信息安全管理规范Word文档格式.doc
《信息安全管理规范Word文档格式.doc》由会员分享,可在线阅读,更多相关《信息安全管理规范Word文档格式.doc(13页珍藏版)》请在冰豆网上搜索。
省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;
制订和审核网络与信息安全管理制度、相关工作流程及技术方案;
组织检查和考核网络及信息安全工作的实施情况;
定期组织对安全管理工作进行审计和评估;
组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理工作及后续的整改工作;
汇总和分析安全事件情况和相关安全状况信息;
组织安全教育和培训。
3.1.4信息安全技术管理职责:
各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。
对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;
发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;
协助制定网络与信息安全的应急预案,参与应急演练;
针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
设置信息安全评估审计员,根据有限公司及省公司制定的安全审计技术规范和有关技术要求,制定实施细则。
牵头对各类网络和系统实施安全技术审计工作,根据SOX要求定期对各类网络和系统帐号、口令设置,操作日志等进行审计及复核,生成审计报告。
3.1.5安全监控人员职责:
省网管中心设置安全监控人员,对全网安全设备进行集中监控;
及时发现全网信息安全事件,根据故障管理相关规定进行派单和督促处理;
进行安全事件上报。
3.1.6各系统维护员职责:
各单位分生产系统设置兼职系统安全维护员,负责本系统网络信息安全的技术工作及相关协调工作,贯彻执行集团公司和省/市公司网络部下发的相关信息安全技术规范及文件,根据相关安全技术规范和技术要求,对本系统进行包括安全在内的日常维护。
处理本系统网络安全事件,协助分析、处理复杂和重大安全事件。
提升系统安全级别,降低安全隐患,减少信息安全事件的发生,保障其安全运行。
3.1.7信息安全关键岗位说明:
信息安全关键岗位说明:
对以下情况的工作岗位,属于信息安全关键岗位
1、掌握业务及支撑系统超级用户权限的岗位(各系统超级用户管理员,根据SOX要求,由各单位分管领导进行授权)
2、掌握查看客户信息(手机终端客户的HLR信息、位置信息、通话纪录、短信、彩信内容等等)权限的岗位。
3、可能造成严重影响客户感知的岗位(具有进行用户群发,业务定制等权限的岗位)
4、掌握各类安全管理系统,如集中账号管理、网络认证接入、日志审计系统情操作行为权限的岗位(安全管理员)
为加强信息安全关键岗位的管理,对以上岗位的情况要进行梳理备案,对1-3类岗位,由安全审计评估人员定期进行操作审计和确认。
对第4类人员,由省网络部定期进行审查和考核。
审计要求见《安全审计管理细则》。
4.0管理规范
4.1管理系统
本管理规范适用于四川移动各业务生产、支撑系统,包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃、短信、彩信、WAP、各增值业务平台、中央音乐平台、网管系统等。
4.2网络与信息安全基本要求
4.2.1网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则,逐级建立安全保护责任制。
4.2.2各级网络维护部门应加强对系统管理人员安全意识的培养,建立完善的定时定人负责制,有效明确责任,提高维护管理效率。
4.2.3网络信息安全管理流程
网络信息安全管理包含以下主要流程
¨
用户帐号口令管理
信息安全监控流程
设备入网安全管理流程
终端接入管理流程
信息安全预警流程
安全审计流程
网络安全域管理流程
网络互联安全管理流程
远程接入安全管理流程
网络与信息安全风险评估管理流程
客户信息保密管理流程
网络信息安全资源策略维护管理流程
安全维护作业计划
4.2.4各岗位人员职责对应说明:
信息安全职能管理
信息安全技术管理
信息安全审计
安全监控
系统维护员
信息安全关键岗位
备注
5.1用户帐号口令管理
制定相关管理办法,组织考核
进行账号管理系统维护,技术支持
进行账号情况审计
按照要求使用账号
按照要求分配、使用、管理账号
5.2信息安全监控
进行监控系统维护,技术支持
进行安全监控
5.3设备入网安全管理
制定相关管理办法,组织评定考核
对设备入网进行评估确认,提出存在风险和整改建议。
提交入网设备安全情况,根据建议进行整改
5.4终端安全管理
进行终端安全管理系统技术管理和维护
按照要求进行终端接入和使用
5.5信息安全预警管理
进行预警信息发布,支持配合系统完成加固。
根据预警信息进行系统加固
5.6安全审计管理
制定相关管理办法,组织评定考核。
对审计情况进行抽查和再审计。
进行操作进行定期分析和审计
5.7网络安全域管理
提出安全域技术方案,进行技术支持。
进行网络安全域划分割接和实施
5.8网络互联安全管理
确认互联风险和实施要求,进行支持。
进行互联实施配合
5.9网络与信息安全风险评估管理
组织进行系统评估,提交报告
5.10远程接入安全管理
进行远程接入审核和接入管理
5.11客户信息保密管理
对客户信息安全系统进行管理维护
审计客户信息操作是否符合要求
监控系统安全运行情况
按要求进行执行
5.12网络信息安全资源策略维护管理
维护资源策略安全系统运行,进行技术支持。
审计资源策略情况
按要求进行资源更新
5.13安全维护作业计划
执行相关安全作业计划
5.0安全管理流程
为了预防和遏制公司网络各类信息安全事件的发生,及时处理因账号使用上出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本流程。
5.2信息安全监控
密切关注用户投诉情况,对所有短信息进行监控。
杜绝反动、色情等有害信息。
防止发现黑客攻击。
5.3设备安全入网管理流程
按照集团公司网络与信息安全“同步规划、同步建设、同步运行”的三同步要求,规范公司各类网络、及系统的入网安全工作,保障网络和系统安全运行,
5.4终端安全及移动存储介质管理流程
为了加强公司各系统局域网终端接入认证管理,确保只有通过认证的终端设备才可对公司内部局域网资源进行使用,保障移动通信网络畅通与信息安全,所有接入公司内部局域网终端,需按管理要求接入。
为规范中国移动四川公司移动存储介质管理,防止通过移动存储介质泄露公司秘密,以及传播病毒、蠕虫等恶意软件,对移动存储介质进行加强管理。
5.5信息安全预警管理
信息安全的预警工作实行预防为主、信息收集发布与及时处理相结合的原则,逐级建立安全预警责任制。
各级网络维护部门应加强对系统管理人员安全意识的培养,明确责任,提高维护管理效果。
5.6安全审计管理
为检测非法活动,应该对系统进行审计,检测与访问控制策略不符的情况,将可以监控的事件记录下来,在出现安全事故时作为证据使用。
利用系统审计,可以检查所采用的控制措施是否有效,是否与访问策略相符。
5.7网络安全域管理流程
规范安全域建设及安全域日常维护工作,提高全网安全防护水平,按照国家等级
保护及有限公司制定下发的《中国移动支撑系统安全域划分及边界整合技术要求》、
《中国移动防火墙部署总体技术要求》等相关规范要求,制定本管理办法。
5.8网络互联安全管理流程
为加强网络互联安全管理,保障在安全可控的前提下满足不同网络之间的互访
需求,根据《中华人民共和国计算机信息系统安全保护条例》、《中国移动网络
与信息安全保障体系(NISS)总纲》等国家和公司相关规定,制定本办法。
为在确保网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
5.10远程接入安全管理
为加强中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)对远程接入的管理,保障在安全可控的前提下实现远程维护、使用业务、获取数据等目的,根据国家要求及《中国移动内控手册(2007版)》、《中国移动网络与信息安全保障体系(NISS)总纲》等公司相关规定,制定本办法。
5.11客户信息保密管理
为保障使用中国移动各项服务的客户隐私权益,保守中国移动客户信息秘密,
特制定本办法。
5.12网络信息安全资源维护管理
为规范网络信息安全资源的维护管理,加强端口及服务相关要求,特制定本办法。
5.13安全维护作业计划
参见ISO文件《维护作业计划管理要求》,根据省网络年初制定维护作业计划进行执行。
6.0审阅更新要求
本规定每年由四川移动省公司网络部进行审阅更新,并将已更新的安全规章制度应及时下发各
升级会员 