中国移动网络与信息安全体系.doc

中国移动网络与信息安全总纲中国移动网络与信息安全总纲 中国移动通信集团公司中国移动通信集团公司 2006 年 7 月 本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许 可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任 何形式传播。 /webmoney1 前言前言 中国移动 注的通信网络和支撑系统是国家基础信息设施，必须加以妥善保 护。随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益 增长的安全威胁。为了企业乃至国家的网络与信息安全，为了保障客户利益， 加强各方面的安全工作刻不容缓！ 制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科 学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安 全控制措施落实到位，为各项业务的安全运行提供保障。 本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情 况进行补充、修改、完善而来。本标准目前主要针对互联网、支撑网等 it 系统 安全。 注：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间 接控股的公司。 中国移动通信集团公司，以下简称“集团公司”。 各移动通信有限责任公司，以下简称“各省公司”。 /webmoney2 目录目录 前言前言1 目录目录2 总则总则11 1网络与信息安全的基本概念.11 2网络与信息安全的重要性和普遍性 11 3中国移动网络与信息安全体系与安全策略 12 4安全需求的来源 14 5安全风险的评估 15 6安全措施的选择原则.15 7安全工作的起点 16 8关键性的成功因素17 9安全标准综述.17 10适用范围.22 第一章第一章组织与人员组织与人员.23 第一节组织机构.23 1领导机构.23 2工作组织.24 3安全职责的分配 25 4职责分散与隔离 26 5安全信息的获取和发布 27 6加强与外部组织之间的协作.27 7安全审计的独立性28 第二节岗位职责与人员考察.28 1岗位职责中的安全内容 28 2人员考察.29 3保密协议.30 4劳动合同.30 /webmoney3 5员工培训.30 第三节第三方访问与外包服务的安全 30 1第三方访问的安全30 2外包服务的安全 32 第四节客户使用业务的安全.33 第二章第二章网络与信息资产管理网络与信息资产管理35 第一节网络与信息资产责任制度35 1资产清单.35 2资产责任制度.36 第二节资产安全等级及相应的安全要求 .39 1信息的安全等级、标注及处置39 2网络信息系统安全等级 41 第三章第三章物理及环境安全物理及环境安全 .43 第一节安全区域.43 1安全边界.43 2出入控制.44 3物理保护.45 4安全区域工作规章制度 46 5送货、装卸区与设备的隔离.47 第二节设备安全.48 1设备安置及物理保护.48 2电源保护.49 3线缆安全.50 4工作区域外设备的安全 51 5设备处置与重用的安全 51 第三节存储媒介的安全.52 1可移动存储媒介的管理 52 2存储媒介的处置 52 3信息处置程序.53 /webmoney4 4系统文档的安全 54 第四节通用控制措施 .55 1屏幕与桌面的清理55 2资产的移动控制 56 第四章第四章通信和运营管理的安全通信和运营管理的安全.57 第一节操作流程与职责.57 1规范操作细则.57 2设备维护.58 3变更控制.59 4安全事件响应程序59 5开发、测试与现网设备的分离60 第二节系统的规划设计、建设和验收 61 1系统规划和设计 61 2审批制度.61 3系统建设和验收 62 4设备入网管理.64 第三节恶意软件的防护.64 第四节软件及补丁版本管理.66 第五节时钟和时间同步.67 第六节日常工作.67 1维护作业计划管理67 2数据与软件备份 67 3操作日志.69 4日志审核.69 5故障管理.70 6测试制度.71 7日常安全工作.71 第七节网络安全控制 .72 第八节信息与软件的交换73 /webmoney5 1信息与软件交换协议.73 2交接过程中的安全73 3电子商务安全.74 4电子邮件的安全 75 5电子办公系统的安全.76 6信息发布的安全 77 7其他形式信息交换的安全 .78 第五章第五章网络与信息系统的访问控制网络与信息系统的访问控制 .79 第一节访问控制策略 .79 第二节用户访问管理 .81 1用户注册.81 2超级权限的管理 82 3口令管理.84 4用户访问权限核查84 第三节用户职责.85 1口令的使用85 2无人值守的用户设备.86 第四节网络访问控制 .87 1网络服务使用策略87 2逻辑安全区域的划分与隔离.88 3访问路径控制.89 4外部连接用户的验证.89 5网元节点验证.90 6端口保护.90 7网络互联控制.91 8网络路由控制.91 9网络服务的安全 92 第五节操作系统的访问控制.92 1终端自动识别.93 /webmoney6 2终端登录程序.93 3用户识别和验证 94 4口令管理系统.94 5限制系统工具的使用.95 6强制警报.96 7终端超时关闭.96 8连接时间限制.96 第六节应用访问控制 .97 1信息访问限制.97 2隔离敏感应用.98 第七节系统访问与使用的监控 98 1事件记录.98 2监控系统使用情况99 第八节移动与远程工作.101 1移动办公.101 2远程办公.102 第六章第六章系统开发与软件维护的安全系统开发与软件维护的安全104 第一节系统的安全需求.104 第二节应用系统的安全.106 1输入数据验证 .106 2内部处理控制 .107 3消息认证.108 4输出数据验证 .109 第三节系统文件的安全.109 1操作系统软件的控制 .109 2系统测试数据的保护 .110 3系统源代码的访问控制 111 第四节开发和支持过程中的安全112 1变更控制程序 .112 /webmoney7 2软件包的变更限制113 3后门及特洛伊代码的防范114 4软件开发外包的安全控制115 第五节加密技术控制措施115 1加密技术使用策略115 2使用加密技术 .116 3数字签名.117 4不可否认服务 .118 5密钥管理.118 第七章第七章安全事件响应及业务连续性管理安全事件响应及业务连续性管理121 第一节安全事件及安全响应 .121 1及时发现与报告.122 2分析、协调与处理122 3总结与奖惩124 第二节业务连续性管理.124 1建立业务连续性管理程序124 2业务连续性和影响分析 125 3制定并实施业务连续性方案.126 4业务连续性方案框架 .127 5维护业务连续性方案 .129 第八章第八章安全审计安全审计131 第一节遵守法律法规要求131 1识别适用的法律法规 .131 2保护知识产权 .132 3保护个人信息 .132 4防止网络与信息处理设施的不当使用133 5加密技术控制规定133 6保护公司记录 .134 7收集证据.134 /webmoney8 第二节安全审计的内容.135 第三节安全审计管理135 1独立审计原则 .136 2控制安全审计过程136 3保护审计记录和工具 .137 参考文献参考文献 138 术语和专有名词术语和专有名词139 附录附录 1：安全体系第二层项目清单（列表）：安全体系第二层项目清单（列表）.140 /webmoney9 总则总则 1网络与信息安全的基本概念网络与信息安全的基本概念 网络与信息安全包括下列三个基本属性： 机密性（confidentiality）：确保网络设施和信息资源只允许被授权 人员访问。根据信息的重要性和保密要求，可以分为不同密级，并具 有时效性。 完整性（integrity）：确保网络设施和信息及其处理的准确性和完整 性。 可用性（availability）：确保被授权用户能够在需要时获取网络与信 息资产。 需要特别指出的是，网络安全与信息安全（包括但不限于内容安全）是一 体的，不可分割的。 2网络与信息安全的重要性和普遍性网络与信息安全的重要性和普遍性 网络与信息都是资产，具有不可或缺的重要价值。无论对企业、国家还是 个人，保证其安全性是十分重要的。 网络与信息安全工作是企业运营与发展的基础和核心；是保证网络品质的 基础；是保障客户利益的基础。中国移动的网络与信息安全也是国家安全的需 要。 网络与信息安全工作无所不在，分散在每一个部门，每一个岗位，甚至是 每一个合作伙伴；同时，网络与信息安全是中国移动所有员工共同分担的责任， 与每一个员工每一天的日常工作息息相关。中国移动所有员工必须统一思想， 提高认识，高度重视，从自己开始，坚持不懈地做好网络与信息安全工作。 /webmoney10 3中国移动网络与信息安全体系与安全策略中国移动网络与信息安全体系与安全策略 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 n i ss、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 中国移动网络与信息安全体系如上图所示。 中国移动网络与信息安全体系是由两部分组成的。一部分是一系列安全策 略和技术管理规范（第一、二层），另一部分是实施层面的工作流程（第三层） 。 网络与信息安全体系（niss）总纲（以下简称总纲）位于安全体系的第一 层，是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观 策略。总纲具有高度的概括性，涵盖了技术和管理两个方面，对中国移动各方 面的安全工作具有通用性。 安全体系的第二层是一系列的技术规范和管理规定，是对总纲的分解和进 一步阐述，侧重于共性问题、操作实施和管理考核，提出具体的要求，对安全 工作具有实际的指导作用。 安全体系的第三层是操作层面，它根据第一层和第二层的要求，结合具体 的网络和应用环境，制订具体实施的细则、流程等，具备最直观的可操作性。 安全体系也包含了实施层面的工作流程，结合三层安全策略，进行具体实 施和检查考核，同时遵循动态管理和闭环管理的原则，通过定期的评估不断修 改完善。 /webmoney11 安全策略是在公司内部，指导如何对网络与信息资产进行管理、保护和分 配的规则和指示。中国移动必须制订并实施统一的网络与信息安全策略，明确 安全管理的方向、目标和范围。安全策略必须得到管理层的批准和支持。安全 策略应被定期评审和修订，以确保其持续适宜性，特别是在组织结构或技术基 础改变、出现新的漏洞和威胁、发生重大安全事件时。 中国移动的安全策略是由安全体系三个层面的多个子策略组成的，具有分 层结构的完整体系，包含了从宏观到微观，从原则方向到具体措施等多方面的 内容。安全策略用来指导全网的网络与信息安全工作。 4安全需求的来源安全需求的来源 确立安全需求是建立完整的安全体系的首要工作。中国移动的安全需求主 要源自下述三个方面： 系统化的安全评估。结合经验教训和技术发展，通过安全评估分析公 司网络和信息资产所面临的威胁，存在的薄弱点和安全事件发生的可 能性，并估计可能对公司造成的各种直接的和潜在的影响。 中国移动及其合作伙伴、承包商、服务提供商必需遵守的法律法规、 行政条例和合同约束，以及公司对客户的服务承诺。 公司运营管理的目标与策略。 下图说明了安全需求、风险评估和安全措施三者的关系。 /webmoney12 风险评估安全措施 安全需求 法律合同 服务承诺 运营管理 目标策略 5安全风险的评估安全风险的评估 安全风险评估可以应用于整个公司或某些部分，也可应用于单个网络信息 系统、特定系统组件或服务。 安全风险评估应着重于： 安全事件可能对中国移动造成的损失，以及所产生的直接和潜在的影 响。 综合考虑所有风险，以及目前已实施的控制措施，判断此类安全事件 发生的实际可能性。 从安全角度，对公司现有的管理制度和流程本身的合理性与完备程度 进行评估。 安全风险评估应本着可行、实际和有效的原则，通过标准统一的评估程序 和方法，量化安全风险，确定安全风险的危险级别，从而采取合理措施防范或 降低安全风险。 /webmoney13 需要特别指出的是：为适应业务发展的变化，应对新出现的威胁和漏洞， 评估现有控制措施的有效性及合理性，必须周期性地进行安全风险评估并调整 控制措施，且应在不同的层面进行，为高风险领域优先分配资金、人力等资源。 6安全措施的选择原则安全措施的选择原则 有效性。安全措施的实施必须能够确保风险被降低到可以接受的水平， 达到期望的安全目标。 可行性。安全措施必须在技术上是可操作的，可以实现的。某些安全 措施不具备通用性，需要因地制宜的考虑具体实施环境。 实际性。应从管理、财务等非技术因素详细分析待实施的安全措施， 综合比较实施成本与由此减少的潜在损失，非经济因素也应考虑在内。 公司应在遵循以上原则的基础上，根据网络与信息资产面临风险的大小， 区分轻重缓急，实施相应的安全控制措施。 7安全工作的起点安全工作的起点 根据一般性规律和业界的实际经验，网络与信息安全工作的开展可以从以 下几个方面着手： 法律方面：数据保护以及个人隐私保护、公司记录保护和知识产权保 护等。 业界惯例：安全策略制订、安全职责划分、安全教育与培训、安全事 件响应和业务连续性管理等。 需要指出的是，上述内容不能取代根据安全风险评估选择控制措施的基本 原则。任何控制措施的选取都应当依据实际面临的具体风险来确定。 /webmoney14 8关键性的成功因素关键性的成功因素 为了确保网络与信息安全工作的顺利实施，下列因素至关重要： 公司管理层的高度重视、明确支持和承诺； 安全工作组织与人员的落实； 安全策略、目标和措施应与公司经营目标一致； 安全工作的具体实施必须同公司的企业文化相兼容； 深刻理解安全需求、风险评估及风险管理； 在全体员工中建立网络与信息安全无处不在的安全理念； 建立全面、均衡、可行的评估、考核体系，以衡量网络与信息安全管 理工作的水平； 向所有员工和第三方（ 包括承包商、合作伙伴、客户等）分发网络与 信息安全指南，并提供相应的培训和教育。 9安全标准综述安全标准综述 本标准依据国际规范，参考业界的成熟经验，结合中国移动的实际情况， 制定并描述了网络与信息安全管理必须遵守的基本原则和要求，将安全工作要 点归结到以下八个方面： 组织与人员组织与人员 集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构， 全面负责公司的网络与信息安全工作。安全领导机构必须明确划分安全职责并 建立内部协调机制。公司必须设立专职安全队伍，建立安全事件响应流程和联 络人制度。公司应与外部安全专家和其他相关组织加强沟通与协作。 中国移动的所有岗位职责中必须包含安全内容，并尽量实现职责分隔。公 司应实施人员考察制度。公司的所有员工及使用中国移动网络与信息资产的其 /webmoney15 他组织人员都应当签署保密协议。中国移动的所有员工都应当接受网络与信息 安全培训。 第三方访问和外包服务必须受到控制，应事先进行风险评估，分析安全影 响并制订相应措施。同第三方和外包服务机构签订的合同中应包含双方认可的 安全条款。 公司应与客户签署相关协议，明确双方在网络与信息安全方面的权利与义 务及违约责任，保障客户与公司双方的利益。 网络与信息资产管理网络与信息资产管理 公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每 一项资产都应当指定“责任人”，分配其相应的安全管理职权，并由其承担相应 的安全责任。“责任人”可以将具体的工作职责委派给“维护人”，但“责任人”仍 必须承担资产安全的最终责任。 根据网络与信息资产的敏感度和重要性，必须对其进行分类和标注，并采 取相应的管理措施。 物理与环境安全物理与环境安全 公司的关键或敏感的网络与信息处理设施应被放置在安全区域内，由指定 的安全边界予以保护。根据不同的安全需求等级，公司应划分不同的安全区域， 例如：机房、办公区和第三方接入区。针对不同的安全区域，公司应采取不同 等级的安全防护和访问控制措施，阻止非法访问、破坏和干扰。工程施工期间 也应遵守相关规定，加强安全区域的保护。 公司必须制定清理办公环境及合理使用计算机设备的规定。网络与信息处 理设施的处置与转移应遵守相应的安全要求。 通信与运营管理安全通信与运营管理安全 公司应建立网络与信息处理设施的管理和操作的职责及流程，并尽可能地 实现职责分离。开发、调测和运营环境应保持相对隔离。 /webmoney16 公司应做好系统容量的监视和规划。配套安全系统应与业务系统“同步规划、 同步建设、同步运行”。新建或扩容系统的审批应包含安全内容，并在交付使用 前做好测试和验收工作。涉及安全方面的审批工作应由安全机构人员负责。 公司应加强防范意识，采取有效措施，预防和控制恶意软件。 公司应采取相应技术手段，确保时钟和时间同步。 公司应建立严格的软件管理制度，及时加载安全补丁，定期进行系统安全 漏洞评估，并执行系统加固解决方案。 公司应当制定备份制度，执行备份策略，并定期演练数据恢复过程。记录 操作和故障日志。 公司必须采取多种控制措施，保护网络设备及其上信息的安全，尤其是网 络边界和与公共网络交换的信息。可采取的控制措施如：访问控制技术、加密 技术、网管技术、安全设备、安全协议等。 公司应制定信息存储介质的管理制度和处置流程。应特别加强对可移动存 储介质和系统文档的管理。 公司在与其他组织交换信息和软件时，应遵从相应的法律或合同规定，采 取必要的控制措施。公司应制定相应的程序和标准，以保护传送过程中的信息 和媒介安全，尤其要考虑电子商务、电子邮件等应用的安全控制需求。公司还 应制定信息发布管理规定。 访问控制访问控制 公司应基于业务和安全需求，制定访问控制策略，并明确用户职责，加强 用户访问控制管理。公司应加强对移动办公和远程办公的管理。 公司应加强对网络系统、操作系统、应用系统的访问控制，如在公司网络 边界设置合适的接口，采取有效的用户和设备验证机制，控制用户访问，隔离 敏感信息。同时应监控对系统的访问和使用，记录并审查事件日志。 开发与维护开发与维护 /webmoney17 新系统的开发，包括网络基础设施、支撑系统，必须遵循系统安全生命周 期管理流程。在开发新系统之前，应确认安全需求。在设计中应采用合适的控 制措施、审计跟踪记录和活动日志，包括输入数据、内部处理和输出数据的验 证。应用系统不应在程序或进程中固化账户和口令，系统应具备对口令猜测的 防范机制和监控手段。 公司应通过风险评估来确定加密策略，基于统一的标准和程序建立加密管 理规范。 在系统开发及维护过程中，应严格执行系统开发流程管理，包括对开发、 测试和生产环境的变更控制，以保证系统软硬件和数据的安全。 安全事件响应与业务连续性安全事件响应与业务连续性 公司必须贯彻“积极预防、及时发现、快速反应与确保恢复”的方针，建立 安全事件响应流程和奖惩机制。如有必要，应尽快收集相关证据。 公司应实施业务连续性管理，通过分析安全事件对业务系统的影响，制定 并实施应急方案，并定期更新、维护和测试。 安全审计安全审计 网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业 部相关管理条例以及合同规定的安全要求。 安全审计应遵循独立原则，定期检查网络与信息系统安全，检验安全政策 和技术规范的执行情况。应采取有效的控制措施保护网络与信息系统及审计工 具，使安全审计的效果最大化，影响最小化。 10适用范围适用范围 本标准适用于中国移动的所有网络与信息系统（包括但不限于业务网络、 支撑网络），及组织和人员。 本标准的解释权和修改权归中国移动通信集团公司。 /webmoney18 第一章第一章 组织与人员组织与人员 第一节第一节 组织机构组织机构 安全工作“三分靠技术，七分靠管理”，建立有效的组织机构是安全管理的 基础。不健全的安全管理机制是网络与信息安全最大的薄弱点。 1领导领导机构机构 集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构， 全面负责公司的网络与信息安全工作。该机构应由公司级别主管领导负责，各 相关部门领导组成。 安全领导机构应为公司的安全管理指明清晰的方向，并提供强有力的管理 层支持。安全领导机构应通过合理的承诺和充分的资源配置，来推进整个公司 的网络与信息安全工作。 集团公司网络与信息安全领导小组是中国移动网络与信息安全管理的最高 决策机构。 安全领导机构承担以下责任： a) 审查并批准公司的网络与信息安全策略； b) 分配安全管理总体职责； c) 在网络与信息资产暴露于重大威胁时，监督控制可能发生的重大变化； d) 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信 息系统更改等）进行决策； e) 指挥、协调、督促并审查重大安全事件的处理。 2工作组织工作组织 公司各部门应建立专职或兼职的安全队伍，从事具体的安全工作。安全工 作需要多个部门的共同参与，为迅速解决工作中出现的问题，防止相互推诿， 提高工作效率，公司必须建立跨部门的协调机制。具体协调机构应由各部门从 /webmoney19 事安全工作的相关人员组成，并明确牵头部门或人员。条件成熟时，应成立独 立的安全工作组织。 集团公司网络与信息安全办公室是中国移动网络与信息安全工作的具体组 织机构。 工作组织承担以下责任： a) 制定相关的安全岗位及职责； b) 制定并落实相关安全管理制度； c) 制定并落实安全保护方案； d) 审批新系统或服务的规划和设计中的安全部分，并监督其实施落实； e) 审批业务连续性方案； f) 牵头处理网络与信息安全事件； g) 组织安全评估和安全审计工作； h) 辅助领导机构进行安全方面的决策； i) 完成部门间的协调工作，分派并落实某项具体工作中各部门的职责； j) 获取和发布安全信息； k) 完成领导机构下达的各项任务。 3安全职责的分配安全职责的分配 为明确安全责任，划分（界定）安全管理与具体执行之间的工作职责，公 司必须建立安全责任制度。 安全责任分配的基本原则是“谁主管，谁负责”。公司拥有的每项网络与信 息资产，必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全 责任。“责任人”可以是个人或部门，但“责任人”是部门时，应由该部门领导实 际负责。 /webmoney20 “责任人”可以将具体的执行工作委派给“维护人”，但“责任人”仍然必须承 担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责，并定 期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门，也可 以是外包服务提供商。当“维护人”是部门时，应由该部门领导实际负责。 安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作，不 能替代“责任人”对具体网络与信息资产进行安全保护。 在资产的安全保护工作中，应重点关注以下内容： a) 应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安 全保护流程。 b) “责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程， 并对该职责的详细内容记录在案。 c) 所有授权的内容和权限应当被明确规定，并记录在案。 4职责职责分散与隔离分散与隔离 职责分隔（segregation of duties）是一种减少偶然或故意行为造成安 全风险的方法。公司应分散某些任务的管理、执行及职责范围，以减少误用或 滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。 在无法实现职责充分分散的情况下，应采取其他补偿控制措施并记录在案。 例如：活动监控、检查审计跟踪记录以及管理监督等。 为避免串通勾结等欺诈活动，公司应尽量隔离相应职责，并增加执行和监 督人员，以降低串通的可能性。 5安全安全信息的获取和发布信息的获取和发布 信息技术的发展日新月异，安全工作愈发复杂和困难。公司必须建立有效 可靠的渠道，获取安全信息，不断推进安全工作。例如： a) 从内部挑选经验丰富的安全管理和技术人员，组成内部专家组，制定安 全解决方案，参与安全事件处理，解决实际安全问题，提供预防性建议 /webmoney21 等。为使内部专家组的工作更具成效，应允许他们直接接触公司的管理 层。 b) 与设备提供商、安全服务商等外部安全专家保持紧密联系，听取他们的 安全建议。 c) 从一些公开的信息渠道获取安全信息，例如专业出版物、定期公告等。 中国移动权威的安全信息发布机构为集团公司安全办公室。集团公司负责 收集和整理并向各省发布安全信息；各省负责省内发布和信息上报。 6加强与外部组织之间的加强与外部组织之间的协作协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供 商等外部组织的联系，并建立协作流程，以便在出现安全事件时，尽快获取信 息、采取措施。 公司在加入安全组织或与其他组织进行交流时，应对信息交换予以严格限 制，以确保公司信息的保密性。 7安全安全审计的独立性审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行 情况，发现安全隐患的过程。 安全审计的独立性是指审计方与被审计方应保持相对独立，即不能自己审 计自己的工作，以确保审计结果的公正可靠。 安全审计可由公司内部审计组织，或外聘的专业审计机构完成。审计人员 应接受审计培训，掌握一定的技能和经验。当采用外聘审计机构时，应充分考 虑其风险，并采取相应的控制措施。 /webmoney22 第二节第二节 岗位职责与人员考察岗位职责与人员考察 1岗位职责中的安全岗位职责中的安全内容内容 中国移动的岗位描述中都应明确包含安全职责，并形成正式文件记录在案。 安全描述应包括落实安全政策的常规职责和保护具体资产或执行具体安全程序 或活动的特定职责。 公司管理层应向所有员工告知其自身的岗位职责，并监督执行。 2人员人员考察考察 公司应明确员工的雇用条件和考察评价的方法与程序，减少因雇用不当而 产生的安全风险。 人员考察的内容应包括： a) 来自组织和个人的品格鉴定； b) 学历和履历的真实性和完整性； c) 学术及专业资格； d) 身份查验。 在首次聘用、内部转岗、职位晋升等情况下，公司应进行人员考察。需要 特别指出的是：对接触公司机密信息或拥有较大权力的人员，应定期重复进行 考察。 考察的对象包括：正式员工、临时人员、承包商。需要注意的是：如果使 用中介机构提供的人员，同中介机构签署的协议应当明确规定中介机构的审查 责任和通知程序。另外，对新员工和经验不足的员工应加强指导和管理。 员工的个人情况变化会影响他们的工作。例如个人问题或经济问题、行为 和生活方式的变化、反复缺席以及明显的压力和消沉都有可能导致欺诈、盗窃、 差错或者其他安全问题。管理层应关注此情况，并遵照相关制度予以处置。 /webmoney23 3保密协议保密协议 公司应与所有员工签订保密协议。保密协议可以作为劳动合同条款的一部 分。 保密协议应明确规定员工承担的安全责任、保密要求和违约责任。 在雇用合同出现变化时应对保密协议的内容和执行情况进行审查，特别是 当员工离开公司或者合同终止时。 4劳动合同劳动合同 劳动合同中应包含网络与信息安全条款，明确规定员工的安全责任和违约 罚则。这些责任可延伸至公司场所以外和正常工作时间以外。必要时，这些责 任应在雇用结束后延续一段特定的时间。 5员工培训员工培训 所有员工必须接受安全教育或培训，一般内容包括：公司网络与信息安全 策略、安全职责、安全管理规章制度和法律法规。不同岗位的员工应接受符合 其工作要求的必要的专业技能培训。 第三节第三节 第三方访问与外包服务的安全第三方访问与外包服务的安全 1第三方访问的安全第三方访问的安全 第三方，是指除中国移动以外，所有的组织和人员。 1.1 第三方访问的风险第三方访问的风险 第三方的访问类型可分为物理访问和逻辑访问，例如进入公司机房、接入 公司信息系统等。 公司应审核第三方的访问需求，进行风险分析，确定控制措施。风险分析 时需要考虑的因素有：访问类型、信息的价值、第三方采取的控制措施以及该 访问对公司造成的潜在影响。 /webmoney24 需要特别指出的是，应加强对第三方临时人员现场访问的管理，清洁人员、 餐饮服务人员、保安人员、实习生、咨询顾问等人员也不应被忽视。 1.2 第三方访问的控制措施第三方访问的控制措施 公司应采取以下措施，对第三方访问进行控制： a）公司应与第三方公司法人签署保密协议，并要求其第三方个人签署保密 承诺，此项工作应在第三方获得网络与信息资产的访问权限之前完成。 b）实行访问授权管理，未经授权，第三方不得进行任何形式的访问。 c） 公司应加强第三方访问的过程控制，监督其活动及操作。 d）公司应对第三方人员进行适当的安全宣传与培训。 e）第三方人员应佩带易于识别的标志，并在访问公司重要场所时有专人陪 同。 在与第三方签署合同时，应明确规定安全要求。如：安全目标、保护对象、 双方责任与权力、服务种类与级别、事件通报处理流程、第三方引入分包商的 规定等。 需要特别指出的是，在相应的控制措施未落实之前，或相关合同（保密协 议）尚未签署之前，第三方不得访问公司的任何网络与信息系统。 2外包服务的安全外包服务的安全 当公司将网络与信息系统的管理职责全部或部分外包给其他组织时，如果 控制不当，会带来很大的安全风险。因此，管理层在进行外包决策时，应考虑 下列事项： a)必须综合权衡外包风险和由外包带来的成本优势，并根据公司安全策略 决定何种服务可以外包。公司应明确禁止外包的敏感和关键应用。 b)必须获得设备责任人的批准； c) 对业务连续性的影响； /webmoney25 d) 规定的安全标准以及用于审计的程序； e) 有效监控和管理所有与外包相关的安全活动所需的特定的职责和程序； f) 上报和处理安全事件的责任和程序； g) 对外包服务商的资格、素质、能力进行考核、管理和审计； 在外包合同中，除了包含第三方合同中提到的安全要素外，还应强调以下 具体内容： a) 如何确保参与外包的所有各方（包括分包商）都能够意识到自己的安全 职责； b) 如何保证并检查公司相关资产（特别是敏感商业信息）的完整性和机密 性； c) 如何保证在发生故障和灾难时，服务与业务的连续性和可用性； d) 为外包设备提供什么样的物理安全； e) 审计权。 考虑到今后的发展，外包合同应允许在各方约定的安全框架内扩展安全要 求和流程。 第四节第四节 客户使用业务的安全客户使用业务的安全 公司应与客户签署相关协议，明确双方在网络与信息安全方面的权利、义 务及违约责任，保障客户与公司双方的利益。如专线用户、idc 用户等。 公司应提供必要的安全培训，使客户意识到网络与信息安全威胁及利害关 系，了解并支持遵守公司的安全策略和控制措施，提高他们的安全意识和防范 能力。 /webmoney26 第二章第二章 网络与信息资产网络与信息资产管理管理 第一节第一节 网络与信息资产责任制度网络与信息资产责任制度 1资产清单资产清单 公司各部门应编制并保留各自责任范围内的各套网络与信息系统的重要资 产清单，明确每件资产的责任人和安全保护级别，同时还应当确定其当前位置。 公司安全工作组织应汇总、保留全公司完整的资产清单。 网络与信息资产例如： a）实物资产：计算机设备、数据网络通信设备（路由器、交换机等）；磁 性媒介（磁带和磁盘等）、其他技术设备（电源以及空调装置等）等； b）信息资产：技术文档、配置数据、拓扑图等； c）软件资产：应用软件、系统软件以及开发工具等； 需要特别指出的是，在确定资产清单中各项资产的安全保护等级时，必须 依据该资产的相对价值，尤其要根据该资产所在系统的服务对象、所处地点、 承载业务等方面的不同，分为不同的安全保护级别，采取不同的安全保护措施。 2资产责任制度资产责任制度 网络与信息都是资产，是企业运营与发展的基础和核心，具有不可或缺的 重要价值。中国移动必须建立严格的资产责任制度，以有效保护网络与信息资 产。 资产责任制度的要点如下： a) 公司必须为网络与信息资产建立详细清单，并维护其准确性与完整性。 具体可以按照网络与信息资产所属系统或所在部门列出，并给出诸如资 产名称、所处位置、资产责任人、资产分类及重要性级别等相关信息。 /webmoney27 b) 公司应根据资产的相对价值大小来确定其重要性，即根据资产受威胁所 产生的实际影响和其本身的价值来综合评价。 c) “谁主管，谁负责”。公司拥有的每项网络与信息资产，必须根据资产归 属确定“责任人”，分配其相应的安全管理职权，并由其承担相应的安全 责任。资产“责任人”可以将具体的安全职责委派给“维护人”，但“责任人” 仍须承担资产安全的最终责任。 d) 任何对网络与信息资产的变更、访问必须在获得资产责任人的批准后进 行。 e) 维护人应根据与资产责任人达成一致的维护要求，保证所维护网络与信 息资产的机密性、完整性和可用性。 f) 定期对网络与信息资产进行清查盘点，确保资产帐物相符和完好无损。 g) 未经管理人员批准，任何人都不得将公司资产用于私人目的,公司有权对 有意误用者进行纪律惩戒。 在资产责任制度中，可对资产责任人、资产维护人等的职责和权利作如下 细化： 责任人的职责和权限责任人的职责和权限 网络与信息资产的责任人是指负责管理网络与信息资产并落实相应安全措 施的个人或部门。 a) 所有网络与信息资产都必须指定责任人。 b) 责任人及其领导负责进行风险分析，根据信息保密标准分类确定、鉴别 并记录其所拥有的网络与信息资产的安全级别。该级别至少每年评审一 次。 c) 责任人必须贯彻、落实恰当的安全控制措施，确保只有在工作必须的情 况下才能使用相关资产。 d) 责任人可以为由其负责的资产指派维护人，或自己担当此任。 /webmoney28 e) 责任人可基于工作相关性分配访问权，并与维护人共同负责保证网络与 信息资产的可用性。 f) 责任人必须至少每年审查一次其资产的访问权限。评审流程必须记录在 案，并保留到下一次审查结束之前。 需要特别指出的是，数据责任人是一种职能角色，负责管理控制特定数据 的访问权限及与安全相关的问题。数据责任人可以将自己负责的数据的所有权 授予其他个人，但让与此类权力决不意味着能够免除数据责任人对数据的责任。 例如：人事信息数据被应用系统调用，提供用户查询。数据的责任人是人力资 源部，其他人无权修改。 维护人的职责和权限维护人的职责和权限 网络与信息资产的维护人是指支持并维护网络与信息资产的人员。 a) 维护人可以根据所保管的信息的保密类别来确定相应的实物资产的安全 管理流程，以确保网络与信息资产责任人所要求的机密性、完整性和可 用性。 b) 责任人应确保适当的安全措施到位，并可以适度向下委派。如若需要， 可以确定备用联络人。维护人必须保留责任人的名单。 c) 维护人必须通知责任人其所应承担的安全职责。 d) 未经责任人许可，维护人不得重新划分信息的类别。 第二节第二节 资产安全等级及相应的安全要求资产安全等级及相应的安全要求 公司应确定网络与信息资产的相对价值和重要性，并明确相应的安全保护 级别。 资产分类时的注意事项如下： a) 资产责任人负责指定资产级别并定期评审； b) 资产的级别不是一成不变的，而是随着分类政策的变化而变化的； /webmoney29 c) 必须综合考虑资产分类方式的利弊，避免过度复杂的划分模式导致使用 不便和成本升高。 1信息的安全等级、标注及处置信息的安全等级、标注及处置 信息能够以众多形式存在，如：语音、书面、电子文档等。不论信息以何 种形式存在，也不论以何种方式被共享或存储，信息始终应当得到妥善保护。 信息具有不同的敏感度和重要性，应从其机密性、完整性和可用性等安全 属性对其进行分级，反映不同的保护要求、优先级和程度。 公司应明确规定信息处于不同载体的标注方法。信息的密级必须被明确标 注。根据存储和输出方式的不同，可以采用物理标签、电子标记等方法。信息 的存储介质必须以物理标签形式标明其密级。当信息以可视方式输出（如：打 印、屏幕显示等）时，必须以可视的方式显示其密级。 需要注意的是，其他机构可能对相同或类似的信息分级标志作了不同的定 义，在使用中应特别注意。 处置是对实物形式和电子形式的信息资产进行以下类型的信息处理活动： a) 复制； b) 存储； c) 通过邮寄、传真或电子邮件等方式进行传输； d) 通过口头对话方式进行传播，包括电话、语音邮件、应答设备等等； e) 销毁。 公司应明确规定不同密级的信息，在处置过程中需要采取的相应控制和保 护措施。 中国移动的信息分级、标注和处置情况见下表。 信息信息 密级密级 说明说明 分级职分级职 责责 控制要求控制要求使用说明使用说明 /webmoney30 使用者：使用者： 所有对此类信息具有合 法业务需求的人员。 标记：标记： 无特殊要求，电子邮件必 须标记“中国移动一般性商业信息”。 处置：处置：无特殊预防措施。 分发：分发：采用任何适用的方式。 一般 信息 由公司各 部门创建 拥有、无 需分级的 信息，如： 公司刊物 世纪虹 、motern et 网页 创建者防止非法修改 销毁：销毁：无特殊要求。 使用者：使用者：任何需要知道的人员。 标记：标记：在第一页标记“仅供中国移 动内部使用”。 处置：处置：控制。 分发：分发：经过批准的电子邮件或者电 子文件传输系统。 内部 信息 能够因己 方的损失 使竞争对 手获益的 信息，如： 电话簿或 者内部备 忘录 创建者 防止非法修改； 必须建立独立 的用户账户 和密 码； 基于读写访问 的必要性原则予以 批准 销毁：销毁： 所采用的销毁手段必须确 保相应信息不被非中国移动员工获 得。 使用者：使用者：“必须知道”的人员，需要 签署保密协议。 标记：标记：在每一页都标记“中国移动 机密信息”。 处置：处置：专人保管或者锁闭。 分发：分发：经过批准的电子邮件或者具 有访问控制的电子文件传输系统。 机密 信息 对公司具 有重大价 值的信息， 如：财务 报表 创建者 的直接 主管 同“内部信息”控 制要求 必须创建审计跟踪 纪录，并保护、归 档至少一年 笔记本电脑、 移动硬盘中的秘密 信息必须加密存储 销毁：销毁： 粉碎或者置于安全的文档 容器内。 /webmoney31 使用者：使用者：“必须知道”的人员，需要 签署保密协议；授权访问至少由公 司级别的分管领导决定。 标记：标记：在每一页标记“中国移动绝 密信息”。 处置：处置：专人保管或者锁闭，不得复 制。 分发：分发： 具有访问控制和加密的安 全的电子系统。 绝密 信息 从本质上 讲最敏感 的信息 （比如商 业机密和 软硬件设 计等等） 部门主 管或更 高级别 人员 同“机密信息”控 制要求 需要 明文规定，纪录所 有访问历史，并加 密存储 销毁：销毁：返回给创建者。 2网络信息系统安全等级网络信息系统安全等级 根据网络信息系统的安全属性和服务对象、所处地点、承载业务等不同， 可分为不同安全等级，采取不同的安全措施。实物、软件类资产是根据其所处 网络信息系统的不同而具有不同的安全等级，不再对具体资产进行分级。 网络信息系统的安全等级可按如下原则进行分类： a) 从公司客户的角度来衡量业务系统故障所造成的影响。 b) 经济损失：可以根据影响营业收入的程度或者无法满足财务目标来评估 业务系统的重要性。 c) 法律影响：可以根据法律、合同、政府的监管要求来评估业务系统的重 要性。 d) 由于信息资产损失而导致的公司形象受损也应被评估。此类损失能够严 重影响公司的声誉和股东的信心。重大损失可能导致整个公司或者业务 部门无法正常运转。 根据以上原则，中国移动的业务和支撑网络可分为关键系统和一般系统两 个安全等级。如果实际情况需要，也可进一步细分。 /webmoney32 在资产清单中应标明具体资产归属的网络信息系统及其安全等级，同时， 对于实物资产还应在物理实体上进行标注。 /webmoney33 第三章第三章 物理及环境安全物理及环境安全 物理与环境安全是保护网络基础设施、信息系统及存储媒介免受非法的物 理访问、自然灾害和环境危害。 第一节第一节 安全区域安全区域 安全区域是需要被保护的生产和办公场所，和放置网络与信息处理设施的 物理区域。例如：办公室、机房、营业厅等。 公司应根据安全评估的结果，通过建立安全区域并实施相应的控制措施， 对网络与信息处理设施进行全面的物理保护。 公司应根据不同的安全保护需要，划分不同的安全区域，实施不同等级的 安全管理。例如：核心生产区域、内部办公区域、第三方接入访问区域、公共/ 会客区域等。 需要特别指出的是，工程施工期间也应遵守相关规定，加强安全区域的保 护。 1安全边界安全边界 安全区域的物理保护可以通过在其周围设置若干物理关卡来实现。安全边 界是指那些可以建立这