中国移动网络与信息安全体系

中国移动网络与信息安全 总纲 中国移动通信集团公司 2006 年 7 月 本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。 /webmoney 1 前言 中国移动 注 的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！ 制订 和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。 本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。本标准目前主要针对互联网、支撑网等 IT 系统安全。 注 ： 本 标准 所称 “中国移动 ”是指中国移动通信集团公司及由其直接或间接控股的公司。 中国移动通信集团公司，以下简称 “集团公司 ”。 各 移动通信有限责任 公司，以下简称 “各省公司 ”。 /webmoney 2 目录 前言 . 1 目录 . 2 总则 . 9 1网络与信息安全的基本概念 . 9 2网络与信息安全的重要性和普遍性 . 9 3中国移动网络与信息安全体系与安全策略 . 10 4安全需求的来源 . 11 5安全风险的评估 . 12 6安全措施的选择原则 . 13 7安全工作的起点 . 13 8关键性的成功因素 . 13 9安全标准综述 . 14 10适用范围 . 17 第一章 组织与人员 . 18 第一节 组织机构 . 18 1领导机构 . 18 2工作组织 . 18 3安全职责的分配 . 19 4职责分散与隔离 . 20 5安全信息的获取和发布 . 20 6加强与外部组织之间的协作 . 21 7安全审计的独立性 . 21 第二节 岗位职责与人员考察 . 22 1岗位职责中的安全内容 . 22 2人员考察 . 22 3保密协议 . 23 4劳动合同 . 23 /webmoney 3 5员工培训 . 23 第三节 第三方访问与外包服务的安全 . 23 1第三方访问 的安全 . 23 2外包服务的安全 . 24 第四节 客户使用业务的安全 . 25 第二章 网络与信息资产管理 . 26 第一节 网络与信息资产责任制度 . 26 1资产清单 . 26 2资产责任制度 . 26 第二节 资产安全等级及相应的安全要求 . 28 1信息的安全等级、标注及处置 . 29 2网络信息系统安全等级 . 31 第三章 物理及环境安全 . 32 第一节 安全区域 . 32 1安全边界 . 32 2出 入控制 . 33 3物理保护 . 33 4安全区域工作规章制度 . 34 5送货、装卸区与设备的隔离 . 35 第二节 设备安全 . 35 1设备安置及物理保护 . 35 2电源保护 . 36 3线缆安全 . 36 4工作区域外设备的安全 . 37 5设备处置与重用的安全 . 37 第三节 存储媒介的安全 . 38 1可移动存储媒介的管理 . 38 2存储媒介的处置 . 38 3信息处置程序 . 39 /webmoney 4 4系统文档的安全 . 39 第四节 通用控制措施 . 40 1屏幕与桌面的清理 . 40 2资产的移动控制 . 41 第四章 通信和运营管理的安全 . 42 第一节 操作流程与职责 . 42 1规范操作细则 . 42 2设备维护 . 42 3变更控制 . 43 4安全事件响应程序 . 44 5开发、测试与现网设备的分离 . 44 第二节 系统的规划设计、建设和验收 . 44 1系统规划和设计 . 44 2审批制度 . 45 3系统建设和验收 . 46 4设备入网管理 . 47 第三节 恶意软件的防护 . 47 第四节 软件及补丁版本管理 . 48 第五节 时钟和时间同步 . 49 第六节 日常工作 . 49 1维护作业计划管理 . 49 2数据与软件备份 . 49 3操作日志 . 50 4日志审核 . 50 5故障管理 . 51 6测试制度 . 52 7日常安全工作 . 52 第七节 网络安全控制 . 52 第八节 信息与软件的交换 . 53 /webmoney 5 1信息与软件交换协议 . 53 2交接过程中的安全 . 53 3电子商务安全 . 54 4电子邮件的安全 . 54 5电子办公系统的安全 . 55 6信息发布的安全 . 56 7其他形式信息交换的安全 . 56 第五章 网络与信息系统的访问控制 . 57 第一节 访问控制策略 . 57 第二节 用户访问管理 . 58 1用户注册 . 58 2超级权限的管理 . 59 3口令管理 . 60 4用户访问权限核查 . 61 第三节 用户职责 . 61 1口令的使用 . 61 2无人值守的用户设备 . 62 第四节 网络访问控制 . 62 1网络服务使用策略 . 63 2逻辑安全区域的划分与隔离 . 63 3访问路径控制 . 63 4外部连接用户的验证 . 64 5网元节点验证 . 64 6端口 保护 . 65 7网络互联控制 . 65 8网络路由控制 . 65 9网络服务的安全 . 66 第五节 操作系统的访问控制 . 66 1终端自动识别 . 66 /webmoney 6 2终端登录程序 . 66 3用户识别和验证 . 67 4口令管理系统 . 67 5限制系统工具的使用 . 68 6强制 警报 . 68 7终端超时关闭 . 69 8连接时间限制 . 69 第六节 应用访问控制 . 69 1信息访问限制 . 69 2隔离敏感应用 . 70 第七节 系统访问与使用的监控 . 70 1事件记录 . 70 2监控系统使用情况 . 71 第八节 移动与远程工作 . 72 1 移动办公 . 72 2远程办公 . 73 第六章 系统开发与软件维护的安全 . 75 第一节 系统的安全需求 . 75 第二节 应用系统的安全 . 76 1输入数据验证 . 76 2内部处理控制 . 77 3消息认证 . 77 4输出数据验证 . 78 第三节 系统文件的安全 . 78 1操作系统软件的控制 . 78 2系统测试数据的保护 . 79 3系统源代码的访问控制 . 79 第四节 开发和支持过程中的安全 . 80 1变更控制程序 . 80 /webmoney 7 2软件包的变更限制 . 81 3后门及特洛伊代码的防范 . 81 4软件开发外包的安全控制 . 82 第五节 加密技术控制措施 . 82 1加密技术使用策略 . 82 2使用加密技术 . 83 3数字签名 . 83 4不可否认服务 . 84 5密钥管理 . 84 第七章 安全事件响应及业务连续性管理 . 86 第一节 安全事件及安全响应 . 86 1及时发现与报告 . 86 2分析、协调与处理 . 87 3总结与奖惩 . 88 第二节 业务连续性管理 . 88 1建立业务连续性管理程序 . 88 2业务连续性和影响分析 . 89 3制定并实施业务连续性方案 . 89 4业务连续性方案框架 . 90 5维护业务连续性方案 . 91 第八章 安全审计 . 93 第一节 遵守法律法规要求 . 93 1识别适用的法律法规 . 93 2保护知识产权 . 93 3保护个人信息 . 94 4防止网络与信息处理设施的不当使用 . 94 5加密技术控制规定 . 94 6保护公司记录 . 94 7收集证据 . 95 /webmoney 8 第二节 安全审计的内容 . 95 第三节 安全审计管理 . 96 1独立审计原则 . 96 2控制安全审计过程 . 96 3保护审计记录和工具 . 97 参考文献 . 98 术语和专有名词 . 99 附录 1：安全体系第二层项目清单（列表） . 100 /webmoney 9 总则 1网络与信 息安全的基本概念 网络与信息安全包括下列三个基本属性： 机密性（ Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求，可以分为不同密级，并具有时效性。 完整性（ Integrity）：确保网络设施和信息及其处理的准确性和完整性。 可用性（ Availability）：确保被授权用户能够在需要时获取 网络与信息资产。 需要特别指出的是，网络安全与信息安全（包括但不限于内容安全）是一体的，不可分割的。 2网络与信息安全的重要性和普遍性 网络与信息都是资产，具有不可 或缺的重要价值。无论对企业、国家还是个人，保证其安全性是十分重要的。 网络与信息安全工作是企业运营与发展的基础和核心；是保证网络品质的基础；是保障客户利益的基础。中国移动的网络与信息安全也是国家安全的需要。 网络与信息安全工作无所不在，分散在每一个部门，每一个岗位，甚至是每一个合作伙伴；同时，网络与信息安全是中国移动所有员工共同分担的责任，与每一个员工每一天的日常工作息息相关。中国移动所有员工必须统一思想，提高认识，高度重视，从自己开始，坚持不懈地做好网络与信息安全工作。 /webmoney 10 3中国移动网络与信息安全体系与安 全策略 国内外标准 合作方经验网络与信息安全体系（ NISS ）总纲安全评估结 果技术 管理具体实施现有规范检查考核效果评估安全审计业务保障系统开发访问控制运营维护物理环境信息资产组织人员网络业务应用安全设备安全技术第一层第二层第三层操作手册 流程、细则 中国移动网络与信息安全体系如上图所示。 中国移动网络与信息 安全体系是由两部分组成的。一部分是一系列安全策略和技术管理规范 （第一、二层） ，另一部分是实施层面的工作流程 （第三层） 。 网络与信息安全 体系 （ NISS） 总纲（以下简称总纲） 位于安全体系的第一层，是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。 总纲 具有高度的概括性，涵盖了技术和管理两个方面，对中国移动各方面的安全工作具有通用性。 安全体系的第二层是一系列的技术规范 和管理规定，是对 总纲 的分解和进一步阐述，侧重于共性问题、操作实施和管理考核，提出具体的要求，对安全工作具有实际的指导作用。 安全体系的第三层是操作层面，它根据第一层和第二层的要求，结合具体的网络和应用环境，制订具体实施的细则、流程等，具备最直观的可操作性。 安全体系也包含了实施层面的工作流程，结合三层安全策略，进行具体实施和检查考核，同时遵循动态管理和闭环管理的原则，通过定期的评估不断修改完善。 安全策略是在公司内部，指导如何对网络与信息资产进行管理、保护和分配的规则和指示。中国移动必须制订并实施统一的网络 与信息安全策略，明确安全/webmoney 11 管理的方向、目标和范围。安全策略必须得到管理层的批准 和 支持。安全策略应被定期评审和修订，以确保其持续适宜性，特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。 中国移动的安全策略是由安全体系三个层面的多个子策略组成的，具有分层结构的完整体系，包含了从宏观到微观，从原则方向到具体措施等多方面的内容。安全策略用来指导全网 的 网络与信息安全工作。 4安全需求的来源 确立安全需求是建立完整的安全体系的首要工作。中国移动的安全需求主要源自下述三个方面： 系统化的安全评估。 结合经验教训和技术发展，通过安全评估分析公司网络和信息资产所面临的威胁，存在的薄弱点和安全事件发生的可能性，并估计可能对公司造成的各种直接的和潜在的影响。 中国移动及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例和合同约束，以及公司对客户的服务承诺。 公司运营管理的目标与策略。 下图说明了安全需求、风险评估和安全措施三者的关系。 /webmoney 12 风险评估 安全措施安全需求法律合同服务承诺运营管理目标策略 5安全风险的评估 安全风险评估可以应用于整个公司或某些部分，也可应用于单个网络信息系统、特定系统组件或 服务。 安全风险评估应着重于： 安全事件可能对中国移动造成的损失，以及所产生的直接和潜在的影响。 综合考虑所有风险，以及目前已实施的控制措施，判断此类安全事件发生的实际可能性。 从安全角度，对公司现有的管理制度和流程本身的合理性与完备程度进行评估。 安全风险评估应本着可行、实际和有效的原则，通过标准统一的评估程序和方法，量化安全风险，确定安全风险的 危险级别 ，从而采取合理措施防范或降低安全风险。 /webmoney 13 需要特别指出的是：为适应业务发展的变化，应对新出现的威胁和漏洞，评估现有控制措施的有效性及合理性，必须周期性地进行 安全风险评估并调整控制措施，且应在不同的层面进行，为高风险领域优先分配 资金、人力等 资源。 6安全措施的选择原则 有效性。安全措施的实施必须能够确保风险被降低到可以接受的水平，达到期望的安全目标。 可行性。安全措施必须在技术上是可操作的，可以实现的。某些安全措施不具备通用性，需要因地制宜 的考虑具体实施环境 。 实际性。应从管理、财务等非技术因素详细分析待实施的安全措施，综合比较实施成本与由此减少的潜在损失，非经济因素也应考虑在内。 公司应在遵循以上原则的基础上，根据网络与信息资产面临风险的大小，区分轻重缓急， 实施相应的安全控制措施。 7安全工作的起点 根据一般性规律和业界的实际经验，网络与信息安全工作的开展可以从以下几个方面着手： 法律 方面 ：数据保护以及个人隐私保护、公司记录保护和知识产权保护等。 业界惯例：安全策略制订、安全职责划分、安全教育与培训、安全事件响应和业务连续性管理等。 需要指出的是，上述内容不能取代根据安全风险评估选择控制措施的基本原则。任何控制措施的选取都应当依据实际面临的具体风险来确定。 8关键性的成功因素 为了确保网络与信息安全工作的顺利实施，下列因素至关重要： 公司管理层的高度重视、 明确支持和承诺 ； /webmoney 14 安全工作组织与人员的落实； 安全策略、目标和措施应与公司经营目标一致； 安全工作的具体实施必须同公司的企业文化相兼容； 深刻理解安全需求、风险评估及风险管理； 在全体员工中建立网络与信息安全无处不在的安全理念； 建立全面、均衡、可行的评估、考核体系，以衡量网络与信息安全管理工作的水平； 向所有员工和第三方（ 包括承包商、合作伙伴、客户等）分发网络与信息安全指南，并提供相应的培训和教育。 9安全标准综述 本标准依据国际规范，参考业界的成熟经验，结合中国移动的实际情况， 制定并描述了网络与信息 安全管理必须遵守的基本原则和要求， 将安全工作要点归结到 以下 八个方面 ： 组织与人员 集团公司和各省公司 必须建立公司级别的网络与信息安全常设领导机构，全面负责公司的网络与信息安全工作。安全领导机构必须明确划分安全职责并建立内部协调机制。公司必须设立专职安全队伍，建立安全事件响应流程和联络人制度。公司应与外部安全专家和其他相关组织加强沟通与协作。 中国移动的所有岗位职责中必须包含安全内容，并尽量实现职责 分隔 。公司应实施人员考察制度。公司的所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。中 国移动的所有员工都应当接受网络与信息安全培训。 第三方访问和外包服务必须受到控制，应事先进行风险评估，分析安全影响并制订相应措施。同第三方和外包服务机构签订的合同中应包含双方认可的安全条款。 /webmoney 15 公司应与客户签署相关协议，明确双方在网络与信息安全方面的权利与义务及违约责任，保障客户与公司双方的利益。 网络与信息资产管理 公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每一项资产都应当指定 “责任人 ”，分配其相应的安全管理职权，并由其承担相应的安全责任。 “责任人 ”可以将具体的工作职责委派给 “维护人 ”，但 “责任人 ”仍必须承担资产安全的最终责任。 根据网络与信息资产的敏感度和重要性，必须对其进行分类和标注，并采取相应的管理措施。 物理与环境安全 公司的关键或敏感的网络与信息处理设施应被放置在安全区域内，由指定的安全边界予以保护。根据不同的安全需求等级，公司应划分不同的安全区域，例如：机房、办公区和第三方接入区。针对不同的安全区域，公司应采取不同等级的安全防护和访问控制措施，阻止非法访问、破坏和干扰。工程施工期间也应遵守相关规定，加强安全区域的保护。 公司必须制定清理办公环境及合理使用计算机设备的规定 。网络与信息处理设施的处置与转移应遵守相应的安全要求。 通信与运营管理安全 公司应建立网络与信息处理设施的管理和操作的职责及流程，并尽可能地实现职责分离。开发、调测和运营环境应保持相对隔离。 公司应做好系统容量的监视和规划。配套安全系统应与业务系统 “同步规划、同步建设、同步运行 ”。新建或扩容系统的审批应包含安全内容，并在交付使用前做好测试和验收工作。涉及安全方面的审批工作应由安全机构人员负责。 公司应加强防范意识，采取有效措施，预防和控制恶意软件。 公司应采取相应技术手段，确保时钟和时间同步。 /webmoney 16 公司应建 立严格的软件管理制度，及时加载安全补丁，定期进行系统安全漏洞评估，并执行系统加固解决方案。 公司应当制定备份制度，执行备份策略，并定期演练数据恢复过程。记录操作和故障日志。 公司必须采取多种控制措施，保护网络设备及其上信息的安全，尤其是网络边界和与公共网络交换的信息。可采取的控制措施如：访问控制技术、加密技术、网管技术、安全设备、安全协议等。 公司应制定信息存储介质的管理制度和处置流程。应特别加强对可移动存储介质和系统文档的管理。 公司在与其他组织交换信息和软件时，应遵从相应的法律或合同规定，采取必要的控制 措施。公司应制定相应的程序和标准，以保护传送过程中的信息和媒介安全，尤其要考虑电子商务、电子邮件等应用的安全控制需求。公司还应制定信息发布管理规定。 访问控制 公司应基于业务和安全需求，制定访问控制策略，并明确用户职责，加强用户访问控制管理。公司应加强对移动办公和远程办公的管理。 公司应加强对网络系统、操作系统、应用系统的访问控制，如在公司网络边界设置合适的接口，采取有效的用户和设备验证机制，控制用户访问，隔离敏感信息。同时应监控对系统的访问和使用，记录并审查事件日志。 开发与维护 新系统的开发，包 括网络基础设施、支撑系统，必须遵循系统安全生命周期管理流程。在开发新系统之前，应确认安全需求。在设计中应采用合适的控制措施、审计跟踪记录和活动日志，包括输入数据、内部处理和输出数据的验证。应用系统不应在程序或进程中固化 账户 和口令，系统应具备对口令猜测的防范机制和监控手段。 /webmoney 17 公司应通过风险评估来确定加密策略，基于统一的标准和程序建立加密管理规范。 在系统开发及维护过程中，应严格执行系统开发流程管理，包括对开发、测试和生产环境的变更控制，以保证系统软硬件和数据的安全。 安全事件响应与业务连续性 公司必须贯彻 “积极预防、及时发现、快速反应与确保恢复 ”的方针，建立安全事件响应流程和奖惩机制。如有必要，应尽快收集相关证据。 公司应实施业务连续性管理，通过分析安全事件对业务系统的影响，制定并实施应急方案，并定期更新、维护和测试。 安全审计 网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业部相关管理条例以及合同规定的安全要求。 安全审计应遵循独立原则，定期检查网络与信息系统安全，检验安全政策和技术规范的执行情况。应采取有效的控制措施保护网络与信息系统及审计工具，使安全审计的效果最大化，影响最小化。 10适用范围 本标准适用于中国移动的所有网络与信息系统（包括但不限于业务网络、支撑网络），及组织和人员。 本标准的解释权和修改权归中国移动通信集团公司。 /webmoney 18 第一章 组织与人员 第一节 组织机构 安全工作 “三分靠技术，七分靠管理 ”，建立有效的组织机构是安全管理的基础。不健全的安全管理机制是网络与信息安全最大的薄弱点。 1领导机构 集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构，全面负责公司的网络与信息安全工作。该机构应由公司级别主管领导负责，各相关部门领导组成。 安全领导机构应为公司的安全 管理指明清晰的方向，并提供强有力的管理层支持。安全领导机构应通过合理的承诺和充分的资源配置，来推进整个公司的网络与信息安全工作。 集团公司网络与信息安全领导小组是中国移动网络与信息安全管理的最高决策机构。 安全领导机构承担以下责任： a) 审查并批准公司的网络与信息安全策略； b) 分配安全管理总体职责； c) 在网络与信息资产暴露于重大威胁时，监督控制可能发生的重大变化； d) 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信息系统更改等）进行决策； e) 指挥、协调、督促并审查重大安全事件的处理。 2工作组织 公司各 部门应建立专职或兼职的安全队伍，从事具体的安全工作。安全工作需要多个部门的共同参与，为迅速解决工作中出现的问题，防止相互推诿，提高工作效率，公司必须建立跨部门的协调机制。具体协调机构应由各部门从事安全/webmoney 19 工作的相关人员组成，并明确牵头部门或人员。条件成熟时，应成立独立的安全工作组织。 集团公司网络与信息安全办公室是中国移动网络与信息安全工作的具体组织机构。 工作组织承担以下责任： a) 制定相关的安全岗位及职责； b) 制定并落实相关安全管理制度； c) 制定并落实安全保护方案； d) 审批新系统或服务的规划和设计中的安全部分，并监督 其实施落实； e) 审批业务连续性方案； f) 牵头处理网络与信息安全事件； g) 组织安全评估和安全审计工作； h) 辅助领导机构进行安全方面的决策； i) 完成部门间的协调工作，分派并落实某项具体工作中各部门的职责； j) 获取和发布安全信息； k) 完成领导机构下达的各项任务。 3安全职责的分配 为明确安全责任，划分（界定）安全管理与具体执行之间的工作职责，公司必须建立安全责任制度。 安全责任分配的基本原则是 “谁主管，谁负责 ”。公司拥有的每项网络与信息资产，必须根据资产归属确定 “责任人 ”。 “责任人 ”对资产安全保护负有完全责任。“责任人 ”可以 是个人或部门，但 “责任人 ”是部门时，应由该部门领导实际负责。 /webmoney 20 “责任人 ”可以将具体的执行工作委派给 “维护人 ”，但 “责任人 ”仍然必须承担资产安全的最终责任。因此 “责任人 ”应明确规定 “维护人 ”的工作职责，并定期检查 “维护人 ”是否正确履行了安全职责。 “维护人 ”可以是个人或部门，也可以是外包服务提供商。当 “维护人 ”是部门时，应由该部门领导实际负责。 安全工作人员的职责是指导、监督、管理、考核 “责任人 ”的安全工作，不能替代 “责任人 ”对具体网络与信息资产进行安全保护。 在资产的安全保护工作中，应重点关注以下内容： a) 应清 楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。 b) “责任人 ”与 “维护人 ”都应明确接受其负责的安全职责和安全保护流程，并对该职责的详细内容记录在案。 c) 所有授权的内容和权限应当被明确规定，并记录在案。 4职责分散与隔离 职责分隔（ Segregation of Duties）是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围，以减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。 在无法实现职责充分分散的情况下，应采取其他补偿控制措施并 记录在案。例如：活动监控、检查审计跟踪记录以及管理监督等。 为避免串通勾结等欺诈活动，公司应尽量隔离相应职责，并增加执行和监督人员，以降低串通的可能性。 5安全信息的获取和发布 信息技术的发展日新月异，安全工作愈发复杂和困难。公司必须建立有效可靠的渠道，获取安全信息，不断推进安全工作。例如： a) 从内部挑选经验丰富的安全管理和技术人员，组成内部专家组，制定安全解决方案，参与安全事件处理，解决实际安全问题，提供预防性建议/webmoney 21 等。为使内部专家组的工作更具成效，应允许他们直接接触公司的管理层。 b) 与设备提供商、安全服务商 等外部安全专家保持紧密联系，听取他们的安全建议。 c) 从一些公开的信息渠道获取安全信息，例如专业出版物、定期公告等。 中国移动权威的安全信息发布机构为集团公司安全办公室。集团公司负责收集和整理并向各省发布安全信息；各省负责省内发布和信息上报。 6加强与外部组织之间的协作 公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系，并建立协作流程，以便在出现安全事件时，尽快获取信息、采取措施。 公司在加入安全组织或与其他组织进行交流时，应对信息交换予以严格限制，以确保公司信息的保密性。 7安全审计的独立性 安全审计是从管理和技术两个方面检查公司的安全策略和控制措施的执行情况，发现安全隐患的过程。 安全审计的独立性是指审计方与被审计方应保持相对独立，即不能自己审计自己的工作，以确保审计结果的公正可靠。 安全审计可由公司内部审计组织，或外聘的专业审计机构完成。审计人员应接受审计培训，掌握一定的技能和经验。当采用外聘审计机构时，应充分考虑其风险，并采取相应的控制措施。 /webmoney 22 第二节 岗位职责与人员考察 1岗位职责中的安全内容 中国移动的岗位描述中都应明确包含安全职责，并形成正式文件记录在案。安全 描述应包括落实安全政策的常规职责和保护具体资产或执行具体安全程序或活动的特定职责。 公司管理层应向所有员工告知其自身的岗位职责，并监督执行。 2人员考察 公司应明确员工的雇用条件和考察评价的方法与程序，减少因雇用不当而产生的安全风险。 人员考察的内容应包括： a) 来自组织和个人的品格鉴定； b) 学历和履历的真实性和完整性； c) 学术及专业资格； d) 身份查验。 在首次聘用、内部转岗、职位晋升等情况下，公司应进行人员考察。需要特别指出的是：对接触公司机密信息或拥有较大权力的人员，应定期重复进行考察。 考察的对象包括： 正式员工、临时人员、承包商。需要注意的是：如果使用中介机构提供的人员，同中介机构签署的协议应当明确规定中介机构的审查责任和通知程序。另外，对新员工和经验不足的员工应加强指导和管理。 员工的个人情况变化会影响他们的工作。例如个人问题或经济问题、行为和生活方式的变化、反复缺席以及明显的压力和消沉都有可能导致欺诈、盗窃、差错或者其他安全问题。管理层应关注此情况，并遵照相关制度予以处置。 /webmoney 23 3保密协议 公司应与所有员工签订保密协议。保密协议可以作为劳动合同条款的一部分。 保密协议应明确规定员工承担的安全责任、保密要 求和违约责任。 在雇用合同出现变化时应对保密协议的内容和执行情况进行审查，特别是当员工离开公司或者合同终止时。 4劳动合同 劳动合同中应包含网络与信息安全条款，明确规定员工的安全责任和违约罚则。这些责任可延伸至公司场所以外和正常工作时间以外。必要时，这些责任应在雇用结束后延续 一段 特定的时间。 5 员工 培训 所有员工必须接受安全教育或培训，一般内容包括：公司网络与信息安全策略、安全职责、安全管理规章制度和法律法规。不同岗位的员工应接受符合其工作要求的必要的专业技能培训。 第三节 第三方访问与外包服务的安全 1第三方访问的安全 第三方，是指除中国移动以外，所有的组织和人员。 1.1 第三方访问的风险 第三方的访问类型可分为物理访问和逻辑访问，例如进入公司机房、接入公司信息系统等。 公司应审核第三方的访问需求，进行风险分析，确定控制措施。风险分析时需要考虑的因素有：访问类型、信息的价值、第三方采取的控制措施以及该访问对公司造成的潜在影响。 /webmoney 24 需要特别指出的是，应加强对第三方临时人员现场访问的管理，清洁人员、餐饮服务人员、保安人员、实习生、咨询顾问等人员也不应被忽视。 1.2 第三方访问的控制措施 公司应采取以下措 施，对第三方访问进行控制： a） 公司应与第三方公司法人签署保密协议，并要求其第三方个人签署保密承诺，此项工作应在第三方获得网络与信息资产的访问权限之前完成。 b） 实行访问授权管理，未经授权，第三方不得进行任何形式的访问。 c） 公司应加强第三方访问的过程控制，监督其活动及操作。 d） 公司应对第三方人员进行适当的安全宣传与培训。 e） 第三方人员应佩带易于识别的标志，并在访问公司重要场所时有专人陪同。 在与第三方签署合同时，应明确规定安全要求。如：安全目标、保护对象、双方责任与权力、服务种类与级别、事件通报处理流程、第三方引入分包商 的规定等。 需要特别指出的是，在相应的控制措施未落实之前，或相关合同（保密协议）尚未签署之前，第三方不得访问公司的任何网络与信息系统。 2外包服务的安全 当公司将网络与信息系统的管理职责全部或部分外包给其他组织时，如果控制不当，会带来很大的安全风险。因此，管理层在进行外包决策时，应考虑下列事项： a) 必须综合权衡外包风险和由外包带来的成本优势，并根据公司安全策略决定何种服务可以外包。公司应明确禁止外包的敏感和关键应用。 b) 必须获得设备责任人的批准； c) 对业务连续性的影响； /webmoney 25 d) 规定的安全标准以及用于审计的程序； e) 有效 监控和管理所有与外包相关的安全活动所需的特定的职责和程序； f) 上报和处理安全事件的责任和程序； g) 对外包服务商的资格、素质、能力进行考核、管理和审计； 在外包合同中，除了包含第三方合同中提到的安全要素外，还应强调以下具体内容： a) 如何确保参与外包的所有各方（包括分包商）都能够意识到自己的安全职责； b) 如何保证并检查公司相关资产（特别是敏感商业信息）的完整性和机密性； c) 如何保证在发生故障和灾难时，服务与业务的连续性和可用性； d) 为外包设备提供什么样的物理安全； e) 审计权。 考虑到今后的发展，外包合同应允许在各方约定的安全 框架内扩展安全要求和流程。 第四节 客户使用业务的安全 公司应与客户签署相关协议，明确双方在网络与信息安全方面的权利、义务及违约责任，保障客户与公司双方的利益。如专线用户、 IDC 用户等。 公司应 提供必要的安全培训，使客户意识到网络与信息安全威胁及利害关系， 了解并 支持遵守 公司的安全策略和控制措施，提高他们的安全意识和防范能力。 /webmoney 26 第二章 网络与信息资产管理 第一节 网络与信息资产责任制度 1资产清单 公司各部门应编制并保留各自责任范围内的各套网络与信息系统的重要资产清单，明确每件资产的责任人和安全保护级别， 同时还应当确定其当前位置。公司安全工作组织应汇总、保留全公司完整的资产清单。 网络与信息资产例如： a） 实物资产：计算机设备、数据网络通信设备（路由器、交换机等）；磁性媒介（磁带和磁盘等）、其他技术设备（电源以及空调装置等）等； b） 信息资产：技术文档、配置数据、拓扑图等； c） 软件资产：应用软件、系统软件以及开发工具等； 需要特别指出的是，在确定资产清单中各项资产的安全保护等级时，必须依据该资产的相对价值，尤其要根据该资产所在系统的服务对象、所处地点、承载业务等方面的不同，分为不同的安全保护级别，采取不同的安全保护措 施。 2资产责任制度 网络与信息都是资产，是企业运营与发展的基础和核心，具有不可或缺的重要价值。中国移动必须建立严格的资产责任制度，以有效保护网络与信息资产。 资产责任制度的要点如下： a) 公司必须为网络与信息资产建立详细清单，并维护其准确性与完整性。具体可以按照网络与信息资产所属系统或所在部门列出，并给出诸如资产名称、所处位置、资产责任人、资产分类及重要性级别等相关信息。 b) 公司应根据资产的相对价值大小来确定其重要性，即根据资产受威胁所产生的实际影响和其本身的价值来综合评价。 /webmoney 27 c) “谁主管，谁负责 ”。公司拥有的每 项网络与信息资产，必须根据资产归属确定 “责任人 ”，分配其相应的安全管理职权，并由其承担相应的安全责任。资产 “责任人 ”可以将具体的安全职责委派给 “维护人 ”，但 “责任人 ”仍须承担资产安全的最终责任。 d) 任何对网络与信息资产的变更、访问必须在获得资产责任人的批准后进行。 e) 维护人应根据与资产责任人达成一致的维护要求，保证所维护网络与信息资产的机密性、完整性和可用性。 f) 定期对网络与信息资产进行清查盘点，确保资产帐物相符和完好无损。 g) 未经管理人员批准，任何人都不得将公司资产用于私人目的 ,公司有权对有意误用者进行纪律惩戒。 在资产责任制度中，可对资产责任人、资产维护人等的职责和权利作如下细化： 责任人的职责和权限 网络与信息资产的责任人是指负责管理网络与信息资产并落实相应安全措施的个人或部门。 a) 所有网络与信息资产都必须指定责任人。 b) 责任人及其领导负责进行风险分析，根据信息保密标准分类确定、鉴别并记录其所拥有的网络与信息资产的安全级别。该级别至少每年评审一次。 c) 责任人必须贯彻、落实恰当的安全控制措施，确保只有在工作必须的情况下才能使用相关资产。 d) 责任人可以为由其负责的资产指派维护人，或自己担当此任。 e) 责任人可基于工作相 关性分配访问权，并与维护人共同负责保证网络与信息资产的可用性。 /webmoney 28 f) 责任人必须至少每年审查一次其资产的访问权限。评审流程必须记录在案，并保留到下一次审查结束之前。 需要特别指出的是，数据责任人是一种职能角色，负责管理控制特定数据的访问权限及与安全相关的问题。数据责任人可以将自己负责的数据的所有权授予其他个人，但让与此类权力决不意味着能够免除数据责任人对数据的责任。例如：人事信息数据被应用系统调用，提供用户查询。数据的责任人是人力资源部，其他人无权修改。 维护人的职责和权限 网络与信息资产的维护人是指支持 并维护网络与信息资产的人员。 a) 维护人可以根据所保管的信息的保密类别来确定相应的实物资产的安全管理流程，以确保网络与信息资产责任人所要求的机密性、完整性和可用性。 b) 责任人应确保适当的安全措施到位，并可以适度向下委派。如若需要，可以确定备用联络人。维护人必须保留责任人的名单。 c) 维护人必须通知责任人其所应承担的安全职责。 d) 未经责任人许可，维护人不得重新划分信息的类别。 第二节 资产安全等级及相应的安全要求 公司应确定网络与信息资产的相对价值和重要性，并明确相应的安全保护级别。 资产分类时的注意事项如下： a) 资产责任 人负责指定资产级别并定期评审； b) 资产的级别不是一成不变的，而是随着分类政策的变化而变化的； c) 必须综合考虑资产分类方式的利弊，避免过度复杂的划分模式导致使用不便和成本升高。 /webmoney 29 1信息的安全等级、标注及处置 信息能够以众多形式存在，如：语音、书面、电子文档等。不论信息以何种形式存在，也不论以何种方式被共享或存储，信息始终应当得到妥善保护。 信息具有不同的敏感度和重要性，应从其机密性、完整性和可用性等安全属性对其进行分级，反映不同的保护要求、优先级和程度。 公司应明确规定信息处于不同载体的标注方法。信息的密级必须 被明确标注。根据存储和输出方式的不同，可以采用物理标签、电子标记等方法。信息的存储介质必须以物理标签形式标明其密级。当信息以可视方式输出（如：打印、屏幕显示等）时，必须以可视的方式显示其密级。 需要注意的是，其他机构可能对相同或类似的信息分级标志作了不同的定义，在使用中应特别注意。 处置是对实物形式和电子形式的信息资产进行以下类型的信息处理活动： a) 复制； b) 存储； c) 通过邮寄、传真或电子邮件等方式进行传输； d) 通过口头对话方式进行传播，包括电话、语音邮件、应答设备等等； e) 销毁。 公司应明确规定不同密级的信息，在处 置过程中需要采取的相应控制和保护措施。 中国移动的信息分级、标注和处置情况见下表。 信息密级 说明 分级职责 控制要求 使用说明 一般信息 由公司各部门创建创建者 防止非法修改 使用者： 所有对此类信息具有合法业务需求的人员。 /webmoney 30 拥有、无需分级的信息，如：公司刊物世纪虹、moternet网页 标记： 无特殊要求，电子邮件必须标记 “中国移动一般性商业信息 ”。 处置： 无特殊预防措施。 分发： 采用任何适用的方式。 销毁： 无特殊要求。 内部信息 能够因己方 的损失使竞争对手获益的信息，如：电话簿或者内部备忘录 创建者 防止非法修改； 必须建立独立的用户账户 和密码； 基于读写访问的必要性原则予以批准 使用者： 任何需要知道的人员。 标记： 在第一页标记 “仅供中国移动内部使用 ”。 处置： 控制。 分发： 经过批准的电子邮件或者电子文件传输系统。 销毁： 所采用的销毁手段必须确保相应信息不被非中国移动员工获得。 机密信息 对公司具有重大价值的信息，如：财务报表 创建者的直接主管 同 “内部信息 ”控制要求 必须创建审计跟踪纪录，并保护、归档至少一年 笔记本电脑、移动硬盘中的秘密信息必须加密存储 使用者： “必须知道 ”的人员，需要签署保密协议。 标记： 在每一页都标记 “中国移动机密信息 ”。 处置： 专人保管或者锁闭。 分发： 经过批准的电子邮件或者具有访问控制的电子文件传输系统。 销毁： 粉碎或者置于安全的文档容器内。 绝密信息 从本质上讲最敏感的信息（比部门主管或更高级别 同 “机密信息 ”控制要求 需要明文规定，纪 录所使用者： “必须知道 ”的人员，需要签署保密协议；授权访问至少由公司级别的分管领导决定。 /webmoney 31 如商业机密和软硬件设计等等） 人员 有访问历史，并加密存储 标记： 在每一页标记 “中国移动绝密信息 ”。 处置： 专人保管或者锁闭，不得复制。 分发： 具有访问控制和加密的安全的电子系统。 销毁： 返回给创建者。 2网络信息系统安全等级 根据网络信息系统的安全属性和服务对象、所处地点、承载业务等不同，可分为不同安全等级，采取不同的安全措施。实物、软件类资产是根据其所处网络信息系统的不同而具有不同的安全等级，不再对具体 资产进行分级。 网络信息系统的安全等级可按如下原则进行分类： a) 从公司客户的角度来衡量业务系统故障所造成的影响。 b) 经济损失：可以根据影响营业收入的程度或者无法满足财务目标来评估业务系统的重要性。 c) 法律影响：可以根据法律、合同、政府的监管要求来评估业务系统的重要性。 d) 由于信息资产损失而导致的公司形象受损也应被评估。此类损失能够严重影响公司的声誉和股东的信心。重大损失可能导致整个公司或者业务部门无法正常运转。 根据以上原则，中国移动的业务和支撑网络可分为关键系统和一般系统两个安全等级。如果实际情况需要，也可进一步 细分。 在资产清单中应标明具体资产归属的网络信息系统及其安全等级，同时，对于实物资产还应在物理实体上进行标注。 /webmoney 32 第三章 物理及环境安全 物理与环境安全是保护网络基础设施、信息系统及存储媒介免受非法的物理访问、自然灾害和环境危害。 第一节 安全区域 安全区域是需要被保护的生产和办公场所，和放置网络与信息处理设施的物理区域。例如：办公室、机房、营业厅等。 公司应根据安全评估的结果，通过建立安全区域并实施相应的控制措施，对网络与信息处理设施进行全面的物理保护。 公司应根据不同的安全保护需要，划分不同的安全区域， 实施不同等级的安全管理。例如：核心生产区域、内部办公区域、第三方接入访问区域、公共 /会客区域等。 需要特别指出的是，工程施工期间也应遵守相关规定，加强安全区域的保护。 1安全边界 安全区域的物理保护可以通过在其周围设置若干物理关卡来实现。安全边界是指那些可以建立这种关卡的实物，例如：墙壁、门禁、接待处等。安全边界的位置和强度取决于风险评估的结果。以下是建立安全边界的指导原则： a) 安全边界应被明确规定。 b) 安全边界在物理上应该非常坚固。 c) 应设立人工接待处或采取其他限制物理出入的措施，控制安全区域的进出。 d) 访问安 全区域应仅限于经过授权的人员。 e) 必要时，安全边界应 延伸至整个物理空间 ，以防止非授权访问及环境污染（例如火灾、水灾等）。 f) 安全边界上的所有应急通道出入口都应关闭，并设置报警装置。 /webmoney 33 2出入控制 无论内部员工还是第三方人员，只有经过授权的人员才可以进入安全区域。公司应实施以下措施对安全区域的出入进行控制： a) 安全区域的访问者应办理出入手续并接受监督或检查，应记录其进入和离开的日期和时间。访问者的访问目的必须经过批准，并只允许访问经授权的目标。访问者应被告知该区域的安全要求及有关应急程序。 b) 重要的安全区域应仅限于授 权人员访问，并使用身份识别技术（例如门禁卡、个人识别码等）对所有访问活动进行授权和验证。所有访问活动的审计跟踪记录应被安全地保管。 c) 所有内部员工都应佩戴明显的、可视的身份识别证明，并应主动向那些无公司员工陪伴的陌生人和未佩戴可视标志的人员提出质疑。 d) 安全区域的访问权应被定期审查和更新。 3物理保护 安全区域的选择和设计应考虑火灾、洪水、雷击、爆炸、骚乱及其他形式的自然或人为灾害导致的破坏，还应考虑相关的卫生、安全条例标准及周边的任何安全威胁。 公司应实施以下措施对安全区域进行物理保护： a) 重要的网络与信息处 理设施（例如：通信网设备、支撑设备等）应置于公众无法进入的场所。 b) 建筑物应不引人注目，并尽量减少其用途的标示。建筑物内外不应设置明显的表明信息处理活动的标志。 c) 办公设备，如复印机、传真机等，应放置在合适的安全区域内，避免无关人员接触，减少信息的 泄露 。 d) 无人值守时，门窗都应关闭，底层窗户应考虑设置外部防护。 /webmoney 34 e) 应按照专业标准安装并定期测试防盗入侵检测系统、防火探测警报系统、电视监视系统等安全设施。未被使用区域的告警装置也应开启。 f) 公司管理的网络与信息处理设施应与第三方管理的设备实现物理分离。 g) 记录重要网络与信息 处理设施所在位置等信息的通信录和内部电话簿不应被公众接触到。 h) 危险或易燃物品应安全存放，与安全区域保持一定的安全距离。一般情况下，在安全区域内不得存放大量的、短期内不使用的材料和物品。 i) 备用设备和备份媒介应安置在与主场所保持安全距离的区域内，以防主场所发生灾难时可能造成的破坏。 4安全区域工作规章制度 公司应制订安全区域工作规章制度，对在安全区域内工作的人员及被授权进入安全区域的其他人员加强管理。工作规章制度应考虑不同安全区域的特点，可采取以下控制措施： a) 明确基本安全原则； b) 落实安全区域内资产保护的责任； c) 出于安全原因和防止恶意破坏，安全区域内应避免不受监督的工作； d) 未使用的安全区域应采取物理方式锁闭，并定期检查； e) 第三方支持人员应仅在需要时才能进入安全区，使用信息处理设施。这种访问必须经过授权并受到相应的限制，同时应接受监督； f) 安全区域内，具有不同安全要求的区域之间需要设置额外的安全边界，以控制物理访问； g) 除非经过授权，否则不允许使用摄影、摄像、音频、视频及其他记录设备； h) 明确紧急情况下的处理措施，例如火灾等； i) 工作人员应仅在 “需要知道 ”时才了解安全区域的存在或者发生的活动。 /webmoney 35 5送货、装卸区与设备的隔离 当物品被运送或卸载到重要安全区域时，物品和搬运人员都有可能对该区域内的重要网络与信息资产产生威胁。因此，在可行的情况下，公司应将送货、装卸区和网络与信息处理设施隔离，并对物品和搬运人员进行严格控制。公司应根据风险评估结果确定区域隔离的安全要求，并采取以下控制措施： a) 从建筑物外部进入送货、装卸区的人员应经过授权和身份确认； b) 送货、装卸区的设计应使搬运人员没有机会接触其他区域； c) 送货、装卸区的外门应在内门打开时紧闭； d) 物品从送货、装卸区转移到使用地点前应进行检查，防止潜在的危险； e) 进出的物品都应进行登记。 第 二节 设备安全 保护网络与信息处理设备是降低数据遭受非授权访问的风险和保护数据不受破坏及丢失的必要措施。 1设备安置及物理保护 为降低环境因素带来的风险，并减小非法访问的概率，公司应妥当安置设备，并采取以下控制措施： a) 设备布局应尽量减少对工作区的不必要的访问； b) 重要的网络与信息处理设施的放置应尽量降低使用中的过失风险； c) 需要特殊保护的设备应与其他设备隔离，以降低整个区域内所需的安全保护级别； d) 采取相应的控制措施，尽量降低环境因素带来的潜在威胁。例如：盗窃、火灾、爆炸、烟雾、水、灰尘、震动、化学作用、电力 故障、电磁辐射等； e) 禁止在网络与信息处理设施附近的进餐、饮水及抽烟等活动； /webmoney 36 f) 监控有可能对信息处理设施造成不良影响的环境条件。例如：温湿度； g) 特殊环境下的设备，应考虑采用特殊的保护方法。例如：在工业环境里，采用防爆灯罩、键盘隔膜等； h) 应考虑邻近场所发生的灾难造成的影响。例如：附近大楼的火灾、屋顶漏水、地板渗水、街道上的爆炸等。 2电源保护 可靠的电力供应是保证网络与信息处理设施可用性的必要条件。公司应采取以下措施确保供电安全： a) 电源必须符合公司和设备制造商的技术规范； b) 采用多路供电、配备 UPS、备用发电机等 方法，避免电源单点故障； c) 定期维护和检查供电设备， UPS应有充足容量，发电机应配备充足的燃料； d) 机房的紧急出口处必须安装联动的应急开关，以便在发生紧急情况时能够迅速断电； e) 配备应急照明设备； f) 所有建筑和外部通信线路都应安装雷电防护装置； g) 已知的停电计划应提前通知有关部门，防止无准备的断电造成不必要的损失。 3线缆安全 通信电缆和电力电缆被损坏或信息被截获，会破坏网络与信息资产的机密性和可用性。公司应采取以下控制措施对线缆进行保护： a) 电力缆和通信缆应尽可能隐藏于地下，并尽量采取充分的备用保护措施； b) 线缆布放 应使用电缆管道或避免线路经过公共区域； /webmoney 37 c) 电力电缆应与通信电缆分离，避免互相干扰； d) 对于重要的网络与信息处理设施，应根据风险评估的结果采取更进一步的控制措施。例如：将线缆检查点、接头等放在带有加强保护装置的导线槽、房间、箱子内；采用备用线路或传输媒介；定期扫描连接至缆线的非法设备，或对传输数据进行加密。 e) 定期对电缆线路进行维护、检查和测试，及时发现故障隐患。 4工作区域外设备的安全 工作区域外的设备可分为两类：一类是带离工作区域的信息处理设备，如笔记本电脑、测试仪表、移动硬盘等；另一类是固定在公共区域的设备 ，如基站、天线、移动公用电话等。 公司应根据工作区域外设备的安全风险，制订相应的保护措施，应至少达到工作区域内相同用途设备的安全保护级别。以下是基本的指导原则： a) 无论设备所有权归属，任何在工作区域外使用信息处理设备的行为，都应经过管理层授权许可； b) 在公共场所使用的公司设备和存储媒介均不得无人看管； c) 始终严格遵守设备制造商有关设备保护的要求； d) 通过风险评估确定家庭办公的控制措施； e) 采用合适的物理防护装置； f) 加强监控，定期巡检。 5设备处置与重用的安全 在对信息处理设备处置或重用时，公司应在风险评估的基础上， 实施审批手续，决定信息处理设备的处置方法 销毁、报废或利旧，并采取适当的方法将其内存储的敏感信息与授权软件清除，而不能仅采用标准删除功能。例如：报废计算机的硬盘必须被格式化。 /webmoney 38 需要注意的是，如果设备本身的原理、结构、工艺等属于公司的专有技术秘密，则应在处置时考虑保密问题。 第三节 存储媒介的安全 1可移动存储媒介的管理 公司应制定有效管理可移动存储媒介的规定，如移动硬盘、磁带、磁盘、卡带以及纸质文件等等。以下是基本的控制措施： a) 包含重要、敏感或关键信息的移动式存储设备不得无人值守，以免被盗。例如：物理 方式锁闭。 b) 删除可重复使用的存储媒介中不再需要的信息。 c) 任何存储媒介带入和带出公司都需经过授权，并保留相应记录，方便审计跟踪。 d) 所有存储媒介都应遵照其制造商的规范保存。 2存储媒介的处置 为最大限度地降低信息泄露的风险，公司应制定存储媒介的安全处置流程，规定不同类型媒介的处置方法、审批程序和处置记录等安全要求，其中处置方法应与信息分级相一致。以下是一些基本的控制措施： a) 包含敏感信息的媒介应被安全地处置，如粉碎、焚毁，或清空其中的数据，以便重用。 b) 以下给出了需要安全处置的媒介种类： 纸质文档； 语音或其 录音； 复写纸； 输出报告； 一次性打印机色带； 磁带； 可以移动的磁盘或卡带； 光存储介质（所有形式的媒介，包括制造商的软件发布媒介）； 程序列表； 测试数据； 系统文档。 c) 当无法确认媒介中的信息级别，或确认信息级别的代价较高时，应统一按最严格的方式处理所有媒介。 /webmoney 39 d) 当公司需要外界提供的媒介收集和处置服务时，应挑选合适的承包商，并采取有效控制措施，如签署保密协议、抽查等。 e) 敏感媒介的处置过程应当记录在案，以便审计跟踪。 在收集、处置媒介时，应综合考虑相关信息，以确定这种效应可能导致大量并未分级的信息 变得比少量分级信息更为敏感。 3信息处置程序 中国移动必须确立信息处置和存储程序，以便有效保护此类信息，避免非法泄露或者误用。应当根据信息在文档、计算系统、网络、移动计算、移动通信、邮件、语音邮件、语音通信、多媒体、邮局 /邮政设施、传真机和其它敏感项目（比如语音中的空白校验）中的级别制定相应的处置程序。应当考虑下列控制程序： a) 处置和标记所有媒介； b) 设置非授权人员的访问限制； c) 保持授权访问数据人员的正式记录； d) 确保输入数据的完整性、确保正确的处理过程，以及确保输出验证； e) 根据敏感程度相匹配的级别，保护准 备输出的假脱机数据； f) 在符合制造商规范的环境中保存媒介； g) 将数据的分发限制在最小范围内； h) 清楚标记所有数据拷贝，以便引起合法接收人的注意； i) 定期检查分发清单以及合法接收人名单。 4系统文档的安全 系统文档可能包含一系列敏感信息，比如应用流程、程序、数据结构、授权流程的说明。应当考虑下列控制程序，避免系统非法访问。 /webmoney 40 a) 应当安全保存系统文档。 b) 系统文档的访问列表应控制在最小范围，并由应用责任人授权。 c) 保存在公共网络的系统文档或者通过公共网络提供的系统文档应当得到有效的保护。 第四节 通用控制措施 1屏幕与桌 面的清理 在不使用信息资产时，做好屏幕和桌面的清理工作，可以有效防止信息的未授权访问，是保护信息资产，防止其泄露、丢失、破坏的一种重要措施。例如：清理信息处理设施屏幕；清洁桌面的纸张文件和可移动存储媒介。 公司制订的屏幕与桌面的清理要求，应与信息分级原则相一致，并考虑公司文化等因素。以下是基本的指导原则： a) 纸质文件和计算机设备在不使用时，特别是在工作时间以外，应保存在锁闭柜子内或其他形式的保险装置内； b) 机密和绝密信息在不使用时，特别是办公室无人时，必须予以锁闭（最好是防火的保险柜或文件柜）； c) 个人电脑、计算 机终端在无人看管时，不得处于登录状态；在不使用时，必须通过键盘锁定、密码或其他控制措施予以保护； d) 在信件收发处，无人看管的传真机应予以保护； e) 复印机、扫描仪在工作时间以外，应被锁闭或采用其他方式保护，以防非授权使用； f) 在打印、复印、扫描机密或绝密信息时，必须有人值守，并应在完成后立即从设备中清除。 /webmoney 41 2资产的移动控制 公司应对重要资产建立资产移动（包括公司内部移动和离开公司范围）的审批程序，并定期抽查。 员工借用的公司资产，必须在离职时完好归还。第三方带入工作区域的资产应履行登记手续，以便离开时方便带回。 /webmoney 42 第四章 通信和运营管理的安全 第一节 操作流程与职责 为确保网络与信息处理设施的正确和安全使用，公司应建立所有网络与信息处理设施的管理与操作的流程和职责，包括指定操作细则和事件响应流程。公司应落实责任的分工，减少疏忽的风险和蓄意的系统滥用。 1规范操作细则 公司应根据安全策略制订网络与信息处理设施的操作细则，并随时更新。操作细则应作为正式文件，履行审批手续，其修改应获得管理人员的授权。操作细则应包含操作活动的职责、内容、目的、时间、场所、方法等，并涵盖以下内容： a) 信息的处理和信息载体的处置； b) 时间进度的 要求，包括同其他系统的相关性、最早的开始时间与最晚的结束时间等； c) 操作过程中发生非预期的错误或其他异常情况的指导说明； d) 意外的操作困难或技术难题出现时的支持联系人； e) 特殊输出处置的说明。例如：特殊设备的使用，或输出机密内容的管理，包括如何安全处置失败的任务输出的程序； f) 故障情况下系统的重启和恢复程序； g) 系统维护的相应程序。例如：计算机启动和关闭、备份、设备维护等。 2设备维护 正确规范地维护设备，可以保护设备的可用性和完整性。以下为设备维护的基本要求： a) 应根据设备供应商建议的维护周期和规范进行维护； b) 设备 维护人员必须经过授权； /webmoney 43 c) 设备维护人员必须具备相应的技术技能； d) 必须储备一定数量的备品备件； e) 所有日常维护和故障处理都应记录在案； f) 当设备送到外部场所进行维护时，应当采取有效的控制措施防止信息泄露； g) 系统关键设备应冗余配置；关键部件在达到标称的使用期限时，不管其是否正常工作，必须予以更换； h) 若该设备已投保，则必须遵守相关保险合同的所有规定。 3变更控制 网络与信息系统的任何变更必须受到严格控制，包括：网络结构 /局数据 /安全策略 /系统参数的调整、硬件的增减与更换、软件版本与补丁的变更、处理流程的改变等。任何 变更必须经过授权，记录在案并接受测试。操作环境的变化可能会影响应用系统，因此操作和应用的变更控制程序应尽可能相互衔接。变更控制应至少包含下列措施： a) 识别并记录重大变更； b) 评估此类变更的潜在影响； c) 正式的变更申请批准流程； d) 向所有相关人员传达变更细节； e) 变更失败的恢复措施和责任； f) 变更成功与失败回退后的验证测试； g) 保留所有与变更相关信息的审核日志； h) 变更后的重新评估。 /webmoney 44 4安全事件响应程序 公司应建立安全事件管理责任和程序，以确保迅速、有效和有序地安全事件响应。迅速的前提是准确的事件判断和快速的通报制度，有效 和有序依赖于对潜在安全事件的准确识别、分析和有准备的应对措施与演练。安全事件响应管理应注意以下几点： a) 建立涵盖所有潜在的安全事件类型的响应程序； b) 除正常的用以尽快恢复系统或服务的应急方案之外，还应包括事件通报、分析总结、弥补措施、检查审计等内容； c) 明确授权可以进行安全事件处理的人员； d) 严格遵守安全事件处理流程，严禁随意操作，避免更大损失； e) 在必要时，应收集并保护相关记录和证据。 5开发、测试与现网设备的分离 开发、测试活动有可能造成严重的问题，例如：在运行系统中引入未经授权和测试的代码，软件与信息的修改， 信息泄密等。因此，为有效降低运行系统被破坏或非授权访问的风险，公司应执行下列控制措施： a) 前期开发调试工作与现网设备应尽可能实现物理分离或逻辑分离，例如：独立的实验环境、不同的计算机或不同的域、目录等； b) 后期在现网进行测试时，必须做好必要的安全防护措施，并对其进行安全检查。 第二节 系统的规划设计、建设和验收 1系统规划和设计 为保证系统拥有足够的容量和资源的可用性，降低系统超载和故障的风险，必须做好系统容量监视和规划。管理人员应通过容量监视得到的信息分析可能对系统安全或用户服务构成威胁的潜在瓶颈，并采取合 适的补救措施。系统规划应/webmoney 45 考虑现有发展情况和预测趋势，以及新的业务和系统需求。系统规划必须保留一定的余量，特别是关键系统。 系统设计在满足业务功能的同时，必须从软硬件、网络结构、业务逻辑、应急恢复等多方面考虑系统的安全性。例如：冗余备份、多链路、严密的业务流程、紧急情况优先保证关键功能等。 需要特别指出的是，配套安全系统应与业务系统 “同步规划、同步建设、同步运行 ”（ “三同步原则 ”），不能滞后业务系统发展，以避免安全漏洞。 2审批制度 在新建网络与信息处理设施时，最易忽视安全问题，如果管理不当会带来安全风险。 因此公司必须建立网络与信息处理设施的审批制度，严把入网关。 审批制度应注意以下事项： a) 应综合考虑新建系统的收益和带来的风险之间的平衡问题。 b) 新建的网络与信息处理设施必须符合相应的安全管理规定，并满足相应的安全技术要求。 c) 新的网络与信息处理设施必须具备适当的用户管理功能，以控制非授权使用； d) 在建设新的网络与信息系统前，应当明确系统软硬件平台、应用、服务和通信协议的安全属性和特征，并确定相应的验证测试方法。 e) 应事先检查网络与信息处理设施的硬件和软件，确保它们能够和其他系统兼容。未使用过的设备或系统应进行全面测试 。 f) 使用个人信息处理设备处理企业信息时，所采取的安全控制措施必须经过审批。 涉及安全方面的审批工作应由安全机构人员负责。 /webmoney 46 3系统建设和验收 系统建设中容易忽视安全问题。公司应制定相应的建设标准和规范，并严格过程管理，确保系统建设的过程和结果都满足公司相应的安全策略和管理规定。 公司应在新建系统、系统扩容、软硬件升级验收之前，制定相应的验收标准。验收要求和标准应能够被清楚定义、记录和测试，并获得项目组一致同意。只有测试合格的系统方可验收。系统验收应注意下列内容： a) 遵照规定标准，准备并测试常规操作程序，测试系 统性能和容量要求、兼容性等； b) 通过技术手段，对系统的安全性进行测试，并验证达到要求的安全水平。例如：漏洞扫描，主机加固等； c) 制订并实施一套项目组一致同意的安全控制