信息安全管理体系及重点制度介绍课件.pptx

1、信息安全管理体系及重点制信息安全管理体系及重点制度介绍度介绍目目 录录信息安全管理体系介绍信息安全管理体系介绍1 基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法2基础信息安全要求基础信息安全要求3客户信息保护管理规定客户信息保护管理规定4信息安全三同步管理办法信息安全三同步管理办法5业务安全风险评估标准业务安全风险评估标准62ISO17799:2000国际标准国际标准BS7799-1:1999BS7799-2:1999英国标准英国标准BS7799-2:2002BS7799-1:2000ISO17799:2005ISO27001:2005BS7799:1996BS7799-3:

2、20053pISO 27001的标准全称的标准全称 Information technology-Security techniques-Information security management systems-Requirements 信息技术信息技术-安全技术安全技术-信息安全管理体系信息安全管理体系-要求要求nISMS 信息安全管理体系信息安全管理体系 -管理体系管理体系 -信息安全相关信息安全相关 -ISO 27001 的的3 术语和定义术语和定义-3.7nRequirements 要求要求4p建立方针和目标并实现这些目建立方针和目标并实现这些目标的相互关联或相互作用的一标的相互

3、关联或相互作用的一组要素。组要素。p管理体系包括组织结构，策略，管理体系包括组织结构，策略，规划，角色，职责，流程，程规划，角色，职责，流程，程序和资源等。序和资源等。(ISO 270013 术术语和定义语和定义-3.7)p管理的方方面面以及公司的所管理的方方面面以及公司的所有雇员，均囊括在管理体系范有雇员，均囊括在管理体系范围内。围内。Quality management system(ISO 9001)Environmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safet

4、y management system(HACCP)IT Service Management System(ISO 20000)Information security management system(ISO 27001)5AlterationDestructionDisclosureInformationIntegrity Availability ConfidentialityInformation保护信息的保密性、完整性和可用性保护信息的保密性、完整性和可用性(CIA);另另外也可包括诸如真实性，可核查性，不可否认外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性性和可靠性等

5、特性(ISO 270013 术语和定义术语和定义-3.4)p 机密性（机密性（Confidentiality）信息不能被未授权的个人，实体或者过程信息不能被未授权的个人，实体或者过程利用或知悉的特性利用或知悉的特性(ISO 270013 术语和定义术语和定义-3.3)p完整性（完整性（Integrity）保护资产的准确和完整的特性保护资产的准确和完整的特性(ISO 270013 术语和定义术语和定义-3.8).确保信息在存储、确保信息在存储、使用、传输过程中不会被非授权用户篡改，同使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当时还要防止授权用户对系统及信息进行

6、不恰当的篡改，保持信息内、外部表示的一致性。的篡改，保持信息内、外部表示的一致性。p可用性（可用性（Availability）根据授权实体的要求可访问和利用的特性根据授权实体的要求可访问和利用的特性(ISO 270013 术语和定义术语和定义-3.2).确保授权用户确保授权用户或实体对信息及资源的正常使用不会被异常拒或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源绝，允许其可靠而及时地访问信息及资源6安全策略安全策略合规性合规性信息安全组织信息安全组织资产管理资产管理信息系信息系统获取开统获取开发和维护发和维护人力资源安人力资源安全全物理和环境安物理和环境安全全通信

7、和操作管通信和操作管理理访问控制访问控制信息安全事件管理信息安全事件管理业务连续性管理业务连续性管理78湖南移动信息安全管理制度湖南移动信息安全管理制度n已发布制度已发布制度湖南移动信息安全管理办法和责任矩阵湖南移动信息安全管理办法和责任矩阵湖南移动信息安全三同步管理办法湖南移动信息安全三同步管理办法中国移动客户信息安全保护管理规定（试行）和控制矩阵中国移动客户信息安全保护管理规定（试行）和控制矩阵中国移动业务信息安全评估标准（中国移动业务信息安全评估标准（2011）中国移动基础信息安全管理通用要求（试行）和检查矩阵中国移动基础信息安全管理通用要求（试行）和检查矩阵n实践案例汇编实践案例汇编“

8、客户信息安全保护解决方案汇编客户信息安全保护解决方案汇编”“基础信息安全案例汇编基础信息安全案例汇编”n计划完善的制度计划完善的制度安全应急处置安全应急处置责任追究责任追究安全检查管理办法安全检查管理办法9目目 录录信息安全管理体系介绍信息安全管理体系介绍1 基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法2基础信息安全要求基础信息安全要求3客户信息保护管理规定客户信息保护管理规定4信息安全三同步管理办法信息安全三同步管理办法5业务安全风险评估标准业务安全风险评估标准610基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法n互联网新技术新业务的互联网新技术新业务的

9、广泛，信息安全事件时广泛，信息安全事件时有发生有发生n普遍存在普遍存在“重市场发展、重市场发展、轻安全管理轻安全管理”的现象的现象,甚甚至还有至还有“只顾赚钱，漠只顾赚钱，漠视安全视安全”的情况存在的情况存在n基础电信企业的信息安全责任和要求不尽明确。n企业对自身应承担的信息安全责任重视不够、投入不足。n行业监管机构对企业信息安全责任和义务缺乏有效监督和管理的方式方法。企业信息安全责任保障条件总则总则监督管理n基础电信企业信息安全责任管理基础电信企业信息安全责任管理办法（工信部保办法（工信部保2009713号）号）11基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法-总则总则n

10、 第三条（信息安全）本办法所称信息安全指电信网络本办法所称信息安全指电信网络（包括固定网、移动网和互联网）上的公共信息内容安（包括固定网、移动网和互联网）上的公共信息内容安全。全。n 第四条（企业信息安全责任）企业有义务维护国家安全、企业有义务维护国家安全、社会稳定和用户合法权益；应在网络建设、业务提供、社会稳定和用户合法权益；应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信应急处置、信息报备、人员培训等方面建立健全企业信息安全责任制度，同步建设与企业网络、业务和用户发息安全责任制度，同步建设与企业网络、业务和用户发展相适应的信息安全保障体系和技术保障手段；保障必展相适

11、应的信息安全保障体系和技术保障手段；保障必要的人员和资金投入。要的人员和资金投入。总总 则则12基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法企业信息安全责任企业信息安全责任企业信息企业信息安全责任安全责任规范合作经营规范合作经营技术保障措施技术保障措施配合监管配合监管信息报备信息报备网络建设网络建设开办业务开办业务日常监测日常监测用户信息保护用户信息保护接入责任接入责任13企业信息安全责任-（网络建设）n 企业在电信网络的设计、建设和运行过程中，应企业在电信网络的设计、建设和运行过程中，应做到与国家信息安全的需求同步规划，同步建设，做到与国家信息安全的需求同步规划，同步建设

12、，同步运行。同步运行。n 企业在系统规划、建设、升级、改造等环节应认企业在系统规划、建设、升级、改造等环节应认真落实国家信息安全要求，同步配套相关信息安真落实国家信息安全要求，同步配套相关信息安全设备和设施。全设备和设施。n 企业在网络设备选型、采购和使用时，应遵守电企业在网络设备选型、采购和使用时，应遵守电信设备进网要求，满足信息安全管理需要。信设备进网要求，满足信息安全管理需要。14企业信息安全责任-（开办业务）n 企业应履行信息安全承诺，按照电信业务经营许可的信企业应履行信息安全承诺，按照电信业务经营许可的信息安全要求开展和经营相关电信业务。息安全要求开展和经营相关电信业务。n 企业要在

13、新产品立项、产品开发和业务上线（包括合作企业要在新产品立项、产品开发和业务上线（包括合作开办）的各环节：开办）的各环节：建立实施信息安全评估制度，建立实施信息安全评估制度，同步配套与业务特点和用户规模相适应的信息安全保同步配套与业务特点和用户规模相适应的信息安全保障措施，障措施，明确业务的信息安全负责人，明确业务的信息安全负责人，建立相应的管理制度和应急处置流程，建立相应的管理制度和应急处置流程，按规定向电信监管机构进行业务信息报备。按规定向电信监管机构进行业务信息报备。15企业信息安全责任-（日常监测）n 对本企业通信网络中发现的违法信息，企业应立对本企业通信网络中发现的违法信息，企业应立即

14、停止传输，保存相关记录，并向国家有关机关即停止传输，保存相关记录，并向国家有关机关报告。报告。n 对有关部门依法通知停止传输的违法信息，企业对有关部门依法通知停止传输的违法信息，企业应配合执行。应配合执行。16企业信息安全责任-（用户信息保护）n 电信用户依法使用电信的自由和通信秘密受法律电信用户依法使用电信的自由和通信秘密受法律保护。企业及其工作人员不得擅自向他人提供电保护。企业及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容（法律另信用户使用电信网络所传输信息的内容（法律另有规定的除外）。有规定的除外）。n 对于本企业业务网络对于本企业业务网络/系统中保存的有关用户资系统

15、中保存的有关用户资料和信息，企业应依法予以保护，不得非法出售料和信息，企业应依法予以保护，不得非法出售或者提供给其他组织和个人、不得用于与企业业或者提供给其他组织和个人、不得用于与企业业务无关的用途。务无关的用途。17企业信息安全责任-（接入责任）n 企业不得向未取得电信业务经营许可证的单位或企业不得向未取得电信业务经营许可证的单位或个人提供用于经营性电信业务的电信资源、网络个人提供用于经营性电信业务的电信资源、网络接入和业务接入；不得向未备案非经营性互联网接入和业务接入；不得向未备案非经营性互联网站提供网络接入。站提供网络接入。n 企业应监督接入用户按照约定的用途使用电信资企业应监督接入用户

16、按照约定的用途使用电信资源或开展业务。发现擅自改变使用用途的，及时源或开展业务。发现擅自改变使用用途的，及时通知整改，涉及违法犯罪的，及时向有关部门报通知整改，涉及违法犯罪的，及时向有关部门报告。告。n 企业应定期检查接入内容。发现信息安全问题和企业应定期检查接入内容。发现信息安全问题和隐患及时做出相应处理。隐患及时做出相应处理。18企业信息安全责任-（规范合作经营）n 企业在开展业务合作前，要对合作方的经营资质、企业在开展业务合作前，要对合作方的经营资质、业务许可等信息进行审核，并在合同中明确各方业务许可等信息进行审核，并在合同中明确各方的信息安全责任。的信息安全责任。n 企业应当对合作提供

17、的各类业务进行规范和监督，企业应当对合作提供的各类业务进行规范和监督，建立违法信息发现、监测和处置制度。对合作中建立违法信息发现、监测和处置制度。对合作中出现的信息安全问题和隐患，企业应督促合作单出现的信息安全问题和隐患，企业应督促合作单位及时整改，或者按照合同约定进行处理，对违位及时整改，或者按照合同约定进行处理，对违反法律的，报送相关部门查处。反法律的，报送相关部门查处。19企业信息安全责任-（技术保障措施）n 企业应当建立并完善事前防范、事中阻断、事后企业应当建立并完善事前防范、事中阻断、事后追溯的信息安全技术保障体系。追溯的信息安全技术保障体系。n 企业应当建立必要的技术手段，加强对重

18、要电信企业应当建立必要的技术手段，加强对重要电信资源（如电信码号、网络带宽、资源（如电信码号、网络带宽、IP地址、域名等）地址、域名等）的管理。的管理。n 企业应当认真落实接入责任，建全信息安全管理企业应当认真落实接入责任，建全信息安全管理和公共信息服务内容日常核查手段。和公共信息服务内容日常核查手段。20企业信息安全责任-（配合监管）n 企业应当认真配合电信监管机构开展信息安全监企业应当认真配合电信监管机构开展信息安全监督管理工作，保证相关工作顺利实施。督管理工作，保证相关工作顺利实施。企业应当依法记录并妥善保存用户使用电信企业应当依法记录并妥善保存用户使用电信网络的有关信息，相关信息应当至

19、少保存网络的有关信息，相关信息应当至少保存60日。日。对存在的信息安全问题和隐患，企业应当严对存在的信息安全问题和隐患，企业应当严格按照电信监管机构的处理意见进行整改。格按照电信监管机构的处理意见进行整改。因涉及国家安全或处置紧急事件的需要，电因涉及国家安全或处置紧急事件的需要，电信监管机构根据国家的有关规定和要求组织信监管机构根据国家的有关规定和要求组织实施通信管制，企业应当配合执行。实施通信管制，企业应当配合执行。21企业信息安全责任-（信息报备）n 企业应当遵照有关信息安全要求和规定，执行信息安全企业应当遵照有关信息安全要求和规定，执行信息安全信息上报、备案制度，接受并配合电信监管机构的

20、监督信息上报、备案制度，接受并配合电信监管机构的监督检查。检查。可能引发信息安全隐患的网络调整、扩容、电信基础可能引发信息安全隐患的网络调整、扩容、电信基础资源使用变更等；资源使用变更等；可能引发信息安全隐患的新开展业务；可能引发信息安全隐患的新开展业务；企业信息安全责任人或联系人信息变更；企业信息安全责任人或联系人信息变更；企业业务网络企业业务网络/系统内发生的各类信息安全事件。系统内发生的各类信息安全事件。n 企业应保证相关报备信息的及时、准确、完整。企业应保证相关报备信息的及时、准确、完整。22基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法通报整改制度通报整改制度n电信

21、监管机构对企业落实信息安全责任情况建立日常监测机制，实行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企业，电信监管机构向企业提出书面整改意见，责成企业限期整改，并视情况在一定范围内予以通报。n电信监管机构定期或不定期对企业落实信息安全责任的情况进行专项监督检查。企业应当将每年落实信息安全责任的有关情况形成书面报告报电信监管机构。n对在新产品立项、产品开发和业务上线（包括合作开办）各环节未同步开展信息安全评估、未同步配套与该业务相适应的信息安全保障措施、未按规定要求向电信监管机构进行业务信息报备，而造成特（重）大信息安全事件（或被有关部门通报并经电信监管机构组织专家研究认定该业务存在严

22、重信息安全隐患）的，由电信监管机由电信监管机构责令相关企业限期整改，未经整改合格的，不得开展该业务。构责令相关企业限期整改，未经整改合格的，不得开展该业务。监督管理监督管理23基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法通报整改制度通报整改制度n对因自身管理原因造成信息安全事件，由电信监管机构追究相关企业责任。对因自身管理原因造成信息安全事件，由电信监管机构追究相关企业责任。（一）企业在一年内，发生（一）企业在一年内，发生1次特大信息安全事件次特大信息安全事件的，或累计发生的，或累计发生3次次（及（及3次以上）重大信息安全事件的，由电信监管机构予以次以上）重大信息安全事件的

23、，由电信监管机构予以通报批评，对通报批评，对相关责任人提出处理意见或建议相关责任人提出处理意见或建议，通报相关管理部门，并视情况向社会通报相关管理部门，并视情况向社会通告通告。（二）企业在一年内，发生（二）企业在一年内，发生1次重大信息安全事件的次重大信息安全事件的，或累计发生，或累计发生5次次（及（及5次以上）一般信息安全事件的，由电信监管机构予以次以上）一般信息安全事件的，由电信监管机构予以通报批评，对通报批评，对相关责任人提出处理意见或建议，并通报相关管理部门相关责任人提出处理意见或建议，并通报相关管理部门。（三）企业在一年内，发生（三）企业在一年内，发生5次以下一般信息安全事件次以下一

24、般信息安全事件的，由电信监管机的，由电信监管机构在电信构在电信行业内进行通报行业内进行通报。（四）企业存在信息安全问题或隐患，（四）企业存在信息安全问题或隐患，未按要求在规定期限内进行相应未按要求在规定期限内进行相应整改的整改的，由电信监管机构予以，由电信监管机构予以通报批评，对相关责任人提出处理意见或通报批评，对相关责任人提出处理意见或建议，并视情况通报相关管理部门。构成犯罪的，移送司法机关依法追建议，并视情况通报相关管理部门。构成犯罪的，移送司法机关依法追究刑事责任。究刑事责任。监督管理监督管理24基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法 重点（一）重点（一）n 落

25、实基础企业领导人问责制落实基础企业领导人问责制 明确和落实企业领导责任。明确和落实企业领导责任。对工作不落实、措施不到位、被电信主管部对工作不落实、措施不到位、被电信主管部门通报批评的，追究企业信息安全责任人的门通报批评的，追究企业信息安全责任人的领导责任。领导责任。对整改不力、屡改屡犯、故意违规的，通报对整改不力、屡改屡犯、故意违规的，通报批评相应企业信息安全责任人，并函告其上批评相应企业信息安全责任人，并函告其上级主管部门追究企业信息安全责任人的领导级主管部门追究企业信息安全责任人的领导责任。责任。25基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法（二）（二）n 加强业务

26、推广、合作经营的管理加强业务推广、合作经营的管理 对业务推广渠道中业务合作的建立、合作内对业务推广渠道中业务合作的建立、合作内容的规范、合作问题的发现和监督、业务推容的规范、合作问题的发现和监督、业务推广模式的实现等相关细节明确制度化、规范广模式的实现等相关细节明确制度化、规范化的要求。化的要求。监督合作单位相关责任和义务落实情况，确监督合作单位相关责任和义务落实情况，确保实效。保实效。对合作中出现的信息安全问题和隐患，企对合作中出现的信息安全问题和隐患，企业应督促合作单位及时整改；发现存在违业应督促合作单位及时整改；发现存在违规的，立即暂停或终止合作；发现违反法规的，立即暂停或终止合作；发现

27、违反法律的，报送相关部门查处。律的，报送相关部门查处。26基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法（三）（三）n 落实接入环节管理责任落实接入环节管理责任 为无证服务商提供接入、为未取得经营许可为无证服务商提供接入、为未取得经营许可或备案的网站接入的，追究相关人员责任。或备案的网站接入的，追究相关人员责任。与接入服务商、网站签订信息安全管理协议。与接入服务商、网站签订信息安全管理协议。监督接入服务商、网站的日常活动，配合相监督接入服务商、网站的日常活动，配合相关主管部门对接入服务商、网站接入的查处。关主管部门对接入服务商、网站接入的查处。对发现涉及违法犯罪的，应及时停止

28、接入、对发现涉及违法犯罪的，应及时停止接入、保存记录，并向有关部门报告。保存记录，并向有关部门报告。对无法判定的涉嫌违规内容，应保存记录，对无法判定的涉嫌违规内容，应保存记录，并向有关部门报告，配合有关部门的研判并向有关部门报告，配合有关部门的研判和处置。和处置。27目目 录录信息安全管理体系介绍信息安全管理体系介绍1 基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法2基础信息安全要求基础信息安全要求3客户信息保护管理规定客户信息保护管理规定4信息安全三同步管理办法信息安全三同步管理办法5业务安全风险评估标准业务安全风险评估标准628基础信息安全管理通用要求基础信息安全管理通用

29、要求29基础信息安全管理通用要求基础信息安全管理通用要求安全预警安全预警n预警信息分为一级、二级、三级、四级，一级为最高级。预警信息分为一级、二级、三级、四级，一级为最高级。n集团公司信息安全管理责任部门负责面向全网发布预警信息，各省集团公司信息安全管理责任部门负责面向全网发布预警信息，各省公司或专业部门向所辖地域与专业公司或专业部门向所辖地域与专业发布发布预警信息。预警信息。n各单位接到预警信息后，应依据上级主管部门要求各单位接到预警信息后，应依据上级主管部门要求落实落实，及时，及时跟踪跟踪预警项进展，预警内容出现变化应及时预警项进展，预警内容出现变化应及时上报上报，必要时调高预警级别，必要

30、时调高预警级别并采取更严格防范措施。并采取更严格防范措施。n各单位可根据预警信息对系统的影响情况调高预警级别，但不允许各单位可根据预警信息对系统的影响情况调高预警级别，但不允许调低预警级别；调低预警级别；对安全补丁类预警，应根据设备所处位置和重要性采取不同的加载策略。对安全补丁类预警，应根据设备所处位置和重要性采取不同的加载策略。在设备没打补丁期间，要采取相应的加固措施，保证设备不易被攻击。在设备没打补丁期间，要采取相应的加固措施，保证设备不易被攻击。对于安全预警信息，应在预警信息规定时限内向预警信息发布主体反馈对于安全预警信息，应在预警信息规定时限内向预警信息发布主体反馈处理结果。处理结果。

31、n安全预警安全预警处理结果反馈处理结果反馈内容应包括预警的影响范围、防范措施实施内容应包括预警的影响范围、防范措施实施范围、防范措施实施效果、进一步计划等内容。范围、防范措施实施效果、进一步计划等内容。30基础信息安全管理通用要求基础信息安全管理通用要求安全监控安全监控 n要由监控专业或相应专业人员实施对各专业网络与系统的要由监控专业或相应专业人员实施对各专业网络与系统的集中化安全监控集中化安全监控。n重点监控范围重点监控范围包括安全等级三级及以上的包括安全等级三级及以上的IT系统，以及基地业务、彩信、系统，以及基地业务、彩信、OA、ERP、邮件系统、对外网站、邮件系统、对外网站、IDC、WL

32、AN、DNS、LSP等系统。等系统。n 细化安全细化安全监控内容监控内容，包括但不限于：，包括但不限于：内网系统：帐号登录信息，帐号、权限、口令的变更，服务与端口的启用，系内网系统：帐号登录信息，帐号、权限、口令的变更，服务与端口的启用，系统日志是否正常；统日志是否正常；互联网系统：除了满足内网系统监控内容要求外，还应包括网站页面是否被篡互联网系统：除了满足内网系统监控内容要求外，还应包括网站页面是否被篡改，系统可用性；改，系统可用性；安全设备：防病毒系统、入侵检测系统、防火墙等安全告警信息。安全设备：防病毒系统、入侵检测系统、防火墙等安全告警信息。n 针对各监控对象细化制定安全监控的各项针对

33、各监控对象细化制定安全监控的各项控制基线与量化指标控制基线与量化指标，基线与指，基线与指标的数值应至少设定正常，一般告警，紧急告警三个等级。标的数值应至少设定正常，一般告警，紧急告警三个等级。n 应完善和优化安全监控手段，提升监控的效率与覆盖面。应完善和优化安全监控手段，提升监控的效率与覆盖面。n 应制定细化的安全应制定细化的安全监控作业计划监控作业计划，实施对重点监控对象的，实施对重点监控对象的724小时监控。小时监控。n 对于监控中发现的安全问题，及时进行详细记录并形成对于监控中发现的安全问题，及时进行详细记录并形成监控日志监控日志，监控日，监控日志应留存志应留存3个月以上。个月以上。n

34、要及时对监控中发现的问题进行要及时对监控中发现的问题进行识别、分析与处置识别、分析与处置。n 按照安全事件管理相关要求对监控中发现的安全事件进行处置。按照安全事件管理相关要求对监控中发现的安全事件进行处置。31基础信息安全管理通用要求基础信息安全管理通用要求访问控制访问控制1 n内网接入安全要求内网接入安全要求严禁任何设备以双网卡严禁任何设备以双网卡方式同时连接互联网和公司内网；严禁向任何未经防火墙隔离的对方式同时连接互联网和公司内网；严禁向任何未经防火墙隔离的对外网站等互联网系统分配公司内网外网站等互联网系统分配公司内网IP地址；地址；接入公司内网的终端设备必须通过接入公司内网的终端设备必须

35、通过802.1X认证，安全网关认证，认证，安全网关认证，MAC地址绑定等方式之一地址绑定等方式之一实现实现网络接入认证网络接入认证，只有通过接入认证的设备才可访问局域网资源；，只有通过接入认证的设备才可访问局域网资源；如因系统限制暂时无法在系统中实现网络登录认证，任何外来设备只能在接入申请批准后如因系统限制暂时无法在系统中实现网络登录认证，任何外来设备只能在接入申请批准后方可方可接入接入，并由局域网的维护人员对接入终端进行，并由局域网的维护人员对接入终端进行登记登记；原则上不应采用原则上不应采用无线无线AP方式接入内网，如遇特殊情况，依据方式接入内网，如遇特殊情况，依据“谁接入、谁负责谁接入、

36、谁负责”的原则，管的原则，管理上必须经主管领导审批授权，技术上必须采用理上必须经主管领导审批授权，技术上必须采用MAC地址绑定，强安全认证，强加密算法地址绑定，强安全认证，强加密算法保护的安全传输，配置隐藏保护的安全传输，配置隐藏SSID，保证，保证AP口令强度等配置；口令强度等配置；各单位要维护一份已使用内网各单位要维护一份已使用内网IP地址清单地址清单，清单内容包括但不限于每个，清单内容包括但不限于每个IP地址的使用单位、地址的使用单位、设备用途、责任人（使用人）和联系方式等信息。设备用途、责任人（使用人）和联系方式等信息。n 远程接入远程接入 远程接入指从外部网络接入公司内网远程接入指从

37、外部网络接入公司内网；各单位要制定远程接入的实施细则、各单位要制定远程接入的实施细则、远程接入审批和授权流程远程接入审批和授权流程，规范帐号权限的申请、变，规范帐号权限的申请、变更与删除等工作，审批与授权记录应予以归档留存；更与删除等工作，审批与授权记录应予以归档留存；各单位对远程接入应做到各单位对远程接入应做到系统集中管控系统集中管控（接入（接入4A系统），采用短信动态口令，令牌等强认系统），采用短信动态口令，令牌等强认证方式，并对远程接入用户的登录过程、操作行为进行记录（记录内容包括但不限于：用证方式，并对远程接入用户的登录过程、操作行为进行记录（记录内容包括但不限于：用户名、操作内容、登

38、陆方式、登入时间、登出时间）；户名、操作内容、登陆方式、登入时间、登出时间）；远程接入远程接入帐号帐号只能授予内部员工，厂家人员需要使用远程维护时，按次授权，用毕收回；只能授予内部员工，厂家人员需要使用远程维护时，按次授权，用毕收回；远程接入帐号的创建、调整和删除申请审批通过后，应及时更新系统中的帐号状态，确保远程接入帐号的创建、调整和删除申请审批通过后，应及时更新系统中的帐号状态，确保与审批结果保持一致；与审批结果保持一致；定期（每半年至少一次）检查定期（每半年至少一次）检查远程接入帐号与权限，清除过期或者未授权的访问帐号与权远程接入帐号与权限，清除过期或者未授权的访问帐号与权限。限。32基

39、础信息安全管理通用要求基础信息安全管理通用要求访问控制访问控制2 n防火墙配置管理防火墙配置管理各单位应制定防火墙策略管理的实施细则、防火墙策略变更审批和授权流程，规范防火墙策略新建、更新各单位应制定防火墙策略管理的实施细则、防火墙策略变更审批和授权流程，规范防火墙策略新建、更新与删除工作，审批与授权记录应予以归档留存；与删除工作，审批与授权记录应予以归档留存；防火墙配置应满足防火墙配置应满足中国移动防火墙功能和配置规范中国移动防火墙功能和配置规范要求，做好日志、告警、安全策略、攻击防护的配要求，做好日志、告警、安全策略、攻击防护的配置；置；系统管理员应遵循系统管理员应遵循“最小化最小化”原则

40、原则，根据系统内外部互联需求，建立细化到连接双方的，根据系统内外部互联需求，建立细化到连接双方的IP、端口、有效时间、端口、有效时间范围、承载信息、信息敏感性等内容在内的网络连接信息表，并据此配置防火墙策略，禁止出现非业务需范围、承载信息、信息敏感性等内容在内的网络连接信息表，并据此配置防火墙策略，禁止出现非业务需要的大段要的大段IP、连续端口开放的配置；、连续端口开放的配置；除数据网管、安全管控平台等因业务需要外，互联网边界防火墙从外网至内网的方向仅允许业务应用端口，除数据网管、安全管控平台等因业务需要外，互联网边界防火墙从外网至内网的方向仅允许业务应用端口，严禁开放维护管理和数据库服务端口

41、严禁开放维护管理和数据库服务端口；内网不同区域之间的边界防火墙对于维护管理、数据库服务端口仅允许配置点对点内网不同区域之间的边界防火墙对于维护管理、数据库服务端口仅允许配置点对点访问策略访问策略，严禁开放大，严禁开放大段段IP地址的访问策略；地址的访问策略；内部核心区内部核心区不允许开放到互联网的访问权限。不允许开放到互联网的访问权限。建立建立维护作业计划维护作业计划，定期（至少每周一次）对非永久有效的临时防火墙策略进行清理。，定期（至少每周一次）对非永久有效的临时防火墙策略进行清理。定期审核定期审核防火墙策略，确保网络连接信息、防火墙策略与实际情况的一致性，确保防火墙策略满足公司安防火墙策略

42、，确保网络连接信息、防火墙策略与实际情况的一致性，确保防火墙策略满足公司安全要求。全要求。n 第三方访问控制管理第三方访问控制管理第三方是指与中国移动在业务上具有合作关系，或是向中国移动提供开发、维护等服务的公司及其员工；第三方是指与中国移动在业务上具有合作关系，或是向中国移动提供开发、维护等服务的公司及其员工；各单位要与第三方公司签订各单位要与第三方公司签订保密协议保密协议，在协议中明确第三方公司及其参与服务的员工的保密责任以及违约，在协议中明确第三方公司及其参与服务的员工的保密责任以及违约罚则；罚则；第三方人员的开发、维护的第三方人员的开发、维护的接入区域接入区域要与中国移动的生产、内部办

43、公、维护区域分离，并采用更严格的访要与中国移动的生产、内部办公、维护区域分离，并采用更严格的访问控制策略和管控手段；问控制策略和管控手段；第三方工作区域的第三方工作区域的终端接入终端接入中国移动的内部网络时要满足内网接入要求，严格限制中国移动的内部网络时要满足内网接入要求，严格限制U盘等盘等外设拷贝外设拷贝，禁止，禁止使用无线上网，必须安装防病毒软件；使用无线上网，必须安装防病毒软件；通过接入通过接入4A系统系统等方式对第三方人员的登录过程、操作行为进行记录（记录内容包括但不限于：用户名、等方式对第三方人员的登录过程、操作行为进行记录（记录内容包括但不限于：用户名、操作内容、登录方式、登入时间

44、、登出时间），日志记录至少保留操作内容、登录方式、登入时间、登出时间），日志记录至少保留6个月。个月。严格禁止第三方人员拥有重要严格禁止第三方人员拥有重要系统管理员权限系统管理员权限，创建系统帐号权限，查询客户敏感信息或者超出工作范围，创建系统帐号权限，查询客户敏感信息或者超出工作范围的高级权限的帐号。各单位应至少每的高级权限的帐号。各单位应至少每3个月对第三方的帐号权限进行一次个月对第三方的帐号权限进行一次审核清理审核清理。33基础信息安全管理通用要求基础信息安全管理通用要求访问控制访问控制3 n 帐号口令管理帐号口令管理各单位要制定帐号口令管理办法，帐号口令管理满足：各单位要制定帐号口令管

45、理办法，帐号口令管理满足：帐号管理遵循帐号管理遵循职责匹配、最小授权原则职责匹配、最小授权原则，规范帐号创建、变更、删除审，规范帐号创建、变更、删除审批流程，严格限制程序帐号的使用；批流程，严格限制程序帐号的使用；口令设置满足字母、数字组合等口令设置满足字母、数字组合等复杂度要求复杂度要求，不得以明文方式保存或者，不得以明文方式保存或者传输，口令长度不得小于传输，口令长度不得小于8位，至少每位，至少每90天更换一次，且天更换一次，且5次以内不得次以内不得设置相同的口令；设置相同的口令；定期定期（至少每半年一次）对帐号申请审批、权限变更等流程执行情况进（至少每半年一次）对帐号申请审批、权限变更等

46、流程执行情况进行行审核审核，避免出现非法创建帐号、无主帐号以及权限与职责不相容的帐，避免出现非法创建帐号、无主帐号以及权限与职责不相容的帐号。号。要通过系统功能强制实现要通过系统功能强制实现口令策略管理口令策略管理，防止出现弱口令设置。，防止出现弱口令设置。重要系统重要系统要采用短信动态口令、证书等要采用短信动态口令、证书等强认证强认证登录方式。登录方式。34基础信息安全管理通用要求基础信息安全管理通用要求安全分析安全分析 n各单位要建立各单位要建立安全分析制度安全分析制度，定期对基础信息安全工作情况进行分，定期对基础信息安全工作情况进行分析通报。析通报。n 分析内容分析内容包括：基础信息安全

47、相关的安全形势与威胁变化，安全事包括：基础信息安全相关的安全形势与威胁变化，安全事件，安全预警、安全监控、风险评估、合规性检查等发现的安全问件，安全预警、安全监控、风险评估、合规性检查等发现的安全问题，部署相关整改工作，追踪安全问题整改情况，对重大安全事项题，部署相关整改工作，追踪安全问题整改情况，对重大安全事项进行专题研究等。进行专题研究等。n 对于分析中形成的信息安全对于分析中形成的信息安全工作决议工作决议，工作部署等记录归档，并，工作部署等记录归档，并追追踪落实踪落实。35基础信息安全管理通用要求基础信息安全管理通用要求安全合规性检查安全合规性检查 n各省信息安全归口管理部门要制定合规性

48、检查制度，配备必要的检查工具，各省信息安全归口管理部门要制定合规性检查制度，配备必要的检查工具，建立内部检查机制。建立内部检查机制。n信息安全归口管理部门每年年初要组织相关单位共同制定信息安全归口管理部门每年年初要组织相关单位共同制定安全合规性检安全合规性检查计划查计划，并按照计划开展检查工作。，并按照计划开展检查工作。n在计划中要明确在计划中要明确检查的方式、方法检查的方式、方法，抽调各单位安全力量，以自查或交叉，抽调各单位安全力量，以自查或交叉检查方式进行。检查方式进行。安全合规性检查范围与频次要求：安全合规性检查范围与频次要求：每年至少对各每年至少对各IT系统组织完成一次全面检查；系统组

49、织完成一次全面检查；各单位应结合自身情况开展不定期的自查各单位应结合自身情况开展不定期的自查。n安全运营管理和基础安全运营管理和基础IT设施安全防护的合规性检查应依据本要求执行；单设施安全防护的合规性检查应依据本要求执行；单点设备安全配置的合规性检查建议采用设备安全配置审核工具进行。点设备安全配置的合规性检查建议采用设备安全配置审核工具进行。n 合规性检查的合规性检查的方法方法包括但不限于：抽样检查、全面检查、现场检测、日志包括但不限于：抽样检查、全面检查、现场检测、日志审核、人员访谈、工具自动检查等。审核、人员访谈、工具自动检查等。n 每次检查结束后检查小组要及时编制安全合规性每次检查结束后

50、检查小组要及时编制安全合规性检查报告检查报告、安全合、安全合规性检查问题整改计划及实施方案。规性检查问题整改计划及实施方案。n 被检查单位要及时向本省信息安全归口管理部门上报整改进度与成果及被检查单位要及时向本省信息安全归口管理部门上报整改进度与成果及安全合规性检查问题安全合规性检查问题整改工作总结整改工作总结。36基础信息安全管理通用要求基础信息安全管理通用要求安全事件管理安全事件管理1n安全事件分为特别重大、重大、较大和一般四个级别。系统（含内网系统）安全事件分为特别重大、重大、较大和一般四个级别。系统（含内网系统）安全事安全事件信息分级定义件信息分级定义参照互联网网络安全信息通报实施办法