《中国移动第三方安全管理办法.doc》由会员分享,可在线阅读,更多相关《中国移动第三方安全管理办法.doc(15页珍藏版)》请在三一办公上搜索。
1、中国移动第三方管理办法(试行)中国移动通信集团公司二一一年七月目 录第一章 总则3第二章 组织与职责3第三章 第三方公司及人员管理4第四章 第三方安全域及防护要求6第五章 第三方接入管理7第六章 第三方帐号及权限管理8第七章 第三方系统安全管理9第九章 第三方信息安全审核、监督与检查11第十章 附则13第一章 总则第一条 为了加强对第三方合作伙伴、人员、系统的安全管理,防止引入第三方给公司带来的安全风险,特制定本管理办法。第二条 本办法适用于中国移动通信集团公司各部门,铁通公司,国际信息港建设中心、研究院、设计院、管理学院及各省、自治区、直辖市公司(以下简称:各省公司)。第三条 本办法所指第三
2、方包括第三方公司、第三方系统、第三方人员:(一) 第三方公司是指向中国移动提供服务的外部公司。(二) 第三方系统是指为中国移动服务或与中国移动合作运营的系统。这些系统可能不在中国移动机房内,但能通过接口与中国移动的系统发生数据交互。(三) 第三方人员是指为中国移动提供开发、测试、运维等服务或参与合作运营系统管理的非中国移动人员。第四条 对第三方公司的信息安全管理应遵循如下原则: “谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。第二章 组织与职责第五条 中国移动第三方安全管理责任部门为对口合作(包括代维、开发、测试、增值业务合作)的主管部门(以下简称 “对口主管部门”),并应按
3、照本办法严格落实对第三方的信息安全管理。第六条 对于与我公司开展合作运营的第三方公司,对口主管部门应要求其设立专职安全管理机构或人员,按照中国移动的网络与信息安全的管理规定,严格落实信息安全责任,建立日常安全运维、检查制度,确保不发生信息泄密、重大安全漏洞。第七条 对口主管部门应要求在我公司开展现场长期服务的第三方公司,在派驻现场设立专职信息安全管理人员,其主要职责包括:负责按照国家及中国移动的信息安全管理要求,开展派驻现场的安全管理,指导和监督派驻现场人员的信息安全,确保不发生违规行为;接受我公司的监督和考核等。信息安全管理人员发生变更时,应在变更前1周将有关变更信息报送中国移动对口主管部门
4、。第八条 对口主管部门要督促指导第三方公司及人员遵循中国移动的安全管理制度和规范,将安全要求作为考核内容,纳入双方合作协议,定期组织对第三方安全检查。第三章 第三方公司及人员管理第九条 第三方公司必须与中国移动签订保密协议,在协议中明确第三方公司的保密责任以及违约罚则;第三方公司应与其员工签订保密协议,在协议中明确第三方公司员工的保密责任以及违约罚则。第十条 第三方公司必须严格遵守中国移动客户服务“五条禁令”的要求和规定。第十一条 第三方公司在合作过程中,如能接触到中国移动客户资料、经营信息等各类敏感信息及商业秘密(下面简称敏感信息),应保证不损害敏感信息的保密性、完整性、可用性、真实性、可核
5、查性、可靠性、防抵赖性。第十二条 第三方人员管理的范畴包括临时人员和长期人员:临时人员指因业务洽谈、技术交流、提供短期和不频繁技术支持服务的人员;长期人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务的人员。第十三条 第三方公司应定期对其员工进行信息安全意识教育和安全培训,严格遵守中国移动相关信息安全管理制度和规范。第十四条 长期派驻中国移动的第三方人员在转岗或离岗前,第三方公司需提交第三方人员转岗或离岗申请,对口主管部门应牵头完成第三方人员的帐号回收、变更、审核等工作,在签署转岗或离岗审批意见后,第三方人员方可正式转岗或离岗。第十五条 由第三方公司参与开发并提供代维服务的业务系统或软
6、件程序,如果系统或程序能接触到客户敏感信息,如客户通信详单、通信内容、位置信息等,原则上,应要求将第三方系统开发文档应提交对口主管部门留档,文档应注明分发范围,并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。第十六条 第三方公司参与或独立开发的业务系统或软件程序,应落实版本管理工作,并主动在上线入网验收前向对口主管部门提交其源代码或代码审计报告,对口主管部门进行备案存档。第十七条 第三方公司应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管,严格控制第三方人员访问权限,避免代码泄漏。第四章 第三方安全域及防护要求第十八条 根据中国移动各支撑网的安全域划分技术要求,与第三方公
7、司信息安全管理相关联的安全域应设置为:数据核心安全区、第三方合作伙伴互联区、第三方用户接入区(系统开发接入区、系统维护接入区)。第十九条 数据核心安全区安全级别最高,放置重要的设备和系统,包含但不限于提供关键应用的应用服务器、保存机密信息的数据库服务器,以及具有管理权限的管理控制台和服务。第二十条 第三方合作伙伴互联区是供第三方公司接入或访问的区域,可能存放中国移动的敏感信息。该区域位于中国移动的网络安全边界内。如需访问该区域中的系统,需要有严格的认证。认证过程需应避免信息泄漏或认证过程的重放。第二十一条 第三方合作伙伴互联区和数据核心安全区之间敏感信息的数据交换需采取严格的管控措施。包括:需
8、在防火墙上实施点对点访问控制策略,源IP和目的IP均要限制在最小范围内,仅开放相应的业务端口,交互的数据采用加密方式保护。第三方合作伙伴互联区域的系统需定期进行安全扫描和加固。第二十二条 第三方用户接入区是第三方人员(包含但不限于第三方维护人员、第三方开发人员等)终端接入的区域。第三方接入区不能直接访问数据核心安全区,需通过第三方合作伙伴互联区才能访问。第三方接入区访问其它安全区域时应经4A、堡垒主机严格控制。原则上涉及中国移动敏感信息的第三方系统纳入第三方合作伙伴互联区。第五章 第三方接入管理第二十三条 第三方人员进入中国移动生产区域或者登录中国移动各业务系统操作时,应严格遵守中国移动的各项
9、安全管理制度和规范。第二十四条 第三方人员工作区域应与中国移动的生产、内部办公、维护区域分离,即在安全域中划分独立的第三方用户接入区,如系统开发接入区、系统维护接入区等,并应采用更严格的访问控制策略和管控手段。第二十五条 第三方用户接入区部署的常驻终端,应有严格的接入认证,并满足中国移动相关终端安全合规性检查标准。第二十六条 第三方用户接入区内的非常驻终端,需按照相应申请审批流程向对口主管部门申请,并按照中国移动终端相关安全合规性标准进行检查,获得授权后方可接入,对口主管部门应将申请审批记录备案。第二十七条 原则上第三方用户接入区内应统一部署第三方人员专用终端,禁止外部移动终端和移动存储介质的
10、直接接入。第二十八条 对口主管部门应定期组织对现场服务的第三方人员终端进行安全审核、检查,不定期抽查。第二十九条 禁止第三方人员在未授权的情况下通过远程方式接入第三方用户接入区,如第三方人员因特殊情况需要通过远程登录,须经过对口主管部门审批授权后,临时开通远程登录功能,用毕及时撤销。远程登录必须通过4A系统等进行集中认证、授权和审计,应遵循权限最小化原则,控制用户访问的系统及权限。第六章 第三方帐号及权限管理第三十条 第三方人员需与所属公司签订保密协议,报备对口主管部门后,方可申请相关系统帐号(不含超级帐号和系统帐号管理员帐号)、接入或访问中国移动内部的生产系统。第三十一条 对口主管部门应严格
11、遵循中国移动帐号权限管理的相关规范对第三方人员的帐号管理。第三十二条 第三方人员申请新增或变更帐号时,必须符合专人专号原则、权限最小化原则。帐号申请应经过中国移动审核并批准方可生效,帐号申请授权书应约定使用者、权限、使用期限等事项。第三十三条 对口主管部门授权的第三方人员临时远程接入帐号,其帐号及权限有效期不能超过7天,帐号到期或者接入任务完成后,应及时删除临时帐号并审核。第三十四条 第三方人员的帐号口令不得使用弱密码。帐号口令必须是在必要时间或次数内不循环使用。口令不得以任何形式明文存放于可公共访问的设备或物理界面上,保证帐号口令在传输和存储时的安全。第三十五条 在运维和运营环节,由于工作需
12、要在一定时间段内频繁接触敏感信息的第三方人员,必须提前获得对口主管部门授权,经审批通过后方可被授予相应权限,对口主管部门应备案申请审批记录及事后审计。第三十六条 第三方人员访问中国移动系统时,第三方人员的帐号、认证、授权管理和安全审计应纳入4A系统集中管控。第七章 第三方系统安全管理第三十七条 第三方系统在系统方案需求、设计、开发、测试、建设、运维等阶段要进行安全设计、安全评估和安全测试,确保其满足中国移动相关安全要求。第三十八条 第三方系统需与中国移动系统互联时,应向对口主管部门申请审批。 第三方系统若需要访问或保存敏感信息,应经过对口主管部门审批,原则上第三方系统不能保存高价值的敏感信息。
13、第三十九条 有权访问或保存敏感信息的第三方系统,原则上必须置于第三方合作伙伴互联区内。敏感信息在传送时必须经过严格管控。第三方系统的安全配置和防护,应达到中国移动相关安全要求。第四十条 第三方系统应具备详细记录各类系统日志的功能,所记录日志应包含但不限于系统配置变更、文件属性变更、用户属性变更、系统启动和关闭、系统特权指令的使用等。 第四十一条 第三方系统在开发和测试环节,第三方人员使用的测试数据原则上不应当反映现网客户的真实信息,对口主管部门提供的数据应进行模糊化处理。第四十二条 第三方系统在入网前必须通过安全评估和安全测试,确保第三方系统符合中国移动安全技术要求。对口主管部门应不定期对第三
14、方系统进行安全审核和安全检查。第四十三条 第三方公司应保存第三方系统所有应用和系统的日志,保存期限不少于6个月 。第四十四条 第三方系统涉及的所有系统信息、客户信息、操作日志等均需应妥善保管,未经对口主管部门许可不得进行增、删、改等操作。第四十五条 第三方系统发生重大变更前,应进行安全评估,并提交对口主管部门审批。重大变更包含但不限于:1、增加新的业务/应用或业务/应用发生较大变更;2、网络结构发生较大变更;3、技术平台大规模的更新;4、软件版本、硬件平台发生变更;5、系统扩容或改造后进行;6、发生重大安全事件后,或基于某些运行记录怀疑将发生重大安全事件,及时修补发现的安全漏洞以及配置不符合项
15、;7、相关关联系统发生较大变更。第四十六条 第三方公司应定期清查盘点与中国移动合作的系统设备,及时清理退服系统设备。第四十七条 第三方公司的业务系统在退网前需删除客户资料、客户信息等敏感数据,并经对口主管部门确认。对口主管部门应及时通知支撑部门关闭相应接口,并报送信息安全管理部门。第四十八条 第三方公司的业务系统原则上不得保存中国移动客户通信的信息内容。如确属业务需要,需经对口主管部门审批后方可予以保存。第九章 第三方信息安全审核、监督与检查第四十九条 信息安全审核是指对口主管部门按照信息安全管理的要求,监督第三方公司进行信息安全制度建设,完善信息安全管理手段,明确审核和监管责任,落实信息安全
16、工作执行。第五十条 第三方公司应确保有足够的资源来保障信息安全工作的执行;发现信息安全管理中存在不足时,应及时采取适当的措施予以改进。第五十一条 信息安全审核主要分为信息安全风险评估、日常例行安全审核、操作日志审核和专项审核。(一) 信息安全风险评估由对口主管部门牵头,采取检查手段,督促第三方公司落实信息风险管理规章制度,及时发现系统、技术、人员及流程等方面可能存在的信息安全风险,保证业务的正常运行。(二) 日常例行安全审核是指第三方公司牵头对所负责运营维护的系统进行常规性的安全审核,包含但不限于系统日志审核、漏洞扫描、基线审核、终端审核等。(三) 操作日志审核是指第三方公司通过对其访问系统的
17、操作日志与工单等原始凭证进行比对,分析查找可能存在的违规行为。(四) 专项审核工作是指由对口主管部门和信息安全责任部门归口管理组成的审核小组,对第三方公司信息安全工作开展情况进行的专项检查。第五十二条 第三方公司应遵循中国移动相关信息安全管理要求,制定信息安全审核工作计划,明确审核要点和实施方案,并上报对口主管部门批准。第五十三条 对口主管部门应牵头对第三方公司信息安全工作的执行情况牵头开展审核,至少每半年组织一次检查,并将检查结果通报第三方公司。第五十四条 若在审核过程中发现问题,对口主管部门应责成第三方公司在规定时限内提交整改措施、上报整改情况,未在规定时限内完成整改的,应依据相关规定进行
18、处罚。第五十五条 若发生信息安全事件,对口主管部门应根据信息安全责任管理办法、安全事件管理办法的相关规定启动应急响应流程,处置涉及第三方公司相关信息安全事件。第五十六条 对口主管部门需在合作协议或合同中明确第三方公司的信息安全责任、违规惩处措施,落实本管理办法相关要求。第五十七条 惩处措施包含但不限于通报、依据合同进行考核、解除合同关系、司法诉讼等,对第三方公司提起违约或侵权民事诉讼,要求承诺人承担相应的民事责任,包含但不限于赔偿中国移动或其关联公司在商誉方面或经济方面的损失。第十章 附则第五十八条 本实施细则解释权归属集团信息安全管理部。集团公司各部门及各省公司可根据本办法制定有关的实施细则
19、。第五十九条 本办法自颁布之日起实施。 智联招聘- 欢迎下载资料,下面是附带送个人简历资料用不了的话可以自己编辑删除,谢谢!蒋rong超男 | 已婚 | 1988 年9月生 | 户口:湖南永州 | 现居住于广东深圳-宝安区3年工作经验 | 团员 | 身份证:广东省gz市宝安区51810118613345324(手机)E-mail: 314855817求职意向工作性质: 全职期望职业: 销售业务、销售管理、市场期望行业: 专业服务/咨询(财会/法律/人力资源等)、教育/培训/院校、通信/电信运营、增值服务工作地区: 深圳期望月薪: 4001-6000元/月目前状况: 我目前处于离职状态,可立即上
20、岗职业目标喜欢营销管理类工作,喜欢有挑战的工作,大学四年一直在挑战自己,挑战自己的极限,一直在做营销的兼职,坚信“也精于勤而荒于嬉”一直严于律己,在各方面都要从严要求自己。相信自己总有一天会成功的!只有自己不敢做的,没有做不成的,做销售10分靠天,九分靠人做,市场是人做出来的。 工作经历2013/01 - 2014/04 电脑专卖店 | | 市场主管 行业类别:计算机硬件 | 企业性质:民营 | 规模:20人以下 | 职位月薪:4001-6000元/月工作描述:在各工业区和住宅小区做广告宣传为店铺销售做铺垫,并且为各用户提供售后维护工作。2011/06 - 2012/11 | | 销售主管 行
21、业类别:教育/培训/院校 | 企业性质:民营 | 规模:20-99人 | 职位月薪:2001-4000元/月工作描述:为学校制定招生计划,带领招生专员在各社区以及学校周围做广告(包括粘贴墙体广告,入户拜访宣传)开展招生工作,定期到中小学校门口驻点宣传,联系各学校任课老师开展招生工作。项目经验教育经历2007/09 -2011/06 湖南大学 | 市场营销 | 本科在校学习情况曾获 院校级三等奖 在校实践经验2008/03 - 2010/10 大学生英语周刊衡阳市推销员到衡阳市区域经理 *2008年推销员,在学校新生开学期间向学生和家长推销学生英语报*2009-2010年学生英语报衡阳地区区域经理,负责在衡阳各高校组建团队销售学生英语报,团队培训,团队维护,最后指导团队销售。*2009-2010年。衡阳行动者文化传播有限公司招生代理负责公司在衡阳地区的自考、成人高考、家教培训的招生工作,制订季度招生计划,实行电话营销,接待客户的来访、洽谈工作。到各医院和各事业单位接触式发放传单并且交谈留下有意向人的电话以后回访。并且做出了良好的业绩。培训经历 证书语言能力英语:读写能力良好 | 听说能力良好 专业技能附件附件简历| 简历内容|
