《中国移动网络与信息安全体系.doc》由会员分享,可在线阅读,更多相关《中国移动网络与信息安全体系.doc(104页珍藏版)》请在三一办公上搜索。
1、中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。 前言中国移动 注的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为
2、各项业务的安全运行提供保障。本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。本标准目前主要针对互联网、支撑网等IT系统安全。注:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。中国移动通信集团公司,以下简称“集团公司”。各移动通信有限责任公司,以下简称“各省公司”。目录前言1目录2总则111网络与信息安全的基本概念112网络与信息安全的重要性和普遍性113中国移动网络与信息安全体系与安全策略124安全需求的来源145安全风险的评估156安全措施的选择原则157安全工作的起点168关键性的成功因素179安全标准综述1710适用
3、范围22第一章组织与人员23第一节组织机构231领导机构232工作组织243安全职责的分配254职责分散与隔离265安全信息的获取和发布276加强与外部组织之间的协作277安全审计的独立性28第二节岗位职责与人员考察281岗位职责中的安全内容282人员考察293保密协议304劳动合同305员工培训30第三节第三方访问与外包服务的安全301第三方访问的安全302外包服务的安全32第四节客户使用业务的安全33第二章网络与信息资产管理35第一节网络与信息资产责任制度351资产清单352资产责任制度36第二节资产安全等级及相应的安全要求391信息的安全等级、标注及处置392网络信息系统安全等级41第三
4、章物理及环境安全43第一节安全区域431安全边界432出入控制443物理保护454安全区域工作规章制度465送货、装卸区与设备的隔离47第二节设备安全481设备安置及物理保护482电源保护493线缆安全504工作区域外设备的安全515设备处置与重用的安全51第三节存储媒介的安全521可移动存储媒介的管理522存储媒介的处置523信息处置程序534系统文档的安全54第四节通用控制措施551屏幕与桌面的清理552资产的移动控制56第四章通信和运营管理的安全57第一节操作流程与职责571规范操作细则572设备维护583变更控制594安全事件响应程序595开发、测试与现网设备的分离60第二节系统的规划
5、设计、建设和验收611系统规划和设计612审批制度613系统建设和验收624设备入网管理64第三节恶意软件的防护64第四节软件及补丁版本管理66第五节时钟和时间同步67第六节日常工作671维护作业计划管理672数据与软件备份673操作日志694日志审核695故障管理706测试制度717日常安全工作71第七节网络安全控制72第八节信息与软件的交换731信息与软件交换协议732交接过程中的安全733电子商务安全744电子邮件的安全755电子办公系统的安全766信息发布的安全777其他形式信息交换的安全78第五章网络与信息系统的访问控制79第一节访问控制策略79第二节用户访问管理811用户注册812
6、超级权限的管理823口令管理844用户访问权限核查84第三节用户职责851口令的使用852无人值守的用户设备86第四节网络访问控制871网络服务使用策略872逻辑安全区域的划分与隔离883访问路径控制894外部连接用户的验证895网元节点验证906端口保护907网络互联控制918网络路由控制919网络服务的安全92第五节操作系统的访问控制921终端自动识别932终端登录程序933用户识别和验证944口令管理系统945限制系统工具的使用956强制警报967终端超时关闭968连接时间限制96第六节应用访问控制971信息访问限制972隔离敏感应用98第七节系统访问与使用的监控981事件记录982监控
7、系统使用情况99第八节移动与远程工作1011移动办公1012远程办公102第六章系统开发与软件维护的安全104第一节系统的安全需求104第二节应用系统的安全1061输入数据验证1062内部处理控制1073消息认证1084输出数据验证109第三节系统文件的安全1091操作系统软件的控制1092系统测试数据的保护1103系统源代码的访问控制111第四节开发和支持过程中的安全1121变更控制程序1122软件包的变更限制1133后门及特洛伊代码的防范1144软件开发外包的安全控制115第五节加密技术控制措施1151加密技术使用策略1152使用加密技术1163数字签名1174不可否认服务1185密钥管理
8、118第七章安全事件响应及业务连续性管理121第一节安全事件及安全响应1211及时发现与报告1222分析、协调与处理1223总结与奖惩124第二节业务连续性管理1241建立业务连续性管理程序1242业务连续性和影响分析1253制定并实施业务连续性方案1264业务连续性方案框架1275维护业务连续性方案129第八章安全审计131第一节遵守法律法规要求1311识别适用的法律法规1312保护知识产权1323保护个人信息1324防止网络与信息处理设施的不当使用1335加密技术控制规定1336保护公司记录1347收集证据134第二节安全审计的内容135第三节安全审计管理1351独立审计原则1362控制安
9、全审计过程1363保护审计记录和工具137参考文献138术语和专有名词139附录1:安全体系第二层项目清单(列表)140总则1网络与信息安全的基本概念网络与信息安全包括下列三个基本属性: 机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。根据信息的重要性和保密要求,可以分为不同密级,并具有时效性。 完整性(Integrity):确保网络设施和信息及其处理的准确性和完整性。 可用性(Availability):确保被授权用户能够在需要时获取网络与信息资产。需要特别指出的是,网络安全与信息安全(包括但不限于内容安全)是一体的,不可分割的。2网络与信息安全的重要性
10、和普遍性网络与信息都是资产,具有不可或缺的重要价值。无论对企业、国家还是个人,保证其安全性是十分重要的。网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质的基础;是保障客户利益的基础。中国移动的网络与信息安全也是国家安全的需要。网络与信息安全工作无所不在,分散在每一个部门,每一个岗位,甚至是每一个合作伙伴;同时,网络与信息安全是中国移动所有员工共同分担的责任,与每一个员工每一天的日常工作息息相关。中国移动所有员工必须统一思想,提高认识,高度重视,从自己开始,坚持不懈地做好网络与信息安全工作。3中国移动网络与信息安全体系与安全策略中国移动网络与信息安全体系如上图所示。中国移动网络与信
11、息安全体系是由两部分组成的。一部分是一系列安全策略和技术管理规范(第一、二层),另一部分是实施层面的工作流程(第三层)。网络与信息安全体系(NISS)总纲(以下简称总纲)位于安全体系的第一层,是整个安全体系的最高纲领。它主要阐述安全的必要性、基本原则及宏观策略。总纲具有高度的概括性,涵盖了技术和管理两个方面,对中国移动各方面的安全工作具有通用性。安全体系的第二层是一系列的技术规范和管理规定,是对总纲的分解和进一步阐述,侧重于共性问题、操作实施和管理考核,提出具体的要求,对安全工作具有实际的指导作用。安全体系的第三层是操作层面,它根据第一层和第二层的要求,结合具体的网络和应用环境,制订具体实施的
12、细则、流程等,具备最直观的可操作性。安全体系也包含了实施层面的工作流程,结合三层安全策略,进行具体实施和检查考核,同时遵循动态管理和闭环管理的原则,通过定期的评估不断修改完善。安全策略是在公司内部,指导如何对网络与信息资产进行管理、保护和分配的规则和指示。中国移动必须制订并实施统一的网络与信息安全策略,明确安全管理的方向、目标和范围。安全策略必须得到管理层的批准和支持。安全策略应被定期评审和修订,以确保其持续适宜性,特别是在组织结构或技术基础改变、出现新的漏洞和威胁、发生重大安全事件时。中国移动的安全策略是由安全体系三个层面的多个子策略组成的,具有分层结构的完整体系,包含了从宏观到微观,从原则
13、方向到具体措施等多方面的内容。安全策略用来指导全网的网络与信息安全工作。4安全需求的来源确立安全需求是建立完整的安全体系的首要工作。中国移动的安全需求主要源自下述三个方面: 系统化的安全评估。结合经验教训和技术发展,通过安全评估分析公司网络和信息资产所面临的威胁,存在的薄弱点和安全事件发生的可能性,并估计可能对公司造成的各种直接的和潜在的影响。 中国移动及其合作伙伴、承包商、服务提供商必需遵守的法律法规、行政条例和合同约束,以及公司对客户的服务承诺。 公司运营管理的目标与策略。下图说明了安全需求、风险评估和安全措施三者的关系。5安全风险的评估安全风险评估可以应用于整个公司或某些部分,也可应用于
14、单个网络信息系统、特定系统组件或服务。安全风险评估应着重于: 安全事件可能对中国移动造成的损失,以及所产生的直接和潜在的影响。 综合考虑所有风险,以及目前已实施的控制措施,判断此类安全事件发生的实际可能性。 从安全角度,对公司现有的管理制度和流程本身的合理性与完备程度进行评估。安全风险评估应本着可行、实际和有效的原则,通过标准统一的评估程序和方法,量化安全风险,确定安全风险的危险级别,从而采取合理措施防范或降低安全风险。需要特别指出的是:为适应业务发展的变化,应对新出现的威胁和漏洞,评估现有控制措施的有效性及合理性,必须周期性地进行安全风险评估并调整控制措施,且应在不同的层面进行,为高风险领域
15、优先分配资金、人力等资源。6安全措施的选择原则 有效性。安全措施的实施必须能够确保风险被降低到可以接受的水平,达到期望的安全目标。 可行性。安全措施必须在技术上是可操作的,可以实现的。某些安全措施不具备通用性,需要因地制宜的考虑具体实施环境。 实际性。应从管理、财务等非技术因素详细分析待实施的安全措施,综合比较实施成本与由此减少的潜在损失,非经济因素也应考虑在内。公司应在遵循以上原则的基础上,根据网络与信息资产面临风险的大小,区分轻重缓急,实施相应的安全控制措施。7安全工作的起点根据一般性规律和业界的实际经验,网络与信息安全工作的开展可以从以下几个方面着手: 法律方面:数据保护以及个人隐私保护
16、、公司记录保护和知识产权保护等。 业界惯例:安全策略制订、安全职责划分、安全教育与培训、安全事件响应和业务连续性管理等。需要指出的是,上述内容不能取代根据安全风险评估选择控制措施的基本原则。任何控制措施的选取都应当依据实际面临的具体风险来确定。8关键性的成功因素为了确保网络与信息安全工作的顺利实施,下列因素至关重要: 公司管理层的高度重视、明确支持和承诺; 安全工作组织与人员的落实; 安全策略、目标和措施应与公司经营目标一致; 安全工作的具体实施必须同公司的企业文化相兼容; 深刻理解安全需求、风险评估及风险管理; 在全体员工中建立网络与信息安全无处不在的安全理念; 建立全面、均衡、可行的评估、
17、考核体系,以衡量网络与信息安全管理工作的水平; 向所有员工和第三方( 包括承包商、合作伙伴、客户等)分发网络与信息安全指南,并提供相应的培训和教育。9安全标准综述本标准依据国际规范,参考业界的成熟经验,结合中国移动的实际情况,制定并描述了网络与信息安全管理必须遵守的基本原则和要求,将安全工作要点归结到以下八个方面:组织与人员集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构,全面负责公司的网络与信息安全工作。安全领导机构必须明确划分安全职责并建立内部协调机制。公司必须设立专职安全队伍,建立安全事件响应流程和联络人制度。公司应与外部安全专家和其他相关组织加强沟通与协作。中国移动的所有
18、岗位职责中必须包含安全内容,并尽量实现职责分隔。公司应实施人员考察制度。公司的所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。中国移动的所有员工都应当接受网络与信息安全培训。第三方访问和外包服务必须受到控制,应事先进行风险评估,分析安全影响并制订相应措施。同第三方和外包服务机构签订的合同中应包含双方认可的安全条款。公司应与客户签署相关协议,明确双方在网络与信息安全方面的权利与义务及违约责任,保障客户与公司双方的利益。网络与信息资产管理公司必须建立详细准确的网络与信息资产清单和严格的资产责任制度。每一项资产都应当指定“责任人”,分配其相应的安全管理职权,并由其承担相应的安全
19、责任。“责任人”可以将具体的工作职责委派给“维护人”,但“责任人”仍必须承担资产安全的最终责任。根据网络与信息资产的敏感度和重要性,必须对其进行分类和标注,并采取相应的管理措施。物理与环境安全公司的关键或敏感的网络与信息处理设施应被放置在安全区域内,由指定的安全边界予以保护。根据不同的安全需求等级,公司应划分不同的安全区域,例如:机房、办公区和第三方接入区。针对不同的安全区域,公司应采取不同等级的安全防护和访问控制措施,阻止非法访问、破坏和干扰。工程施工期间也应遵守相关规定,加强安全区域的保护。公司必须制定清理办公环境及合理使用计算机设备的规定。网络与信息处理设施的处置与转移应遵守相应的安全要
20、求。通信与运营管理安全公司应建立网络与信息处理设施的管理和操作的职责及流程,并尽可能地实现职责分离。开发、调测和运营环境应保持相对隔离。公司应做好系统容量的监视和规划。配套安全系统应与业务系统“同步规划、同步建设、同步运行”。新建或扩容系统的审批应包含安全内容,并在交付使用前做好测试和验收工作。涉及安全方面的审批工作应由安全机构人员负责。公司应加强防范意识,采取有效措施,预防和控制恶意软件。公司应采取相应技术手段,确保时钟和时间同步。公司应建立严格的软件管理制度,及时加载安全补丁,定期进行系统安全漏洞评估,并执行系统加固解决方案。公司应当制定备份制度,执行备份策略,并定期演练数据恢复过程。记录
21、操作和故障日志。公司必须采取多种控制措施,保护网络设备及其上信息的安全,尤其是网络边界和与公共网络交换的信息。可采取的控制措施如:访问控制技术、加密技术、网管技术、安全设备、安全协议等。公司应制定信息存储介质的管理制度和处置流程。应特别加强对可移动存储介质和系统文档的管理。公司在与其他组织交换信息和软件时,应遵从相应的法律或合同规定,采取必要的控制措施。公司应制定相应的程序和标准,以保护传送过程中的信息和媒介安全,尤其要考虑电子商务、电子邮件等应用的安全控制需求。公司还应制定信息发布管理规定。访问控制公司应基于业务和安全需求,制定访问控制策略,并明确用户职责,加强用户访问控制管理。公司应加强对
22、移动办公和远程办公的管理。公司应加强对网络系统、操作系统、应用系统的访问控制,如在公司网络边界设置合适的接口,采取有效的用户和设备验证机制,控制用户访问,隔离敏感信息。同时应监控对系统的访问和使用,记录并审查事件日志。开发与维护新系统的开发,包括网络基础设施、支撑系统,必须遵循系统安全生命周期管理流程。在开发新系统之前,应确认安全需求。在设计中应采用合适的控制措施、审计跟踪记录和活动日志,包括输入数据、内部处理和输出数据的验证。应用系统不应在程序或进程中固化账户和口令,系统应具备对口令猜测的防范机制和监控手段。公司应通过风险评估来确定加密策略,基于统一的标准和程序建立加密管理规范。在系统开发及
23、维护过程中,应严格执行系统开发流程管理,包括对开发、测试和生产环境的变更控制,以保证系统软硬件和数据的安全。安全事件响应与业务连续性公司必须贯彻“积极预防、及时发现、快速反应与确保恢复”的方针,建立安全事件响应流程和奖惩机制。如有必要,应尽快收集相关证据。公司应实施业务连续性管理,通过分析安全事件对业务系统的影响,制定并实施应急方案,并定期更新、维护和测试。安全审计网络与信息系统的设计、操作、使用和管理必须遵从国家法律、信息产业部相关管理条例以及合同规定的安全要求。安全审计应遵循独立原则,定期检查网络与信息系统安全,检验安全政策和技术规范的执行情况。应采取有效的控制措施保护网络与信息系统及审计
24、工具,使安全审计的效果最大化,影响最小化。10适用范围本标准适用于中国移动的所有网络与信息系统(包括但不限于业务网络、支撑网络),及组织和人员。本标准的解释权和修改权归中国移动通信集团公司。第一章组织与人员第一节组织机构安全工作“三分靠技术,七分靠管理”,建立有效的组织机构是安全管理的基础。不健全的安全管理机制是网络与信息安全最大的薄弱点。1领导机构集团公司和各省公司必须建立公司级别的网络与信息安全常设领导机构,全面负责公司的网络与信息安全工作。该机构应由公司级别主管领导负责,各相关部门领导组成。安全领导机构应为公司的安全管理指明清晰的方向,并提供强有力的管理层支持。安全领导机构应通过合理的承
25、诺和充分的资源配置,来推进整个公司的网络与信息安全工作。集团公司网络与信息安全领导小组是中国移动网络与信息安全管理的最高决策机构。安全领导机构承担以下责任:a) 审查并批准公司的网络与信息安全策略;b) 分配安全管理总体职责;c) 在网络与信息资产暴露于重大威胁时,监督控制可能发生的重大变化;d) 对安全管理的重大更改事项(例如:组织机构调整、关键人事变动、信息系统更改等)进行决策;e) 指挥、协调、督促并审查重大安全事件的处理。2工作组织公司各部门应建立专职或兼职的安全队伍,从事具体的安全工作。安全工作需要多个部门的共同参与,为迅速解决工作中出现的问题,防止相互推诿,提高工作效率,公司必须建
26、立跨部门的协调机制。具体协调机构应由各部门从事安全工作的相关人员组成,并明确牵头部门或人员。条件成熟时,应成立独立的安全工作组织。集团公司网络与信息安全办公室是中国移动网络与信息安全工作的具体组织机构。工作组织承担以下责任:a) 制定相关的安全岗位及职责;b) 制定并落实相关安全管理制度;c) 制定并落实安全保护方案;d) 审批新系统或服务的规划和设计中的安全部分,并监督其实施落实;e) 审批业务连续性方案;f) 牵头处理网络与信息安全事件;g) 组织安全评估和安全审计工作;h) 辅助领导机构进行安全方面的决策;i) 完成部门间的协调工作,分派并落实某项具体工作中各部门的职责;j) 获取和发布
27、安全信息;k) 完成领导机构下达的各项任务。3安全职责的分配为明确安全责任,划分(界定)安全管理与具体执行之间的工作职责,公司必须建立安全责任制度。安全责任分配的基本原则是“谁主管,谁负责”。公司拥有的每项网络与信息资产,必须根据资产归属确定“责任人”。“责任人”对资产安全保护负有完全责任。“责任人”可以是个人或部门,但“责任人”是部门时,应由该部门领导实际负责。“责任人”可以将具体的执行工作委派给“维护人”,但“责任人”仍然必须承担资产安全的最终责任。因此“责任人”应明确规定“维护人”的工作职责,并定期检查“维护人”是否正确履行了安全职责。“维护人”可以是个人或部门,也可以是外包服务提供商。
28、当“维护人”是部门时,应由该部门领导实际负责。安全工作人员的职责是指导、监督、管理、考核“责任人”的安全工作,不能替代“责任人”对具体网络与信息资产进行安全保护。在资产的安全保护工作中,应重点关注以下内容:a) 应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程。b) “责任人”与“维护人”都应明确接受其负责的安全职责和安全保护流程,并对该职责的详细内容记录在案。c) 所有授权的内容和权限应当被明确规定,并记录在案。4职责分散与隔离职责分隔(Segregation of Duties)是一种减少偶然或故意行为造成安全风险的方法。公司应分散某些任务的管理、执行及职责范围,以
29、减少误用或滥用职责带来风险的概率。例如关键数据修改的审批与制作必须分开。在无法实现职责充分分散的情况下,应采取其他补偿控制措施并记录在案。例如:活动监控、检查审计跟踪记录以及管理监督等。为避免串通勾结等欺诈活动,公司应尽量隔离相应职责,并增加执行和监督人员,以降低串通的可能性。5安全信息的获取和发布信息技术的发展日新月异,安全工作愈发复杂和困难。公司必须建立有效可靠的渠道,获取安全信息,不断推进安全工作。例如:a) 从内部挑选经验丰富的安全管理和技术人员,组成内部专家组,制定安全解决方案,参与安全事件处理,解决实际安全问题,提供预防性建议等。为使内部专家组的工作更具成效,应允许他们直接接触公司
30、的管理层。b) 与设备提供商、安全服务商等外部安全专家保持紧密联系,听取他们的安全建议。c) 从一些公开的信息渠道获取安全信息,例如专业出版物、定期公告等。中国移动权威的安全信息发布机构为集团公司安全办公室。集团公司负责收集和整理并向各省发布安全信息;各省负责省内发布和信息上报。6加强与外部组织之间的协作公司应加强与国家安全机关、行业监管部门、其他运营商和信息服务提供商等外部组织的联系,并建立协作流程,以便在出现安全事件时,尽快获取信息、采取措施。公司在加入安全组织或与其他组织进行交流时,应对信息交换予以严格限制,以确保公司信息的保密性。7安全审计的独立性安全审计是从管理和技术两个方面检查公司
31、的安全策略和控制措施的执行情况,发现安全隐患的过程。安全审计的独立性是指审计方与被审计方应保持相对独立,即不能自己审计自己的工作,以确保审计结果的公正可靠。安全审计可由公司内部审计组织,或外聘的专业审计机构完成。审计人员应接受审计培训,掌握一定的技能和经验。当采用外聘审计机构时,应充分考虑其风险,并采取相应的控制措施。第二节岗位职责与人员考察 1岗位职责中的安全内容中国移动的岗位描述中都应明确包含安全职责,并形成正式文件记录在案。安全描述应包括落实安全政策的常规职责和保护具体资产或执行具体安全程序或活动的特定职责。公司管理层应向所有员工告知其自身的岗位职责,并监督执行。2人员考察公司应明确员工
32、的雇用条件和考察评价的方法与程序,减少因雇用不当而产生的安全风险。人员考察的内容应包括:a) 来自组织和个人的品格鉴定; b) 学历和履历的真实性和完整性; c) 学术及专业资格; d) 身份查验。在首次聘用、内部转岗、职位晋升等情况下,公司应进行人员考察。需要特别指出的是:对接触公司机密信息或拥有较大权力的人员,应定期重复进行考察。考察的对象包括:正式员工、临时人员、承包商。需要注意的是:如果使用中介机构提供的人员,同中介机构签署的协议应当明确规定中介机构的审查责任和通知程序。另外,对新员工和经验不足的员工应加强指导和管理。员工的个人情况变化会影响他们的工作。例如个人问题或经济问题、行为和生
33、活方式的变化、反复缺席以及明显的压力和消沉都有可能导致欺诈、盗窃、差错或者其他安全问题。管理层应关注此情况,并遵照相关制度予以处置。3保密协议公司应与所有员工签订保密协议。保密协议可以作为劳动合同条款的一部分。保密协议应明确规定员工承担的安全责任、保密要求和违约责任。在雇用合同出现变化时应对保密协议的内容和执行情况进行审查,特别是当员工离开公司或者合同终止时。4劳动合同劳动合同中应包含网络与信息安全条款,明确规定员工的安全责任和违约罚则。这些责任可延伸至公司场所以外和正常工作时间以外。必要时,这些责任应在雇用结束后延续一段特定的时间。5员工培训所有员工必须接受安全教育或培训,一般内容包括:公司
34、网络与信息安全策略、安全职责、安全管理规章制度和法律法规。不同岗位的员工应接受符合其工作要求的必要的专业技能培训。第三节第三方访问与外包服务的安全1第三方访问的安全第三方,是指除中国移动以外,所有的组织和人员。1.1 第三方访问的风险第三方的访问类型可分为物理访问和逻辑访问,例如进入公司机房、接入公司信息系统等。公司应审核第三方的访问需求,进行风险分析,确定控制措施。风险分析时需要考虑的因素有:访问类型、信息的价值、第三方采取的控制措施以及该访问对公司造成的潜在影响。需要特别指出的是,应加强对第三方临时人员现场访问的管理,清洁人员、餐饮服务人员、保安人员、实习生、咨询顾问等人员也不应被忽视。1
35、.2 第三方访问的控制措施公司应采取以下措施,对第三方访问进行控制:a) 公司应与第三方公司法人签署保密协议,并要求其第三方个人签署保密承诺,此项工作应在第三方获得网络与信息资产的访问权限之前完成。b) 实行访问授权管理,未经授权,第三方不得进行任何形式的访问。c) 公司应加强第三方访问的过程控制,监督其活动及操作。d) 公司应对第三方人员进行适当的安全宣传与培训。e) 第三方人员应佩带易于识别的标志,并在访问公司重要场所时有专人陪同。在与第三方签署合同时,应明确规定安全要求。如:安全目标、保护对象、双方责任与权力、服务种类与级别、事件通报处理流程、第三方引入分包商的规定等。需要特别指出的是,
36、在相应的控制措施未落实之前,或相关合同(保密协议)尚未签署之前,第三方不得访问公司的任何网络与信息系统。2外包服务的安全当公司将网络与信息系统的管理职责全部或部分外包给其他组织时,如果控制不当,会带来很大的安全风险。因此,管理层在进行外包决策时,应考虑下列事项:a) 必须综合权衡外包风险和由外包带来的成本优势,并根据公司安全策略决定何种服务可以外包。公司应明确禁止外包的敏感和关键应用。b) 必须获得设备责任人的批准;c) 对业务连续性的影响;d) 规定的安全标准以及用于审计的程序;e) 有效监控和管理所有与外包相关的安全活动所需的特定的职责和程序;f) 上报和处理安全事件的责任和程序;g) 对
37、外包服务商的资格、素质、能力进行考核、管理和审计;在外包合同中,除了包含第三方合同中提到的安全要素外,还应强调以下具体内容:a) 如何确保参与外包的所有各方(包括分包商)都能够意识到自己的安全职责;b) 如何保证并检查公司相关资产(特别是敏感商业信息)的完整性和机密性;c) 如何保证在发生故障和灾难时,服务与业务的连续性和可用性;d) 为外包设备提供什么样的物理安全;e) 审计权。考虑到今后的发展,外包合同应允许在各方约定的安全框架内扩展安全要求和流程。第四节客户使用业务的安全公司应与客户签署相关协议,明确双方在网络与信息安全方面的权利、义务及违约责任,保障客户与公司双方的利益。如专线用户、I
38、DC用户等。公司应提供必要的安全培训,使客户意识到网络与信息安全威胁及利害关系,了解并支持遵守公司的安全策略和控制措施,提高他们的安全意识和防范能力。第二章网络与信息资产管理第一节网络与信息资产责任制度1资产清单公司各部门应编制并保留各自责任范围内的各套网络与信息系统的重要资产清单,明确每件资产的责任人和安全保护级别,同时还应当确定其当前位置。公司安全工作组织应汇总、保留全公司完整的资产清单。网络与信息资产例如:a) 实物资产:计算机设备、数据网络通信设备(路由器、交换机等);磁性媒介(磁带和磁盘等)、其他技术设备(电源以及空调装置等)等;b) 信息资产:技术文档、配置数据、拓扑图等;c) 软
39、件资产:应用软件、系统软件以及开发工具等;需要特别指出的是,在确定资产清单中各项资产的安全保护等级时,必须依据该资产的相对价值,尤其要根据该资产所在系统的服务对象、所处地点、承载业务等方面的不同,分为不同的安全保护级别,采取不同的安全保护措施。2资产责任制度网络与信息都是资产,是企业运营与发展的基础和核心,具有不可或缺的重要价值。中国移动必须建立严格的资产责任制度,以有效保护网络与信息资产。资产责任制度的要点如下:a) 公司必须为网络与信息资产建立详细清单,并维护其准确性与完整性。具体可以按照网络与信息资产所属系统或所在部门列出,并给出诸如资产名称、所处位置、资产责任人、资产分类及重要性级别等
40、相关信息。b) 公司应根据资产的相对价值大小来确定其重要性,即根据资产受威胁所产生的实际影响和其本身的价值来综合评价。c) “谁主管,谁负责”。公司拥有的每项网络与信息资产,必须根据资产归属确定“责任人”,分配其相应的安全管理职权,并由其承担相应的安全责任。资产“责任人”可以将具体的安全职责委派给“维护人”,但“责任人”仍须承担资产安全的最终责任。d) 任何对网络与信息资产的变更、访问必须在获得资产责任人的批准后进行。e) 维护人应根据与资产责任人达成一致的维护要求,保证所维护网络与信息资产的机密性、完整性和可用性。f) 定期对网络与信息资产进行清查盘点,确保资产帐物相符和完好无损。g) 未经
41、管理人员批准,任何人都不得将公司资产用于私人目的,公司有权对有意误用者进行纪律惩戒。在资产责任制度中,可对资产责任人、资产维护人等的职责和权利作如下细化:责任人的职责和权限网络与信息资产的责任人是指负责管理网络与信息资产并落实相应安全措施的个人或部门。a) 所有网络与信息资产都必须指定责任人。b) 责任人及其领导负责进行风险分析,根据信息保密标准分类确定、鉴别并记录其所拥有的网络与信息资产的安全级别。该级别至少每年评审一次。c) 责任人必须贯彻、落实恰当的安全控制措施,确保只有在工作必须的情况下才能使用相关资产。d) 责任人可以为由其负责的资产指派维护人,或自己担当此任。e) 责任人可基于工作
42、相关性分配访问权,并与维护人共同负责保证网络与信息资产的可用性。f) 责任人必须至少每年审查一次其资产的访问权限。评审流程必须记录在案,并保留到下一次审查结束之前。需要特别指出的是,数据责任人是一种职能角色,负责管理控制特定数据的访问权限及与安全相关的问题。数据责任人可以将自己负责的数据的所有权授予其他个人,但让与此类权力决不意味着能够免除数据责任人对数据的责任。例如:人事信息数据被应用系统调用,提供用户查询。数据的责任人是人力资源部,其他人无权修改。维护人的职责和权限网络与信息资产的维护人是指支持并维护网络与信息资产的人员。a) 维护人可以根据所保管的信息的保密类别来确定相应的实物资产的安全
43、管理流程,以确保网络与信息资产责任人所要求的机密性、完整性和可用性。b) 责任人应确保适当的安全措施到位,并可以适度向下委派。如若需要,可以确定备用联络人。维护人必须保留责任人的名单。c) 维护人必须通知责任人其所应承担的安全职责。d) 未经责任人许可,维护人不得重新划分信息的类别。第二节资产安全等级及相应的安全要求公司应确定网络与信息资产的相对价值和重要性,并明确相应的安全保护级别。资产分类时的注意事项如下:a) 资产责任人负责指定资产级别并定期评审;b) 资产的级别不是一成不变的,而是随着分类政策的变化而变化的;c) 必须综合考虑资产分类方式的利弊,避免过度复杂的划分模式导致使用不便和成本
44、升高。1信息的安全等级、标注及处置信息能够以众多形式存在,如:语音、书面、电子文档等。不论信息以何种形式存在,也不论以何种方式被共享或存储,信息始终应当得到妥善保护。信息具有不同的敏感度和重要性,应从其机密性、完整性和可用性等安全属性对其进行分级,反映不同的保护要求、优先级和程度。公司应明确规定信息处于不同载体的标注方法。信息的密级必须被明确标注。根据存储和输出方式的不同,可以采用物理标签、电子标记等方法。信息的存储介质必须以物理标签形式标明其密级。当信息以可视方式输出(如:打印、屏幕显示等)时,必须以可视的方式显示其密级。需要注意的是,其他机构可能对相同或类似的信息分级标志作了不同的定义,在
45、使用中应特别注意。处置是对实物形式和电子形式的信息资产进行以下类型的信息处理活动:a) 复制;b) 存储;c) 通过邮寄、传真或电子邮件等方式进行传输;d) 通过口头对话方式进行传播,包括电话、语音邮件、应答设备等等;e) 销毁。公司应明确规定不同密级的信息,在处置过程中需要采取的相应控制和保护措施。中国移动的信息分级、标注和处置情况见下表。信息密级说明分级职责控制要求使用说明一般信息由公司各部门创建拥有、无需分级的信息,如:公司刊物世纪虹、moternet网页创建者防止非法修改使用者: 所有对此类信息具有合法业务需求的人员。 标记: 无特殊要求,电子邮件必须标记“中国移动一般性商业信息”。处置:无特殊预防措施。分发:采用任何适用的方式。销毁:无特殊要求。内部信息能够因己方的损失使竞争对手获益的信息,如:电话簿或者内部备忘录创建者 防
