1、信息安全管理体系及重点制度介信息安全管理体系及重点制度介绍 信息系信息系统部部2011年年5月月4日日1-目目 录信息安全管理体系介信息安全管理体系介绍1 基基础电信企信企业信息安全信息安全责任管理任管理办法法2基基础信息安全要求信息安全要求3客客户户信息保信息保护护管理管理规规定定4信息安全三同步管理信息安全三同步管理办法法5业务安全安全风险评估估标准准62-ISO17799:2000国国际标准准BS7799-1:1999BS7799-2:1999英国英国标准准BS7799-2:2002BS7799-1:2000ISO17799:2005ISO27001:2005BS7799:1996BS7
2、799-3:2005安全管理体系安全管理体系安全管理体系安全管理体系标标准的准的准的准的发发展展展展历历史史史史3-pISO 27001的的标准全称准全称 Information technology-Security techniques-Information security management systems-Requirements 信息技信息技术-安全技安全技术-信息安全管理体系信息安全管理体系-要求要求nISMS 信息安全管理体系信息安全管理体系 -管理体系管理体系 -信息安全相关信息安全相关 -ISO 27001 的的3 术语和定和定义-3.7nRequirements 要求
3、要求ISO/IEC 27001ISO/IEC 27001介介介介绍绍4-p建立方建立方针和目和目标并并实现这些目些目标的相互关的相互关联或相互作用的一或相互作用的一组要素。要素。p管理体系包括管理体系包括组织结构,策略,构,策略,规划,角色,划,角色,职责,流程,程,流程,程序和序和资源等。源等。(ISO 270013 术语和定和定义-3.7)p管理的方方面面以及公司的所管理的方方面面以及公司的所有雇有雇员,均囊括在管理体系范,均囊括在管理体系范围内。内。什么是管理体系?什么是管理体系?什么是管理体系?什么是管理体系?Quality management system(ISO 9001)Env
4、ironmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System(ISO 20000)Information security management system(ISO 27001)5-什么是信息安全?什么是信息安全?什么是信息安全?什么是信息安全?AlterationDestructionDisclosureInformationIntegrity Availabi
5、lity ConfidentialityInformation保保护信息的保密性、完整性和可用性信息的保密性、完整性和可用性(CIA);另另外也可包括外也可包括诸如真如真实性,可核性,可核查性,不可否性,不可否认性和可靠性等特性性和可靠性等特性(ISO 270013 术语和定和定义-3.4)p 机密性(机密性(Confidentiality)信息不能被未授信息不能被未授权的个人,的个人,实体或者体或者过程利用程利用或知悉的特性或知悉的特性(ISO 270013 术语和定和定义-3.3)p完整性(完整性(Integrity)保保护资产的准确和完整的特性的准确和完整的特性(ISO 270013 术
6、语和定和定义-3.8).确保信息在存确保信息在存储、使用、使用、传输过程中不会被非授程中不会被非授权用用户篡改,同改,同时还要防止授要防止授权用用户对系系统及信息及信息进行不恰当的行不恰当的篡改,保持改,保持信息内、外部表示的一致性。信息内、外部表示的一致性。p可用性(可用性(Availability)根据授根据授权实体的要求可体的要求可访问和利用的特性和利用的特性(ISO 270013 术语和定和定义-3.2).确保授确保授权用用户或或实体体对信息及信息及资源的正常使用不会被异常拒源的正常使用不会被异常拒绝,允,允许其可靠而及其可靠而及时地地访问信息及信息及资源源6-信息安全管理体系所涵盖的
7、信息安全管理体系所涵盖的信息安全管理体系所涵盖的信息安全管理体系所涵盖的领领域域域域安全策略安全策略合合规性性信息安全信息安全组织资产管理管理信息系信息系统获取开取开发和和维护人力人力资源安全源安全物理和物理和环境安全境安全通信和操作管理通信和操作管理访问控制控制信息安全事件管理信息安全事件管理业务连续性管理性管理7-湖南移湖南移湖南移湖南移动动信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系8-湖南移湖南移动动信息安全管理制度信息安全管理制度n已已发布制度布制度湖南移动信息安全管理办法和责任矩阵湖南移动信息安全三同步管理办法中国移动客户信息安全保护管理规定(试行)和控制矩阵中
8、国移动业务信息安全评估标准(2011)中国移动基础信息安全管理通用要求(试行)和检查矩阵n实践案例践案例汇编“客户信息安全保护解决方案汇编”“基础信息安全案例汇编”n计划完善的制度划完善的制度安全应急处置责任追究安全检查管理办法9-目目 录信息安全管理体系介信息安全管理体系介绍1 基基础电信企信企业信息安全信息安全责任管理任管理办法法2基基础信息安全要求信息安全要求3客客户户信息保信息保护护管理管理规规定定4信息安全三同步管理信息安全三同步管理办法法5业务安全安全风险评估估标准准610-基基础电信企信企业信息安全信息安全责任管理任管理办法法n互互联网新技网新技术新新业务的的广泛,信息安全事件广
9、泛,信息安全事件时有有发生生n普遍存在普遍存在“重市重市场发展、展、轻安全管理安全管理”的的现象象,甚甚至至还有有“只只顾赚钱,漠,漠视安全安全”的情况存在的情况存在n基础电信企业的信息安全责任和要求不尽明确。n企业对自身应承担的信息安全责任重视不够、投入不足。n行业监管机构对企业信息安全责任和义务缺乏有效监督和管理的方式方法。企业信息安全责任保障条件总则监督管理n基基础电础电信企信企业业信息安全信息安全责责任管理任管理办办法(工信部保法(工信部保2009713号)号)11-基基础电信企信企业信息安全信息安全责任管理任管理办法法-总则n第三条(信息安全)本本办法所称信息安全指法所称信息安全指电
10、信网信网络(包括固定网、移(包括固定网、移动网和互网和互联网)上的公共信息内容安网)上的公共信息内容安全。全。n第四条(企业信息安全责任)企企业有有义务维护国家安全、国家安全、社会社会稳定和用定和用户合法合法权益;益;应在网在网络建建设、业务提供、提供、应急急处置、信息置、信息报备、人、人员培培训等方面建立健全企等方面建立健全企业信信息安全息安全责任制度,同步建任制度,同步建设与企与企业网网络、业务和用和用户发展相适展相适应的信息安全保障体系和技的信息安全保障体系和技术保障手段;保障必保障手段;保障必要的人要的人员和和资金投入。金投入。总 则12-基基础电信企信企业信息安全信息安全责任管理任管
11、理办法法企企业信息安全信息安全责任任企企业信息信息安全安全责任任规范合作范合作经营技技术保障措施保障措施配合配合监管管信息信息报备网网络建建设开开办业务日常日常监测用用户信息保信息保护接入接入责任任13-企业信息安全责任-(网络建设)n企企业在在电信网信网络的的设计、建、建设和运行和运行过程中,程中,应做到与国家信息安全的需求同步做到与国家信息安全的需求同步规划,同步建划,同步建设,同步运行。同步运行。n企企业在系在系统规划、建划、建设、升、升级、改造等、改造等环节应认真落真落实国家信息安全要求,同步配套相关信息安国家信息安全要求,同步配套相关信息安全全设备和和设施。施。n企企业在网在网络设备
12、选型、采型、采购和使用和使用时,应遵守遵守电信信设备进网要求,网要求,满足信息安全管理需要。足信息安全管理需要。14-企业信息安全责任-(开办业务)n企企业应履行信息安全承履行信息安全承诺,按照,按照电信信业务经营许可的信可的信息安全要求开展和息安全要求开展和经营相关相关电信信业务。n企企业要在新要在新产品立品立项、产品开品开发和和业务上上线(包括合作(包括合作开开办)的各)的各环节:建立实施信息安全评估制度,同步配套与业务特点和用户规模相适应的信息安全保障措施,明确业务的信息安全负责人,建立相应的管理制度和应急处置流程,按规定向电信监管机构进行业务信息报备。15-企业信息安全责任-(日常监测
13、)n对本企本企业通信网通信网络中中发现的的违法信息,企法信息,企业应立立即停止即停止传输,保存相关,保存相关记录,并向国家有关机关,并向国家有关机关报告。告。n对有关部有关部门依法通知停止依法通知停止传输的的违法信息,企法信息,企业应配合配合执行。行。16-企业信息安全责任-(用户信息保护)n电信用信用户依法使用依法使用电信的自由和通信秘密受法律信的自由和通信秘密受法律保保护。企。企业及其工作人及其工作人员不得擅自向他人提供不得擅自向他人提供电信用信用户使用使用电信网信网络所所传输信息的内容(法律另信息的内容(法律另有有规定的除外)。定的除外)。n对于本企于本企业业务网网络/系系统中保存的有关
14、用中保存的有关用户资料料和信息,企和信息,企业应依法予以保依法予以保护,不得非法出售或,不得非法出售或者提供者提供给其他其他组织和个人、不得用于与企和个人、不得用于与企业业务无关的用途。无关的用途。17-企业信息安全责任-(接入责任)n企企业不得向未取得不得向未取得电信信业务经营许可可证的的单位或位或个人提供用于个人提供用于经营性性电信信业务的的电信信资源、网源、网络接入和接入和业务接入;不得向未接入;不得向未备案非案非经营性互性互联网网站提供网站提供网络接入。接入。n企企业应监督接入用督接入用户按照按照约定的用途使用定的用途使用电信信资源或开展源或开展业务。发现擅自改擅自改变使用用途的,及使
15、用用途的,及时通知整改,涉及通知整改,涉及违法犯罪的,及法犯罪的,及时向有关部向有关部门报告。告。n企企业应定期定期检查接入内容。接入内容。发现信息安全信息安全问题和和隐患及患及时做出相做出相应处理。理。18-企业信息安全责任-(规范合作经营)n企企业在开展在开展业务合作前,要合作前,要对合作方的合作方的经营资质、业务许可等信息可等信息进行行审核,并在合同中明确各方核,并在合同中明确各方的信息安全的信息安全责任。任。n企企业应当当对合作提供的各合作提供的各类业务进行行规范和范和监督,督,建立建立违法信息法信息发现、监测和和处置制度。置制度。对合作中合作中出出现的信息安全的信息安全问题和和隐患,
16、企患,企业应督促合作督促合作单位及位及时整改,或者按照合同整改,或者按照合同约定定进行行处理,理,对违反法律的,反法律的,报送相关部送相关部门查处。19-企业信息安全责任-(技术保障措施)n企企业应当建立并完善事前防范、事中阻断、事后当建立并完善事前防范、事中阻断、事后追溯的信息安全技追溯的信息安全技术保障体系。保障体系。n企企业应当建立必要的技当建立必要的技术手段,加手段,加强对重要重要电信信资源(如源(如电信信码号、网号、网络带宽、IP地址、域名等)地址、域名等)的管理。的管理。n企企业应当当认真落真落实接入接入责任,建全信息安全管理任,建全信息安全管理和公共信息服和公共信息服务内容日常核
17、内容日常核查手段。手段。20-企业信息安全责任-(配合监管)n企企业应当当认真配合真配合电信信监管机构开展信息安全管机构开展信息安全监督管理工作,保督管理工作,保证相关工作相关工作顺利利实施。施。企业应当依法记录并妥善保存用户使用电信网络的有关信息,相关信息应当至少保存60日。对存在的信息安全问题和隐患,企业应当严格按照电信监管机构的处理意见进行整改。因涉及国家安全或处置紧急事件的需要,电信监管机构根据国家的有关规定和要求组织实施通信管制,企业应当配合执行。21-企业信息安全责任-(信息报备)n企企业应当遵照有关信息安全要求和当遵照有关信息安全要求和规定,定,执行信息安全行信息安全信息上信息上
18、报、备案制度,接受并配合案制度,接受并配合电信信监管机构的管机构的监督督检查。可能引发信息安全隐患的网络调整、扩容、电信基础资源使用变更等;可能引发信息安全隐患的新开展业务;企业信息安全责任人或联系人信息变更;企业业务网络/系统内发生的各类信息安全事件。n企企业应保保证相关相关报备信息的及信息的及时、准确、完整。、准确、完整。22-基基础电信企信企业信息安全信息安全责任管理任管理办法法通通报整改制度整改制度n电信监管机构对企业落实信息安全责任情况建立日常监测机制,实行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企业,电信监管机构向企业提出书面整改意见,责成企业限期整改,并视情况在一定
19、范围内予以通报。n电信监管机构定期或不定期对企业落实信息安全责任的情况进行专项监督检查。企业应当将每年落实信息安全责任的有关情况形成书面报告报电信监管机构。n对在新产品立项、产品开发和业务上线(包括合作开办)各环节未同步开展信息安全评估、未同步配套与该业务相适应的信息安全保障措施、未按规定要求向电信监管机构进行业务信息报备,而造成特(重)大信息安全事件(或被有关部门通报并经电信监管机构组织专家研究认定该业务存在严重信息安全隐患)的,由由电信信监管机管机构构责令相关企令相关企业限期整改,未限期整改,未经整改合格的,不得开展整改合格的,不得开展该业务。监督管理督管理23-基基础电信企信企业信息安全
20、信息安全责任管理任管理办法法通通报整改制度整改制度n对因自身管理原因造成信息安全事件,由因自身管理原因造成信息安全事件,由电信信监管机构追究相关企管机构追究相关企业责任。任。(一)企业在一年内,发生1次特大信息安全事件的,或累计发生3次(及3次以上)重大信息安全事件的,由电信监管机构予以通报批评,对相关责任人提出处理意见或建议,通报相关管理部门,并视情况向社会通告。(二)企业在一年内,发生1次重大信息安全事件的,或累计发生5次(及5次以上)一般信息安全事件的,由电信监管机构予以通报批评,对相关责任人提出处理意见或建议,并通报相关管理部门。(三)企业在一年内,发生5次以下一般信息安全事件的,由电
21、信监管机构在电信行业内进行通报。(四)企业存在信息安全问题或隐患,未按要求在规定期限内进行相应整改的,由电信监管机构予以通报批评,对相关责任人提出处理意见或建议,并视情况通报相关管理部门。构成犯罪的,移送司法机关依法追究刑事责任。监督管理督管理24-基基础电信企信企业信息安全信息安全责任管理任管理办法法 重点(一)重点(一)n落落实基基础企企业领导人人问责制制明确和落实企业领导责任。对工作不落实、措施不到位、被电信主管部门通报批评的,追究企业信息安全责任人的领导责任。对整改不力、屡改屡犯、故意违规的,通报批评相应企业信息安全责任人,并函告其上级主管部门追究企业信息安全责任人的领导责任。25-基
22、基础电信企信企业信息安全信息安全责任管理任管理办法法(二)(二)n加加强业务推广、合作推广、合作经营的管理的管理对业务推广渠道中业务合作的建立、合作内容的规范、合作问题的发现和监督、业务推广模式的实现等相关细节明确制度化、规范化的要求。监督合作单位相关责任和义务落实情况,确保实效。对合作中出现的信息安全问题和隐患,企业应督促合作单位及时整改;发现存在违规的,立即暂停或终止合作;发现违反法律的,报送相关部门查处。26-基基础电信企信企业信息安全信息安全责任管理任管理办法法(三)(三)n落落实接入接入环节管理管理责任任为无证服务商提供接入、为未取得经营许可或备案的网站接入的,追究相关人员责任。与接
23、入服务商、网站签订信息安全管理协议。监督接入服务商、网站的日常活动,配合相关主管部门对接入服务商、网站接入的查处。对发现涉及违法犯罪的,应及时停止接入、保存记录,并向有关部门报告。对无法判定的涉嫌违规内容,应保存记录,并向有关部门报告,配合有关部门的研判和处置。27-目目 录信息安全管理体系介信息安全管理体系介绍1 基基础电信企信企业信息安全信息安全责任管理任管理办法法2基基础信息安全要求信息安全要求3客客户户信息保信息保护护管理管理规规定定4信息安全三同步管理信息安全三同步管理办法法5业务安全安全风险评估估标准准628-基基础础信息安全管理通用要求信息安全管理通用要求29-基基础础信息安全管
24、理通用要求信息安全管理通用要求安全安全预预警警n预警信息分警信息分为一一级、二、二级、三、三级、四、四级,一,一级为最高最高级。n集集团公司信息安全管理公司信息安全管理责任部任部门负责面向全网面向全网发布布预警信息,各省警信息,各省公司或公司或专业部部门向所向所辖地域与地域与专业发布布预警信息。警信息。n各各单位接到位接到预警信息后,警信息后,应依据上依据上级主管部主管部门要求要求落落实,及,及时跟踪跟踪预警警项进展,展,预警内容出警内容出现变化化应及及时上上报,必要,必要时调高高预警警级别并采取更并采取更严格防范措施。格防范措施。n各各单位可根据位可根据预警信息警信息对系系统的影响情况的影响
25、情况调高高预警警级别,但不允,但不允许调低低预警警级别;对安全补丁类预警,应根据设备所处位置和重要性采取不同的加载策略。在设备没打补丁期间,要采取相应的加固措施,保证设备不易被攻击。对于安全预警信息,应在预警信息规定时限内向预警信息发布主体反馈处理结果。n安全安全预警警处理理结果反果反馈内容内容应包括包括预警的影响范警的影响范围、防范措施、防范措施实施施范范围、防范措施、防范措施实施效果、施效果、进一步一步计划等内容。划等内容。30-基基础础信息安全管理通用要求信息安全管理通用要求安全安全监监控控 n要由要由监控控专业或相或相应专业人人员实施施对各各专业网网络与系与系统的的集中化安全集中化安全
26、监控控。n重点重点监控范控范围包括安全等包括安全等级三三级及以上的及以上的IT系系统,以及基地,以及基地业务、彩信、彩信、OA、ERP、邮件系件系统、对外网站、外网站、IDC、WLAN、DNS、LSP等系等系统。n 细化安全化安全监控内容控内容,包括但不限于:,包括但不限于:内网系统:帐号登录信息,帐号、权限、口令的变更,服务与端口的启用,系统日志是否正常;互联网系统:除了满足内网系统监控内容要求外,还应包括网站页面是否被篡改,系统可用性;安全设备:防病毒系统、入侵检测系统、防火墙等安全告警信息。n 针对各各监控控对象象细化制定安全化制定安全监控的各控的各项控制基控制基线与量化指与量化指标,基
27、,基线与指与指标的数的数值应至少至少设定正常,一般告警,定正常,一般告警,紧急告警三个等急告警三个等级。n 应完善和完善和优化安全化安全监控手段,提升控手段,提升监控的效率与覆盖面。控的效率与覆盖面。n 应制定制定细化的安全化的安全监控作控作业计划划,实施施对重点重点监控控对象的象的724小小时监控。控。n 对于于监控中控中发现的安全的安全问题,及,及时进行行详细记录并形成并形成监控日志控日志,监控日控日志志应留存留存3个月以上。个月以上。n 要及要及时对监控中控中发现的的问题进行行识别、分析与、分析与处置置。n 按照安全事件管理相关要求按照安全事件管理相关要求对监控中控中发现的安全事件的安全
28、事件进行行处置。置。31-基基础础信息安全管理通用要求信息安全管理通用要求访问访问控制控制1 n内网接入安全要求内网接入安全要求严禁任何设备以双网卡方式同时连接互联网和公司内网;严禁向任何未经防火墙隔离的对外网站等互联网系统分配公司内网IP地址;接入公司内网的终端设备必须通过802.1X认证,安全网关认证,MAC地址绑定等方式之一实现网络接入认证,只有通过接入认证的设备才可访问局域网资源;如因系统限制暂时无法在系统中实现网络登录认证,任何外来设备只能在接入申请批准后方可接入,并由局域网的维护人员对接入终端进行登记;原则上不应采用无线AP方式接入内网,如遇特殊情况,依据“谁接入、谁负责”的原则,
29、管理上必须经主管领导审批授权,技术上必须采用MAC地址绑定,强安全认证,强加密算法保护的安全传输,配置隐藏SSID,保证AP口令强度等配置;各单位要维护一份已使用内网IP地址清单,清单内容包括但不限于每个IP地址的使用单位、设备用途、责任人(使用人)和联系方式等信息。n 远程接入程接入 远程接入指从外部网络接入公司内网;各单位要制定远程接入的实施细则、远程接入审批和授权流程,规范帐号权限的申请、变更与删除等工作,审批与授权记录应予以归档留存;各单位对远程接入应做到系统集中管控(接入4A系统),采用短信动态口令,令牌等强认证方式,并对远程接入用户的登录过程、操作行为进行记录(记录内容包括但不限于
30、:用户名、操作内容、登陆方式、登入时间、登出时间);远程接入帐号只能授予内部员工,厂家人员需要使用远程维护时,按次授权,用毕收回;远程接入帐号的创建、调整和删除申请审批通过后,应及时更新系统中的帐号状态,确保与审批结果保持一致;定期(每半年至少一次)检查远程接入帐号与权限,清除过期或者未授权的访问帐号与权限。32-基基础础信息安全管理通用要求信息安全管理通用要求访问访问控制控制2 n防火防火墙配置管理配置管理各单位应制定防火墙策略管理的实施细则、防火墙策略变更审批和授权流程,规范防火墙策略新建、更新与删除工作,审批与授权记录应予以归档留存;防火墙配置应满足中国移动防火墙功能和配置规范要求,做好
31、日志、告警、安全策略、攻击防护的配置;系统管理员应遵循“最小化”原则,根据系统内外部互联需求,建立细化到连接双方的IP、端口、有效时间范围、承载信息、信息敏感性等内容在内的网络连接信息表,并据此配置防火墙策略,禁止出现非业务需要的大段IP、连续端口开放的配置;除数据网管、安全管控平台等因业务需要外,互联网边界防火墙从外网至内网的方向仅允许业务应用端口,严禁开放维护管理和数据库服务端口;内网不同区域之间的边界防火墙对于维护管理、数据库服务端口仅允许配置点对点访问策略,严禁开放大段IP地址的访问策略;内部核心区不允许开放到互联网的访问权限。建立维护作业计划,定期(至少每周一次)对非永久有效的临时防
32、火墙策略进行清理。定期审核防火墙策略,确保网络连接信息、防火墙策略与实际情况的一致性,确保防火墙策略满足公司安全要求。n 第三方第三方访问控制管理控制管理第三方是指与中国移动在业务上具有合作关系,或是向中国移动提供开发、维护等服务的公司及其员工;各单位要与第三方公司签订保密协议,在协议中明确第三方公司及其参与服务的员工的保密责任以及违约罚则;第三方人员的开发、维护的接入区域要与中国移动的生产、内部办公、维护区域分离,并采用更严格的访问控制策略和管控手段;第三方工作区域的终端接入中国移动的内部网络时要满足内网接入要求,严格限制U盘等外设拷贝,禁止使用无线上网,必须安装防病毒软件;通过接入4A系统
33、等方式对第三方人员的登录过程、操作行为进行记录(记录内容包括但不限于:用户名、操作内容、登录方式、登入时间、登出时间),日志记录至少保留6个月。严格禁止第三方人员拥有重要系统管理员权限,创建系统帐号权限,查询客户敏感信息或者超出工作范围的高级权限的帐号。各单位应至少每3个月对第三方的帐号权限进行一次审核清理。33-基基础础信息安全管理通用要求信息安全管理通用要求访问访问控制控制3 n 帐号口令管理号口令管理各单位要制定帐号口令管理办法,帐号口令管理满足:帐号管理遵循职责匹配、最小授权原则,规范帐号创建、变更、删除审批流程,严格限制程序帐号的使用;口令设置满足字母、数字组合等复杂度要求,不得以明
34、文方式保存或者传输,口令长度不得小于8位,至少每90天更换一次,且5次以内不得设置相同的口令;定期(至少每半年一次)对帐号申请审批、权限变更等流程执行情况进行审核,避免出现非法创建帐号、无主帐号以及权限与职责不相容的帐号。要通过系统功能强制实现口令策略管理,防止出现弱口令设置。重要系统要采用短信动态口令、证书等强认证登录方式。34-基基础础信息安全管理通用要求信息安全管理通用要求安全分析安全分析 n各各单位要建立位要建立安全分析制度安全分析制度,定期,定期对基基础信息安全工作情况信息安全工作情况进行分行分析通析通报。n 分析内容分析内容包括:基包括:基础信息安全相关的安全形信息安全相关的安全形
35、势与威与威胁变化,安全事化,安全事件,安全件,安全预警、安全警、安全监控、控、风险评估、合估、合规性性检查等等发现的安全的安全问题,部署相关整改工作,追踪安全,部署相关整改工作,追踪安全问题整改情况,整改情况,对重大安全事重大安全事项进行行专题研究等。研究等。n 对于分析中形成的信息安全于分析中形成的信息安全工作决工作决议,工作部署等,工作部署等记录归档,并档,并追追踪落踪落实。35-基基础础信息安全管理通用要求信息安全管理通用要求安全合安全合规规性性检查检查 n各省信息安全各省信息安全归口管理部口管理部门要制定合要制定合规性性检查制度,配制度,配备必要的必要的检查工具,工具,建立内部建立内部
36、检查机制。机制。n信息安全信息安全归口管理部口管理部门每年年初要每年年初要组织相关相关单位共同制定位共同制定安全合安全合规性性检查计划划,并按照,并按照计划开展划开展检查工作。工作。n在在计划中要明确划中要明确检查的方式、方法的方式、方法,抽,抽调各各单位安全力量,以自位安全力量,以自查或交叉或交叉检查方式方式进行。行。安全合规性检查范围与频次要求:每年至少对各IT系统组织完成一次全面检查;各单位应结合自身情况开展不定期的自查。n安全运安全运营管理和基管理和基础IT设施安全防施安全防护的合的合规性性检查应依据本要求依据本要求执行;行;单点点设备安全配置的合安全配置的合规性性检查建建议采用采用设
37、备安全配置安全配置审核工具核工具进行。行。n 合合规性性检查的的方法方法包括但不限于:抽包括但不限于:抽样检查、全面、全面检查、现场检测、日志、日志审核、人核、人员访谈、工具自、工具自动检查等。等。n 每次每次检查结束后束后检查小小组要及要及时编制制安全合安全合规性性检查报告告、安全合安全合规性性检查问题整改整改计划及划及实施方案施方案。n 被被检查单位要及位要及时向本省信息安全向本省信息安全归口管理部口管理部门上上报整改整改进度与成果及度与成果及安全合安全合规性性检查问题整改工作整改工作总结。36-基基础础信息安全管理通用要求信息安全管理通用要求安全事件管理安全事件管理1n安全事件分安全事件
38、分为特特别重大、重大、重大、重大、较大和一般四个大和一般四个级别。系。系统(含内网系(含内网系统)安全事件安全事件信息分信息分级定定义参照参照互互联网网网网络安全信息通安全信息通报实施施办法法规定,及集定,及集团相关部相关部门要求。要求。n 安全事件安全事件组织分分为三三级,一,一级管理管理组织是集是集团公司,公司,负责跨省、跨跨省、跨专业事件的事件的协调处置。二置。二级管理管理组织为各省公司,各省公司,负责辖区内事件的区内事件的协调处置。三置。三级管理管理组织由省公由省公司各部司各部门的安全小的安全小组组成,成,负责事件的具体事件的具体处置。置。n 各各级组织应负责执行所主管行所主管IT系系
39、统与网与网络的安全事件管理工作,并接受上一的安全事件管理工作,并接受上一级组织的的统筹与指筹与指导。n 国家重大活国家重大活动保障保障时期期发生的安全事件的生的安全事件的级别应在原有在原有级别上上提升一提升一级,特,特别重大重大安全事件安全事件级别不再向上提升。不再向上提升。n 各各级组织对于安全于安全监控控发现的安全事件,要及的安全事件,要及时对安全事件的影响范安全事件的影响范围和和级别进行行判断并决定是否需要上判断并决定是否需要上报;对于省内跨于省内跨专业的安全事件的安全事件应及及时上上报二二级事件管理事件管理组织协调处理,理,对于跨省的安全事件于跨省的安全事件应及及时上上报一一级事件管理
40、事件管理组织协调处理。理。上上报模板参模板参见附附录一。一。n 各各级组织收到安全事件投收到安全事件投诉后后应及及时对投投诉内容内容进行行核核实,并,并协调做好投做好投诉的的处理理。特别重大安全事件发生时,二级管理组织应立即上报集团公司,经审批后,上报当地安全分中心。特别重大安全事件确认至上报集团不得超过1小时。重大安全事件发生时,二级管理组织应及时上报集团公司。重大安全事件确认至上报到集团公司不得超过2小时。较大或一般安全事件由二级管理组织汇总后于次月5个工作日内报送当地通信管理局和CNCERT/CC当地分中心,并在每月安全报表中向集团公司上报。n二二级管理管理组织应记录安全事件的安全事件的
41、审计核核查结果,果,进行行汇总分析,分析,总结存在的存在的问题并并归档档形成安全事件案例形成安全事件案例库,并上,并上报集集团公司。公司。37-基基础础信息安全管理通用要求信息安全管理通用要求安全事件管理安全事件管理2 n 安全事件安全事件发生后生后应立即启立即启动响响应机制机制。n 按照按照“谁下达任下达任务,谁结束任束任务”的原的原则,重大活,重大活动保障任保障任务下达下达单位或部位或部门应明确安全响明确安全响应任任务的的结束束时间。n 在在网网络入侵事件入侵事件的的处理理过程中,程中,应保保护被入侵被入侵设备现场,尽可能,尽可能进行离行离线封存封存问题设备,交二,交二级管理管理组织处理,
42、禁止擅自重装、理,禁止擅自重装、删除除系系统,为将来的取将来的取证或者分析入侵行或者分析入侵行为提供提供证据。据。n 做好事件恢复后的安全做好事件恢复后的安全检查工作,避免工作,避免设备上上线后再次出后再次出现同同类问题。n 各各级组织应定期完善定期完善安全事件安全事件预案案,对安全人安全人员进行培行培训,每年至,每年至少少执行一次信息安全演行一次信息安全演练。n 应定期定期检查、补充安全事件充安全事件处理所用的硬件及理所用的硬件及软件工具,相关支撑件工具,相关支撑文档文档资料等,做到有料等,做到有备无患。无患。n 应完善安全事件响完善安全事件响应的的技技术支撑体系支撑体系,提升事件,提升事件
43、处置能力。置能力。n 对于安全事件于安全事件处理中关理中关键节点的点的访问与操作日志与操作日志应建立建立备份机制份机制,在在线日志至少日志至少应保存三个月,离保存三个月,离线日志至少日志至少应保存半年。保存半年。38-基基础础信息安全管理通用要求信息安全管理通用要求人人员员与与资产资产安全管理安全管理 n各省各省应与合作第三方、关与合作第三方、关键岗位位员工工单独独签订保密保密协议,在,在协议中中明确其保密明确其保密责任以及任以及违约罚则。n 各省各省应建立所建立所辖系系统中有中有IP地址的地址的基基础设备资产管理清管理清单,并集中,并集中建立与互建立与互联网接口的网接口的资产清清单,必,必须
44、详细记录信息信息资产的状的状态、IP地址、系地址、系统类型与版本、功能与用途、所型与版本、功能与用途、所处位置、相关位置、相关责任人等。任人等。n 各省各省应确保确保资产清清单与在与在线系系统状状态、责任人任人员信息一致。信息一致。n 应定期定期通通过IP段段扫描或者人工描或者人工检查的方式的方式比比对审计资产清清单与与现网网资产信息,信息,对于未于未经登登记的无主的无主设备一一经发现立即立即处理,理,对于于资产信息信息发生生变化的化的应予以更新。予以更新。n 各省每半年各省每半年应对省内所有公网省内所有公网IP设备的潜在安全高危端口(如的潜在安全高危端口(如远程程登登录,网站服,网站服务,数
45、据,数据库服服务,网管服,网管服务等)等)进行一次行一次扫描描,每年,每年应对所有公网所有公网IP完成一次全面完成一次全面漏洞漏洞扫描描,及,及时对自有自有业务和系和系统存存在的安全在的安全风险进行行整改整改。n 各省各省应建立完善建立完善资产退服管理流程退服管理流程。定期清。定期清查盘点,确保退服系点,确保退服系统及及时下下线并移出机房。并移出机房。对于退服于退服设备的数据,要的数据,要彻底清除。底清除。39-基基础础信息安全管理通用要求信息安全管理通用要求系系统统安全安全 n单点点设备安全要求:安全要求:单点设备包括IT系统与网络中的终端、主机、中间件、数据库、网络设备等;单点设备在规划建
46、设、工程验收、运行维护各个环节中,必须严格遵守中国移动设备安全功能和配置规范相关要求。规范清单参见附录二。n 业务和和应用安全要求:用安全要求:业务和应用在规划、建设、上线阶段应满足以下安全要求:在业务和应用规划阶段,应当根据应用系统面临的安全威胁以及业务、管理与维护上的需要,遵循“基础IT设施安全防护要求”以及公司相关业务安全规范和标准,提出相应的安全要求;在业务和应用在规划设计阶段,应组织需求单位、建设单位、运维管理单位及安全管理部门对规划设计方案的安全性进行会审,确保方案的合理性,避免在规划设计阶段引入安全风险;在系统后续的开发建设、测试交付以及运行期间需要验证安全要求是否得到满足;应对
47、第三方开源组件在开发中的使用进行管控,不得采用已知存在安全漏洞的组件版本。Web应用软件安全应遵循WEB类应用系统安全防护技术要求,在身份验证、会话管理、权限管理、敏感数据保护、输入输出校验、内容安全等方面必须具备一定的安全功能,保证系统本身不易被攻击;40-基基础础信息安全管理通用要求信息安全管理通用要求系系统统安全安全 n生生产环境安全要求:境安全要求:生产环境中的工具软件安装与使用要求应对生产环境中工具软件进行统一管理,不得安装与生产无关的软件;严禁安装能够穿透防火墙,从互联网访问和控制内网设备的软件,如Teamviewer等;除部门领导授权外,任何非安全专用设备严禁安装漏洞扫描、网络嗅
48、探等安全工具;及时修补Serv-U、VNC等常用第三方工具软件存在的安全漏洞。移动存储介质使用安全要求各单位应完善本单位内移动存储介质使用管理办法,并指定专人负责对存储介质的使用进行指导、监督和检查;各单位应明确允许使用移动存储介质的人员、系统与网络范围,对于不允许使用的,应实施控制策略、物理封闭或端口封禁等手段;对准许接入系统与网络的存储介质进行严格控制,在接入前必须进行病毒查杀;未经授权,严禁使用移动存储设备(如移动硬盘、U盘等)处理涉密数据或文件;涉密信息的移动存储介质的管理应按照国家、公司相关保密制度执行。应做到办公终端与维护生产终端的专机专用,原则上要求实现两者的物理隔离,严禁采用双
49、网卡(包括无线网卡)跨接不同网络。开发测试系统的安全要求:开发测试环境应与生产环境隔离,不得在现网生产环境上进行开发与测试;开发测试过程中不得使用真实生产数据,仅能使用经过模糊化处理的数据;应对开发测试环境采取适当的保护措施,防止被互联网区域渗透。41-基基础础信息安全管理通用要求信息安全管理通用要求安全域划分安全域划分 n安全域指具有相同或相近的安全需求、相互信任的网安全域指具有相同或相近的安全需求、相互信任的网络区域或网区域或网络实体的集合。体的集合。n安全域的划分安全域的划分应依据依据业务保障、保障、结构构简化、等化、等级保保护、生命周期、生命周期四四项原原则执行。行。n 网管、网管、业
50、务支撑、信息化支撑、信息化3大支撑系大支撑系统应分分别依据依据中国移中国移动支撑支撑系系统安全域划分与安全域划分与边界整合技界整合技术要求要求、中国移中国移动业务支撑网安支撑网安全域划分和全域划分和边界整合技界整合技术要求要求、中国移中国移动管理信息系管理信息系统安全域安全域划分技划分技术要求要求划分安全域;划分安全域;数据数据业务系系统应依据依据中国移中国移动数据数据业务系系统集中化安全防集中化安全防护技技术要求要求划分安全域。划分安全域。n 各各单位可位可结合自身安全需求,通合自身安全需求,通过安全域安全域风险分析,制分析,制订更更细粒度粒度的安全域划分方案,的安全域划分方案,进一步定一步
浙ICP备2021020529号-1 | 浙B2-20240490 
