信息安全管理体系及重点制度介绍

1、1信息安全管理体系及重点制度介绍信息安全管理体系及重点制度介绍 信息系统部信息系统部2011年年5月月4日日2目目 录录信息安全管理体系介绍信息安全管理体系介绍1 基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法2基础信息安全要求基础信息安全要求3客户信息保护管理规定客户信息保护管理规定4信息安全三同步管理办法信息安全三同步管理办法5业务安全风险评估标准业务安全风险评估标准63ISO17799:2000国际标准国际标准BS7799-1:1999BS7799-2:1999英国标准英国标准BS7799-2: 2002BS7799-1:2000ISO17799:2005ISO2700

2、1:2005BS7799:1996BS7799-3:20054pISO 27001的标准全称的标准全称 Information technology- Security techniques-Information security management systems-Requirements 信息技术信息技术- -安全技术安全技术- -信息安全管理体系信息安全管理体系- -要求要求nISMS 信息安全管理体系信息安全管理体系 - 管理体系管理体系 - 信息安全相关信息安全相关 - ISO 27001 的的3 术语和定义术语和定义-3.7nRequirements 要求要求5p建立方针和目标

3、并实现这些目建立方针和目标并实现这些目标的相互关联或相互作用的一标的相互关联或相互作用的一组要素。组要素。p管理体系包括组织结构，策略，管理体系包括组织结构，策略，规划，角色，职责，流程，程规划，角色，职责，流程，程序和资源等。序和资源等。(ISO 270013 术术语和定义语和定义-3.7)p管理的方方面面以及公司的所管理的方方面面以及公司的所有雇员，均囊括在管理体系范有雇员，均囊括在管理体系范围内。围内。Quality management system (ISO 9001)Environmental management system(ISO 14001)Safety managemen

4、t system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System (ISO 20000)Information security management system(ISO 27001)6AlterationDestructionDisclosureInformationIntegrity Availability ConfidentialityInformation保护信息的保密性、完整性和可用性保护信息的保密性、完整性和可用性(CIA);另另外也可包括诸如真实性，可核查性，

5、不可否认外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性性和可靠性等特性 (ISO 270013 术语和定义术语和定义-3.4)p 机密性（机密性（Confidentiality） 信息不能被未授权的个人，实体或者过程利用信息不能被未授权的个人，实体或者过程利用或知悉的特性或知悉的特性 (ISO 270013 术语和定义术语和定义-3.3)p完整性（完整性（Integrity）保护资产的准确和完整的特性保护资产的准确和完整的特性(ISO 270013 术术语和定义语和定义-3.8).确保信息在存储、使用、传输确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止过程中不会被

6、非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。持信息内、外部表示的一致性。p可用性（可用性（Availability） 根据授权实体的要求可访问和利用的特性根据授权实体的要求可访问和利用的特性(ISO 270013 术语和定义术语和定义-3.2).确保授权用户或实确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源允许其可靠而及时地访问信息及资源7安全策略安全策略合规性合规性信息安全组织信息安全组织资产管理资产管理信息系统信息系统

7、获取开发获取开发和维护和维护人力资源安全人力资源安全物理和环境安全物理和环境安全通信和操作管理通信和操作管理访问控制访问控制信息安全事件管理信息安全事件管理业务连续性管理业务连续性管理89湖南移动信息安全管理制度湖南移动信息安全管理制度n已发布制度已发布制度湖南移动信息安全管理办法和责任矩阵湖南移动信息安全三同步管理办法中国移动客户信息安全保护管理规定（试行）和控制矩阵中国移动业务信息安全评估标准（2011）中国移动基础信息安全管理通用要求（试行）和检查矩阵n实践案例汇编实践案例汇编“客户信息安全保护解决方案汇编”“基础信息安全案例汇编”n计划完善的制度计划完善的制度安全应急处置责任追究安全检

8、查管理办法10目目 录录信息安全管理体系介绍信息安全管理体系介绍1 基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法2基础信息安全要求基础信息安全要求3客户信息保护管理规定客户信息保护管理规定4信息安全三同步管理办法信息安全三同步管理办法5业务安全风险评估标准业务安全风险评估标准611基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法n互联网新技术新业务的互联网新技术新业务的广泛，信息安全事件时广泛，信息安全事件时有发生有发生n普遍存在普遍存在“重市场发展、重市场发展、轻安全管理轻安全管理”的现象的现象,甚甚至还有至还有“只顾赚钱，漠只顾赚钱，漠视安全视安全”的情

9、况存在的情况存在n基础电信企业的信息安全责任和要求不尽明确。n企业对自身应承担的信息安全责任重视不够、投入不足。n行业监管机构对企业信息安全责任和义务缺乏有效监督和管理的方式方法。企业信息安全责任保障条件总则总则监督管理n基础电信企业信息安全责任管理基础电信企业信息安全责任管理办法（工信部保办法（工信部保2009713号）号）12基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法-总则总则n 第三条（信息安全）本办法所称信息安全指电信网络本办法所称信息安全指电信网络（包括固定网、移动网和互联网）上的公共信息内容安（包括固定网、移动网和互联网）上的公共信息内容安全。全。n 第四条（

10、企业信息安全责任）企业有义务维护国家安全、企业有义务维护国家安全、社会稳定和用户合法权益；应在网络建设、业务提供、社会稳定和用户合法权益；应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信应急处置、信息报备、人员培训等方面建立健全企业信息安全责任制度，同步建设与企业网络、业务和用户发息安全责任制度，同步建设与企业网络、业务和用户发展相适应的信息安全保障体系和技术保障手段；保障必展相适应的信息安全保障体系和技术保障手段；保障必要的人员和资金投入。要的人员和资金投入。总总 则则13基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法企业信息安全责任企业信息安全责任

11、企业信息企业信息安全责任安全责任规范合作经营规范合作经营技术保障措施技术保障措施配合监管配合监管信息报备信息报备网络建设网络建设开办业务开办业务日常监测日常监测用户信息保护用户信息保护接入责任接入责任14企业信息安全责任-（网络建设）n 企业在电信网络的设计、建设和运行过程中，应企业在电信网络的设计、建设和运行过程中，应做到与国家信息安全的需求同步规划，同步建设，做到与国家信息安全的需求同步规划，同步建设，同步运行。同步运行。n 企业在系统规划、建设、升级、改造等环节应认企业在系统规划、建设、升级、改造等环节应认真落实国家信息安全要求，同步配套相关信息安真落实国家信息安全要求，同步配套相关信息

12、安全设备和设施。全设备和设施。n 企业在网络设备选型、采购和使用时，应遵守电企业在网络设备选型、采购和使用时，应遵守电信设备进网要求，满足信息安全管理需要。信设备进网要求，满足信息安全管理需要。 15企业信息安全责任- （开办业务）n 企业应履行信息安全承诺，按照电信业务经营许可的信企业应履行信息安全承诺，按照电信业务经营许可的信息安全要求开展和经营相关电信业务。息安全要求开展和经营相关电信业务。n 企业要在新产品立项、产品开发和业务上线（包括合作企业要在新产品立项、产品开发和业务上线（包括合作开办）的各环节：开办）的各环节：建立实施信息安全评估制度，同步配套与业务特点和用户规模相适应的信息安

13、全保障措施，明确业务的信息安全负责人，建立相应的管理制度和应急处置流程，按规定向电信监管机构进行业务信息报备。 16企业信息安全责任- （日常监测）n 对本企业通信网络中发现的违法信息，企业应立对本企业通信网络中发现的违法信息，企业应立即停止传输，保存相关记录，并向国家有关机关即停止传输，保存相关记录，并向国家有关机关报告。报告。n 对有关部门依法通知停止传输的违法信息，企业对有关部门依法通知停止传输的违法信息，企业应配合执行。应配合执行。 17企业信息安全责任- （用户信息保护）n 电信用户依法使用电信的自由和通信秘密受法律电信用户依法使用电信的自由和通信秘密受法律保护。企业及其工作人员不得

14、擅自向他人提供电保护。企业及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容（法律另信用户使用电信网络所传输信息的内容（法律另有规定的除外）。有规定的除外）。n 对于本企业业务网络对于本企业业务网络/系统中保存的有关用户资系统中保存的有关用户资料和信息，企业应依法予以保护，不得非法出售料和信息，企业应依法予以保护，不得非法出售或者提供给其他组织和个人、不得用于与企业业或者提供给其他组织和个人、不得用于与企业业务无关的用途。务无关的用途。 18企业信息安全责任- （接入责任）n 企业不得向未取得电信业务经营许可证的单位或企业不得向未取得电信业务经营许可证的单位或个人提供用于经营性

15、电信业务的电信资源、网络个人提供用于经营性电信业务的电信资源、网络接入和业务接入；不得向未备案非经营性互联网接入和业务接入；不得向未备案非经营性互联网站提供网络接入。站提供网络接入。n 企业应监督接入用户按照约定的用途使用电信资企业应监督接入用户按照约定的用途使用电信资源或开展业务。发现擅自改变使用用途的，及时源或开展业务。发现擅自改变使用用途的，及时通知整改，涉及违法犯罪的，及时向有关部门报通知整改，涉及违法犯罪的，及时向有关部门报告。告。n 企业应定期检查接入内容。发现信息安全问题和企业应定期检查接入内容。发现信息安全问题和隐患及时做出相应处理。隐患及时做出相应处理。 19企业信息安全责任

16、- （规范合作经营）n 企业在开展业务合作前，要对合作方的经营资质、企业在开展业务合作前，要对合作方的经营资质、业务许可等信息进行审核，并在合同中明确各方业务许可等信息进行审核，并在合同中明确各方的信息安全责任。的信息安全责任。n 企业应当对合作提供的各类业务进行规范和监督，企业应当对合作提供的各类业务进行规范和监督，建立违法信息发现、监测和处置制度。对合作中建立违法信息发现、监测和处置制度。对合作中出现的信息安全问题和隐患，企业应督促合作单出现的信息安全问题和隐患，企业应督促合作单位及时整改，或者按照合同约定进行处理，对违位及时整改，或者按照合同约定进行处理，对违反法律的，报送相关部门查处。

17、反法律的，报送相关部门查处。 20企业信息安全责任- （技术保障措施）n 企业应当建立并完善事前防范、事中阻断、事后企业应当建立并完善事前防范、事中阻断、事后追溯的信息安全技术保障体系。追溯的信息安全技术保障体系。n 企业应当建立必要的技术手段，加强对重要电信企业应当建立必要的技术手段，加强对重要电信资源（如电信码号、网络带宽、资源（如电信码号、网络带宽、IP地址、域名等）地址、域名等）的管理。的管理。n 企业应当认真落实接入责任，建全信息安全管理企业应当认真落实接入责任，建全信息安全管理和公共信息服务内容日常核查手段。和公共信息服务内容日常核查手段。21企业信息安全责任- （配合监管）n 企

18、业应当认真配合电信监管机构开展信息安全监企业应当认真配合电信监管机构开展信息安全监督管理工作，保证相关工作顺利实施。督管理工作，保证相关工作顺利实施。 企业应当依法记录并妥善保存用户使用电信网络的有关信息，相关信息应当至少保存60日。 对存在的信息安全问题和隐患，企业应当严格按照电信监管机构的处理意见进行整改。 因涉及国家安全或处置紧急事件的需要，电信监管机构根据国家的有关规定和要求组织实施通信管制，企业应当配合执行。22企业信息安全责任- （信息报备）n 企业应当遵照有关信息安全要求和规定，执行信息安全企业应当遵照有关信息安全要求和规定，执行信息安全信息上报、备案制度，接受并配合电信监管机构

19、的监督信息上报、备案制度，接受并配合电信监管机构的监督检查。检查。可能引发信息安全隐患的网络调整、扩容、电信基础资源使用变更等；可能引发信息安全隐患的新开展业务；企业信息安全责任人或联系人信息变更；企业业务网络/系统内发生的各类信息安全事件。n 企业应保证相关报备信息的及时、准确、完整。企业应保证相关报备信息的及时、准确、完整。23基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法通报整改制度通报整改制度n电信监管机构对企业落实信息安全责任情况建立日常监测机制，实行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企业，电信监管机构向企业提出书面整改意见，责成企业限期整改，并

20、视情况在一定范围内予以通报。n电信监管机构定期或不定期对企业落实信息安全责任的情况进行专项监督检查。企业应当将每年落实信息安全责任的有关情况形成书面报告报电信监管机构。n对在新产品立项、产品开发和业务上线（包括合作开办）各环节未同步开展信息安全评估、未同步配套与该业务相适应的信息安全保障措施、未按规定要求向电信监管机构进行业务信息报备，而造成特（重）大信息安全事件（或被有关部门通报并经电信监管机构组织专家研究认定该业务存在严重信息安全隐患）的，由电信监管机由电信监管机构责令相关企业限期整改，未经整改合格的，不得开展该业务。构责令相关企业限期整改，未经整改合格的，不得开展该业务。监督管理监督管理

21、24基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法通报整改制度通报整改制度n对因自身管理原因造成信息安全事件，由电信监管机构追究相关企业责任。对因自身管理原因造成信息安全事件，由电信监管机构追究相关企业责任。 （一）企业在一年内，发生1次特大信息安全事件的，或累计发生3次（及3次以上）重大信息安全事件的，由电信监管机构予以通报批评，对相关责任人提出处理意见或建议，通报相关管理部门，并视情况向社会通告。 （二）企业在一年内，发生1次重大信息安全事件的，或累计发生5次（及5次以上）一般信息安全事件的，由电信监管机构予以通报批评，对相关责任人提出处理意见或建议，并通报相关管理部门。

22、 （三）企业在一年内，发生5次以下一般信息安全事件的，由电信监管机构在电信行业内进行通报。 （四）企业存在信息安全问题或隐患，未按要求在规定期限内进行相应整改的，由电信监管机构予以通报批评，对相关责任人提出处理意见或建议，并视情况通报相关管理部门。构成犯罪的，移送司法机关依法追究刑事责任。监督管理监督管理25基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法 重点（一）重点（一）n 落实基础企业领导人问责制落实基础企业领导人问责制 明确和落实企业领导责任。 对工作不落实、措施不到位、被电信主管部门通报批评的，追究企业信息安全责任人的领导责任。 对整改不力、屡改屡犯、故意违规的，通

23、报批评相应企业信息安全责任人，并函告其上级主管部门追究企业信息安全责任人的领导责任。26基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法 （二）（二）n 加强业务推广、合作经营的管理加强业务推广、合作经营的管理 对业务推广渠道中业务合作的建立、合作内容的规范、合作问题的发现和监督、业务推广模式的实现等相关细节明确制度化、规范化的要求。 监督合作单位相关责任和义务落实情况，确保实效。 对合作中出现的信息安全问题和隐患，企业应督促合作单位及时整改；发现存在违规的，立即暂停或终止合作；发现违反法律的，报送相关部门查处。 27基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理

24、办法 （三）（三）n 落实接入环节管理责任落实接入环节管理责任 为无证服务商提供接入、为未取得经营许可或备案的网站接入的，追究相关人员责任。 与接入服务商、网站签订信息安全管理协议。 监督接入服务商、网站的日常活动，配合相关主管部门对接入服务商、网站接入的查处。 对发现涉及违法犯罪的，应及时停止接入、保存记录，并向有关部门报告。 对无法判定的涉嫌违规内容，应保存记录，并向有关部门报告，配合有关部门的研判和处置。 28目目 录录信息安全管理体系介绍信息安全管理体系介绍1 基础电信企业信息安全责任管理办法基础电信企业信息安全责任管理办法2基础信息安全要求基础信息安全要求3客户信息保护管理规定客户信

25、息保护管理规定4信息安全三同步管理办法信息安全三同步管理办法5业务安全风险评估标准业务安全风险评估标准629基础信息安全管理通用要求基础信息安全管理通用要求30基础信息安全管理通用要求基础信息安全管理通用要求安全预警安全预警n预警信息分为一级、二级、三级、四级，一级为最高级。预警信息分为一级、二级、三级、四级，一级为最高级。n集团公司信息安全管理责任部门负责面向全网发布预警信息，各省集团公司信息安全管理责任部门负责面向全网发布预警信息，各省公司或专业部门向所辖地域与专业公司或专业部门向所辖地域与专业发布发布预警信息。预警信息。n各单位接到预警信息后，应依据上级主管部门要求各单位接到预警信息后，

26、应依据上级主管部门要求落实落实，及时，及时跟踪跟踪预警项进展，预警内容出现变化应及时预警项进展，预警内容出现变化应及时上报上报，必要时调高预警级别，必要时调高预警级别并采取更严格防范措施。并采取更严格防范措施。n各单位可根据预警信息对系统的影响情况调高预警级别，但不允许各单位可根据预警信息对系统的影响情况调高预警级别，但不允许调低预警级别；调低预警级别；对安全补丁类预警，应根据设备所处位置和重要性采取不同的加载策略。在设备没打补丁期间，要采取相应的加固措施，保证设备不易被攻击。对于安全预警信息，应在预警信息规定时限内向预警信息发布主体反馈处理结果。n安全预警安全预警处理结果反馈处理结果反馈内容

27、应包括预警的影响范围、防范措施实施内容应包括预警的影响范围、防范措施实施范围、防范措施实施效果、进一步计划等内容。范围、防范措施实施效果、进一步计划等内容。31基础信息安全管理通用要求基础信息安全管理通用要求安全监控安全监控 n要由监控专业或相应专业人员实施对各专业网络与系统的要由监控专业或相应专业人员实施对各专业网络与系统的集中化安全监控集中化安全监控。n重点监控范围重点监控范围包括安全等级三级及以上的包括安全等级三级及以上的IT系统，以及基地业务、彩信、系统，以及基地业务、彩信、OA、ERP、邮件系统、对外网站、邮件系统、对外网站、IDC、WLAN、DNS、LSP等系统。等系统。n 细化安

28、全细化安全监控内容监控内容，包括但不限于：，包括但不限于：内网系统：帐号登录信息，帐号、权限、口令的变更，服务与端口的启用，系统日志是否正常；互联网系统：除了满足内网系统监控内容要求外，还应包括网站页面是否被篡改，系统可用性；安全设备：防病毒系统、入侵检测系统、防火墙等安全告警信息。n 针对各监控对象细化制定安全监控的各项针对各监控对象细化制定安全监控的各项控制基线与量化指标控制基线与量化指标，基线与指，基线与指标的数值应至少设定正常，一般告警，紧急告警三个等级。标的数值应至少设定正常，一般告警，紧急告警三个等级。n 应完善和优化安全监控手段，提升监控的效率与覆盖面。应完善和优化安全监控手段，

29、提升监控的效率与覆盖面。n 应制定细化的安全应制定细化的安全监控作业计划监控作业计划，实施对重点监控对象的，实施对重点监控对象的724小时监控。小时监控。n 对于监控中发现的安全问题，及时进行详细记录并形成对于监控中发现的安全问题，及时进行详细记录并形成监控日志监控日志，监控日，监控日志应留存志应留存3个月以上。个月以上。n 要及时对监控中发现的问题进行要及时对监控中发现的问题进行识别、分析与处置识别、分析与处置。n 按照安全事件管理相关要求对监控中发现的安全事件进行处置。按照安全事件管理相关要求对监控中发现的安全事件进行处置。 32基础信息安全管理通用要求基础信息安全管理通用要求访问控制访问

30、控制1 n内网接入安全要求内网接入安全要求严禁任何设备以双网卡方式同时连接互联网和公司内网；严禁向任何未经防火墙隔离的对外网站等互联网系统分配公司内网IP地址；接入公司内网的终端设备必须通过802.1X认证，安全网关认证，MAC地址绑定等方式之一实现网络接入认证，只有通过接入认证的设备才可访问局域网资源；如因系统限制暂时无法在系统中实现网络登录认证，任何外来设备只能在接入申请批准后方可接入，并由局域网的维护人员对接入终端进行登记；原则上不应采用无线AP方式接入内网，如遇特殊情况，依据“谁接入、谁负责”的原则，管理上必须经主管领导审批授权，技术上必须采用MAC地址绑定，强安全认证，强加密算法保护

31、的安全传输，配置隐藏SSID，保证AP口令强度等配置；各单位要维护一份已使用内网IP地址清单，清单内容包括但不限于每个IP地址的使用单位、设备用途、责任人（使用人）和联系方式等信息。n 远程接入远程接入 远程接入指从外部网络接入公司内网；各单位要制定远程接入的实施细则、远程接入审批和授权流程，规范帐号权限的申请、变更与删除等工作，审批与授权记录应予以归档留存；各单位对远程接入应做到系统集中管控（接入4A系统），采用短信动态口令，令牌等强认证方式，并对远程接入用户的登录过程、操作行为进行记录（记录内容包括但不限于：用户名、操作内容、登陆方式、登入时间、登出时间）；远程接入帐号只能授予内部员工，厂

32、家人员需要使用远程维护时，按次授权，用毕收回；远程接入帐号的创建、调整和删除申请审批通过后，应及时更新系统中的帐号状态，确保与审批结果保持一致；定期（每半年至少一次）检查远程接入帐号与权限，清除过期或者未授权的访问帐号与权限。33基础信息安全管理通用要求基础信息安全管理通用要求访问控制访问控制2 n防火墙配置管理防火墙配置管理各单位应制定防火墙策略管理的实施细则、防火墙策略变更审批和授权流程，规范防火墙策略新建、更新与删除工作，审批与授权记录应予以归档留存；防火墙配置应满足中国移动防火墙功能和配置规范要求，做好日志、告警、安全策略、攻击防护的配置；系统管理员应遵循“最小化”原则，根据系统内外部

33、互联需求，建立细化到连接双方的IP、端口、有效时间范围、承载信息、信息敏感性等内容在内的网络连接信息表，并据此配置防火墙策略，禁止出现非业务需要的大段IP、连续端口开放的配置；除数据网管、安全管控平台等因业务需要外，互联网边界防火墙从外网至内网的方向仅允许业务应用端口，严禁开放维护管理和数据库服务端口；内网不同区域之间的边界防火墙对于维护管理、数据库服务端口仅允许配置点对点访问策略，严禁开放大段IP地址的访问策略；内部核心区不允许开放到互联网的访问权限。建立维护作业计划，定期（至少每周一次）对非永久有效的临时防火墙策略进行清理。定期审核防火墙策略，确保网络连接信息、防火墙策略与实际情况的一致性

34、，确保防火墙策略满足公司安全要求。n 第三方访问控制管理第三方访问控制管理第三方是指与中国移动在业务上具有合作关系，或是向中国移动提供开发、维护等服务的公司及其员工；各单位要与第三方公司签订保密协议，在协议中明确第三方公司及其参与服务的员工的保密责任以及违约罚则；第三方人员的开发、维护的接入区域要与中国移动的生产、内部办公、维护区域分离，并采用更严格的访问控制策略和管控手段；第三方工作区域的终端接入中国移动的内部网络时要满足内网接入要求，严格限制U盘等外设拷贝，禁止使用无线上网，必须安装防病毒软件；通过接入4A系统等方式对第三方人员的登录过程、操作行为进行记录（记录内容包括但不限于：用户名、操

35、作内容、登录方式、登入时间、登出时间），日志记录至少保留6个月。严格禁止第三方人员拥有重要系统管理员权限，创建系统帐号权限，查询客户敏感信息或者超出工作范围的高级权限的帐号。各单位应至少每3个月对第三方的帐号权限进行一次审核清理。34基础信息安全管理通用要求基础信息安全管理通用要求访问控制访问控制3 n 帐号口令管理帐号口令管理各单位要制定帐号口令管理办法，帐号口令管理满足：帐号管理遵循职责匹配、最小授权原则，规范帐号创建、变更、删除审批流程，严格限制程序帐号的使用；口令设置满足字母、数字组合等复杂度要求，不得以明文方式保存或者传输，口令长度不得小于8位，至少每90天更换一次，且5次以内不得设

36、置相同的口令；定期（至少每半年一次）对帐号申请审批、权限变更等流程执行情况进行审核，避免出现非法创建帐号、无主帐号以及权限与职责不相容的帐号。要通过系统功能强制实现口令策略管理，防止出现弱口令设置。重要系统要采用短信动态口令、证书等强认证登录方式。 35基础信息安全管理通用要求基础信息安全管理通用要求安全分析安全分析 n各单位要建立各单位要建立安全分析制度安全分析制度，定期对基础信息安全工作情况进行分，定期对基础信息安全工作情况进行分析通报。析通报。n 分析内容分析内容包括：基础信息安全相关的安全形势与威胁变化，安全事包括：基础信息安全相关的安全形势与威胁变化，安全事件，安全预警、安全监控、风

37、险评估、合规性检查等发现的安全问件，安全预警、安全监控、风险评估、合规性检查等发现的安全问题，部署相关整改工作，追踪安全问题整改情况，对重大安全事项题，部署相关整改工作，追踪安全问题整改情况，对重大安全事项进行专题研究等。进行专题研究等。n 对于分析中形成的信息安全对于分析中形成的信息安全工作决议工作决议，工作部署等记录归档，并，工作部署等记录归档，并追追踪落实踪落实。36基础信息安全管理通用要求基础信息安全管理通用要求安全合规性检查安全合规性检查 n各省信息安全归口管理部门要制定合规性检查制度，配备必要的检查工具，各省信息安全归口管理部门要制定合规性检查制度，配备必要的检查工具，建立内部检查

38、机制。建立内部检查机制。n信息安全归口管理部门每年年初要组织相关单位共同制定信息安全归口管理部门每年年初要组织相关单位共同制定安全合规性检安全合规性检查计划查计划，并按照计划开展检查工作。，并按照计划开展检查工作。n在计划中要明确在计划中要明确检查的方式、方法检查的方式、方法，抽调各单位安全力量，以自查或交叉，抽调各单位安全力量，以自查或交叉检查方式进行。检查方式进行。 安全合规性检查范围与频次要求：每年至少对各IT系统组织完成一次全面检查；各单位应结合自身情况开展不定期的自查。n安全运营管理和基础安全运营管理和基础IT设施安全防护的合规性检查应依据本要求执行；单设施安全防护的合规性检查应依据

39、本要求执行；单点设备安全配置的合规性检查建议采用设备安全配置审核工具进行。点设备安全配置的合规性检查建议采用设备安全配置审核工具进行。n 合规性检查的合规性检查的方法方法包括但不限于：抽样检查、全面检查、现场检测、日志包括但不限于：抽样检查、全面检查、现场检测、日志审核、人员访谈、工具自动检查等。审核、人员访谈、工具自动检查等。n 每次检查结束后检查小组要及时编制每次检查结束后检查小组要及时编制安全合规性安全合规性检查报告检查报告、安全合安全合规性检查问题整改计划及实施方案规性检查问题整改计划及实施方案。n 被检查单位要及时向本省信息安全归口管理部门上报整改进度与成果及被检查单位要及时向本省信

40、息安全归口管理部门上报整改进度与成果及安全合规性检查问题安全合规性检查问题整改工作总结整改工作总结。37基础信息安全管理通用要求基础信息安全管理通用要求安全事件管理安全事件管理1n安全事件分为特别重大、重大、较大和一般四个级别。系统（含内网系统）安全事件分为特别重大、重大、较大和一般四个级别。系统（含内网系统）安全事安全事件信息分级定义件信息分级定义参照参照互联网网络安全信息通报实施办法互联网网络安全信息通报实施办法规定，及集团相关部门规定，及集团相关部门要求。要求。n 安全事件组织安全事件组织分为三级，一级管理组织是集团公司，负责跨省、跨专业事件的协调分为三级，一级管理组织是集团公司，负责跨

41、省、跨专业事件的协调处置。二级管理组织为各省公司，负责辖区内事件的协调处置。三级管理组织由省处置。二级管理组织为各省公司，负责辖区内事件的协调处置。三级管理组织由省公司各部门的安全小组组成，负责事件的具体处置。公司各部门的安全小组组成，负责事件的具体处置。n 各级组织应负责执行所主管各级组织应负责执行所主管IT系统与网络的安全事件管理工作，并接受上一级组织系统与网络的安全事件管理工作，并接受上一级组织的统筹与指导。的统筹与指导。n 国家重大活动保障时期国家重大活动保障时期发生的安全事件的级别应在原有级别上发生的安全事件的级别应在原有级别上提升一级提升一级，特别重大，特别重大安全事件级别不再向上

42、提升。安全事件级别不再向上提升。n 各级组织对于安全监控发现的安全事件，要及时对安全事件的影响范围和级别进行各级组织对于安全监控发现的安全事件，要及时对安全事件的影响范围和级别进行判断并决定是否需要上报；对于省内跨专业的安全事件应及时上报二级事件管理组判断并决定是否需要上报；对于省内跨专业的安全事件应及时上报二级事件管理组织协调处理，对于跨省的安全事件应及时上报一级事件管理组织协调处理。织协调处理，对于跨省的安全事件应及时上报一级事件管理组织协调处理。上报上报模模板参见附录一。板参见附录一。n 各级组织收到安全事件投诉后应及时对投诉内容进行各级组织收到安全事件投诉后应及时对投诉内容进行核实核实

43、，并协调做好投诉的，并协调做好投诉的处理处理。 特别重大安全事件发生时，二级管理组织应立即上报集团公司，经审批后，上报当地安全分中心。特别重大安全事件确认至上报集团不得超过1小时。 重大安全事件发生时，二级管理组织应及时上报集团公司。重大安全事件确认至上报到集团公司不得超过2小时。较大或一般安全事件由二级管理组织汇总后于次月5个工作日内报送当地通信管理局和CNCERT/CC当地分中心，并在每月安全报表中向集团公司上报。n二级管理组织应记录安全事件的审计核查结果，进行汇总分析，二级管理组织应记录安全事件的审计核查结果，进行汇总分析，总结总结存在的问题并存在的问题并归档归档形成安全事件案例库，并上

44、报集团公司。形成安全事件案例库，并上报集团公司。38基础信息安全管理通用要求基础信息安全管理通用要求安全事件管理安全事件管理2 n 安全事件发生后应立即启动安全事件发生后应立即启动响应机制响应机制。n 按照按照“谁下达任务，谁结束任务谁下达任务，谁结束任务”的原则，重大活动保障任务下达的原则，重大活动保障任务下达单位或部门应明确安全响应任务的结束时间。单位或部门应明确安全响应任务的结束时间。n 在在网络入侵事件网络入侵事件的处理过程中，应保护被入侵设备现场，尽可能进的处理过程中，应保护被入侵设备现场，尽可能进行离线封存问题设备，交二级管理组织处理，禁止擅自重装、删除行离线封存问题设备，交二级管

45、理组织处理，禁止擅自重装、删除系统，为将来的取证或者分析入侵行为提供证据。系统，为将来的取证或者分析入侵行为提供证据。n 做好事件恢复后的安全检查工作，避免设备上线后再次出现同类问做好事件恢复后的安全检查工作，避免设备上线后再次出现同类问题。题。n 各级组织应定期完善各级组织应定期完善安全事件预案安全事件预案，对安全人员进行培训，每年至，对安全人员进行培训，每年至少执行一次信息安全演练。少执行一次信息安全演练。n 应定期检查、补充安全事件处理所用的硬件及软件工具，相关支撑应定期检查、补充安全事件处理所用的硬件及软件工具，相关支撑文档资料等，做到有备无患。文档资料等，做到有备无患。n 应完善安全

46、事件响应的应完善安全事件响应的技术支撑体系技术支撑体系，提升事件处置能力。，提升事件处置能力。n 对于安全事件处理中关键节点的访问与操作日志应建立对于安全事件处理中关键节点的访问与操作日志应建立备份机制备份机制，在线日志至少应保存三个月，离线日志至少应保存半年。在线日志至少应保存三个月，离线日志至少应保存半年。39基础信息安全管理通用要求基础信息安全管理通用要求人员与资产安全管理人员与资产安全管理 n各省应与合作第三方、关键岗位员工单独签订各省应与合作第三方、关键岗位员工单独签订保密协议保密协议，在协议中，在协议中明确其保密责任以及违约罚则。明确其保密责任以及违约罚则。n 各省应建立所辖系统中

47、有各省应建立所辖系统中有IP地址的地址的基础设备资产管理清单基础设备资产管理清单，并集中，并集中建立与互联网接口的资产清单，必须详细记录信息资产的状态、建立与互联网接口的资产清单，必须详细记录信息资产的状态、IP地址、系统类型与版本、功能与用途、所处位置、相关责任人等。地址、系统类型与版本、功能与用途、所处位置、相关责任人等。n 各省应确保资产清单与在线系统状态、责任人员信息一致。各省应确保资产清单与在线系统状态、责任人员信息一致。n 应应定期定期通过通过IP段扫描或者人工检查的方式段扫描或者人工检查的方式比对审计资产清单比对审计资产清单与现网与现网资产信息，对于未经登记的无主设备一经发现立即

48、处理，对于资产资产信息，对于未经登记的无主设备一经发现立即处理，对于资产信息发生变化的应予以更新。信息发生变化的应予以更新。n 各省每半年应对省内所有公网各省每半年应对省内所有公网IP设备的潜在安全高危端口（如远程设备的潜在安全高危端口（如远程登录，网站服务，数据库服务，网管服务等）进行一次登录，网站服务，数据库服务，网管服务等）进行一次扫描扫描，每年，每年应对所有公网应对所有公网IP完成一次全面完成一次全面漏洞扫描漏洞扫描，及时对自有业务和系统存，及时对自有业务和系统存在的安全风险进行在的安全风险进行整改整改。n 各省应建立完善各省应建立完善资产退服管理流程资产退服管理流程。定期清查盘点，确

49、保退服系统。定期清查盘点，确保退服系统及时下线并移出机房。对于退服设备的数据，要彻底清除。及时下线并移出机房。对于退服设备的数据，要彻底清除。40基础信息安全管理通用要求基础信息安全管理通用要求系统安全系统安全 n单点设备安全要求：单点设备安全要求：单点设备包括IT系统与网络中的终端、主机、中间件、数据库、网络设备等；单点设备在规划建设、工程验收、运行维护各个环节中，必须严格遵守中国移动设备安全功能和配置规范相关要求。规范清单参见附录二。n 业务和应用安全要求：业务和应用安全要求：业务和应用在规划、建设、上线阶段应满足以下安全要求：在业务和应用规划阶段，应当根据应用系统面临的安全威胁以及业务、

50、管理与维护上的需要，遵循“基础IT设施安全防护要求”以及公司相关业务安全规范和标准，提出相应的安全要求；在业务和应用在规划设计阶段，应组织需求单位、建设单位、运维管理单位及安全管理部门对规划设计方案的安全性进行会审，确保方案的合理性，避免在规划设计阶段引入安全风险；在系统后续的开发建设、测试交付以及运行期间需要验证安全要求是否得到满足；应对第三方开源组件在开发中的使用进行管控，不得采用已知存在安全漏洞的组件版本。Web应用软件安全应遵循WEB类应用系统安全防护技术要求，在身份验证、会话管理、权限管理、敏感数据保护、输入输出校验、内容安全等方面必须具备一定的安全功能，保证系统本身不易被攻击；41

51、基础信息安全管理通用要求基础信息安全管理通用要求系统安全系统安全 n生产环境安全要求：生产环境安全要求：生产环境中的工具软件安装与使用要求应对生产环境中工具软件进行统一管理，不得安装与生产无关的软件；严禁安装能够穿透防火墙，从互联网访问和控制内网设备的软件，如Teamviewer等；除部门领导授权外，任何非安全专用设备严禁安装漏洞扫描、网络嗅探等安全工具；及时修补Serv-U、VNC等常用第三方工具软件存在的安全漏洞。移动存储介质使用安全要求各单位应完善本单位内移动存储介质使用管理办法，并指定专人负责对存储介质的使用进行指导、监督和检查；各单位应明确允许使用移动存储介质的人员、系统与网络范围，

52、对于不允许使用的，应实施控制策略、物理封闭或端口封禁等手段；对准许接入系统与网络的存储介质进行严格控制，在接入前必须进行病毒查杀；未经授权，严禁使用移动存储设备（如移动硬盘、U盘等）处理涉密数据或文件；涉密信息的移动存储介质的管理应按照国家、公司相关保密制度执行。应做到办公终端与维护生产终端的专机专用，原则上要求实现两者的物理隔离，严禁采用双网卡（包括无线网卡）跨接不同网络。开发测试系统的安全要求：开发测试环境应与生产环境隔离，不得在现网生产环境上进行开发与测试；开发测试过程中不得使用真实生产数据，仅能使用经过模糊化处理的数据；应对开发测试环境采取适当的保护措施，防止被互联网区域渗透。42基础

53、信息安全管理通用要求基础信息安全管理通用要求安全域划分安全域划分 n安全域指具有相同或相近的安全需求、相互信任的网络区域或网络安全域指具有相同或相近的安全需求、相互信任的网络区域或网络实体的集合。实体的集合。n安全域的划分应依据安全域的划分应依据业务保障、结构简化、等级保护、生命周期业务保障、结构简化、等级保护、生命周期四四项原则执行。项原则执行。 n 网管、业务支撑、信息化网管、业务支撑、信息化3大支撑系统大支撑系统应分别依据应分别依据中国移动支撑中国移动支撑系统安全域划分与边界整合技术要求系统安全域划分与边界整合技术要求、中国移动业务支撑网安中国移动业务支撑网安全域划分和边界整合技术要求全

54、域划分和边界整合技术要求、中国移动管理信息系统安全域中国移动管理信息系统安全域划分技术要求划分技术要求划分安全域；划分安全域；数据业务系统数据业务系统应依据应依据中国移动数据中国移动数据业务系统集中化安全防护技术要求业务系统集中化安全防护技术要求划分安全域。划分安全域。n 各单位可结合自身安全需求，通过安全域风险分析，制订更细粒度各单位可结合自身安全需求，通过安全域风险分析，制订更细粒度的安全域划分方案，进一步定义相关安全子域。的安全域划分方案，进一步定义相关安全子域。43基础信息安全管理通用要求基础信息安全管理通用要求边界整合与域间互联边界整合与域间互联 n在保证业务系统的互联需求的前提下，应对安全域的边界进行合理在保证业务系统的互联需求的前提下，应对安全域的边界进行合理的整合，对系统接口进行整理和归并，实现重点防护。的整合，对系统接口进行整理和归并