1.3省網(wǎng)絡(luò)部信息安全職能管理職責(zé)：省公司網(wǎng)絡(luò)部設(shè)置

3、信息安全管理員，負(fù)責(zé)組織貫徹和落實(shí)各項(xiàng)安全管理要求，制定安全工作計(jì)劃；制訂和審核網(wǎng)絡(luò)與信息安全管理制度、相關(guān)工作流程及技術(shù)方案；組織檢查和考核網(wǎng)絡(luò)及信息安全工作的實(shí)施情況；定期組織對(duì)安全管理工作進(jìn)行審計(jì)和評(píng)估；組織制定安全應(yīng)急預(yù)案和應(yīng)急演練，針對(duì)重大安全事件，組織實(shí)施應(yīng)急處理工作及后續(xù)的整改工作；匯總和分析安全事件情況和相關(guān)安全狀況信息；組織安全教育和培訓(xùn)。3.1.4信息安全技術(shù)管理職責(zé)：各分公司、省網(wǎng)絡(luò)部、省生產(chǎn)中心設(shè)置信息安全技術(shù)管理員，根據(jù)有限公司及省公司制定的技術(shù)規(guī)范和有關(guān)技術(shù)要求，制定實(shí)施細(xì)則。對(duì)各類網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)提出相應(yīng)安全技術(shù)要求，牽頭對(duì)各類網(wǎng)絡(luò)和系統(tǒng)實(shí)施安全技術(shù)評(píng)估和

4、工作；發(fā)布安全漏洞和安全威脅預(yù)警信息，并細(xì)化制定相應(yīng)的技術(shù)解決方案；協(xié)助制定網(wǎng)絡(luò)與信息安全的應(yīng)急預(yù)案，參與應(yīng)急演練；針對(duì)重大安全事件，組織實(shí)施應(yīng)急處理，并定期對(duì)各類安全事件進(jìn)行技術(shù)分析。設(shè)置信息安全評(píng)估審計(jì)員，根據(jù)有限公司及省公司制定的安全審計(jì)技術(shù)規(guī)范和有關(guān)技術(shù)要求，制定實(shí)施細(xì)則。牽頭對(duì)各類網(wǎng)絡(luò)和系統(tǒng)實(shí)施安全技術(shù)審計(jì)工作，根據(jù)SOX要求定期對(duì)各類網(wǎng)絡(luò)和系統(tǒng)帳號(hào)、口令設(shè)置，操作日志等進(jìn)行審計(jì)及復(fù)核，生成審計(jì)報(bào)告。3.1.5安全監(jiān)控人員職責(zé)：省網(wǎng)管中心設(shè)置安全監(jiān)控人員，對(duì)全網(wǎng)安全設(shè)備進(jìn)行集中監(jiān)控；及時(shí)發(fā)現(xiàn)全網(wǎng)信息安全事件，根據(jù)故障管理相關(guān)規(guī)定進(jìn)行派單和督促處理；進(jìn)行安全事件上報(bào)。3.1.6各系統(tǒng)維

5、護(hù)員職責(zé)：各單位分生產(chǎn)系統(tǒng)設(shè)置兼職系統(tǒng)安全維護(hù)員，負(fù)責(zé)本系統(tǒng)網(wǎng)絡(luò)信息安全的技術(shù)工作及相關(guān)協(xié)調(diào)工作，貫徹執(zhí)行集團(tuán)公司和省/市公司網(wǎng)絡(luò)部下發(fā)的相關(guān)信息安全技術(shù)規(guī)范及文件，根據(jù)相關(guān)安全技術(shù)規(guī)范和技術(shù)要求，對(duì)本系統(tǒng)進(jìn)行包括安全在內(nèi)的日常維護(hù)。處理本系統(tǒng)網(wǎng)絡(luò)安全事件，協(xié)助分析、處理復(fù)雜和重大安全事件。提升系統(tǒng)安全級(jí)別，降低安全隱患，減少信息安全事件的發(fā)生，保障其安全運(yùn)行。3.1.7信息安全關(guān)鍵崗位說(shuō)明：信息安全關(guān)鍵崗位說(shuō)明：對(duì)以下情況的工作崗位，屬于信息安全關(guān)鍵崗位1、 掌握業(yè)務(wù)及支撐系統(tǒng)超級(jí)用戶權(quán)限的崗位（各系統(tǒng)超級(jí)用戶管理員，根據(jù)SOX要求，由各單位分管領(lǐng)導(dǎo)進(jìn)行授權(quán)）2、 掌握查看客戶信息（手機(jī)終端

6、客戶的HLR信息、位置信息、通話紀(jì)錄、短信、彩信內(nèi)容等等）權(quán)限的崗位。3、 可能造成嚴(yán)重影響客戶感知的崗位（具有進(jìn)行用戶群發(fā)，業(yè)務(wù)定制等權(quán)限的崗位）4、 掌握各類安全管理系統(tǒng)，如集中賬號(hào)管理、網(wǎng)絡(luò)認(rèn)證接入、日志審計(jì)系統(tǒng)情操作行為權(quán)限的崗位（安全管理員）為加強(qiáng)信息安全關(guān)鍵崗位的管理，對(duì)以上崗位的情況要進(jìn)行梳理備案，對(duì)1-3類崗位，由安全審計(jì)評(píng)估人員定期進(jìn)行操作審計(jì)和確認(rèn)。對(duì)第4類人員，由省網(wǎng)絡(luò)部定期進(jìn)行審查和考核。審計(jì)要求見安全審計(jì)管理細(xì)則。4.0 管理規(guī)范4.1 管理系統(tǒng)本管理規(guī)范適用于四川移動(dòng)各業(yè)務(wù)生產(chǎn)、支撐系統(tǒng)，包括OA系統(tǒng)、MIS系統(tǒng)、BOSS系統(tǒng)及其子系統(tǒng)、經(jīng)營(yíng)分析系統(tǒng)、客戶服務(wù)系統(tǒng)、

7、MISC系統(tǒng)、交換機(jī)系統(tǒng)、智能網(wǎng)系統(tǒng)、彩鈴、短信、彩信、WAP、各增值業(yè)務(wù)平臺(tái)、中央音樂(lè)平臺(tái)、網(wǎng)管系統(tǒng)等。4.2網(wǎng)絡(luò)與信息安全基本要求4.2.1網(wǎng)絡(luò)與信息的安全工作實(shí)行誰(shuí)主管、誰(shuí)負(fù)責(zé)、預(yù)防為主、綜合診治、人員防范與技術(shù)防范相結(jié)合的原則，逐級(jí)建立安全保護(hù)責(zé)任制。4.2.2各級(jí)網(wǎng)絡(luò)維護(hù)部門應(yīng)加強(qiáng)對(duì)系統(tǒng)管理人員安全意識(shí)的培養(yǎng)，建立完善的定時(shí)定人負(fù)責(zé)制，有效明確責(zé)任，提高維護(hù)管理效率。4.2.3 網(wǎng)絡(luò)信息安全管理流程網(wǎng)絡(luò)信息安全管理包含以下主要流程 用戶帳號(hào)口令管理 信息安全監(jiān)控流程 設(shè)備入網(wǎng)安全管理流程 終端接入管理流程 信息安全預(yù)警流程 安全審計(jì)流程 網(wǎng)絡(luò)安全域管理流程 網(wǎng)絡(luò)互聯(lián)安全管理流程 遠(yuǎn)程

8、接入安全管理流程 網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估管理流程 客戶信息保密管理流程 網(wǎng)絡(luò)信息安全資源策略維護(hù)管理流程 安全維護(hù)作業(yè)計(jì)劃4.2.4 各崗位人員職責(zé)對(duì)應(yīng)說(shuō)明：信息安全職能管理信息安全技術(shù)管理信息安全審計(jì)安全監(jiān)控系統(tǒng)維護(hù)員信息安全關(guān)鍵崗位備注5.1用戶帳號(hào)口令管理制定相關(guān)管理辦法，組織考核進(jìn)行賬號(hào)管理系統(tǒng)維護(hù)，技術(shù)支持進(jìn)行賬號(hào)情況審計(jì)按照要求使用賬號(hào)按照要求使用賬號(hào)按照要求分配、使用、管理賬號(hào)5.2信息安全監(jiān)控制定相關(guān)管理辦法，組織考核進(jìn)行監(jiān)控系統(tǒng)維護(hù)，技術(shù)支持進(jìn)行安全監(jiān)控5.3設(shè)備入網(wǎng)安全管理制定相關(guān)管理辦法，組織評(píng)定考核對(duì)設(shè)備入網(wǎng)進(jìn)行評(píng)估確認(rèn)，提出存在風(fēng)險(xiǎn)和整改建議。提交入網(wǎng)設(shè)備安全情況，根

9、據(jù)建議進(jìn)行整改5.4終端安全管理制定相關(guān)管理辦法，組織評(píng)定考核進(jìn)行終端安全管理系統(tǒng)技術(shù)管理和維護(hù)按照要求進(jìn)行終端接入和使用5.5信息安全預(yù)警管理制定相關(guān)管理辦法，組織評(píng)定考核進(jìn)行預(yù)警信息發(fā)布，支持配合系統(tǒng)完成加固。根據(jù)預(yù)警信息進(jìn)行系統(tǒng)加固5.6安全審計(jì)管理制定相關(guān)管理辦法，組織評(píng)定考核。對(duì)審計(jì)情況進(jìn)行抽查和再審計(jì)。進(jìn)行操作進(jìn)行定期分析和審計(jì)5.7網(wǎng)絡(luò)安全域管理制定相關(guān)管理辦法，組織評(píng)定考核提出安全域技術(shù)方案，進(jìn)行技術(shù)支持。進(jìn)行網(wǎng)絡(luò)安全域劃分割接和實(shí)施5.8網(wǎng)絡(luò)互聯(lián)安全管理制定相關(guān)管理辦法，組織評(píng)定考核確認(rèn)互聯(lián)風(fēng)險(xiǎn)和實(shí)施要求，進(jìn)行支持。進(jìn)行互聯(lián)實(shí)施配合5.9網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估管理制定相關(guān)管理

10、辦法，組織評(píng)定考核組織進(jìn)行系統(tǒng)評(píng)估，提交報(bào)告5.10遠(yuǎn)程接入安全管理制定相關(guān)管理辦法，組織評(píng)定考核進(jìn)行遠(yuǎn)程接入審核和接入管理5.11客戶信息保密管理制定相關(guān)管理辦法，組織評(píng)定考核對(duì)客戶信息安全系統(tǒng)進(jìn)行管理維護(hù)審計(jì)客戶信息操作是否符合要求監(jiān)控系統(tǒng)安全運(yùn)行情況按要求進(jìn)行執(zhí)行5.12網(wǎng)絡(luò)信息安全資源策略維護(hù)管理制定相關(guān)管理辦法，組織評(píng)定考核。維護(hù)資源策略安全系統(tǒng)運(yùn)行，進(jìn)行技術(shù)支持。審計(jì)資源策略情況按要求進(jìn)行資源更新按要求進(jìn)行資源更新5.13安全維護(hù)作業(yè)計(jì)劃制定相關(guān)管理辦法，組織評(píng)定考核。執(zhí)行相關(guān)安全作業(yè)計(jì)劃執(zhí)行相關(guān)安全作業(yè)計(jì)劃執(zhí)行相關(guān)安全作業(yè)計(jì)劃執(zhí)行相關(guān)安全作業(yè)計(jì)劃執(zhí)行相關(guān)安全作業(yè)計(jì)劃5.0 安全管

11、理流程5.1用戶帳號(hào)口令管理為了預(yù)防和遏制公司網(wǎng)絡(luò)各類信息安全事件的發(fā)生，及時(shí)處理因賬號(hào)使用上出現(xiàn)的各類信息安全事件，減輕和消除突發(fā)事件造成的經(jīng)濟(jì)損失和社會(huì)影響，確保移動(dòng)通信網(wǎng)絡(luò)暢通與信息安全，營(yíng)造良好的網(wǎng)絡(luò)競(jìng)爭(zhēng)環(huán)境，有效進(jìn)行公司內(nèi)部網(wǎng)絡(luò)信息技術(shù)安全整體控制，特制定本流程。5.2 信息安全監(jiān)控密切關(guān)注用戶投訴情況，對(duì)所有短信息進(jìn)行監(jiān)控。杜絕反動(dòng)、色情等有害信息。防止發(fā)現(xiàn)黑客攻擊。5.3 設(shè)備安全入網(wǎng)管理流程按照集團(tuán)公司網(wǎng)絡(luò)與信息安全“同步規(guī)劃、同步建設(shè)、同步運(yùn)行”的三同步要求，規(guī)范公司各類網(wǎng)絡(luò)、及系統(tǒng)的入網(wǎng)安全工作，保障網(wǎng)絡(luò)和系統(tǒng)安全運(yùn)行，5.4終端安全及移動(dòng)存儲(chǔ)介質(zhì)管理流程為了加強(qiáng)公司各系統(tǒng)

12、局域網(wǎng)終端接入認(rèn)證管理，確保只有通過(guò)認(rèn)證的終端設(shè)備才可對(duì)公司內(nèi)部局域網(wǎng)資源進(jìn)行使用，保障移動(dòng)通信網(wǎng)絡(luò)暢通與信息安全，所有接入公司內(nèi)部局域網(wǎng)終端，需按管理要求接入。為規(guī)范中國(guó)移動(dòng)四川公司移動(dòng)存儲(chǔ)介質(zhì)管理，防止通過(guò)移動(dòng)存儲(chǔ)介質(zhì)泄露公司秘密，以及傳播病毒、蠕蟲等惡意軟件，對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行加強(qiáng)管理。5.5 信息安全預(yù)警管理信息安全的預(yù)警工作實(shí)行預(yù)防為主、信息收集發(fā)布與及時(shí)處理相結(jié)合的原則，逐級(jí)建立安全預(yù)警責(zé)任制。各級(jí)網(wǎng)絡(luò)維護(hù)部門應(yīng)加強(qiáng)對(duì)系統(tǒng)管理人員安全意識(shí)的培養(yǎng)，明確責(zé)任，提高維護(hù)管理效果。5.6 安全審計(jì)管理 為檢測(cè)非法活動(dòng)，應(yīng)該對(duì)系統(tǒng)進(jìn)行審計(jì)，檢測(cè)與訪問(wèn)控制策略不符的情況，將可以監(jiān)控的事件記錄下

13、來(lái)，在出現(xiàn)安全事故時(shí)作為證據(jù)使用。利用系統(tǒng)審計(jì)，可以檢查所采用的控制措施是否有效，是否與訪問(wèn)策略相符。5.7網(wǎng)絡(luò)安全域管理流程規(guī)范安全域建設(shè)及安全域日常維護(hù)工作，提高全網(wǎng)安全防護(hù)水平，按照國(guó)家等級(jí)保護(hù)及有限公司制定下發(fā)的中國(guó)移動(dòng)支撐系統(tǒng)安全域劃分及邊界整合技術(shù)要求、中國(guó)移動(dòng)防火墻部署總體技術(shù)要求等相關(guān)規(guī)范要求，制定本管理辦法。5.8 網(wǎng)絡(luò)互聯(lián)安全管理流程為加強(qiáng)網(wǎng)絡(luò)互聯(lián)安全管理，保障在安全可控的前提下滿足不同網(wǎng)絡(luò)之間的互訪需求，根據(jù)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全保障體系（NISS）總綱等國(guó)家和公司相關(guān)規(guī)定，制定本辦法。5.9網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估管理為在確保網(wǎng)絡(luò)

14、安全前提下，高效、可控地推動(dòng)網(wǎng)絡(luò)與信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作，依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南（YD/T 1728-2008）、電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南（YD/T 1730-2008）等國(guó)家政策、行業(yè)標(biāo)準(zhǔn)和有限公司相關(guān)規(guī)定，制定本辦法。5.10 遠(yuǎn)程接入安全管理為加強(qiáng)中國(guó)移動(dòng)通信有限公司（以下簡(jiǎn)稱“有限公司”）及各省公司（有限公司和各省公司統(tǒng)稱“中國(guó)移動(dòng)”）對(duì)遠(yuǎn)程接入的管理，保障在安全可控的前提下實(shí)現(xiàn)遠(yuǎn)程維護(hù)、使用業(yè)務(wù)、獲取數(shù)據(jù)等目的，根據(jù)國(guó)家要求及中國(guó)移動(dòng)內(nèi)控手冊(cè)（2007版）、中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全保障體系（NISS）總綱等公司相關(guān)規(guī)定，制定本辦法。5.11 客戶信息保密管理為保障使

15、用中國(guó)移動(dòng)各項(xiàng)服務(wù)的客戶隱私權(quán)益，保守中國(guó)移動(dòng)客戶信息秘密，特制定本辦法。5.12 網(wǎng)絡(luò)信息安全資源維護(hù)管理 為規(guī)范網(wǎng)絡(luò)信息安全資源的維護(hù)管理，加強(qiáng)端口及服務(wù)相關(guān)要求，特制定本辦法。5.13 安全維護(hù)作業(yè)計(jì)劃參見ISO文件維護(hù)作業(yè)計(jì)劃管理要求，根據(jù)省網(wǎng)絡(luò)年初制定維護(hù)作業(yè)計(jì)劃進(jìn)行執(zhí)行。6.0審閱更新要求 本規(guī)定每年由四川移動(dòng)省公司網(wǎng)絡(luò)部進(jìn)行審閱更新，并將已更新的安全規(guī)章制度應(yīng)及時(shí)下發(fā)各相關(guān)部門遵照?qǐng)?zhí)行。各部門和生產(chǎn)中心可根據(jù)本程序?qū)Σ煌纳a(chǎn)系統(tǒng)根據(jù)具體要求進(jìn)行細(xì)化，形成相關(guān)細(xì)則。7.0 相關(guān)文件及記錄7.1用戶賬號(hào)口令管理相關(guān)表格：XXXX系統(tǒng)管理員授權(quán)表XXXX系統(tǒng)用戶賬號(hào)權(quán)限審批表系統(tǒng)用戶賬號(hào)登記表XXXX系統(tǒng)用戶帳號(hào)核查表XXXX系統(tǒng)帳號(hào)口令修改記錄表XXXX系統(tǒng)帳號(hào)口令檢查記錄表XXXX系統(tǒng)程序帳號(hào)列表員工變動(dòng)登陸公司網(wǎng)絡(luò)系統(tǒng)申請(qǐng)表安全管理員授權(quán)表賬號(hào)臨時(shí)使用申請(qǐng)表超級(jí)管理員帳號(hào)移交單7.2系統(tǒng)信息安全策略相關(guān)表格：安全分析記錄報(bào)告7.3局域網(wǎng)終端接入管理相關(guān)表格：終端接入公司局域網(wǎng)申請(qǐng)表終端接入?yún)R總表7.4系統(tǒng)備份制度相關(guān)表格：系統(tǒng)備份記錄