信息安全管理规范(移动)

1.0目的 为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类 信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网 络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安 全整体控制，特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技 术整体的控制。 3.0 信息安全组织机构及职责： 根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织 与指挥，四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组，由 公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公 司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术 人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生 产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全 省各系统及网络的信息安全管理协调工作。 3.1.1 网络与信息安全工作管理组组长职责： 负责公司与相关领导之间的联系，跟踪重大网络信息安全事件的处理过程，并 负责与政府相关应急部门联络，汇报情况。 3.1.2 网络与信息安全工作管理组副组长职责： 负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落 实，协调网络信息安全事件的解决。 3.1.3 省网络部信息安全职能管理职责： 省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求， 制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方 案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进 行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施 应急处理工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息； 组织安全教育和培训。 3.1.4 信息安全技术管理职责： 各分公司、省网络部、省生产中心设置信息安全技术管理员，根据有限公司及 省公司制定的技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和 支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作； 发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网 络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理， 并定期对各类安全事件进行技术分析。 设置信息安全评估审计员，根据有限公司及省公司制定的安全审计技术规范和 有关技术要求，制定实施细则。牵头对各类网络和系统实施安全技术审计工作，根 据 SOX 要求定期对各类网络和系统帐号、口令设置，操作日志等进行审计及复核， 生成审计报告。 3.1.5 安全监控人员职责： 省网管中心设置安全监控人员，对全网安全设备进行集中监控；及时发现全网 信息安全事件，根据故障管理相关规定进行派单和督促处理；进行安全事件上报。 3.1.6 各系统维护员职责： 各单位分生产系统设置兼职系统安全维护员，负责本系统网络信息安全的技术 工作及相关协调工作，贯彻执行集团公司和省/市公司网络部下发的相关信息安全技 术规范及文件，根据相关安全技术规范和技术要求，对本系统进行包括安全在内的 日常维护。处理本系统网络安全事件，协助分析、处理复杂和重大安全事件。提升 系统安全级别，降低安全隐患，减少信息安全事件的发生，保障其安全运行。 3.1.7 信息安全关键岗位说明： 信息安全关键岗位说明：对以下情况的工作岗位，属于信息安全关键岗位 1、掌握业务及支撑系统超级用户权限的岗位（各系统超级用户管理员，根据 SOX 要求，由各单位分管领导进行授权） 2、掌握查看客户信息（手机终端客户的 HLR 信息、位置信息、通话纪录、短信、 彩信内容等等）权限的岗位。 3、可能造成严重影响客户感知的岗位（具有进行用户群发，业务定制等权限的 岗位） 4、掌握各类安全管理系统，如集中账号管理、网络认证接入、日志审计系统情 生效日期：2006 年 7 月 1 日 第 3页 共 13 页 信息安全管理规范 文件编号：SCMC-WL-14 版 本： 4.2 操作行为权限的岗位（安全管理员） 为加强信息安全关键岗位的管理，对以上岗位的情况要进行梳理备案，对 1-3 类岗位，由安全审计评估人员定期进行操作审计和确认。对第 4 类人员，由省网络 部定期进行审查和考核。审计要求见安全审计管理细则 。 4.0 管理规范 4.1 管理系统 本管理规范适用于四川移动各业务生产、支撑系统，包括 OA 系统、MIS 系统、 BOSS 系统及其子系统、经营分析系统、客户服务系统、MISC 系统、交换机系统、智 能网系统、彩铃、短信、彩信、WAP、各增值业务平台、中央音乐平台、网管系统等。 4.2 网络与信息安全基本要求 4.2.1 网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范 与技术防范相结合的原则，逐级建立安全保护责任制。 4.2.2 各级网络维护部门应加强对系统管理人员安全意识的培养，建立完善的定时定 人负责制，有效明确责任，提高维护管理效率。 4.2.3 网络信息安全管理流程 网络信息安全管理包含以下主要流程 用户帐号口令管理 信息安全监控流程 设备入网安全管理流程 终端接入管理流程 信息安全预警流程 安全审计流程 网络安全域管理流程 网络互联安全管理流程 远程接入安全管理流程 网络与信息安全风险评估管理流程 客户信息保密管理流程 网络信息安全资源策略维护管理流程 安全维护作业计划 4.2.4 各岗位人员职责对应说明： 信息安全职 能管理 信息安全技术 管理 信息安全审 计 安全监控 系统维护员 信息安全 关键岗位 备注 5.1 用户 帐号口令 管理 制定相关管 理办法，组 织考核 进行账号管理 系统维护，技 术支持 进行账号情 况审计 按照要求 使用账号 按照要求使 用账号 按照要求 分配、使 用、管理 账号 5.2 信息 安全监控 制定相关管 理办法，组 织考核 进行监控系统 维护，技术支 持 进行安全 监控 5.3 设备 入网安全 管理 制定相关管 理办法，组 织评定考核 对设备入网进 行评估确认， 提出存在风险 和整改建议。 提交入网设 备安全情况， 根据建议进 行整改 5.4 终端 安全管理 制定相关管 理办法，组 织评定考核 进行终端安全 管理系统技术 管理和维护 按照要求 进行终端 接入和使 用 5.5 信息 安全预警 管理 制定相关管 理办法，组 织评定考核 进行预警信息 发布，支持配 合系统完成加 固。 根据预警信 息进行系统 加固 5.6 安全 审计管理 制定相关管 理办法，组 织评定考核。 对审计情况 进行抽查和 再审计。 进行操作进 行定期分析 和审计 5.7 网络 安全域管 理 制定相关管 理办法，组 织评定考核 提出安全域技 术方案，进行 技术支持。 进行网络安 全域划分割 接和实施 5.8 网络 互联安全 管理 制定相关管 理办法，组 织评定考核 确认互联风险 和实施要求， 进行支持。 进行互联实 施配合 5.9 网络 与信息安 全风险评 估管理 制定相关管 理办法，组 织评定考核 组织进行系统 评估，提交报 告 生效日期：2006 年 7 月 1 日 第 5页 共 13 页 信息安全管理规范 文件编号：SCMC-WL-14 版 本： 4.2 5.10 远程 接入安全 管理 制定相关管 理办法，组 织评定考核 进行远程接 入审核和接 入管理 5.11 客户 信息保密 管理 制定相关管 理办法，组 织评定考核 对客户信息安 全系统进行管 理维护 审计客户信 息操作是否 符合要求 监控系统 安全运行 情况 按要求进 行执行 5.12 网络 信息安全 资源策略 维护管理 制定相关管 理办法，组 织评定考核。 维护资源策略 安全系统运行， 进行技术支持。 审计资源策 略情况 按要求进行 资源更新 按要求进 行资源更 新 5.13 安全 维护作业 计划 制定相关管 理办法，组 织评定考核。 执行相关安 全作业计划 执行相关安全 作业计划 执行相关安 全作业计划 执行相关 安全作业 计划 执行相关安 全作业计划 5.0 安全管理流程 5.1 用户帐号口令管理 为了预防和遏制公司网络各类信息安全事件的发生，及时处理因账号使用上出 现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移 动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信 息技术安全整体控制，特制定本流程。 5.2 信息安全监控 密切关注用户投诉情况，对所有短信息进行监控。杜绝反动、色情等有害信息。 防止发现黑客攻击。 5.3 设备安全入网管理流程 按照集团公司网络与信息安全“同步规划、同步建设、同步运行”的三同步要 求，规范公司各类网络、及系统的入网安全工作，保障网络和系统安全运行， 帐 号 安 全 管 理 流 程 信 息 安 全 监 控 流 程 5.4 终端安全及移动存储介质管理流程 为了加强公司各系统局域网终端接入认证管理，确保只有通过认证的终端设备 才可对公司内部局域网资源进行使用，保障移动通信网络畅通与信息安全，所有接 入公司内部局域网终端，需按管理要求接入。 为规范中国移动四川公司移动存储介质管理，防止通过移动存储介质泄露公司 秘密，以及传播病毒、蠕虫等恶意软件，对移动存储介质进行加强管理。 5.5 信息安全预警管理 信息安全的预警工作实行预防为主、信息收集发布与及时处理相结合的原则， 逐级建立安全预警责任制。各级网络维护部门应加强对系统管理人员安全意识的培 养，明确责任，提高维护管理效果。 5.6 安全审计管理 为检测非法活动，应该对系统进行审计，检测与访问控制策略不符的情况，将 可以监控的事件记录下来，在出现安全事故时作为证据使用。利用系统审计，可以 检查所采用的控制措施是否有效，是否与访问策略相符。 5.7 网络安全域管理流程 规范安全域建设及安全域日常维护工作，提高全网安全防护水平，按照国家等 局 域 网 终 端 接 入 管理 信 息 安 全 预 警 制 度 设 备 入 网 安 全 管 理办 法 安 全 审 计 管 理 流 程 移 动 存 储 介 质 安 全管 理 生效日期：2006 年 7 月 1 日 第 7页 共 13 页 信息安全管理规范 文件编号：SCMC-WL-14 版 本： 4.2 级 保护及有限公司制定下发的中国移动支撑系统安全域划分及边界整合技术要求、 中国移动防火墙部署总体技术要求等相关规范要求，制定本管理办法。 5.8 网络互联安全管理流程 为加强网络互联安全管理，保障在安全可控的前提下满足不同网络之间的互访 需求，根据中华人民共和国计算机信息系统安全保护条例、中国移动网络 与信息安全保障体系（NISS）总纲等国家和公司相关规定，制定本办法。 5.9 网络与信息安全风险评估管理 为在确保网络安全前提下，高效、可控地推动网络与信息系统风险评估工作， 依据电信网和互联网安全防护管理指南（YD/T 1728-2008）、电信网和互联 网安全风险评估实施指南（YD/T 1730-2008）等国家政策、行业标准和有限公司 相关规定，制定本办法。 5.10 远程接入安全管理 为加强中国移动通信有限公司（以下简称“有限公司” ）及各省公司（有限公司 和各省公司统称“中国移动” ）对远程接入的管理，保障在安全可控的前提下实现远 程维护、使用业务、获取数据等目的，根据国家要求及中国移动内控手册（2007 版） 、 中国移动网络与信息安全保障体系（NISS）总纲等公司相关规定，制定本 办法。 安 全 域 管 理 网 络 互 联 安 全 管 理 网 络 与 信 息 安 全 风险 评 估 管 理 远 程 接 入 安 全 管 理 5.11 客户信息保密管理 为保障使用中国移动各项服务的客户隐私权益，保守中国移动客户信息秘密， 特制定本办法。 5.12 网络信息安全资源维护管理 为规范网络信息安全资源的维护管理，加强端口及服务相关要求，特制定本办 法。 5.13 安全维护作业计划 参见 ISO 文件维护作业计划管理要求，根据省网络年初制定维护作业计 划进行执行。 6.0 审阅更新要求 本规定每年由四川移动省公司网络部进行审阅更新，并将已更新的安全规章制 度应及时下发各相关部门遵照执行。 各部门和生产中心可根据本程序对不同的生产系统根据具体要求进行细化，形 成相关细则。 7.0 相关文件及记录 7.1 用户账号口令管理相关表格： XXXX 系统管理员授权表 客 户 信 息 保 密 管 理 网 络 信 息 安 全 资 源策 略 维 护 管 理 流 程 .doc 系 统 服 务 与 端 口 安全 管 理 办 法 生效日期：2006 年 7 月 1 日 第 9页 共 13 页 信息安全管理规范 文件编号：SCMC-WL-14 版 本： 4.2 XXXX 系统用户账号权限审批表 系统用户账号登记表 XXXX 系统用户帐号核查表 XXXX 系统帐号口令修改记录表 XXXX 系统帐号口令检查记录表 XXXX 系统程序帐号列表 员工变动登陆公司网络系统申请表 安全管理员授权表 员 工 登 陆 公 司 网 络系 统 审 批 表 .doc 安 全 管 理 员 授 权 表 .xls XXXX系 统 管 理 员 授权 表 XXXX系 统 用 户 账 号权 限 审 批 表 系 统 用 户 账 号 登 记表 XXXX系 统 用 户 帐 号核 查 表 XXXX系 统 帐 号 口 令修 改 记 录 表 XXXX系 统 帐 号 口 令检 查 记 录 表 XXXX系 统 程 序 帐 号列 表 账号临时使用申请表 超级管理员帐号移交单 7.2 系统信息安全策略相关表格： 安全分析记录报告 7.3 局域网终端接入管理相关表格： 终端接入公司局域网申请表 终端接入汇总表 7.4 系统备份制度相关表格： 系统备份记录 7.5 安全审计管理相关表格： 安全审计检查表 安 全 审 计 检 查 表 安全审计报告 终 端 接 入 公 司 局 域网 申 请 表 接 入 公 司 局 域 网 终端 汇 总 表 .doc 系 统 备 份 记 录 .doc 网 管 中 心 2006年 8月月 报 .ppt 账 号 临 时 使 用 申 请表 .xls 超 级 管 理 员 帐 号 移交 单 .xls 生效日期：2006 年 7 月 1 日 第 11 页共 13 页 信息安全管理规范 文件编号：SCMC-WL-14 版 本： 4.2 安 全 审 计 报