信息安全管理細(xì)則

信息安全管理細(xì)則信息安全管理細(xì)則文件編號：SCMC-WL-14A版本：3.0生效日期：2006年11月13日第4頁／共17頁目的為了預(yù)防和遏制公司網(wǎng)絡(luò)各類信息安全事件的發(fā)生，及時處理網(wǎng)絡(luò)出現(xiàn)的各類信息安全事件，減輕和消除突發(fā)事件造成的經(jīng)濟(jì)損失和社會影響，確保移動通信網(wǎng)絡(luò)暢通與信息安全，營造良好的網(wǎng)絡(luò)競爭環(huán)境，有效進(jìn)行公司內(nèi)部網(wǎng)絡(luò)信息技術(shù)安全整體控制，特制定本規(guī)范。2.0適用范圍本管理規(guī)范適用于四川移動所屬系統(tǒng)及網(wǎng)絡(luò)的信息安全管理及公司內(nèi)部信息技術(shù)整體的控制。3.0信息安全組織機(jī)構(gòu)及職責(zé)：根據(jù)集團(tuán)公司關(guān)于信息安全組織的指導(dǎo)意見，為保證信息安全工作的有效組織與指揮，四川移動通信有限責(zé)任公司建立了網(wǎng)絡(luò)與信息安全工作管理組，由公司分管網(wǎng)絡(luò)的副總經(jīng)理任組長，網(wǎng)絡(luò)部分管信息安全副總經(jīng)理任副組長，由省公司網(wǎng)絡(luò)部歸口進(jìn)行管理，省公司網(wǎng)絡(luò)部門設(shè)置信息安全管理專職人員，負(fù)責(zé)信息安全職能管理和安全技術(shù)管理，省監(jiān)控中心設(shè)置安全監(jiān)控人員，各市州分公司及生產(chǎn)中心設(shè)置專職或兼職信息安全管理員，負(fù)責(zé)全省各系統(tǒng)及網(wǎng)絡(luò)的信息安全管理協(xié)調(diào)工作。3.1.1網(wǎng)絡(luò)與信息安全工作管理組組長職責(zé)：負(fù)責(zé)公司與相關(guān)領(lǐng)導(dǎo)之間的聯(lián)系，跟蹤重大網(wǎng)絡(luò)信息安全事件的處理過程，并負(fù)責(zé)與政府相關(guān)應(yīng)急部門聯(lián)絡(luò)，匯報情況。3.1.2網(wǎng)絡(luò)與信息安全工作管理組副組長職責(zé)：負(fù)責(zé)牽頭制定網(wǎng)絡(luò)信息安全相關(guān)管理規(guī)范，負(fù)責(zé)網(wǎng)絡(luò)信息安全工作的安排與落實，協(xié)調(diào)網(wǎng)絡(luò)信息安全事件的解決。3.1.3信息安全職能管理職責(zé)：負(fù)責(zé)組織貫徹和落實各項安全管理要求，制定安全工作計劃；制訂和審核網(wǎng)絡(luò)與信息安全管理制度與相關(guān)工作流程；組織檢查和考核網(wǎng)絡(luò)及信息安全工作的實施情況；定期組織對安全管理工作進(jìn)行審計和評估；組織制定安全應(yīng)急預(yù)案和應(yīng)急演練，針對重大安全事件，組織實施應(yīng)急處理工作及后續(xù)的整改工作；匯總和分析安全事件情況和相關(guān)安全狀況信息；組織安全教育和培訓(xùn)。3.1.4信息安全技術(shù)管理職責(zé)：根據(jù)有限公司制定的技術(shù)規(guī)范和有關(guān)技術(shù)要求，對各類網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)提出相應(yīng)安全技術(shù)要求，并審核技術(shù)方案；牽頭對各類網(wǎng)絡(luò)和系統(tǒng)實施安全技術(shù)評估和技術(shù)審計工作；發(fā)布安全漏洞和安全威脅預(yù)警信息，并細(xì)化制定相應(yīng)的技術(shù)解決方案；協(xié)助制定網(wǎng)絡(luò)與信息安全的應(yīng)急預(yù)案，參與應(yīng)急演練；針對重大安全事件，參與實施應(yīng)急處理，并定期對各類安全事件進(jìn)行技術(shù)分析。3.1.5安全監(jiān)控人員職責(zé)：對全網(wǎng)安全設(shè)備進(jìn)行集中監(jiān)控；處理日常的安全事件；協(xié)助網(wǎng)絡(luò)安全處分析、處理復(fù)雜和重大安全事件。3.1.6安全管理員職責(zé)：在省公司及分公司網(wǎng)絡(luò)部領(lǐng)導(dǎo)下，負(fù)責(zé)各市州分公司及生產(chǎn)中心網(wǎng)絡(luò)信息安全的技術(shù)工作及相關(guān)協(xié)調(diào)工作，貫徹執(zhí)行集團(tuán)公司和省省/市公司網(wǎng)絡(luò)部下發(fā)的相關(guān)信息安全技術(shù)規(guī)范及文件，根據(jù)相關(guān)安全技術(shù)規(guī)范和技術(shù)要求，對各類網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)進(jìn)行包括安全在內(nèi)的日常維護(hù)。協(xié)調(diào)各相關(guān)部門進(jìn)行具體實施，對各市州分公司及生產(chǎn)中心業(yè)務(wù)系統(tǒng)、支撐系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行分析、審計，降低各市州分公司及生產(chǎn)中心各業(yè)務(wù)系統(tǒng)、支撐系統(tǒng)安全隱患，減少信息安全事件的發(fā)生，保障其安全運行。4.0管理規(guī)范4.1管理系統(tǒng)本管理規(guī)范適用于四川移動各生產(chǎn)、支撐系統(tǒng)，包括OA系統(tǒng)、MIS系統(tǒng)、BOSS系統(tǒng)及其子系統(tǒng)、經(jīng)營分析系統(tǒng)、客戶服務(wù)系統(tǒng)、MISC系統(tǒng)、交換機(jī)系統(tǒng)、智能網(wǎng)系統(tǒng)、彩鈴平臺等。4.2網(wǎng)絡(luò)與信息安全基本要求：4.2.1網(wǎng)絡(luò)與信息的安全工作實行誰主管、誰負(fù)責(zé)、預(yù)防為主、綜合診治、人員防范與技術(shù)防范相結(jié)合的原則，逐級建立安全保護(hù)責(zé)任制。4.2.2各級網(wǎng)絡(luò)維護(hù)部門應(yīng)加強(qiáng)對系統(tǒng)管理人員安全意識的培養(yǎng)，建立完善的定時定人負(fù)責(zé)制，有效明確責(zé)任，提高維護(hù)管理效率。4.3用戶帳號/權(quán)限管理流程4.3.1用戶帳號/權(quán)限管理適用于四川省移動通信有限責(zé)任公司及下屬各分公司，主要為了規(guī)范四川移動各業(yè)務(wù)系統(tǒng)涉及系統(tǒng)級(含數(shù)據(jù)庫級)、應(yīng)用級層面的的帳號、權(quán)限及密碼的管理。由應(yīng)用層超級管理員提交業(yè)務(wù)部門主管進(jìn)行書面審批后創(chuàng)立新用戶角色或?qū)τ脩艚M或用戶角色定義進(jìn)行修改時，應(yīng)考慮不相容職責(zé)分工原則，由業(yè)務(wù)部門主管（或授權(quán)人員）對用戶角色的權(quán)限設(shè)定進(jìn)行審閱并簽字確認(rèn)，以合理確保用戶在系統(tǒng)中的權(quán)限與其職責(zé)相符。超級管理員根據(jù)經(jīng)審批的用戶角色權(quán)限，在系統(tǒng)中設(shè)置用戶角色權(quán)限。各部門在發(fā)生人員新增、調(diào)動及離職情況經(jīng)部門領(lǐng)導(dǎo)審核蓋章后提交省公司安保部審批通過，《員工變動登陸公司網(wǎng)絡(luò)系統(tǒng)申請表》。由超級管理員在系統(tǒng)中創(chuàng)建用戶賬號，避免未經(jīng)授權(quán)的賬號及權(quán)限創(chuàng)建/修改對系統(tǒng)、數(shù)據(jù)庫、應(yīng)用層，除查詢用戶外應(yīng)按個人創(chuàng)建單獨的用戶賬號，并賦予相應(yīng)的權(quán)限，以避免共享賬號的產(chǎn)生。各超級管理員每季度形成用戶帳號清單。業(yè)務(wù)部門主管對網(wǎng)絡(luò)、系統(tǒng)用戶的清單每季度進(jìn)行復(fù)核簽字確認(rèn)，對第三方用戶的清單每季度進(jìn)行復(fù)核簽字確認(rèn)。形成《用戶帳號審閱表》、《四川移動通信有限責(zé)任公司員工（合作單位員工）登陸公司網(wǎng)絡(luò)系統(tǒng)審批表》《四川移動通信有限責(zé)任公司員工（合作單位員工）登陸公司網(wǎng)絡(luò)系統(tǒng)審批表》由部門領(lǐng)導(dǎo)復(fù)核蓋章后，提交省公司安保部審批如發(fā)現(xiàn)多余或不恰當(dāng)?shù)馁~號系統(tǒng)超級管理員進(jìn)行調(diào)整各部門網(wǎng)絡(luò)超級如發(fā)現(xiàn)多余或不恰當(dāng)?shù)馁~號系統(tǒng)超級管理員進(jìn)行調(diào)整各市、州移動分公司登陸省公司網(wǎng)絡(luò)系統(tǒng)的公司員工和合作單位人員，由安保部門每季度匯總報省公司安保部審核，相關(guān)業(yè)務(wù)部門根據(jù)省公司安保部通知予以授權(quán)。如發(fā)現(xiàn)多余或不恰當(dāng)?shù)馁~號系統(tǒng)管理員需進(jìn)行及時調(diào)整，并反饋調(diào)整結(jié)果。超級管理員變更時，應(yīng)填寫《超級管理員帳號移交單》，由相應(yīng)部門主管進(jìn)行審批簽字，移交雙方簽字確認(rèn)。公司業(yè)務(wù)流程發(fā)生重大變更時，由各超級管理員打印系統(tǒng)用戶的訪問權(quán)限清單，并交由相關(guān)業(yè)務(wù)部門主管，對用戶的權(quán)限進(jìn)行審閱簽字，以避免在用戶的權(quán)限中有不兼容職責(zé)的存在。如發(fā)現(xiàn)不相容職責(zé)，應(yīng)及時通知超級管理員，對用戶的權(quán)限進(jìn)行調(diào)整。4.3.4如果存在第三方廠商人員使用超級管理員4.3.6各生產(chǎn)、支撐網(wǎng)絡(luò)系統(tǒng)如因維護(hù)要求有第三方遠(yuǎn)程登陸接入需求，應(yīng)填寫《遠(yuǎn)程維護(hù)接入申請和情況記錄表》，經(jīng)本維護(hù)單位安全管理員和部門分管負(fù)責(zé)人簽字后，臨時開通遠(yuǎn)程登錄功能，方可接入。操作完畢后，應(yīng)及時關(guān)閉遠(yuǎn)程維護(hù)接入點，并填寫《遠(yuǎn)程維護(hù)接入申請和情況記錄表》。本維護(hù)單位安全管理員4.3.74.3.8因系統(tǒng)原因不能按個人創(chuàng)建獨立的用戶賬號的，由超級管理員按使用權(quán)限制定相應(yīng)賬號，授權(quán)到到使用部門指定人員。其他維護(hù)人員工作若需要使用該賬號，每次需要填寫《賬號臨時使用申請表》，由超級管理員審批后，在超級管理4.3.4.4密碼口令管理要求管理流程管理要求開始開始用戶創(chuàng)建/修改密碼各中心系統(tǒng)管理員在系統(tǒng)中進(jìn)行密碼策略設(shè)置密碼長度大于6位以上，是字母大小寫和數(shù)字混用不得使用最近5次以內(nèi)重復(fù)的密碼密碼重復(fù)嘗試5次以后應(yīng)暫停該帳號登錄密碼長度為6位以上，必須是字母大小寫和數(shù)字混用密碼應(yīng)以某種介質(zhì)形式密封保存至安全可靠處密碼應(yīng)以某種介質(zhì)形式密封保存至安全可靠處密碼生存時間小于90天密碼更改檢查記錄密碼應(yīng)至少每90天進(jìn)行更新對于設(shè)置了有效期的口令，如HLR系統(tǒng)用戶，系統(tǒng)管理員應(yīng)在口令過期前完成口令的重新設(shè)置工作。對于因系統(tǒng)限制暫時無法在系統(tǒng)中建立密碼策略的，各部門安全管理員每季度對本部門各系統(tǒng)密碼進(jìn)行檢查，以保證密碼政策的有效執(zhí)行。各市州分公司、信息技術(shù)中心系統(tǒng)維護(hù)及使用人員根據(jù)密碼策略定期進(jìn)行密碼修改，更改后密碼應(yīng)以某種介質(zhì)形式密封保存至安全可靠處。維護(hù)維護(hù)終端應(yīng)設(shè)置開機(jī)口令、屏幕保護(hù)口令。在有人值守機(jī)房內(nèi)，維護(hù)終端屏幕保護(hù)的時間不能多于15分鐘；對于無人值守機(jī)房，終端屏保時間不能多于3分鐘。六個月至少修改一次開機(jī)口令、屏幕保護(hù)口令。4.5信息安全監(jiān)控4.5.1密切關(guān)注用戶投訴情況，并通過短信監(jiān)控過濾系統(tǒng)7*24小時對短信中心中所有短信息進(jìn)行監(jiān)控。對更新的關(guān)鍵詞在2小時內(nèi)錄入關(guān)鍵詞庫，對短信進(jìn)行內(nèi)容監(jiān)控。對短信發(fā)送的流量進(jìn)行控制，對個人每小時發(fā)送500條或企業(yè)每小時發(fā)送10000條的要過濾出來，審核內(nèi)容，如內(nèi)容合法，可繼續(xù)發(fā)送，否則將主被叫號碼、發(fā)送時間、信息內(nèi)容等相關(guān)信息進(jìn)行保存，并上報上級主管單位。對于大量發(fā)送有害信息（法輪功：10條和10條以上，其它政治類30條和30條以上）的用戶，應(yīng)在發(fā)現(xiàn)后15分鐘內(nèi)關(guān)閉該用戶的短信息業(yè)務(wù)功能。4.5.2移動信使、短信網(wǎng)關(guān)、企業(yè)網(wǎng)站及WAP二級站點，EMIS系統(tǒng)公告板（包括分公司）、電子論壇、郵件網(wǎng)關(guān)服務(wù)器應(yīng)建立信息監(jiān)控過濾機(jī)制，7*24小時監(jiān)控，對發(fā)布內(nèi)容先審后發(fā)并進(jìn)行信息巡查，杜絕反動、色情等有害信息出現(xiàn)在網(wǎng)站上。一旦發(fā)現(xiàn)SP業(yè)務(wù)出現(xiàn)非法信息傳播，將立即斷掉夢網(wǎng)與該SP的連接端口，并立即上報主管部門。4.5.3企業(yè)網(wǎng)站及WAP二級站點應(yīng)7*24小時對訪問情況進(jìn)行監(jiān)控，發(fā)現(xiàn)黑客攻擊，立即封掉黑客的IP地址,同時上報上級主管部門。4.6系統(tǒng)信息安全策略4.6.1系統(tǒng)信息安全策略表：安全策略管理要求執(zhí)行周期檢查周期相關(guān)記錄公司內(nèi)部網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)互聯(lián)策略應(yīng)確保采取必要的措施（如防火墻、限制網(wǎng)段和端口、數(shù)據(jù)加密、虛擬專網(wǎng)或身份認(rèn)證等技術(shù)）限制網(wǎng)外或非法用戶進(jìn)行穿透訪問。網(wǎng)絡(luò)割接、系統(tǒng)上線年系統(tǒng)設(shè)置設(shè)備專機(jī)專用策略不得裝入與工作無關(guān)的軟件。禁止開啟RLOGIN服務(wù)。禁止ROOT用戶從其它主機(jī)登陸。嚴(yán)禁將網(wǎng)管設(shè)備挪作他用或擅自更改配置。網(wǎng)絡(luò)割接、系統(tǒng)上線年系統(tǒng)設(shè)置主機(jī)防病毒防火墻軟件或硬件策略禁止生產(chǎn)系統(tǒng)與互聯(lián)網(wǎng)相接，嚴(yán)禁使用來歷不明的軟件。定時對磁盤、內(nèi)存進(jìn)行掃描，及時殺死已駐留的病毒，以免病毒在網(wǎng)上傳播造成嚴(yán)重后果。每周使用正版殺毒軟件檢查在用WINDOWS系統(tǒng)和維護(hù)終端軟件。每周對殺毒軟件進(jìn)行升級。周月安全維護(hù)作業(yè)計劃郵件服務(wù)安全數(shù)據(jù)中心郵件系統(tǒng)維護(hù)需負(fù)責(zé)各系統(tǒng)電子郵件服務(wù)器應(yīng)開啟郵件安全應(yīng)用程序，網(wǎng)絡(luò)割接、系統(tǒng)上線季度系統(tǒng)設(shè)置SP專線接入策略各移動夢網(wǎng)SP、專線用戶在連入我公司網(wǎng)絡(luò)前，應(yīng)確保業(yè)務(wù)內(nèi)容合法，并與我公司簽定信息安全協(xié)議。各移動夢網(wǎng)SP不得開展與我公司所簽協(xié)議之外的業(yè)務(wù)。各SP需安排7*24小時值班人員和值班電話，確保出現(xiàn)信息安全問題時的快速反應(yīng)能力。入網(wǎng)管理見《夢網(wǎng)SP網(wǎng)絡(luò)運行管理辦法》。業(yè)務(wù)接入季度《夢網(wǎng)SP網(wǎng)絡(luò)運行管理辦法》系統(tǒng)預(yù)設(shè)帳號策略對于在系統(tǒng)中預(yù)設(shè)的用戶帳號，需要對接口程序、腳本或系統(tǒng)相關(guān)設(shè)置進(jìn)行加密或?qū)嵤┰L問控制，以保證該類用戶帳號只有經(jīng)授權(quán)的用戶可以訪問，如非授權(quán)人員需要訪問相關(guān)程序需要進(jìn)行申請，由相關(guān)系統(tǒng)管理部門業(yè)務(wù)主管審批。因系統(tǒng)原因不能進(jìn)行加密保存的，使用部門需提交預(yù)設(shè)帳號清單及使用人員清單，由相關(guān)部門負(fù)責(zé)人進(jìn)行書面審批授權(quán)。并每季度進(jìn)行復(fù)核簽字確認(rèn)，如發(fā)現(xiàn)多余或不恰當(dāng)?shù)馁~號應(yīng)進(jìn)行及時調(diào)整。季度半年《系統(tǒng)預(yù)設(shè)用戶帳號審閱表》版本服務(wù)器的訪問控制策略版本服務(wù)器的訪問控制：四川移動現(xiàn)有系統(tǒng)版本服務(wù)器的訪問授權(quán)必須經(jīng)過信息技術(shù)部門主管的書面授權(quán)批準(zhǔn)。對于不存在版本服務(wù)器（如軟件版本由總部統(tǒng)一控制入網(wǎng)的系統(tǒng)）由總部統(tǒng)一下發(fā)軟件版本及入網(wǎng)許可。網(wǎng)絡(luò)割接、系統(tǒng)上線年系統(tǒng)設(shè)置安全日志審計策略市州分公司、信息技術(shù)中心各系統(tǒng)安全管理員查看各系統(tǒng)運行的日志文件，發(fā)現(xiàn)問題（例如嚴(yán)重錯誤信息、非法訪問、故障隱患等）后，及時處理或上報，在維護(hù)作業(yè)計劃中進(jìn)行記錄，各中心安全管理員在安全分析月報中進(jìn)行匯總。由網(wǎng)絡(luò)部安全管理員進(jìn)行審核。如因系統(tǒng)原因暫時無法提供相應(yīng)技術(shù)手段進(jìn)行日志審計，需加強(qiáng)用戶及密碼的管理，填寫使用申請記錄表，由系統(tǒng)維護(hù)部門進(jìn)行歸口管理，系統(tǒng)管理員定期每月進(jìn)行審閱確認(rèn)。各網(wǎng)絡(luò)安全管理員每季度進(jìn)行全面的網(wǎng)絡(luò)安全審計，梳理防火墻安全策略。周/月月安全維護(hù)作業(yè)計劃

安全分析周報4.7局域網(wǎng)終端接入管理為了加強(qiáng)公司各系統(tǒng)局域網(wǎng)終端接入認(rèn)證管理，確保只有通過認(rèn)證的終端設(shè)備才可對公司內(nèi)部局域網(wǎng)資源進(jìn)行使用，保障移動通信網(wǎng)絡(luò)暢通與信息安全，所有接入公司內(nèi)部局域網(wǎng)終端，需按以下流程進(jìn)行接入：管理流程管理要求開始開始由使用部門（廠商）填寫申請表終端接入由網(wǎng)絡(luò)管理員審批各市州分公司、信息技術(shù)中心系統(tǒng)網(wǎng)絡(luò)管理員，負(fù)責(zé)對接入該局域網(wǎng)的終端進(jìn)行管理，并對登錄認(rèn)證系統(tǒng)進(jìn)行日常管理各市州分公司、信息技術(shù)中心不管是長期或臨時接入局域網(wǎng)的設(shè)備，均需向系統(tǒng)網(wǎng)絡(luò)管理員提交由使用部門填寫《終端接入斷開公司局域網(wǎng)申請表》網(wǎng)絡(luò)管理員根據(jù)實際需求和風(fēng)險評估情況為其分配適當(dāng)?shù)脑L問權(quán)限和使用期限，并在《終端接入?yún)R總表》中進(jìn)行記錄。各市州分公司、信息技術(shù)中心中心安全管理員每季度審查本部門管理局域網(wǎng)的登錄申請、審批記錄，抽查登錄系統(tǒng)的記錄并簽字確認(rèn)。4.8系統(tǒng)備份制度4.8.1各市州分公司、信息技術(shù)中心維護(hù)單位必須準(zhǔn)備一定數(shù)量的磁帶/光盤作為存貯文件使用。各類磁帶/光盤要妥放在專柜中,以保證安全和使用方便。4.8.2必須按照相關(guān)專業(yè)維護(hù)規(guī)程和廠家要求進(jìn)行磁帶(磁盤)/光盤轉(zhuǎn)錄工作。4.8.3每次系統(tǒng)備份后，操作員必須在磁帶盤/光盤和磁帶/光盤登記本上同時進(jìn)行登記。登記內(nèi)容內(nèi)容包括：磁帶盤/光盤編號、拷貝日期、時間、操作員工號等。4.8.4各類磁帶/光盤要置放在溫、濕度適宜的環(huán)境中,注意避免強(qiáng)光、強(qiáng)磁的影響,避免擠壓。4.8.5加強(qiáng)對計費磁帶/光盤的管理,要設(shè)專人負(fù)責(zé)保管,嚴(yán)格按照規(guī)定步驟操作,防止計費信息和用戶信息的遺失。交接手續(xù)要完備,防止遺失計費磁帶。4.8.6在局?jǐn)?shù)據(jù)修改、軟件版本升級、軟件補(bǔ)丁裝載、工程割接、系統(tǒng)配置修改、人工再啟動、再裝載前后，均須由執(zhí)行人制定備份計劃并由相應(yīng)業(yè)務(wù)部門主管審批后實施。4.8.7四川移動各地所有系統(tǒng)的備份介質(zhì)保存在本地機(jī)房中，只有本地經(jīng)過授權(quán)進(jìn)入機(jī)房的人員才能接觸系統(tǒng)備份磁帶。異地備份介質(zhì)保存在異地專用庫房中，庫房鑰匙只有負(fù)責(zé)異地存放備份介質(zhì)的維護(hù)人員掌握。4.8.8各市州分公司、信息技術(shù)中心系統(tǒng)的備份介質(zhì)應(yīng)由相關(guān)維護(hù)人員定期（如：每周）執(zhí)行異地存放，并由執(zhí)行異地備份人員在完成異地存放后進(jìn)行記錄（如：異地備份登記表），部門主管定期（如：每月）審閱本地、異地備份記錄并簽字。4.9信息安全預(yù)警管理4.9.1信息安全預(yù)警基本要求：4.9.1.1信息安全的預(yù)警工作實行預(yù)防為主、信息收集發(fā)布與及時處理相結(jié)合的原則，逐級建立安全預(yù)警責(zé)任制。4.9.1.2各級網(wǎng)絡(luò)維護(hù)部門應(yīng)加強(qiáng)對系統(tǒng)管理人員安全意識的培養(yǎng)，明確責(zé)任，提高維護(hù)管理效果。4.9.24.9.2.1預(yù)警信息分類四川省移動通信有限責(zé)任公司所屬系統(tǒng)及網(wǎng)絡(luò)(包括OA系統(tǒng)、MIS系統(tǒng)、BOSS系統(tǒng)及其子系統(tǒng)、經(jīng)營分析系統(tǒng)、客戶服務(wù)系統(tǒng)、MISC系統(tǒng)、交換機(jī)系統(tǒng)、智能網(wǎng)系統(tǒng)、彩鈴平臺等)信息安全預(yù)警信息發(fā)布。預(yù)警信息分類主要分為普及型預(yù)警和專項預(yù)警：發(fā)布分類信息分類信息內(nèi)容發(fā)布周期發(fā)布范圍普及型預(yù)警人員操作預(yù)警針對內(nèi)部人員的操作可能會造成系統(tǒng)的威脅，提供人員正常操作流程。不定期全公司病毒預(yù)警利用防病毒廠商的全球防病毒預(yù)警系統(tǒng)提供的病毒信息整理發(fā)布。不定期全公司專項預(yù)警軟件預(yù)警針對軟件系統(tǒng)，包括應(yīng)用軟件、業(yè)務(wù)軟件和數(shù)據(jù)庫系統(tǒng)自身的安全漏洞信息。不定期專業(yè)管理員網(wǎng)絡(luò)預(yù)警針對網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)、防火墻、VPN設(shè)備等自身軟件的BUG和漏洞。不定期專業(yè)管理員主機(jī)預(yù)警針對系統(tǒng)中的Web服務(wù)器、Unix服務(wù)器、Windows服務(wù)器、應(yīng)用服務(wù)器等的系統(tǒng)漏洞。不定期專業(yè)管理員4.9.2.2預(yù)警信息發(fā)布流程4.9.2.3由信息安全技術(shù)管理員負(fù)責(zé)收集來自于安全廠商的安全公告信息，并根據(jù)預(yù)警信息歸類。預(yù)警信息主要劃分為兩類，普及型預(yù)警和專項預(yù)警。普及型預(yù)警面向的對象是全公司員工，主要包括病毒預(yù)警和人員操作預(yù)警。專項預(yù)警主要是通知專業(yè)管理員進(jìn)行處理，主要包括軟件預(yù)警、網(wǎng)絡(luò)預(yù)警和主機(jī)預(yù)警。具體預(yù)警信息參照《安全預(yù)警信息收集和發(fā)布》。4.3.4信息安全技術(shù)管理員歸類后的安全預(yù)警信息提交信息安全職能管理和網(wǎng)絡(luò)與信息安全工作管理組副組長審核后發(fā)布到全公司或者安全管理員及安全監(jiān)控人員4.3.5發(fā)布方式：預(yù)警信息通過四川省移動通信有限責(zé)任公司的EIP平臺預(yù)警通知的方式進(jìn)行不定期的信息安全預(yù)警5.0審閱更新要求5.1本規(guī)定每年由四川移動省公司網(wǎng)絡(luò)部進(jìn)行審閱更新，并將已更新的安全規(guī)章制度應(yīng)及時下發(fā)各相關(guān)部門遵照執(zhí)行。5.2各部門和生產(chǎn)中心可根據(jù)本程序?qū)Σ煌纳a(chǎn)系統(tǒng)根據(jù)具體要求進(jìn)行細(xì)化，形成相關(guān)細(xì)則。6.0質(zhì)量控制與考核6.1質(zhì)量控制及考核對象：各市州分公司、網(wǎng)管中心、數(shù)據(jù)中心網(wǎng)管中心應(yīng)負(fù)責(zé)全省GSM網(wǎng)、智能網(wǎng)、動環(huán)、傳輸、撥測設(shè)備等網(wǎng)絡(luò)、系統(tǒng)及業(yè)務(wù)的信息安全維護(hù)管理。數(shù)據(jù)中心應(yīng)負(fù)責(zé)全省數(shù)據(jù)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)及業(yè)務(wù)的信息安全維護(hù)管理。各地市分公司負(fù)責(zé)本地進(jìn)行維護(hù)的系統(tǒng)設(shè)備的信息安全維護(hù)管理工作。6.2質(zhì)量控制及考核內(nèi)容：6.2.1重大信息安全事件（30分）：各地市分公司、網(wǎng)管中心、數(shù)據(jù)中心發(fā)生造成業(yè)務(wù)中斷的重大信息安全事件。6.2.2用戶授權(quán)管理（30分）：各地市分公司、網(wǎng)管中心、數(shù)據(jù)中心每月定期匯總