版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、信息安全管理體系及重點(diǎn)制度(zhd)介紹 信息系統(tǒng)部2011年5月4日1共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎(chǔ)電信(dinxn)企業(yè)信息安全責(zé)任管理辦法2基礎(chǔ)信息安全要求3客戶信息保護(hù)管理規(guī)定4信息安全三同步管理辦法5業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)62共五十一頁ISO17799:2000國(guó)際標(biāo)準(zhǔn)(u j bio zhn)BS7799-1:1999BS7799-2:1999英國(guó)(yn u)標(biāo)準(zhǔn)BS7799-2: 2002BS7799-1:2000ISO17799:2005ISO27001:2005BS7799:1996BS7799-3:2005安全管理體系標(biāo)準(zhǔn)的發(fā)展歷史3共五十一頁IS
2、O 27001的標(biāo)準(zhǔn)全稱 Information technology- Security techniques-Information security management systems-Requirements 信息技術(shù)-安全(nqun)技術(shù)-信息安全管理體系-要求ISMS 信息安全管理體系 - 管理體系 - 信息安全相關(guān) - ISO 27001 的3 術(shù)語和定義(dngy)-3.7Requirements 要求ISO/IEC 27001介紹4共五十一頁建立方針和目標(biāo)并實(shí)現(xiàn)這些目標(biāo)的相互關(guān)聯(lián)或相互作用的一組要素。管理體系包括(boku)組織結(jié)構(gòu),策略,規(guī)劃,角色,職責(zé),流程,程序和資源
3、等。(ISO 270013 術(shù)語和定義-3.7)管理的方方面面以及公司的所有雇員,均囊括在管理體系范圍內(nèi)。什么(shn me)是管理體系?Quality management system (ISO 9001)Environmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System (ISO 20000)Information security management sy
4、stem(ISO 27001)5共五十一頁什么(shn me)是信息安全?AlterationDestructionDisclosureInformationIntegrity Availability ConfidentialityInformation保護(hù)信息的保密性、完整性和可用性(CIA);另外也可包括諸如真實(shí)性,可核查性,不可否認(rèn)性和可靠性等特性 (ISO 270013 術(shù)語和定義-3.4) 機(jī)密性(Confidentiality) 信息不能被未授權(quán)的個(gè)人,實(shí)體或者過程利用或知悉的特性 (ISO 270013 術(shù)語和定義-3.3)完整性(Integrity)保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性
5、(ISO 270013 術(shù)語和定義-3.8).確保信息在存儲(chǔ)、使用、傳輸過程中不會(huì)被非授權(quán)用戶篡改,同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹模3中畔?nèi)、外部表示(biosh)的一致性。可用性(Availability) 根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性(ISO 270013 術(shù)語和定義-3.2).確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕,允許其可靠而及時(shí)地訪問信息及資源6共五十一頁信息安全管理體系所涵蓋(hn i)的領(lǐng)域安全策略合規(guī)性信息安全組織資產(chǎn)管理信息系統(tǒng)獲取開發(fā)和維護(hù)人力資源安全物理和環(huán)境安全通信和操作管理訪問控制信息安全事件管理業(yè)務(wù)連續(xù)性管理7共五十一頁湖
6、南移動(dòng)(ydng)信息安全管理體系8共五十一頁湖南移動(dòng)(ydng)信息安全管理制度已發(fā)布制度湖南移動(dòng)信息安全管理辦法和責(zé)任矩陣湖南移動(dòng)信息安全三同步管理辦法中國(guó)移動(dòng)客戶信息安全保護(hù)管理規(guī)定(試行)和控制矩陣中國(guó)移動(dòng)業(yè)務(wù)信息安全評(píng)估標(biāo)準(zhǔn)(2011)中國(guó)移動(dòng)基礎(chǔ)信息安全管理通用(tngyng)要求(試行)和檢查矩陣實(shí)踐案例匯編“客戶信息安全保護(hù)解決方案匯編”“基礎(chǔ)信息安全案例匯編”計(jì)劃完善的制度安全應(yīng)急處置責(zé)任追究安全檢查管理辦法9共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎(chǔ)電信企業(yè)信息安全責(zé)任管理(gunl)辦法2基礎(chǔ)信息安全要求3客戶信息保護(hù)管理規(guī)定4信息安全三同步管理辦法5業(yè)務(wù)
7、安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)610共五十一頁基礎(chǔ)電信企業(yè)(qy)信息安全責(zé)任管理辦法互聯(lián)網(wǎng)新技術(shù)新業(yè)務(wù)的廣泛,信息安全事件時(shí)有發(fā)生普遍存在“重市場(chǎng)發(fā)展、輕安全管理”的現(xiàn)象,甚至還有“只顧賺錢,漠視安全”的情況存在基礎(chǔ)電信企業(yè)的信息安全責(zé)任和要求不盡明確。企業(yè)對(duì)自身應(yīng)承擔(dān)的信息安全責(zé)任重視不夠、投入不足(bz)。行業(yè)監(jiān)管機(jī)構(gòu)對(duì)企業(yè)信息安全責(zé)任和義務(wù)缺乏有效監(jiān)督和管理的方式方法。企業(yè)信息安全責(zé)任保障條件總則監(jiān)督管理基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法(工信部保2009713號(hào))11共五十一頁基礎(chǔ)(jch)電信企業(yè)信息安全責(zé)任管理辦法-總則第三條(信息安全)本辦法所稱信息安全指電信網(wǎng)絡(luò)(包括(boku)固定網(wǎng)、移動(dòng)
8、網(wǎng)和互聯(lián)網(wǎng))上的公共信息內(nèi)容安全。第四條(企業(yè)信息安全責(zé)任)企業(yè)有義務(wù)維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和用戶合法權(quán)益;應(yīng)在網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)提供、應(yīng)急處置、信息報(bào)備、人員培訓(xùn)等方面建立健全企業(yè)信息安全責(zé)任制度,同步建設(shè)與企業(yè)網(wǎng)絡(luò)、業(yè)務(wù)和用戶發(fā)展相適應(yīng)的信息安全保障體系和技術(shù)保障手段;保障必要的人員和資金投入???則12共五十一頁基礎(chǔ)電信(dinxn)企業(yè)信息安全責(zé)任管理辦法企業(yè)信息安全責(zé)任企業(yè)信息(xnx)安全責(zé)任規(guī)范合作經(jīng)營(yíng)技術(shù)保障措施配合監(jiān)管信息報(bào)備網(wǎng)絡(luò)建設(shè)開辦業(yè)務(wù)日常監(jiān)測(cè)用戶信息保護(hù)接入責(zé)任13共五十一頁企業(yè)信息安全責(zé)任(zrn)-(網(wǎng)絡(luò)建設(shè))企業(yè)在電信網(wǎng)絡(luò)的設(shè)計(jì)、建設(shè)和運(yùn)行過程中,應(yīng)做到與國(guó)家信息安
9、全的需求同步規(guī)劃,同步建設(shè),同步運(yùn)行。企業(yè)在系統(tǒng)規(guī)劃、建設(shè)、升級(jí)、改造等環(huán)節(jié)(hunji)應(yīng)認(rèn)真落實(shí)國(guó)家信息安全要求,同步配套相關(guān)信息安全設(shè)備和設(shè)施。企業(yè)在網(wǎng)絡(luò)設(shè)備選型、采購(gòu)和使用時(shí),應(yīng)遵守電信設(shè)備進(jìn)網(wǎng)要求,滿足信息安全管理需要。 14共五十一頁企業(yè)信息安全責(zé)任- (開辦(kibn)業(yè)務(wù))企業(yè)應(yīng)履行(lxng)信息安全承諾,按照電信業(yè)務(wù)經(jīng)營(yíng)許可的信息安全要求開展和經(jīng)營(yíng)相關(guān)電信業(yè)務(wù)。企業(yè)要在新產(chǎn)品立項(xiàng)、產(chǎn)品開發(fā)和業(yè)務(wù)上線(包括合作開辦)的各環(huán)節(jié):建立實(shí)施信息安全評(píng)估制度,同步配套與業(yè)務(wù)特點(diǎn)和用戶規(guī)模相適應(yīng)的信息安全保障措施,明確業(yè)務(wù)的信息安全負(fù)責(zé)人,建立相應(yīng)的管理制度和應(yīng)急處置流程,按規(guī)定向電信
10、監(jiān)管機(jī)構(gòu)進(jìn)行業(yè)務(wù)信息報(bào)備。 15共五十一頁企業(yè)信息安全責(zé)任(zrn)- (日常監(jiān)測(cè))對(duì)本企業(yè)通信網(wǎng)絡(luò)中發(fā)現(xiàn)的違法信息,企業(yè)應(yīng)立即停止傳輸,保存(bocn)相關(guān)記錄,并向國(guó)家有關(guān)機(jī)關(guān)報(bào)告。對(duì)有關(guān)部門依法通知停止傳輸?shù)倪`法信息,企業(yè)應(yīng)配合執(zhí)行。 16共五十一頁企業(yè)(qy)信息安全責(zé)任- (用戶信息保護(hù))電信(dinxn)用戶依法使用電信(dinxn)的自由和通信秘密受法律保護(hù)。企業(yè)及其工作人員不得擅自向他人提供電信(dinxn)用戶使用電信(dinxn)網(wǎng)絡(luò)所傳輸信息的內(nèi)容(法律另有規(guī)定的除外)。對(duì)于本企業(yè)業(yè)務(wù)網(wǎng)絡(luò)/系統(tǒng)中保存的有關(guān)用戶資料和信息,企業(yè)應(yīng)依法予以保護(hù),不得非法出售或者提供給其他組織
11、和個(gè)人、不得用于與企業(yè)業(yè)務(wù)無關(guān)的用途。 17共五十一頁企業(yè)(qy)信息安全責(zé)任- (接入責(zé)任)企業(yè)不得向未取得電信業(yè)務(wù)經(jīng)營(yíng)許可證的單位或個(gè)人提供用于經(jīng)營(yíng)性電信業(yè)務(wù)的電信資源、網(wǎng)絡(luò)接入和業(yè)務(wù)接入;不得向未備案非經(jīng)營(yíng)性互聯(lián)網(wǎng)站提供網(wǎng)絡(luò)接入。企業(yè)應(yīng)監(jiān)督接入用戶按照約定的用途使用電信資源或開展業(yè)務(wù)。發(fā)現(xiàn)擅自改變使用用途的,及時(shí)通知(tngzh)整改,涉及違法犯罪的,及時(shí)向有關(guān)部門報(bào)告。企業(yè)應(yīng)定期檢查接入內(nèi)容。發(fā)現(xiàn)信息安全問題和隱患及時(shí)做出相應(yīng)處理。 18共五十一頁企業(yè)(qy)信息安全責(zé)任- (規(guī)范合作經(jīng)營(yíng))企業(yè)在開展業(yè)務(wù)合作前,要對(duì)合作方的經(jīng)營(yíng)資質(zhì)、業(yè)務(wù)許可等信息進(jìn)行審核,并在合同中明確各方的信息安全
12、責(zé)任。企業(yè)應(yīng)當(dāng)對(duì)合作提供的各類業(yè)務(wù)進(jìn)行規(guī)范和監(jiān)督,建立違法信息發(fā)現(xiàn)、監(jiān)測(cè)和處置制度。對(duì)合作中出現(xiàn)的信息安全問題和隱患,企業(yè)應(yīng)督促合作單位及時(shí)整改,或者按照(nzho)合同約定進(jìn)行處理,對(duì)違反法律的,報(bào)送相關(guān)部門查處。 19共五十一頁企業(yè)信息安全責(zé)任- (技術(shù)(jsh)保障措施)企業(yè)應(yīng)當(dāng)建立并完善事前防范(fngfn)、事中阻斷、事后追溯的信息安全技術(shù)保障體系。企業(yè)應(yīng)當(dāng)建立必要的技術(shù)手段,加強(qiáng)對(duì)重要電信資源(如電信碼號(hào)、網(wǎng)絡(luò)帶寬、IP地址、域名等)的管理。企業(yè)應(yīng)當(dāng)認(rèn)真落實(shí)接入責(zé)任,建全信息安全管理和公共信息服務(wù)內(nèi)容日常核查手段。20共五十一頁企業(yè)信息安全責(zé)任(zrn)- (配合監(jiān)管)企業(yè)應(yīng)當(dāng)認(rèn)真
13、配合電信監(jiān)管機(jī)構(gòu)開展信息安全監(jiān)督管理工作,保證相關(guān)工作順利實(shí)施。企業(yè)應(yīng)當(dāng)依法記錄并妥善保存用戶使用電信網(wǎng)絡(luò)的有關(guān)信息,相關(guān)信息應(yīng)當(dāng)至少保存60日。對(duì)存在的信息安全問題和隱患,企業(yè)應(yīng)當(dāng)嚴(yán)格按照(nzho)電信監(jiān)管機(jī)構(gòu)的處理意見進(jìn)行整改。因涉及國(guó)家安全或處置緊急事件的需要,電信監(jiān)管機(jī)構(gòu)根據(jù)國(guó)家的有關(guān)規(guī)定和要求組織實(shí)施通信管制,企業(yè)應(yīng)當(dāng)配合執(zhí)行。21共五十一頁企業(yè)(qy)信息安全責(zé)任- (信息報(bào)備)企業(yè)應(yīng)當(dāng)遵照有關(guān)信息安全要求和規(guī)定,執(zhí)行信息安全信息上報(bào)、備案制度,接受并配合電信監(jiān)管機(jī)構(gòu)的監(jiān)督檢查??赡芤l(fā)信息安全隱患(ynhun)的網(wǎng)絡(luò)調(diào)整、擴(kuò)容、電信基礎(chǔ)資源使用變更等;可能引發(fā)信息安全隱患的新開
14、展業(yè)務(wù);企業(yè)信息安全責(zé)任人或聯(lián)系人信息變更;企業(yè)業(yè)務(wù)網(wǎng)絡(luò)/系統(tǒng)內(nèi)發(fā)生的各類信息安全事件。企業(yè)應(yīng)保證相關(guān)報(bào)備信息的及時(shí)、準(zhǔn)確、完整。22共五十一頁基礎(chǔ)電信企業(yè)(qy)信息安全責(zé)任管理辦法通報(bào)整改制度電信監(jiān)管機(jī)構(gòu)對(duì)企業(yè)落實(shí)信息安全責(zé)任情況建立日常監(jiān)測(cè)機(jī)制,實(shí)行通報(bào)整改制度。對(duì)存在信息安全隱患或者發(fā)生信息安全事故的企業(yè),電信監(jiān)管機(jī)構(gòu)向企業(yè)提出書面整改意見,責(zé)成企業(yè)限期整改,并視情況在一定范圍內(nèi)予以通報(bào)。電信監(jiān)管機(jī)構(gòu)定期或不定期對(duì)企業(yè)落實(shí)信息安全責(zé)任的情況進(jìn)行專項(xiàng)監(jiān)督檢查。企業(yè)應(yīng)當(dāng)將每年落實(shí)信息安全責(zé)任的有關(guān)情況形成書面報(bào)告報(bào)電信監(jiān)管機(jī)構(gòu)。對(duì)在新產(chǎn)品立項(xiàng)、產(chǎn)品開發(fā)和業(yè)務(wù)上線(包括合作開辦)各環(huán)節(jié)(hu
15、nji)未同步開展信息安全評(píng)估、未同步配套與該業(yè)務(wù)相適應(yīng)的信息安全保障措施、未按規(guī)定要求向電信監(jiān)管機(jī)構(gòu)進(jìn)行業(yè)務(wù)信息報(bào)備,而造成特(重)大信息安全事件(或被有關(guān)部門通報(bào)并經(jīng)電信監(jiān)管機(jī)構(gòu)組織專家研究認(rèn)定該業(yè)務(wù)存在嚴(yán)重信息安全隱患)的,由電信監(jiān)管機(jī)構(gòu)責(zé)令相關(guān)企業(yè)限期整改,未經(jīng)整改合格的,不得開展該業(yè)務(wù)。監(jiān)督管理23共五十一頁基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法通報(bào)整改(zhn i)制度對(duì)因自身管理原因造成信息安全事件,由電信監(jiān)管機(jī)構(gòu)追究相關(guān)企業(yè)責(zé)任。(一)企業(yè)在一年內(nèi),發(fā)生1次特大信息安全事件的,或累計(jì)發(fā)生3次(及3次以上)重大信息安全事件的,由電信監(jiān)管機(jī)構(gòu)予以通報(bào)批評(píng),對(duì)相關(guān)責(zé)任人提出處理意見或建議,
16、通報(bào)相關(guān)管理部門,并視情況向社會(huì)(shhu)通告。(二)企業(yè)在一年內(nèi),發(fā)生1次重大信息安全事件的,或累計(jì)發(fā)生5次(及5次以上)一般信息安全事件的,由電信監(jiān)管機(jī)構(gòu)予以通報(bào)批評(píng),對(duì)相關(guān)責(zé)任人提出處理意見或建議,并通報(bào)相關(guān)管理部門。(三)企業(yè)在一年內(nèi),發(fā)生5次以下一般信息安全事件的,由電信監(jiān)管機(jī)構(gòu)在電信行業(yè)內(nèi)進(jìn)行通報(bào)。 (四)企業(yè)存在信息安全問題或隱患,未按要求在規(guī)定期限內(nèi)進(jìn)行相應(yīng)整改的,由電信監(jiān)管機(jī)構(gòu)予以通報(bào)批評(píng),對(duì)相關(guān)責(zé)任人提出處理意見或建議,并視情況通報(bào)相關(guān)管理部門。構(gòu)成犯罪的,移送司法機(jī)關(guān)依法追究刑事責(zé)任。監(jiān)督管理24共五十一頁基礎(chǔ)(jch)電信企業(yè)信息安全責(zé)任管理辦法 重點(diǎn)(一)落實(shí)基礎(chǔ)(
17、jch)企業(yè)領(lǐng)導(dǎo)人問責(zé)制明確和落實(shí)企業(yè)領(lǐng)導(dǎo)責(zé)任。對(duì)工作不落實(shí)、措施不到位、被電信主管部門通報(bào)批評(píng)的,追究企業(yè)信息安全責(zé)任人的領(lǐng)導(dǎo)責(zé)任。對(duì)整改不力、屢改屢犯、故意違規(guī)的,通報(bào)批評(píng)相應(yīng)企業(yè)信息安全責(zé)任人,并函告其上級(jí)主管部門追究企業(yè)信息安全責(zé)任人的領(lǐng)導(dǎo)責(zé)任。25共五十一頁基礎(chǔ)電信(dinxn)企業(yè)信息安全責(zé)任管理辦法 (二)加強(qiáng)業(yè)務(wù)推廣、合作經(jīng)營(yíng)的管理對(duì)業(yè)務(wù)推廣渠道中業(yè)務(wù)合作(hzu)的建立、合作(hzu)內(nèi)容的規(guī)范、合作(hzu)問題的發(fā)現(xiàn)和監(jiān)督、業(yè)務(wù)推廣模式的實(shí)現(xiàn)等相關(guān)細(xì)節(jié)明確制度化、規(guī)范化的要求。監(jiān)督合作單位相關(guān)責(zé)任和義務(wù)落實(shí)情況,確保實(shí)效。對(duì)合作中出現(xiàn)的信息安全問題和隱患,企業(yè)應(yīng)督促合作單
18、位及時(shí)整改;發(fā)現(xiàn)存在違規(guī)的,立即暫?;蚪K止合作;發(fā)現(xiàn)違反法律的,報(bào)送相關(guān)部門查處。 26共五十一頁基礎(chǔ)電信企業(yè)(qy)信息安全責(zé)任管理辦法 (三)落實(shí)接入環(huán)節(jié)(hunji)管理責(zé)任為無證服務(wù)商提供接入、為未取得經(jīng)營(yíng)許可或備案的網(wǎng)站接入的,追究相關(guān)人員責(zé)任。與接入服務(wù)商、網(wǎng)站簽訂信息安全管理協(xié)議。監(jiān)督接入服務(wù)商、網(wǎng)站的日常活動(dòng),配合相關(guān)主管部門對(duì)接入服務(wù)商、網(wǎng)站接入的查處。對(duì)發(fā)現(xiàn)涉及違法犯罪的,應(yīng)及時(shí)停止接入、保存記錄,并向有關(guān)部門報(bào)告。對(duì)無法判定的涉嫌違規(guī)內(nèi)容,應(yīng)保存記錄,并向有關(guān)部門報(bào)告,配合有關(guān)部門的研判和處置。 27共五十一頁目 錄信息安全管理體系介紹(jisho)1 基礎(chǔ)電信(dinx
19、n)企業(yè)信息安全責(zé)任管理辦法2基礎(chǔ)信息安全要求3客戶信息保護(hù)管理規(guī)定4信息安全三同步管理辦法5業(yè)務(wù)安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)628共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求29共五十一頁基礎(chǔ)信息安全管理(gunl)通用要求安全預(yù)警預(yù)警信息分為一級(jí)、二級(jí)、三級(jí)、四級(jí),一級(jí)為最高級(jí)。集團(tuán)公司信息安全管理責(zé)任部門負(fù)責(zé)面向全網(wǎng)發(fā)布預(yù)警信息,各省公司或?qū)I(yè)部門向所轄地域與專業(yè)發(fā)布預(yù)警信息。各單位接到預(yù)警信息后,應(yīng)依據(jù)上級(jí)主管部門要求落實(shí),及時(shí)跟蹤預(yù)警項(xiàng)進(jìn)展,預(yù)警內(nèi)容出現(xiàn)變化應(yīng)及時(shí)上報(bào),必要時(shí)調(diào)高預(yù)警級(jí)別并采取更嚴(yán)格防范措施。各單位可根據(jù)預(yù)警信息對(duì)系統(tǒng)的影響情況調(diào)高預(yù)警級(jí)別,但不允許(ynx)調(diào)低預(yù)警級(jí)別;
20、對(duì)安全補(bǔ)丁類預(yù)警,應(yīng)根據(jù)設(shè)備所處位置和重要性采取不同的加載策略。在設(shè)備沒打補(bǔ)丁期間,要采取相應(yīng)的加固措施,保證設(shè)備不易被攻擊。對(duì)于安全預(yù)警信息,應(yīng)在預(yù)警信息規(guī)定時(shí)限內(nèi)向預(yù)警信息發(fā)布主體反饋處理結(jié)果。安全預(yù)警處理結(jié)果反饋內(nèi)容應(yīng)包括預(yù)警的影響范圍、防范措施實(shí)施范圍、防范措施實(shí)施效果、進(jìn)一步計(jì)劃等內(nèi)容。30共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求安全監(jiān)控 要由監(jiān)控專業(yè)或相應(yīng)專業(yè)人員實(shí)施對(duì)各專業(yè)網(wǎng)絡(luò)與系統(tǒng)的集中化安全監(jiān)控。重點(diǎn)監(jiān)控范圍包括安全等級(jí)三級(jí)及以上的IT系統(tǒng),以及基地業(yè)務(wù)、彩信、OA、ERP、郵件系統(tǒng)、對(duì)外網(wǎng)站、IDC、WLAN、DNS、LSP等系統(tǒng)。 細(xì)化安全監(jiān)控內(nèi)容,包括但不限于
21、:內(nèi)網(wǎng)系統(tǒng):帳號(hào)登錄信息,帳號(hào)、權(quán)限、口令的變更,服務(wù)與端口的啟用,系統(tǒng)日志是否正常;互聯(lián)網(wǎng)系統(tǒng):除了滿足內(nèi)網(wǎng)系統(tǒng)監(jiān)控內(nèi)容要求外,還應(yīng)包括網(wǎng)站頁面是否被篡改,系統(tǒng)可用性;安全設(shè)備:防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)、防火墻等安全告警信息。 針對(duì)各監(jiān)控對(duì)象細(xì)化制定安全監(jiān)控的各項(xiàng)控制基線與量化指標(biāo),基線與指標(biāo)的數(shù)值應(yīng)至少設(shè)定正常,一般(ybn)告警,緊急告警三個(gè)等級(jí)。 應(yīng)完善和優(yōu)化安全監(jiān)控手段,提升監(jiān)控的效率與覆蓋面。 應(yīng)制定細(xì)化的安全監(jiān)控作業(yè)計(jì)劃,實(shí)施對(duì)重點(diǎn)監(jiān)控對(duì)象的724小時(shí)監(jiān)控。 對(duì)于監(jiān)控中發(fā)現(xiàn)的安全問題,及時(shí)進(jìn)行詳細(xì)記錄并形成監(jiān)控日志,監(jiān)控日志應(yīng)留存3個(gè)月以上。 要及時(shí)對(duì)監(jiān)控中發(fā)現(xiàn)的問題進(jìn)行識(shí)別、分
22、析與處置。 按照安全事件管理相關(guān)要求對(duì)監(jiān)控中發(fā)現(xiàn)的安全事件進(jìn)行處置。 31共五十一頁基礎(chǔ)(jch)信息安全管理通用要求訪問控制1 內(nèi)網(wǎng)接入安全要求嚴(yán)禁任何設(shè)備以雙網(wǎng)卡方式同時(shí)連接(linji)互聯(lián)網(wǎng)和公司內(nèi)網(wǎng);嚴(yán)禁向任何未經(jīng)防火墻隔離的對(duì)外網(wǎng)站等互聯(lián)網(wǎng)系統(tǒng)分配公司內(nèi)網(wǎng)IP地址;接入公司內(nèi)網(wǎng)的終端設(shè)備必須通過802.1X認(rèn)證,安全網(wǎng)關(guān)認(rèn)證,MAC地址綁定等方式之一實(shí)現(xiàn)網(wǎng)絡(luò)接入認(rèn)證,只有通過接入認(rèn)證的設(shè)備才可訪問局域網(wǎng)資源;如因系統(tǒng)限制暫時(shí)無法在系統(tǒng)中實(shí)現(xiàn)網(wǎng)絡(luò)登錄認(rèn)證,任何外來設(shè)備只能在接入申請(qǐng)批準(zhǔn)后方可接入,并由局域網(wǎng)的維護(hù)人員對(duì)接入終端進(jìn)行登記;原則上不應(yīng)采用無線AP方式接入內(nèi)網(wǎng),如遇特殊情況
23、,依據(jù)“誰接入、誰負(fù)責(zé)”的原則,管理上必須經(jīng)主管領(lǐng)導(dǎo)審批授權(quán),技術(shù)上必須采用MAC地址綁定,強(qiáng)安全認(rèn)證,強(qiáng)加密算法保護(hù)的安全傳輸,配置隱藏SSID,保證AP口令強(qiáng)度等配置;各單位要維護(hù)一份已使用內(nèi)網(wǎng)IP地址清單,清單內(nèi)容包括但不限于每個(gè)IP地址的使用單位、設(shè)備用途、責(zé)任人(使用人)和聯(lián)系方式等信息。 遠(yuǎn)程接入 遠(yuǎn)程接入指從外部網(wǎng)絡(luò)接入公司內(nèi)網(wǎng);各單位要制定遠(yuǎn)程接入的實(shí)施細(xì)則、遠(yuǎn)程接入審批和授權(quán)流程,規(guī)范帳號(hào)權(quán)限的申請(qǐng)、變更與刪除等工作,審批與授權(quán)記錄應(yīng)予以歸檔留存;各單位對(duì)遠(yuǎn)程接入應(yīng)做到系統(tǒng)集中管控(接入4A系統(tǒng)),采用短信動(dòng)態(tài)口令,令牌等強(qiáng)認(rèn)證方式,并對(duì)遠(yuǎn)程接入用戶的登錄過程、操作行為進(jìn)行記
24、錄(記錄內(nèi)容包括但不限于:用戶名、操作內(nèi)容、登陸方式、登入時(shí)間、登出時(shí)間);遠(yuǎn)程接入帳號(hào)只能授予內(nèi)部員工,廠家人員需要使用遠(yuǎn)程維護(hù)時(shí),按次授權(quán),用畢收回;遠(yuǎn)程接入帳號(hào)的創(chuàng)建、調(diào)整和刪除申請(qǐng)審批通過后,應(yīng)及時(shí)更新系統(tǒng)中的帳號(hào)狀態(tài),確保與審批結(jié)果保持一致;定期(每半年至少一次)檢查遠(yuǎn)程接入帳號(hào)與權(quán)限,清除過期或者未授權(quán)的訪問帳號(hào)與權(quán)限。32共五十一頁基礎(chǔ)信息安全管理(gunl)通用要求訪問控制2 防火墻配置管理各單位應(yīng)制定防火墻策略管理的實(shí)施細(xì)則、防火墻策略變更審批和授權(quán)流程,規(guī)范防火墻策略新建、更新與刪除工作,審批與授權(quán)記錄應(yīng)予以歸檔留存;防火墻配置應(yīng)滿足中國(guó)移動(dòng)防火墻功能和配置規(guī)范要求,做好日
25、志、告警、安全策略、攻擊防護(hù)的配置;系統(tǒng)管理員應(yīng)遵循“最小化”原則,根據(jù)系統(tǒng)內(nèi)外部互聯(lián)需求,建立細(xì)化到連接雙方的IP、端口、有效時(shí)間范圍、承載信息、信息敏感性等內(nèi)容在內(nèi)的網(wǎng)絡(luò)連接信息表,并據(jù)此配置防火墻策略,禁止出現(xiàn)非業(yè)務(wù)需要的大段IP、連續(xù)端口開放的配置;除數(shù)據(jù)網(wǎng)管、安全管控平臺(tái)等因業(yè)務(wù)需要外,互聯(lián)網(wǎng)邊界防火墻從外網(wǎng)至內(nèi)網(wǎng)的方向僅允許業(yè)務(wù)應(yīng)用端口,嚴(yán)禁(ynjn)開放維護(hù)管理和數(shù)據(jù)庫服務(wù)端口;內(nèi)網(wǎng)不同區(qū)域之間的邊界防火墻對(duì)于維護(hù)管理、數(shù)據(jù)庫服務(wù)端口僅允許配置點(diǎn)對(duì)點(diǎn)訪問策略,嚴(yán)禁開放大段IP地址的訪問策略;內(nèi)部核心區(qū)不允許開放到互聯(lián)網(wǎng)的訪問權(quán)限。建立維護(hù)作業(yè)計(jì)劃,定期(至少每周一次)對(duì)非永久有
26、效的臨時(shí)防火墻策略進(jìn)行清理。定期審核防火墻策略,確保網(wǎng)絡(luò)連接信息、防火墻策略與實(shí)際情況的一致性,確保防火墻策略滿足公司安全要求。 第三方訪問控制管理第三方是指與中國(guó)移動(dòng)在業(yè)務(wù)上具有合作關(guān)系,或是向中國(guó)移動(dòng)提供開發(fā)、維護(hù)等服務(wù)的公司及其員工;各單位要與第三方公司簽訂保密協(xié)議,在協(xié)議中明確第三方公司及其參與服務(wù)的員工的保密責(zé)任以及違約罰則;第三方人員的開發(fā)、維護(hù)的接入?yún)^(qū)域要與中國(guó)移動(dòng)的生產(chǎn)、內(nèi)部辦公、維護(hù)區(qū)域分離,并采用更嚴(yán)格的訪問控制策略和管控手段;第三方工作區(qū)域的終端接入中國(guó)移動(dòng)的內(nèi)部網(wǎng)絡(luò)時(shí)要滿足內(nèi)網(wǎng)接入要求,嚴(yán)格限制U盤等外設(shè)拷貝,禁止使用無線上網(wǎng),必須安裝防病毒軟件;通過接入4A系統(tǒng)等方式
27、對(duì)第三方人員的登錄過程、操作行為進(jìn)行記錄(記錄內(nèi)容包括但不限于:用戶名、操作內(nèi)容、登錄方式、登入時(shí)間、登出時(shí)間),日志記錄至少保留6個(gè)月。嚴(yán)格禁止第三方人員擁有重要系統(tǒng)管理員權(quán)限,創(chuàng)建系統(tǒng)帳號(hào)權(quán)限,查詢客戶敏感信息或者超出工作范圍的高級(jí)權(quán)限的帳號(hào)。各單位應(yīng)至少每3個(gè)月對(duì)第三方的帳號(hào)權(quán)限進(jìn)行一次審核清理。33共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求訪問控制3 帳號(hào)口令管理各單位要制定帳號(hào)口令管理辦法,帳號(hào)口令管理滿足:帳號(hào)管理遵循職責(zé)匹配、最小授權(quán)原則,規(guī)范帳號(hào)創(chuàng)建、變更、刪除審批流程,嚴(yán)格限制程序帳號(hào)的使用;口令設(shè)置滿足字母、數(shù)字組合等復(fù)雜度要求,不得(bu de)以明文方式保存或者
28、傳輸,口令長(zhǎng)度不得(bu de)小于8位,至少每90天更換一次,且5次以內(nèi)不得設(shè)置相同的口令;定期(至少每半年一次)對(duì)帳號(hào)申請(qǐng)審批、權(quán)限變更等流程執(zhí)行情況進(jìn)行審核,避免出現(xiàn)非法創(chuàng)建帳號(hào)、無主帳號(hào)以及權(quán)限與職責(zé)不相容的帳號(hào)。要通過系統(tǒng)功能強(qiáng)制實(shí)現(xiàn)口令策略管理,防止出現(xiàn)弱口令設(shè)置。重要系統(tǒng)要采用短信動(dòng)態(tài)口令、證書等強(qiáng)認(rèn)證登錄方式。 34共五十一頁基礎(chǔ)(jch)信息安全管理通用要求安全分析 各單位要建立安全分析制度,定期對(duì)基礎(chǔ)信息安全工作情況進(jìn)行分析通報(bào)。 分析內(nèi)容包括:基礎(chǔ)信息安全相關(guān)的安全形勢(shì)與威脅變化,安全事件,安全預(yù)警、安全監(jiān)控、風(fēng)險(xiǎn)評(píng)估、合規(guī)性檢查等發(fā)現(xiàn)的安全問題,部署相關(guān)整改工作,追蹤安
29、全問題整改情況,對(duì)重大安全事項(xiàng)進(jìn)行專題研究等。 對(duì)于分析中形成的信息安全工作決議,工作部署等記錄歸檔(gudng),并追蹤落實(shí)。35共五十一頁基礎(chǔ)信息安全(nqun)管理通用要求安全(nqun)合規(guī)性檢查 各省信息安全歸口管理部門要制定合規(guī)性檢查制度,配備必要的檢查工具,建立內(nèi)部檢查機(jī)制。信息安全歸口管理部門每年年初要組織相關(guān)單位共同制定安全合規(guī)性檢查計(jì)劃,并按照計(jì)劃開展檢查工作。在計(jì)劃中要明確檢查的方式、方法,抽調(diào)各單位安全力量,以自查或交叉檢查方式進(jìn)行。 安全合規(guī)性檢查范圍與頻次要求:每年至少對(duì)各IT系統(tǒng)組織完成一次全面檢查;各單位應(yīng)結(jié)合自身情況開展不定期的自查。安全運(yùn)營(yíng)管理和基礎(chǔ)IT設(shè)施
30、安全防護(hù)的合規(guī)性檢查應(yīng)依據(jù)本要求執(zhí)行(zhxng);單點(diǎn)設(shè)備安全配置的合規(guī)性檢查建議采用設(shè)備安全配置審核工具進(jìn)行。 合規(guī)性檢查的方法包括但不限于:抽樣檢查、全面檢查、現(xiàn)場(chǎng)檢測(cè)、日志審核、人員訪談、工具自動(dòng)檢查等。 每次檢查結(jié)束后檢查小組要及時(shí)編制安全合規(guī)性檢查報(bào)告、安全合規(guī)性檢查問題整改計(jì)劃及實(shí)施方案。 被檢查單位要及時(shí)向本省信息安全歸口管理部門上報(bào)整改進(jìn)度與成果及安全合規(guī)性檢查問題整改工作總結(jié)。36共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求安全事件管理1安全事件分為(fn wi)特別重大、重大、較大和一般四個(gè)級(jí)別。系統(tǒng)(含內(nèi)網(wǎng)系統(tǒng))安全事件信息分級(jí)定義參照互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦
31、法規(guī)定,及集團(tuán)相關(guān)部門要求。 安全事件組織分為三級(jí),一級(jí)管理組織是集團(tuán)公司,負(fù)責(zé)跨省、跨專業(yè)事件的協(xié)調(diào)處置。二級(jí)管理組織為各省公司,負(fù)責(zé)轄區(qū)內(nèi)事件的協(xié)調(diào)處置。三級(jí)管理組織由省公司各部門的安全小組組成,負(fù)責(zé)事件的具體處置。 各級(jí)組織應(yīng)負(fù)責(zé)執(zhí)行所主管IT系統(tǒng)與網(wǎng)絡(luò)的安全事件管理工作,并接受上一級(jí)組織的統(tǒng)籌與指導(dǎo)。 國(guó)家重大活動(dòng)保障時(shí)期發(fā)生的安全事件的級(jí)別應(yīng)在原有級(jí)別上提升一級(jí),特別重大安全事件級(jí)別不再向上提升。 各級(jí)組織對(duì)于安全監(jiān)控發(fā)現(xiàn)的安全事件,要及時(shí)對(duì)安全事件的影響范圍和級(jí)別進(jìn)行判斷并決定是否需要上報(bào);對(duì)于省內(nèi)跨專業(yè)的安全事件應(yīng)及時(shí)上報(bào)二級(jí)事件管理組織協(xié)調(diào)處理,對(duì)于跨省的安全事件應(yīng)及時(shí)上報(bào)一級(jí)
32、事件管理組織協(xié)調(diào)處理。上報(bào)模板參見附錄一。 各級(jí)組織收到安全事件投訴后應(yīng)及時(shí)對(duì)投訴內(nèi)容進(jìn)行核實(shí),并協(xié)調(diào)做好投訴的處理。 特別重大安全事件發(fā)生時(shí),二級(jí)管理組織應(yīng)立即上報(bào)集團(tuán)公司,經(jīng)審批后,上報(bào)當(dāng)?shù)匕踩种行摹L貏e重大安全事件確認(rèn)至上報(bào)集團(tuán)不得超過1小時(shí)。 重大安全事件發(fā)生時(shí),二級(jí)管理組織應(yīng)及時(shí)上報(bào)集團(tuán)公司。重大安全事件確認(rèn)至上報(bào)到集團(tuán)公司不得超過2小時(shí)。較大或一般安全事件由二級(jí)管理組織匯總后于次月5個(gè)工作日內(nèi)報(bào)送當(dāng)?shù)赝ㄐ殴芾砭趾虲NCERT/CC當(dāng)?shù)胤种行模⒃诿吭掳踩珗?bào)表中向集團(tuán)公司上報(bào)。二級(jí)管理組織應(yīng)記錄安全事件的審計(jì)核查結(jié)果,進(jìn)行匯總分析,總結(jié)存在的問題并歸檔形成安全事件案例庫,并上報(bào)集團(tuán)
33、公司。37共五十一頁基礎(chǔ)信息安全管理通用(tngyng)要求安全事件管理2 安全事件發(fā)生后應(yīng)立即啟動(dòng)響應(yīng)機(jī)制。 按照“誰下達(dá)任務(wù),誰結(jié)束任務(wù)”的原則,重大活動(dòng)保障任務(wù)下達(dá)單位或部門應(yīng)明確安全響應(yīng)任務(wù)的結(jié)束時(shí)間。 在網(wǎng)絡(luò)入侵事件的處理過程中,應(yīng)保護(hù)被入侵設(shè)備現(xiàn)場(chǎng),盡可能進(jìn)行離線封存問題設(shè)備,交二級(jí)管理組織處理,禁止擅自重裝、刪除系統(tǒng),為將來的取證或者分析(fnx)入侵行為提供證據(jù)。 做好事件恢復(fù)后的安全檢查工作,避免設(shè)備上線后再次出現(xiàn)同類問題。 各級(jí)組織應(yīng)定期完善安全事件預(yù)案,對(duì)安全人員進(jìn)行培訓(xùn),每年至少執(zhí)行一次信息安全演練。 應(yīng)定期檢查、補(bǔ)充安全事件處理所用的硬件及軟件工具,相關(guān)支撐文檔資料等
34、,做到有備無患。 應(yīng)完善安全事件響應(yīng)的技術(shù)支撐體系,提升事件處置能力。 對(duì)于安全事件處理中關(guān)鍵節(jié)點(diǎn)的訪問與操作日志應(yīng)建立備份機(jī)制,在線日志至少應(yīng)保存三個(gè)月,離線日志至少應(yīng)保存半年。38共五十一頁基礎(chǔ)信息安全管理通用要求人員(rnyun)與資產(chǎn)安全管理 各省應(yīng)與合作第三方、關(guān)鍵崗位員工單獨(dú)簽訂保密協(xié)議,在協(xié)議中明確其保密責(zé)任以及違約罰則。 各省應(yīng)建立所轄系統(tǒng)中有IP地址的基礎(chǔ)設(shè)備資產(chǎn)管理清單,并集中建立與互聯(lián)網(wǎng)接口的資產(chǎn)清單,必須詳細(xì)記錄信息資產(chǎn)的狀態(tài)、IP地址、系統(tǒng)類型與版本、功能與用途、所處位置、相關(guān)責(zé)任人等。 各省應(yīng)確保資產(chǎn)清單與在線系統(tǒng)狀態(tài)、責(zé)任人員信息一致。 應(yīng)定期通過IP段掃描或者人
35、工檢查(jinch)的方式比對(duì)審計(jì)資產(chǎn)清單與現(xiàn)網(wǎng)資產(chǎn)信息,對(duì)于未經(jīng)登記的無主設(shè)備一經(jīng)發(fā)現(xiàn)立即處理,對(duì)于資產(chǎn)信息發(fā)生變化的應(yīng)予以更新。 各省每半年應(yīng)對(duì)省內(nèi)所有公網(wǎng)IP設(shè)備的潛在安全高危端口(如遠(yuǎn)程登錄,網(wǎng)站服務(wù),數(shù)據(jù)庫服務(wù),網(wǎng)管服務(wù)等)進(jìn)行一次掃描,每年應(yīng)對(duì)所有公網(wǎng)IP完成一次全面漏洞掃描,及時(shí)對(duì)自有業(yè)務(wù)和系統(tǒng)存在的安全風(fēng)險(xiǎn)進(jìn)行整改。 各省應(yīng)建立完善資產(chǎn)退服管理流程。定期清查盤點(diǎn),確保退服系統(tǒng)及時(shí)下線并移出機(jī)房。對(duì)于退服設(shè)備的數(shù)據(jù),要徹底清除。39共五十一頁基礎(chǔ)信息安全管理(gunl)通用要求系統(tǒng)安全 單點(diǎn)設(shè)備安全要求:?jiǎn)吸c(diǎn)設(shè)備包括IT系統(tǒng)與網(wǎng)絡(luò)中的終端、主機(jī)、中間件、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等;單點(diǎn)設(shè)
36、備在規(guī)劃建設(shè)、工程驗(yàn)收、運(yùn)行維護(hù)各個(gè)環(huán)節(jié)中,必須嚴(yán)格遵守中國(guó)移動(dòng)設(shè)備安全功能和配置規(guī)范相關(guān)要求。規(guī)范清單參見附錄二。 業(yè)務(wù)和應(yīng)用安全要求:業(yè)務(wù)和應(yīng)用在規(guī)劃、建設(shè)、上線階段應(yīng)滿足以下安全要求:在業(yè)務(wù)和應(yīng)用規(guī)劃階段,應(yīng)當(dāng)根據(jù)應(yīng)用系統(tǒng)面臨的安全威脅以及業(yè)務(wù)、管理與維護(hù)上的需要,遵循“基礎(chǔ)IT設(shè)施安全防護(hù)要求”以及公司相關(guān)業(yè)務(wù)安全規(guī)范和標(biāo)準(zhǔn),提出相應(yīng)的安全要求;在業(yè)務(wù)和應(yīng)用在規(guī)劃設(shè)計(jì)階段,應(yīng)組織需求單位、建設(shè)單位、運(yùn)維管理單位及安全管理部門對(duì)規(guī)劃設(shè)計(jì)方案的安全性進(jìn)行會(huì)審,確保方案的合理性,避免在規(guī)劃設(shè)計(jì)階段引入安全風(fēng)險(xiǎn);在系統(tǒng)后續(xù)的開發(fā)建設(shè)、測(cè)試交付以及運(yùn)行期間需要驗(yàn)證安全要求是否得到滿足;應(yīng)對(duì)第三方
37、開源組件在開發(fā)中的使用進(jìn)行管控,不得采用(ciyng)已知存在安全漏洞的組件版本。Web應(yīng)用軟件安全應(yīng)遵循WEB類應(yīng)用系統(tǒng)安全防護(hù)技術(shù)要求,在身份驗(yàn)證、會(huì)話管理、權(quán)限管理、敏感數(shù)據(jù)保護(hù)、輸入輸出校驗(yàn)、內(nèi)容安全等方面必須具備一定的安全功能,保證系統(tǒng)本身不易被攻擊;40共五十一頁基礎(chǔ)信息安全管理(gunl)通用要求系統(tǒng)安全 生產(chǎn)環(huán)境安全要求:生產(chǎn)環(huán)境中的工具軟件安裝與使用要求應(yīng)對(duì)生產(chǎn)環(huán)境中工具軟件進(jìn)行統(tǒng)一管理,不得安裝與生產(chǎn)無關(guān)的軟件;嚴(yán)禁安裝能夠穿透防火墻,從互聯(lián)網(wǎng)訪問和控制內(nèi)網(wǎng)設(shè)備的軟件,如Teamviewer等;除部門領(lǐng)導(dǎo)授權(quán)外,任何非安全專用設(shè)備嚴(yán)禁安裝漏洞掃描、網(wǎng)絡(luò)嗅探等安全工具;及時(shí)修
38、補(bǔ)Serv-U、VNC等常用第三方工具軟件存在(cnzi)的安全漏洞。移動(dòng)存儲(chǔ)介質(zhì)使用安全要求各單位應(yīng)完善本單位內(nèi)移動(dòng)存儲(chǔ)介質(zhì)使用管理辦法,并指定專人負(fù)責(zé)對(duì)存儲(chǔ)介質(zhì)的使用進(jìn)行指導(dǎo)、監(jiān)督和檢查;各單位應(yīng)明確允許使用移動(dòng)存儲(chǔ)介質(zhì)的人員、系統(tǒng)與網(wǎng)絡(luò)范圍,對(duì)于不允許使用的,應(yīng)實(shí)施控制策略、物理封閉或端口封禁等手段;對(duì)準(zhǔn)許接入系統(tǒng)與網(wǎng)絡(luò)的存儲(chǔ)介質(zhì)進(jìn)行嚴(yán)格控制,在接入前必須進(jìn)行病毒查殺;未經(jīng)授權(quán),嚴(yán)禁使用移動(dòng)存儲(chǔ)設(shè)備(如移動(dòng)硬盤、U盤等)處理涉密數(shù)據(jù)或文件;涉密信息的移動(dòng)存儲(chǔ)介質(zhì)的管理應(yīng)按照國(guó)家、公司相關(guān)保密制度執(zhí)行。應(yīng)做到辦公終端與維護(hù)生產(chǎn)終端的專機(jī)專用,原則上要求實(shí)現(xiàn)兩者的物理隔離,嚴(yán)禁采用雙網(wǎng)卡(包
39、括無線網(wǎng)卡)跨接不同網(wǎng)絡(luò)。開發(fā)測(cè)試系統(tǒng)的安全要求:開發(fā)測(cè)試環(huán)境應(yīng)與生產(chǎn)環(huán)境隔離,不得在現(xiàn)網(wǎng)生產(chǎn)環(huán)境上進(jìn)行開發(fā)與測(cè)試;開發(fā)測(cè)試過程中不得使用真實(shí)生產(chǎn)數(shù)據(jù),僅能使用經(jīng)過模糊化處理的數(shù)據(jù);應(yīng)對(duì)開發(fā)測(cè)試環(huán)境采取適當(dāng)?shù)谋Wo(hù)措施,防止被互聯(lián)網(wǎng)區(qū)域滲透。41共五十一頁基礎(chǔ)(jch)信息安全管理通用要求安全域劃分 安全域指具有相同或相近的安全需求、相互信任的網(wǎng)絡(luò)區(qū)域或網(wǎng)絡(luò)實(shí)體的集合。安全域的劃分應(yīng)依據(jù)業(yè)務(wù)保障、結(jié)構(gòu)簡(jiǎn)化、等級(jí)保護(hù)、生命周期四項(xiàng)原則執(zhí)行。 網(wǎng)管、業(yè)務(wù)支撐、信息化3大支撐系統(tǒng)(xtng)應(yīng)分別依據(jù)中國(guó)移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求、中國(guó)移動(dòng)業(yè)務(wù)支撐網(wǎng)安全域劃分和邊界整合技術(shù)要求、中國(guó)移動(dòng)
40、管理信息系統(tǒng)安全域劃分技術(shù)要求劃分安全域;數(shù)據(jù)業(yè)務(wù)系統(tǒng)應(yīng)依據(jù)中國(guó)移動(dòng)數(shù)據(jù)業(yè)務(wù)系統(tǒng)集中化安全防護(hù)技術(shù)要求劃分安全域。 各單位可結(jié)合自身安全需求,通過安全域風(fēng)險(xiǎn)分析,制訂更細(xì)粒度的安全域劃分方案,進(jìn)一步定義相關(guān)安全子域。42共五十一頁基礎(chǔ)信息安全管理通用要求邊界(binji)整合與域間互聯(lián) 在保證業(yè)務(wù)系統(tǒng)的互聯(lián)需求的前提下,應(yīng)對(duì)安全域的邊界進(jìn)行合理的整合,對(duì)系統(tǒng)接口進(jìn)行整理和歸并,實(shí)現(xiàn)重點(diǎn)防護(hù)。 安全域的邊界整合包括但不限于以下內(nèi)容:與互聯(lián)網(wǎng)的邊界整合:省內(nèi)支撐系統(tǒng)與互聯(lián)網(wǎng)邊界應(yīng)整合到省公司一級(jí),地市單位支撐系統(tǒng)不應(yīng)設(shè)置互聯(lián)網(wǎng)出口;數(shù)據(jù)業(yè)務(wù)系統(tǒng)應(yīng)根據(jù)物理位置,設(shè)置集中的互聯(lián)網(wǎng)出口;與合作伙伴的邊界整合:應(yīng)梳理各類業(yè)務(wù)系統(tǒng)、合作伙伴的安全要求,合并整合后采取(ciq)對(duì)應(yīng)安全措施進(jìn)行防護(hù);與第三方廠商的邊界整合:對(duì)第三方的遠(yuǎn)程接入進(jìn)行統(tǒng)一整合,納入第三方遠(yuǎn)程接入安全子域,并采取遠(yuǎn)程接入集中控制、防火墻、4A系統(tǒng)等措施實(shí)施安全管控。對(duì)第三方現(xiàn)場(chǎng)支持納入第三方現(xiàn)場(chǎng)維護(hù)子域進(jìn)行安全管控;各系統(tǒng)之間的邊界整合:將有相近安全防護(hù)需求的業(yè)務(wù)系統(tǒng)安全子域進(jìn)行整合,避免各系統(tǒng)之間安全防護(hù)手段的重復(fù)投資。 43共五十一頁基礎(chǔ)信息安全管
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 《民生期貨梁立恒》課件
- 2025年長(zhǎng)治貨運(yùn)考試
- 2025年怒江如何考貨運(yùn)從業(yè)資格證
- 2025年白山貨運(yùn)資格證模擬考試題庫下載
- 研究生考試考研歷史學(xué)專業(yè)基礎(chǔ)(313)試題及解答參考
- 汽車租賃車型協(xié)議
- 深圳市施工期限規(guī)范實(shí)施細(xì)則
- 鞋業(yè)公司醫(yī)生招聘合同
- 宅基地贈(zèng)與合同范本
- 電商運(yùn)營(yíng)兼職合作協(xié)議
- 幼兒自主游戲中教師角色定位現(xiàn)狀調(diào)查問卷(教師卷)
- 中華民族共同體概論課件專家版4第四講 天下秩序與華夏共同體的演進(jìn)(夏商周時(shí)期)
- 《金屬塑性加工原理》考試總復(fù)習(xí)題
- 中國(guó)心力衰竭診斷和治療指南2024解讀
- 第三單元單元作業(yè)設(shè)計(jì) 部編版語文七年級(jí)上冊(cè)
- 企業(yè)如何應(yīng)對(duì)自然災(zāi)害和突發(fā)事件風(fēng)險(xiǎn)
- 中日服飾文化對(duì)比
- 獐子島審計(jì)案例
- 皮帶機(jī)安裝方案
- 教師如何處理學(xué)生的消極情緒
- 設(shè)備安全調(diào)試維修作業(yè)安全培訓(xùn)
評(píng)論
0/150
提交評(píng)論