XX运营商网络与信息安全管理办法.docx
《XX运营商网络与信息安全管理办法.docx》由会员分享,可在线阅读,更多相关《XX运营商网络与信息安全管理办法.docx(11页珍藏版)》请在冰豆网上搜索。
XX运营商网络与信息安全管理办法
XX运营商网络与信息安全管理办法
中国XXXX公司
网络与信息安全管理办法
(2006年V1.0)
第一章总则第一章总则
第1条本管理办法适用于XXXXXX公司的所有网络与信息系统(包括但不限于业务网络、支撑网络)、网络与信息安全相关组织和人员。
第2条网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质的基础;是保障客户利益的基础。
第3条网络与信息安全工作以国家相关政策法规和条例为依据,以《中国移动网络与信息安全总纲》为指导,以统一规划,集中控制为原则,以符合网络和业务发展要求的安全管理组织体系和安全技术支援保障体系为目标。
第4条本管理办法将用于指导XXXXXX公司互联网、各类业务网络、支撑网络等网络安全和信息管理工作。
它是各级部门开展网络与信息安全工作的依据。
第5条本管理办法由区公司网络部负责解释。
第二章安全组织及职责第二章安全组织及职责
第6条安全工作指导思想安全工作“三分靠技术,七分靠管理”,建立有效的组织机构是安全管理的基础。
第7条领导机构
(一)XXXXXX公司常设网络与信息安全领导小组,全面负责公司的网络与信息安全工作。
领导小组组长由公司总经理担任,副组长由公司主管网络的副总经理担任,小组成员由综合部、发展战略部、人力资,
源部、市场经营部、数据部、集团客户部、网络部、计划技术部、网络
运营中心、运营支撑中心、工程管理中心、客户服务营销中心等部门、中心负责人组成。
(二)网络与信息安全领导小组为公司的网络与信息安全管理指
(二)
明清晰的方向,领导小组承担以下责任:
1、审查并批准公司的网络与信息安全策略;
2、分配安全管理总体职责;
3、在网络与信息资产暴露于重大威胁时,监督控制可能发生的重大变化;
4、对网络与信息安全管理相关的重大更改事项进行决策;
5、指挥、协调、督促并审查网络与信息安全重大事件的处理。
第8条工作组织
(一)网络与信息安全领导小组下设网络与信息安全办公室,负责
(一)
公司具体的网络与信息安全工作,办公室主任由公司网络与信息安全领导小组副组长兼任,区公司网络部为牵头部门,网络部的网络与信息安全岗位人员为具体联络人,综合部、发展战略部、人力资源部、市场经营部、数据部、集团客户部、网络部、计划技术部、网络运营中心、运营支撑中心、工程管理中心、客户服务营销中心等部门、中心各确定一名从事网络与信息安全工作相关的人员参与组成办公室成员。
。
(二)网络与信息安全办公室承担以下责任:
1、制定相关的安全岗位及职责;
2、制定并落实相关网络与信息安全管理制度;
3、制定并落实网络与信息安全保护方案;
4、审批新系统、服务规划和设计中的网络与信息安全部分,并监督其实施落实;
5、审批与网络与信息相关的业务连续性方案;
6、牵头处理网络与信息安全事件;
7、组织网络与信息安全评估和安全审计工作;
8、辅助领导机构进行网络与信息安全方面的决策;
9、完成部门间的协调工作,分派并落实某项具体工作中各部门的职责;
10、获取和发布网络与信息安全信息;
11、组织公司人员的网络与信息安全教育培训。
12、负责网络与信息安全技术的跟踪及研究工作。
13、组织网络与信息安全事件处理演练。
14、完成领导机构下达的各项任务。
第9条安全职责
(一)安全责任基本原则是“谁主管,谁负责”。
公司拥有的每项网络与信息资产都按主管权限归属确定的“责任人”。
“责任人”对资产安全保护负有完全责任。
“责任人”可以是个人或部门,当“责任人”是部门时,由该部门领导实际负责。
(二)“责任人”可将具体的执行工作委派给“维护人”,但必须承担资产安全的最终责任。
“责任人”要明确规定“维护人”的工作职责,并定期检查“维护人”是否正确履行了安全职责。
“维护人”可以是个人或部门,也可以是外包服务提供商。
当“维护人”是部门时,应由该部
门领导实际负责。
第10条安全工作人员(领导小组及办公室成员)的职责是指导、监督、管理、考核“责任人”的安全工作,不能替代“责任人”对具体网络与信息资产进行安全保护。
在资产的安全保护工作中,应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。
“责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程,并对该职责的详细内容记录在案。
所有授权的内容和权限应当被明确规定,并记录在案。
第三章网络与信息安全日常管理第三章网络与信息安全日常管理
第一节基本安全管理制度第一节基本安全管理制度
第11条网络与信息相关岗位人员的安全管理
人员考察对关键岗位人员要进行审查,保证具备较强业务技术能人员考察
力,确保可信可靠,胜任本职工作。
员工应签署保密协议,保密协议应明确规定员工承担的安全责任、保密要求和违约责任。
人员考核每年组织一次对从事关键业务的人员的全面考核;对违规人员考核
人员视情节轻重进行批评、教育、调离工作岗位。
人员调离关键岗位人员调离,应严格办理调离手续。
自人员调离决人员调离
定通知之日起,应及时更换系统口令。
应由相关人员和该员工一起回顾应
其签订的保密协议,并使该员工明确所有保密事项,如是离职,应明确在离开公司后3年内不得披露、使用公司的技术资料的规定。
人员培训所有员工必须接受安全教育或培训,一般内容包括:
公司人员培训
网络与信息安全策略、安全职责、安全管理规章制度和法律法规。
不同岗位的员工应接受符合其工作要求的必要的专业技能培训。
第12条操作安全管理
职责分离任务的管理、执行及职责范围应尽量分散进行,并增加执行和监督人员,以减少误用或滥用职责带来风险的概率。
例如关键数据修改的审批与制作必须分开。
在无法实现职责充分分散的情况下,应采取其他补偿控制措施并记录在案。
职责履行各类人员必须按规定行事,不得从事超越自己职责以外的
任何事务或操作。
岗位监督进行系统维护、复原、强行更改数据时,至少有两名操作岗位监督
人员相互监督操作,并进行详细的登记及签名。
安全稽核安全监察人员和安全管理人员有权对一线操作、管理人员安全稽核
进行监督与核查。
规范操作操作应依据安全策略制订网络与信息处理设施的操作细规范操作
则进行。
操作细则应作为正式文件,履行审批手续,获得管理人员授权后才能修改。
操作细则应包含操作活动的职责、内容、目的、时间、场所、方法等,并涵盖以下内容:
1、信息的处理和信息载体的处置;
2、时间进度的要求,包括同其他系统的相关性、最早的开始时间与最晚的结束时间等;
3、操作过程中发生非预期的错误或其他异常情况的指导说明;
4、意外的操作困难或技术难题出现时的支持联系人;
5、特殊输出处置的说明。
例如:
特殊设备的使用,或输出机密内容的管理,包括如何安全处置失败的任务输出的程序;
6、故障情况下系统的重启和恢复程序;
7、系统维护的相应程序。
例如:
计算机启动和关闭、备份、设备维护等。
规范维护正确规范地维护设备,可以保护设备的可用性和完整性。
应按以下基本要求进行设备维护:
1、根据设备供应商建议的维护周期和规范进行维护;
2、设备维护人员必须经过授权;
3、设备维护人员必须具备相应的技术技能;
4、必须储备一定数量的备品备件;
5、所有日常维护和故障处理都应记录在案;
6、当设备送到外部场所进行维护时,应当采取有效的控制措施防止信息泄露;
7、系统关键设备应冗余配置;关键部件在达到标称的使用期限时,不管其是否正常工作,必须予以更换;
8、若该设备已投保,则必须遵守相关保险合同的所有规定。
变更控制网络与信息系统的任何变更必须受到严格控制,包括:
网
络结构/局数据/安全策略/系统参数的调整、硬件的增减与更换、软件版本与补丁的变更、处理流程的改变等。
任何变更必须经过授权,记录在案并接受测试,操作和应用的变更控制程序应尽可能相互衔接。
变更控制应至少包含下列措施:
1、识别并记录重大变更;
2、评估此类变更的潜在影响;
3、正式的变更申请批准流程;
4、向所有相关人员传达变更细节;
5、变更失败的恢复措施和责任;
6、变更成功与失败回退后的验证测试;
7、保留所有与变更相关信息的审核日志;
8、变更后的重新评估。
迅速响应建立安全事件管理责任和程序,迅速、有效和有序地对安全事件响应。
安全事件响应管理应按以下要求进行:
1、建立涵盖所有潜在的安全事件类型的响应程序;
2、除正常的用以尽快恢复系统或服务的应急方案之外,还应包括事件通报、分析总结、弥补措施、检查审计等内容;
3、明确授权可以进行安全事件处理的人员;
4、严格遵守安全事件处理流程,严禁随意操作,避免更大损失;
5、在必要时,应收集并保护相关记录和证据。
设备分离开发、测试与现网设备要分离以有效降低运行系统被破坏或非授权访问的风险,按下列控制措施执行:
1、前期开发调试工作与现网设备尽可能实现物理分离或逻辑分离,例如:
独立的实验环境、不同的计算机或不同的域、目录等;
2、后期在现网进行测试时,必须做好必要的安全防护措施,并对其进行安全检查。
第13条物理与环境安全管理
场地标准依据《计算机场地安全要求》、《计算机场地技术条件》标准进行。
制度制定对IT网络的场地与设施进行安全等级划分,制定安全管制度制定
理规定的技术措施和管理办法。
。
安全区域保护包括安全边界建立、出入控制、物理保护、安全区安全区域保护
域工作规章制度建立、送货、装卸区与设备的隔离等。
。
设备安全包括设备安置及物理保护、电源保护、线缆安全、工作区设备安全
域外设备的安全、设备处置与重用的安全等。
存储媒介安全包括可移动存储媒介的管理、存储媒介的处置、信息存储媒介安全
处置程序、系统文档的安全管理等。
第14条设备安全使用管理
设备使用管理包括指定专人负责设备的使用、建立详细的运行日设备使用管理
志、设备的维护和定期保养、设备故障处理等。
设备维修管理包括指定专人负责设备的维修,建立满足正常运行的设备维修管理
最低要求的易损件备件库,记录设备维修对象、故障原因、排除方法、主要维修过程及其它的有关情况。
备品备件管理指未被使用或修复后性能正常的各种设备的集中统备品备件管理指未被使用或修复后性能正常的各种设备的集中统一管理。
一管理。
第15条操作系统和数据库安全管理
应从以下几方面对操作系统和数据库进行安全管理:
1、系统要求、运行安全。
2、运行日志安全管理。
3、备份安全管理、异常情况管理。
4、系统安全恢复管理。
5、操作系统有关安全方面的补丁和版本升级。
第16条安全软件版本管理
从以下几方面进行安全软件版本管理:
1、所有安全软件(如:
安全访问软件、病毒防护软件、入侵检测软件等)尽可能选择经实践验证稳定运行的版本,不应立即使用厂商发布的最新版本,但病毒代码库和系统漏洞库例外。
2、在风险分析的基础上,厂商发布的安全补丁应进行功能测试,并在规定期限内投入应用。
功能测试应确保安全服务、安全机制的完善性和有效性,并符合相关规定,同时还应确保其变化不会影响其他安全控制措施。
3、如果出现确实无法按时完成安全补丁加载的例外情况,资产责任人应向安全组织汇报不能完成的原因,采取的临时措施,及后续工作计划,并得到安全组织的批准。
4、所有安全软件的升级必须由变更控制流程进行控制。
第17条系统文档安全管理
系统文档包含一系列敏感信息,比如应用流程、程序、数据结构、授权流程的说明。
应采取下列控制程序,避免系统非法访问。
1、安全保存系统文档。
2、将系统文档的访问列表控制在最小范围,并由应用责任人授权。
3、有效的保护保存在公共网络的系统文档或者通过公共网络提供的系统文档。
第18条审计管理
安全审计要保持独立性,审计方与被审计方应保持相对独立,即不能自己审计自己的工作,以确保审计结果的公正可靠。
安全审计包含但不限于如下内容:
1、审计系统安全日志内容。
2、审计相关网络设备日志。
3、审计日常报警信息。
4、审计网络统计数据。
第二节运行维护安全规定第二节运行维护安全规定
第19条访问控制
控制措施采用安全域之间的隔离与访问控制、用户分级管理及严控制措施
格的身份鉴别、有效的访问控制手段、对各系统的权限和口令进行有效的管理等方式进行。
权限管理依据特权分散原则和最小授权原则。
权限管理
身份鉴别使用用户名/口令、硬件令牌/生物识别等方式。
身份鉴别
第20条网络攻击防范
应符合以下要求:
1、履行国家相关部门在防范网络攻击方面的相关法律和规定;
2、使用获得国家计算机信息系统安全专用产品销售许可证的网络攻击防范产品;
3、网络设备和应用系统在正常运行阶段,应关闭与业务无关的服务和端口,防止非法访问;
4、防止非授权信息的通过;
5、进行网络实时入侵检测;
6、网络风险评估扫描;
7、采用有效手段保证网络上敏感信息的传输安全。
第21条病毒防范
应符合以下要求:
1、相关设备上禁止安装、运行与业务无关的软件,防止通过无关软件和操作感染病毒;
2、对相关设备进行病毒检测,发现病毒立即汇报有关部门,并及时
处理;
3、重要的主机或网络进行实时病毒监测,发现病毒立即汇报有关部门,及时处理;
4、使用国家主管部门认证通过的病毒防范系统;
5、运行维护人员应增强病毒防范意识,配合安全管理人员做好病毒防范工作。
第22条审计跟踪
应符合以下要求:
1、审计跟踪将对各系统相关设备的操作进行记录,防止对相关设备的非法使用;
2、相关设备、系统软件或应用软件都应具有并打开审计功能;
3、及时对审计记录进行审查和分析,发现异常情况立即汇报相关主管人员;
4、相关设备和主机的审计记录应符合相应备份原则;
5、审计记录不能被未授权用户修改或删除;
6、审计所包括的事件内容及信息请参阅相关文档。
第23条数据安全
1、重要的系统数据应实施严格的安全保密管理。
2、对系统数据的操作应经过严格的身份鉴别与权限控制,防止非授权操作。
3、采取有效措施防止系统数据的非法生成、变更、泄漏、丢失与破坏。
4、系统数据应进行核对审查,防止使用过程中产生误操作或被非法篡改。
5、系统数据应有完备的备份和恢复流程。
6、对系统数据应实行专人管理。
7、重要的业务数据应实施严格的安全保密管理。
8、业务数据应进行核对审查,防止使用过程中产生误操作或被非法篡改
9、业务数据应及时、完整、真实、准确地转储到不可更改的介质上,并规定保存期限。
10、业务数据应有完备的备份和恢复流程。
11、对业务数据应实行专人管理。
12、保密数据应仅用于明确规定的目的,未经批准不得它用。
13、保密数据的多个副本应编号保存,防止丢失;保密数据以电子形式存在时,应尽量避免以明码形式存储和传输
14、机密资料不得抄录影印或对外泄露
15、无正当理由和有关批准手续,不得查阅用户资料。
经正式批件查阅数据时应登记,并由查阅人签字。
16、各级有关部门应根据数据的保密规定和用途,确定各类保密数据使用人员的存取权限、存取方式和审批手续。
17、计算机终端及存储设备故障送修时注意数据和信息安全,确定硬盘内没有保密资料,或拆卸硬盘等存储设备后再将终端送修。
第三节安全事件的处理第三节安全事件的处理
第24条安全事件定义非授权访问、信息泄密、拒绝服务、系统性能严重下降、非法登录者、计算机病毒、强行尝试登录、不明的新用户账号、警告信、访问权限被修改、安全漏洞、其它的入侵行为。
第25条安全事件分类有物理安全事件和逻辑安全事件。
第26条安全事件等级分为安全事故、严重安全事件和一般安全事件。
第27条安全事件处理流程安全管理人员需根据具体情况及时尽采取相应措施,恢复网络系统的完整性和可用性,尽可能清除安全事件造成的影响,修补存在的安全漏洞。
涉及犯罪的安全事件,上报相关信息至国家公安部门处理。
安全事件处理流程图:
安全事件处理流程图:
出现安全事件
判定安全事件等级
填写安全事件报表(见附录3)
否是否是安全事故
或严重安全事件
是
事件报表上报上级安全组织
采取相应安全处理措施
否是否处理完毕
完毕
是
向上级组织提交安全处理报告报告
上级组织通报典型安全事件
第四节应急计划第四节应急计划
第28条应急计划指在IT网络系统崩溃或停止运行时,为使系统
恢复正常运行状态而事先制定的各种方案和措施
第29条应急计划应满足规范化、制度化、公开化、责任化的要求。
第30条应急计划的内容
1、准备:
包括物质准备、人员准备、组织准备等内容。
2、演练:
通过网络实验进行各系统应急系统的提前操作和演练。
3、实施:
遭遇紧急事件,启动各系统的应急计划。
4、系统实施恢复方案:
启动备份通信设备、线路及重要备份数据,保证各系统的业务系统恢复正常运行。
第四章安全技术要求第四章安全技术要求
第一节安全防范系统第一节安全防范系统
第31条安全防范系统能够对网络上传输的信息进行检测,防止非法连接或服务。
典型的安全防范系统有防火墙系统等。
第32条安全防范系统应遵循以下原则:
1、使用国家主管部门认可的安全防范产品。
2、尽量减小安全防范系统对网络性能造成的影响。
3、根据业务系统提供的服务情况和网络安全策略确定安全防范系统的配置。
4、根据网络规模、网络拓扑、用户使用权限、业务系统提供的服务等的变动情况及时调整安全防范系统的配置方式和配置策略。
5、做好安全防范系统配置文件的备份工作
6、应检查安全防范系统的日志以判断网络中是否存在不安全因素
第二节安全扫描系统第二节安全扫描系统
第33条安全扫描系统可以对系统中的安全漏洞进行扫描,发现系统中的安全隐患。
安全扫描系统的产品有网络漏洞检测与评估系统、主机安全扫描系统等。
第34条安全扫描系统应遵循以下原则:
1、制定详细的评估计划,并保证不对或尽量减少对网络使用的影响。
2、安全扫描系统的使用要有明确的记录制度,对每次评估过程进行详细记录。
3、当网络结构或重要网络设备发生改变时,使用安全扫描系统进行安全扫描。
4、针对各类安全扫描结果,综合考虑具体情况,采取必要的安全增强措施。
5、安全扫描系统对系统漏洞的评估结果属企业重要机密,严格控制在尽量小的人员范围,以避免恶意攻击。
第三节入侵检测系统
第35条入侵检测系统对网络和操作系统的活动进行实时监视,并采用模式匹配和异常统计的方法来分析和识别安全入侵行为。
第36条入侵检测系统应遵循以下原则:
1、安全管理人员应对入侵检测系统的报警及时作出反应,根据情况采取相应措施进行处理。
2、侵检测系统的使用维护要有明确的记录制度,对每次异常情况及处理方式进行详细记录。
3、入侵检测系统不可能发现所有的非法入侵行为,因此,安全管理
人员不能忽视其它方面的安全检查工作,如对设备日志进行审计分析。
4、入侵检测系统对网络入侵情况的的检测结果属企业重要机密,严格控制在尽量小的人员范围,以减小影响,杜绝类似攻击。
第四节病毒防范系统
第37条病毒防范系统用于对网络和主机系统中的病毒进行查杀。
第38条入侵检测系统应遵循以下原则:
1、制定所管网络的病毒防范策略,安装配置病毒防范系统。
2、制定详细的病毒防范计划,对系统进行病毒检测,重要系统和病毒易感染区域应安装实时检测系统对病毒进行实时监控。
3、采取安全可靠的方式及时对病毒检测软件和病毒特征代码库进行升级或安装补丁。
4、发现病毒时,安全管理人员应及时做出响应,采取必要措施(如隔离受病毒感染的机器,清除病毒,并对可能受感染的机器进行病毒查杀),尽量将影响和损失降到最低。
升级会员 