中國移動網(wǎng)絡(luò)與信息安全 總綱 中國移動通信集團(tuán)公司 2006 年 7 月 本文檔版權(quán)由中國移動通信集團(tuán)公司所有。未經(jīng)中國移動通信集團(tuán)公司書面許可，任何單位和個人不得以任何形式摘抄、復(fù)制本文檔的部分或全部，并以任何形式傳播。 /webmoney 1 前言 中國移動 注 的通信網(wǎng)絡(luò)和支撐系統(tǒng)是國家基礎(chǔ)信息設(shè)施，必須加以妥善保護(hù)。隨著網(wǎng)絡(luò)和通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)互聯(lián)與開放、信息共享帶來了日益增長的安全威脅。為了企業(yè)乃至國家的網(wǎng)絡(luò)與信息安全，為了保障客戶利益，加強(qiáng)各方面的安全工作刻不容緩！ 制訂 和頒布本標(biāo)準(zhǔn)的目的是為中國移動的網(wǎng)絡(luò)與信息安全管理工作建立科學(xué)的體系，力爭通過科學(xué)規(guī)范的全過程管理，結(jié)合成熟和領(lǐng)先的技術(shù)，確保安全控制措施落實(shí)到位，為各項(xiàng)業(yè)務(wù)的安全運(yùn)行提供保障。 本標(biāo)準(zhǔn)主要依據(jù)國際規(guī)范，參考業(yè)界的成熟經(jīng)驗(yàn)，結(jié)合中國移動的實(shí)際情況進(jìn)行補(bǔ)充、修改、完善而來。本標(biāo)準(zhǔn)目前主要針對互聯(lián)網(wǎng)、支撐網(wǎng)等 IT 系統(tǒng)安全。 注 ： 本 標(biāo)準(zhǔn) 所稱 “中國移動 ”是指中國移動通信集團(tuán)公司及由其直接或間接控股的公司。 中國移動通信集團(tuán)公司，以下簡稱 “集團(tuán)公司 ”。 各 移動通信有限責(zé)任 公司，以下簡稱 “各省公司 ”。 /webmoney 2 目錄 前言 . 1 目錄 . 2 總則 . 9 1網(wǎng)絡(luò)與信息安全的基本概念 . 9 2網(wǎng)絡(luò)與信息安全的重要性和普遍性 . 9 3中國移動網(wǎng)絡(luò)與信息安全體系與安全策略 . 10 4安全需求的來源 . 11 5安全風(fēng)險(xiǎn)的評估 . 12 6安全措施的選擇原則 . 13 7安全工作的起點(diǎn) . 13 8關(guān)鍵性的成功因素 . 13 9安全標(biāo)準(zhǔn)綜述 . 14 10適用范圍 . 17 第一章 組織與人員 . 18 第一節(jié) 組織機(jī)構(gòu) . 18 1領(lǐng)導(dǎo)機(jī)構(gòu) . 18 2工作組織 . 18 3安全職責(zé)的分配 . 19 4職責(zé)分散與隔離 . 20 5安全信息的獲取和發(fā)布 . 20 6加強(qiáng)與外部組織之間的協(xié)作 . 21 7安全審計(jì)的獨(dú)立性 . 21 第二節(jié) 崗位職責(zé)與人員考察 . 22 1崗位職責(zé)中的安全內(nèi)容 . 22 2人員考察 . 22 3保密協(xié)議 . 23 4勞動合同 . 23 /webmoney 3 5員工培訓(xùn) . 23 第三節(jié) 第三方訪問與外包服務(wù)的安全 . 23 1第三方訪問 的安全 . 23 2外包服務(wù)的安全 . 24 第四節(jié) 客戶使用業(yè)務(wù)的安全 . 25 第二章 網(wǎng)絡(luò)與信息資產(chǎn)管理 . 26 第一節(jié) 網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任制度 . 26 1資產(chǎn)清單 . 26 2資產(chǎn)責(zé)任制度 . 26 第二節(jié) 資產(chǎn)安全等級及相應(yīng)的安全要求 . 28 1信息的安全等級、標(biāo)注及處置 . 29 2網(wǎng)絡(luò)信息系統(tǒng)安全等級 . 31 第三章 物理及環(huán)境安全 . 32 第一節(jié) 安全區(qū)域 . 32 1安全邊界 . 32 2出 入控制 . 33 3物理保護(hù) . 33 4安全區(qū)域工作規(guī)章制度 . 34 5送貨、裝卸區(qū)與設(shè)備的隔離 . 35 第二節(jié) 設(shè)備安全 . 35 1設(shè)備安置及物理保護(hù) . 35 2電源保護(hù) . 36 3線纜安全 . 36 4工作區(qū)域外設(shè)備的安全 . 37 5設(shè)備處置與重用的安全 . 37 第三節(jié) 存儲媒介的安全 . 38 1可移動存儲媒介的管理 . 38 2存儲媒介的處置 . 38 3信息處置程序 . 39 /webmoney 4 4系統(tǒng)文檔的安全 . 39 第四節(jié) 通用控制措施 . 40 1屏幕與桌面的清理 . 40 2資產(chǎn)的移動控制 . 41 第四章 通信和運(yùn)營管理的安全 . 42 第一節(jié) 操作流程與職責(zé) . 42 1規(guī)范操作細(xì)則 . 42 2設(shè)備維護(hù) . 42 3變更控制 . 43 4安全事件響應(yīng)程序 . 44 5開發(fā)、測試與現(xiàn)網(wǎng)設(shè)備的分離 . 44 第二節(jié) 系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)和驗(yàn)收 . 44 1系統(tǒng)規(guī)劃和設(shè)計(jì) . 44 2審批制度 . 45 3系統(tǒng)建設(shè)和驗(yàn)收 . 46 4設(shè)備入網(wǎng)管理 . 47 第三節(jié) 惡意軟件的防護(hù) . 47 第四節(jié) 軟件及補(bǔ)丁版本管理 . 48 第五節(jié) 時(shí)鐘和時(shí)間同步 . 49 第六節(jié) 日常工作 . 49 1維護(hù)作業(yè)計(jì)劃管理 . 49 2數(shù)據(jù)與軟件備份 . 49 3操作日志 . 50 4日志審核 . 50 5故障管理 . 51 6測試制度 . 52 7日常安全工作 . 52 第七節(jié) 網(wǎng)絡(luò)安全控制 . 52 第八節(jié) 信息與軟件的交換 . 53 /webmoney 5 1信息與軟件交換協(xié)議 . 53 2交接過程中的安全 . 53 3電子商務(wù)安全 . 54 4電子郵件的安全 . 54 5電子辦公系統(tǒng)的安全 . 55 6信息發(fā)布的安全 . 56 7其他形式信息交換的安全 . 56 第五章 網(wǎng)絡(luò)與信息系統(tǒng)的訪問控制 . 57 第一節(jié) 訪問控制策略 . 57 第二節(jié) 用戶訪問管理 . 58 1用戶注冊 . 58 2超級權(quán)限的管理 . 59 3口令管理 . 60 4用戶訪問權(quán)限核查 . 61 第三節(jié) 用戶職責(zé) . 61 1口令的使用 . 61 2無人值守的用戶設(shè)備 . 62 第四節(jié) 網(wǎng)絡(luò)訪問控制 . 62 1網(wǎng)絡(luò)服務(wù)使用策略 . 63 2邏輯安全區(qū)域的劃分與隔離 . 63 3訪問路徑控制 . 63 4外部連接用戶的驗(yàn)證 . 64 5網(wǎng)元節(jié)點(diǎn)驗(yàn)證 . 64 6端口 保護(hù) . 65 7網(wǎng)絡(luò)互聯(lián)控制 . 65 8網(wǎng)絡(luò)路由控制 . 65 9網(wǎng)絡(luò)服務(wù)的安全 . 66 第五節(jié) 操作系統(tǒng)的訪問控制 . 66 1終端自動識別 . 66 /webmoney 6 2終端登錄程序 . 66 3用戶識別和驗(yàn)證 . 67 4口令管理系統(tǒng) . 67 5限制系統(tǒng)工具的使用 . 68 6強(qiáng)制 警報(bào) . 68 7終端超時(shí)關(guān)閉 . 69 8連接時(shí)間限制 . 69 第六節(jié) 應(yīng)用訪問控制 . 69 1信息訪問限制 . 69 2隔離敏感應(yīng)用 . 70 第七節(jié) 系統(tǒng)訪問與使用的監(jiān)控 . 70 1事件記錄 . 70 2監(jiān)控系統(tǒng)使用情況 . 71 第八節(jié) 移動與遠(yuǎn)程工作 . 72 1 移動辦公 . 72 2遠(yuǎn)程辦公 . 73 第六章 系統(tǒng)開發(fā)與軟件維護(hù)的安全 . 75 第一節(jié) 系統(tǒng)的安全需求 . 75 第二節(jié) 應(yīng)用系統(tǒng)的安全 . 76 1輸入數(shù)據(jù)驗(yàn)證 . 76 2內(nèi)部處理控制 . 77 3消息認(rèn)證 . 77 4輸出數(shù)據(jù)驗(yàn)證 . 78 第三節(jié) 系統(tǒng)文件的安全 . 78 1操作系統(tǒng)軟件的控制 . 78 2系統(tǒng)測試數(shù)據(jù)的保護(hù) . 79 3系統(tǒng)源代碼的訪問控制 . 79 第四節(jié) 開發(fā)和支持過程中的安全 . 80 1變更控制程序 . 80 /webmoney 7 2軟件包的變更限制 . 81 3后門及特洛伊代碼的防范 . 81 4軟件開發(fā)外包的安全控制 . 82 第五節(jié) 加密技術(shù)控制措施 . 82 1加密技術(shù)使用策略 . 82 2使用加密技術(shù) . 83 3數(shù)字簽名 . 83 4不可否認(rèn)服務(wù) . 84 5密鑰管理 . 84 第七章 安全事件響應(yīng)及業(yè)務(wù)連續(xù)性管理 . 86 第一節(jié) 安全事件及安全響應(yīng) . 86 1及時(shí)發(fā)現(xiàn)與報(bào)告 . 86 2分析、協(xié)調(diào)與處理 . 87 3總結(jié)與獎懲 . 88 第二節(jié) 業(yè)務(wù)連續(xù)性管理 . 88 1建立業(yè)務(wù)連續(xù)性管理程序 . 88 2業(yè)務(wù)連續(xù)性和影響分析 . 89 3制定并實(shí)施業(yè)務(wù)連續(xù)性方案 . 89 4業(yè)務(wù)連續(xù)性方案框架 . 90 5維護(hù)業(yè)務(wù)連續(xù)性方案 . 91 第八章 安全審計(jì) . 93 第一節(jié) 遵守法律法規(guī)要求 . 93 1識別適用的法律法規(guī) . 93 2保護(hù)知識產(chǎn)權(quán) . 93 3保護(hù)個人信息 . 94 4防止網(wǎng)絡(luò)與信息處理設(shè)施的不當(dāng)使用 . 94 5加密技術(shù)控制規(guī)定 . 94 6保護(hù)公司記錄 . 94 7收集證據(jù) . 95 /webmoney 8 第二節(jié) 安全審計(jì)的內(nèi)容 . 95 第三節(jié) 安全審計(jì)管理 . 96 1獨(dú)立審計(jì)原則 . 96 2控制安全審計(jì)過程 . 96 3保護(hù)審計(jì)記錄和工具 . 97 參考文獻(xiàn) . 98 術(shù)語和專有名詞 . 99 附錄 1：安全體系第二層項(xiàng)目清單（列表） . 100 /webmoney 9 總則 1網(wǎng)絡(luò)與信 息安全的基本概念 網(wǎng)絡(luò)與信息安全包括下列三個基本屬性： 機(jī)密性（ Confidentiality）：確保網(wǎng)絡(luò)設(shè)施和信息資源只允許被授權(quán)人員訪問。根據(jù)信息的重要性和保密要求，可以分為不同密級，并具有時(shí)效性。 完整性（ Integrity）：確保網(wǎng)絡(luò)設(shè)施和信息及其處理的準(zhǔn)確性和完整性。 可用性（ Availability）：確保被授權(quán)用戶能夠在需要時(shí)獲取 網(wǎng)絡(luò)與信息資產(chǎn)。 需要特別指出的是，網(wǎng)絡(luò)安全與信息安全（包括但不限于內(nèi)容安全）是一體的，不可分割的。 2網(wǎng)絡(luò)與信息安全的重要性和普遍性 網(wǎng)絡(luò)與信息都是資產(chǎn)，具有不可 或缺的重要價(jià)值。無論對企業(yè)、國家還是個人，保證其安全性是十分重要的。 網(wǎng)絡(luò)與信息安全工作是企業(yè)運(yùn)營與發(fā)展的基礎(chǔ)和核心；是保證網(wǎng)絡(luò)品質(zhì)的基礎(chǔ)；是保障客戶利益的基礎(chǔ)。中國移動的網(wǎng)絡(luò)與信息安全也是國家安全的需要。 網(wǎng)絡(luò)與信息安全工作無所不在，分散在每一個部門，每一個崗位，甚至是每一個合作伙伴；同時(shí)，網(wǎng)絡(luò)與信息安全是中國移動所有員工共同分擔(dān)的責(zé)任，與每一個員工每一天的日常工作息息相關(guān)。中國移動所有員工必須統(tǒng)一思想，提高認(rèn)識，高度重視，從自己開始，堅(jiān)持不懈地做好網(wǎng)絡(luò)與信息安全工作。 /webmoney 10 3中國移動網(wǎng)絡(luò)與信息安全體系與安 全策略 國內(nèi)外標(biāo)準(zhǔn) 合作方經(jīng)驗(yàn)網(wǎng)絡(luò)與信息安全體系（ NISS ）總綱安全評估結(jié) 果技術(shù) 管理具體實(shí)施現(xiàn)有規(guī)范檢查考核效果評估安全審計(jì)業(yè)務(wù)保障系統(tǒng)開發(fā)訪問控制運(yùn)營維護(hù)物理環(huán)境信息資產(chǎn)組織人員網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用安全設(shè)備安全技術(shù)第一層第二層第三層操作手冊 流程、細(xì)則 中國移動網(wǎng)絡(luò)與信息安全體系如上圖所示。 中國移動網(wǎng)絡(luò)與信息 安全體系是由兩部分組成的。一部分是一系列安全策略和技術(shù)管理規(guī)范 （第一、二層） ，另一部分是實(shí)施層面的工作流程 （第三層） 。 網(wǎng)絡(luò)與信息安全 體系 （ NISS） 總綱（以下簡稱總綱） 位于安全體系的第一層，是整個安全體系的最高綱領(lǐng)。它主要闡述安全的必要性、基本原則及宏觀策略。 總綱 具有高度的概括性，涵蓋了技術(shù)和管理兩個方面，對中國移動各方面的安全工作具有通用性。 安全體系的第二層是一系列的技術(shù)規(guī)范 和管理規(guī)定，是對 總綱 的分解和進(jìn)一步闡述，側(cè)重于共性問題、操作實(shí)施和管理考核，提出具體的要求，對安全工作具有實(shí)際的指導(dǎo)作用。 安全體系的第三層是操作層面，它根據(jù)第一層和第二層的要求，結(jié)合具體的網(wǎng)絡(luò)和應(yīng)用環(huán)境，制訂具體實(shí)施的細(xì)則、流程等，具備最直觀的可操作性。 安全體系也包含了實(shí)施層面的工作流程，結(jié)合三層安全策略，進(jìn)行具體實(shí)施和檢查考核，同時(shí)遵循動態(tài)管理和閉環(huán)管理的原則，通過定期的評估不斷修改完善。 安全策略是在公司內(nèi)部，指導(dǎo)如何對網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行管理、保護(hù)和分配的規(guī)則和指示。中國移動必須制訂并實(shí)施統(tǒng)一的網(wǎng)絡(luò) 與信息安全策略，明確安全/webmoney 11 管理的方向、目標(biāo)和范圍。安全策略必須得到管理層的批準(zhǔn) 和 支持。安全策略應(yīng)被定期評審和修訂，以確保其持續(xù)適宜性，特別是在組織結(jié)構(gòu)或技術(shù)基礎(chǔ)改變、出現(xiàn)新的漏洞和威脅、發(fā)生重大安全事件時(shí)。 中國移動的安全策略是由安全體系三個層面的多個子策略組成的，具有分層結(jié)構(gòu)的完整體系，包含了從宏觀到微觀，從原則方向到具體措施等多方面的內(nèi)容。安全策略用來指導(dǎo)全網(wǎng) 的 網(wǎng)絡(luò)與信息安全工作。 4安全需求的來源 確立安全需求是建立完整的安全體系的首要工作。中國移動的安全需求主要源自下述三個方面： 系統(tǒng)化的安全評估。 結(jié)合經(jīng)驗(yàn)教訓(xùn)和技術(shù)發(fā)展，通過安全評估分析公司網(wǎng)絡(luò)和信息資產(chǎn)所面臨的威脅，存在的薄弱點(diǎn)和安全事件發(fā)生的可能性，并估計(jì)可能對公司造成的各種直接的和潛在的影響。 中國移動及其合作伙伴、承包商、服務(wù)提供商必需遵守的法律法規(guī)、行政條例和合同約束，以及公司對客戶的服務(wù)承諾。 公司運(yùn)營管理的目標(biāo)與策略。 下圖說明了安全需求、風(fēng)險(xiǎn)評估和安全措施三者的關(guān)系。 /webmoney 12 風(fēng)險(xiǎn)評估 安全措施安全需求法律合同服務(wù)承諾運(yùn)營管理目標(biāo)策略 5安全風(fēng)險(xiǎn)的評估 安全風(fēng)險(xiǎn)評估可以應(yīng)用于整個公司或某些部分，也可應(yīng)用于單個網(wǎng)絡(luò)信息系統(tǒng)、特定系統(tǒng)組件或 服務(wù)。 安全風(fēng)險(xiǎn)評估應(yīng)著重于： 安全事件可能對中國移動造成的損失，以及所產(chǎn)生的直接和潛在的影響。 綜合考慮所有風(fēng)險(xiǎn)，以及目前已實(shí)施的控制措施，判斷此類安全事件發(fā)生的實(shí)際可能性。 從安全角度，對公司現(xiàn)有的管理制度和流程本身的合理性與完備程度進(jìn)行評估。 安全風(fēng)險(xiǎn)評估應(yīng)本著可行、實(shí)際和有效的原則，通過標(biāo)準(zhǔn)統(tǒng)一的評估程序和方法，量化安全風(fēng)險(xiǎn)，確定安全風(fēng)險(xiǎn)的 危險(xiǎn)級別 ，從而采取合理措施防范或降低安全風(fēng)險(xiǎn)。 /webmoney 13 需要特別指出的是：為適應(yīng)業(yè)務(wù)發(fā)展的變化，應(yīng)對新出現(xiàn)的威脅和漏洞，評估現(xiàn)有控制措施的有效性及合理性，必須周期性地進(jìn)行 安全風(fēng)險(xiǎn)評估并調(diào)整控制措施，且應(yīng)在不同的層面進(jìn)行，為高風(fēng)險(xiǎn)領(lǐng)域優(yōu)先分配 資金、人力等 資源。 6安全措施的選擇原則 有效性。安全措施的實(shí)施必須能夠確保風(fēng)險(xiǎn)被降低到可以接受的水平，達(dá)到期望的安全目標(biāo)。 可行性。安全措施必須在技術(shù)上是可操作的，可以實(shí)現(xiàn)的。某些安全措施不具備通用性，需要因地制宜 的考慮具體實(shí)施環(huán)境 。 實(shí)際性。應(yīng)從管理、財(cái)務(wù)等非技術(shù)因素詳細(xì)分析待實(shí)施的安全措施，綜合比較實(shí)施成本與由此減少的潛在損失，非經(jīng)濟(jì)因素也應(yīng)考慮在內(nèi)。 公司應(yīng)在遵循以上原則的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)與信息資產(chǎn)面臨風(fēng)險(xiǎn)的大小，區(qū)分輕重緩急， 實(shí)施相應(yīng)的安全控制措施。 7安全工作的起點(diǎn) 根據(jù)一般性規(guī)律和業(yè)界的實(shí)際經(jīng)驗(yàn)，網(wǎng)絡(luò)與信息安全工作的開展可以從以下幾個方面著手： 法律 方面 ：數(shù)據(jù)保護(hù)以及個人隱私保護(hù)、公司記錄保護(hù)和知識產(chǎn)權(quán)保護(hù)等。 業(yè)界慣例：安全策略制訂、安全職責(zé)劃分、安全教育與培訓(xùn)、安全事件響應(yīng)和業(yè)務(wù)連續(xù)性管理等。 需要指出的是，上述內(nèi)容不能取代根據(jù)安全風(fēng)險(xiǎn)評估選擇控制措施的基本原則。任何控制措施的選取都應(yīng)當(dāng)依據(jù)實(shí)際面臨的具體風(fēng)險(xiǎn)來確定。 8關(guān)鍵性的成功因素 為了確保網(wǎng)絡(luò)與信息安全工作的順利實(shí)施，下列因素至關(guān)重要： 公司管理層的高度重視、 明確支持和承諾 ； /webmoney 14 安全工作組織與人員的落實(shí)； 安全策略、目標(biāo)和措施應(yīng)與公司經(jīng)營目標(biāo)一致； 安全工作的具體實(shí)施必須同公司的企業(yè)文化相兼容； 深刻理解安全需求、風(fēng)險(xiǎn)評估及風(fēng)險(xiǎn)管理； 在全體員工中建立網(wǎng)絡(luò)與信息安全無處不在的安全理念； 建立全面、均衡、可行的評估、考核體系，以衡量網(wǎng)絡(luò)與信息安全管理工作的水平； 向所有員工和第三方（ 包括承包商、合作伙伴、客戶等）分發(fā)網(wǎng)絡(luò)與信息安全指南，并提供相應(yīng)的培訓(xùn)和教育。 9安全標(biāo)準(zhǔn)綜述 本標(biāo)準(zhǔn)依據(jù)國際規(guī)范，參考業(yè)界的成熟經(jīng)驗(yàn)，結(jié)合中國移動的實(shí)際情況， 制定并描述了網(wǎng)絡(luò)與信息 安全管理必須遵守的基本原則和要求， 將安全工作要點(diǎn)歸結(jié)到 以下 八個方面 ： 組織與人員 集團(tuán)公司和各省公司 必須建立公司級別的網(wǎng)絡(luò)與信息安全常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu)，全面負(fù)責(zé)公司的網(wǎng)絡(luò)與信息安全工作。安全領(lǐng)導(dǎo)機(jī)構(gòu)必須明確劃分安全職責(zé)并建立內(nèi)部協(xié)調(diào)機(jī)制。公司必須設(shè)立專職安全隊(duì)伍，建立安全事件響應(yīng)流程和聯(lián)絡(luò)人制度。公司應(yīng)與外部安全專家和其他相關(guān)組織加強(qiáng)溝通與協(xié)作。 中國移動的所有崗位職責(zé)中必須包含安全內(nèi)容，并盡量實(shí)現(xiàn)職責(zé) 分隔 。公司應(yīng)實(shí)施人員考察制度。公司的所有員工及使用中國移動網(wǎng)絡(luò)與信息資產(chǎn)的其他組織人員都應(yīng)當(dāng)簽署保密協(xié)議。中 國移動的所有員工都應(yīng)當(dāng)接受網(wǎng)絡(luò)與信息安全培訓(xùn)。 第三方訪問和外包服務(wù)必須受到控制，應(yīng)事先進(jìn)行風(fēng)險(xiǎn)評估，分析安全影響并制訂相應(yīng)措施。同第三方和外包服務(wù)機(jī)構(gòu)簽訂的合同中應(yīng)包含雙方認(rèn)可的安全條款。 /webmoney 15 公司應(yīng)與客戶簽署相關(guān)協(xié)議，明確雙方在網(wǎng)絡(luò)與信息安全方面的權(quán)利與義務(wù)及違約責(zé)任，保障客戶與公司雙方的利益。 網(wǎng)絡(luò)與信息資產(chǎn)管理 公司必須建立詳細(xì)準(zhǔn)確的網(wǎng)絡(luò)與信息資產(chǎn)清單和嚴(yán)格的資產(chǎn)責(zé)任制度。每一項(xiàng)資產(chǎn)都應(yīng)當(dāng)指定 “責(zé)任人 ”，分配其相應(yīng)的安全管理職權(quán)，并由其承擔(dān)相應(yīng)的安全責(zé)任。 “責(zé)任人 ”可以將具體的工作職責(zé)委派給 “維護(hù)人 ”，但 “責(zé)任人 ”仍必須承擔(dān)資產(chǎn)安全的最終責(zé)任。 根據(jù)網(wǎng)絡(luò)與信息資產(chǎn)的敏感度和重要性，必須對其進(jìn)行分類和標(biāo)注，并采取相應(yīng)的管理措施。 物理與環(huán)境安全 公司的關(guān)鍵或敏感的網(wǎng)絡(luò)與信息處理設(shè)施應(yīng)被放置在安全區(qū)域內(nèi)，由指定的安全邊界予以保護(hù)。根據(jù)不同的安全需求等級，公司應(yīng)劃分不同的安全區(qū)域，例如：機(jī)房、辦公區(qū)和第三方接入?yún)^(qū)。針對不同的安全區(qū)域，公司應(yīng)采取不同等級的安全防護(hù)和訪問控制措施，阻止非法訪問、破壞和干擾。工程施工期間也應(yīng)遵守相關(guān)規(guī)定，加強(qiáng)安全區(qū)域的保護(hù)。 公司必須制定清理辦公環(huán)境及合理使用計(jì)算機(jī)設(shè)備的規(guī)定 。網(wǎng)絡(luò)與信息處理設(shè)施的處置與轉(zhuǎn)移應(yīng)遵守相應(yīng)的安全要求。 通信與運(yùn)營管理安全 公司應(yīng)建立網(wǎng)絡(luò)與信息處理設(shè)施的管理和操作的職責(zé)及流程，并盡可能地實(shí)現(xiàn)職責(zé)分離。開發(fā)、調(diào)測和運(yùn)營環(huán)境應(yīng)保持相對隔離。 公司應(yīng)做好系統(tǒng)容量的監(jiān)視和規(guī)劃。配套安全系統(tǒng)應(yīng)與業(yè)務(wù)系統(tǒng) “同步規(guī)劃、同步建設(shè)、同步運(yùn)行 ”。新建或擴(kuò)容系統(tǒng)的審批應(yīng)包含安全內(nèi)容，并在交付使用前做好測試和驗(yàn)收工作。涉及安全方面的審批工作應(yīng)由安全機(jī)構(gòu)人員負(fù)責(zé)。 公司應(yīng)加強(qiáng)防范意識，采取有效措施，預(yù)防和控制惡意軟件。 公司應(yīng)采取相應(yīng)技術(shù)手段，確保時(shí)鐘和時(shí)間同步。 /webmoney 16 公司應(yīng)建 立嚴(yán)格的軟件管理制度，及時(shí)加載安全補(bǔ)丁，定期進(jìn)行系統(tǒng)安全漏洞評估，并執(zhí)行系統(tǒng)加固解決方案。 公司應(yīng)當(dāng)制定備份制度，執(zhí)行備份策略，并定期演練數(shù)據(jù)恢復(fù)過程。記錄操作和故障日志。 公司必須采取多種控制措施，保護(hù)網(wǎng)絡(luò)設(shè)備及其上信息的安全，尤其是網(wǎng)絡(luò)邊界和與公共網(wǎng)絡(luò)交換的信息。可采取的控制措施如：訪問控制技術(shù)、加密技術(shù)、網(wǎng)管技術(shù)、安全設(shè)備、安全協(xié)議等。 公司應(yīng)制定信息存儲介質(zhì)的管理制度和處置流程。應(yīng)特別加強(qiáng)對可移動存儲介質(zhì)和系統(tǒng)文檔的管理。 公司在與其他組織交換信息和軟件時(shí)，應(yīng)遵從相應(yīng)的法律或合同規(guī)定，采取必要的控制 措施。公司應(yīng)制定相應(yīng)的程序和標(biāo)準(zhǔn)，以保護(hù)傳送過程中的信息和媒介安全，尤其要考慮電子商務(wù)、電子郵件等應(yīng)用的安全控制需求。公司還應(yīng)制定信息發(fā)布管理規(guī)定。 訪問控制 公司應(yīng)基于業(yè)務(wù)和安全需求，制定訪問控制策略，并明確用戶職責(zé)，加強(qiáng)用戶訪問控制管理。公司應(yīng)加強(qiáng)對移動辦公和遠(yuǎn)程辦公的管理。 公司應(yīng)加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、應(yīng)用系統(tǒng)的訪問控制，如在公司網(wǎng)絡(luò)邊界設(shè)置合適的接口，采取有效的用戶和設(shè)備驗(yàn)證機(jī)制，控制用戶訪問，隔離敏感信息。同時(shí)應(yīng)監(jiān)控對系統(tǒng)的訪問和使用，記錄并審查事件日志。 開發(fā)與維護(hù) 新系統(tǒng)的開發(fā)，包 括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、支撐系統(tǒng)，必須遵循系統(tǒng)安全生命周期管理流程。在開發(fā)新系統(tǒng)之前，應(yīng)確認(rèn)安全需求。在設(shè)計(jì)中應(yīng)采用合適的控制措施、審計(jì)跟蹤記錄和活動日志，包括輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)的驗(yàn)證。應(yīng)用系統(tǒng)不應(yīng)在程序或進(jìn)程中固化 賬戶 和口令，系統(tǒng)應(yīng)具備對口令猜測的防范機(jī)制和監(jiān)控手段。 /webmoney 17 公司應(yīng)通過風(fēng)險(xiǎn)評估來確定加密策略，基于統(tǒng)一的標(biāo)準(zhǔn)和程序建立加密管理規(guī)范。 在系統(tǒng)開發(fā)及維護(hù)過程中，應(yīng)嚴(yán)格執(zhí)行系統(tǒng)開發(fā)流程管理，包括對開發(fā)、測試和生產(chǎn)環(huán)境的變更控制，以保證系統(tǒng)軟硬件和數(shù)據(jù)的安全。 安全事件響應(yīng)與業(yè)務(wù)連續(xù)性 公司必須貫徹 “積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)與確?；謴?fù) ”的方針，建立安全事件響應(yīng)流程和獎懲機(jī)制。如有必要，應(yīng)盡快收集相關(guān)證據(jù)。 公司應(yīng)實(shí)施業(yè)務(wù)連續(xù)性管理，通過分析安全事件對業(yè)務(wù)系統(tǒng)的影響，制定并實(shí)施應(yīng)急方案，并定期更新、維護(hù)和測試。 安全審計(jì) 網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理必須遵從國家法律、信息產(chǎn)業(yè)部相關(guān)管理?xiàng)l例以及合同規(guī)定的安全要求。 安全審計(jì)應(yīng)遵循獨(dú)立原則，定期檢查網(wǎng)絡(luò)與信息系統(tǒng)安全，檢驗(yàn)安全政策和技術(shù)規(guī)范的執(zhí)行情況。應(yīng)采取有效的控制措施保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)及審計(jì)工具，使安全審計(jì)的效果最大化，影響最小化。 10適用范圍 本標(biāo)準(zhǔn)適用于中國移動的所有網(wǎng)絡(luò)與信息系統(tǒng)（包括但不限于業(yè)務(wù)網(wǎng)絡(luò)、支撐網(wǎng)絡(luò)），及組織和人員。 本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)歸中國移動通信集團(tuán)公司。 /webmoney 18 第一章 組織與人員 第一節(jié) 組織機(jī)構(gòu) 安全工作 “三分靠技術(shù)，七分靠管理 ”，建立有效的組織機(jī)構(gòu)是安全管理的基礎(chǔ)。不健全的安全管理機(jī)制是網(wǎng)絡(luò)與信息安全最大的薄弱點(diǎn)。 1領(lǐng)導(dǎo)機(jī)構(gòu) 集團(tuán)公司和各省公司必須建立公司級別的網(wǎng)絡(luò)與信息安全常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu)，全面負(fù)責(zé)公司的網(wǎng)絡(luò)與信息安全工作。該機(jī)構(gòu)應(yīng)由公司級別主管領(lǐng)導(dǎo)負(fù)責(zé)，各相關(guān)部門領(lǐng)導(dǎo)組成。 安全領(lǐng)導(dǎo)機(jī)構(gòu)應(yīng)為公司的安全 管理指明清晰的方向，并提供強(qiáng)有力的管理層支持。安全領(lǐng)導(dǎo)機(jī)構(gòu)應(yīng)通過合理的承諾和充分的資源配置，來推進(jìn)整個公司的網(wǎng)絡(luò)與信息安全工作。 集團(tuán)公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組是中國移動網(wǎng)絡(luò)與信息安全管理的最高決策機(jī)構(gòu)。 安全領(lǐng)導(dǎo)機(jī)構(gòu)承擔(dān)以下責(zé)任： a) 審查并批準(zhǔn)公司的網(wǎng)絡(luò)與信息安全策略； b) 分配安全管理總體職責(zé)； c) 在網(wǎng)絡(luò)與信息資產(chǎn)暴露于重大威脅時(shí)，監(jiān)督控制可能發(fā)生的重大變化； d) 對安全管理的重大更改事項(xiàng)（例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動、信息系統(tǒng)更改等）進(jìn)行決策； e) 指揮、協(xié)調(diào)、督促并審查重大安全事件的處理。 2工作組織 公司各 部門應(yīng)建立專職或兼職的安全隊(duì)伍，從事具體的安全工作。安全工作需要多個部門的共同參與，為迅速解決工作中出現(xiàn)的問題，防止相互推諉，提高工作效率，公司必須建立跨部門的協(xié)調(diào)機(jī)制。具體協(xié)調(diào)機(jī)構(gòu)應(yīng)由各部門從事安全/webmoney 19 工作的相關(guān)人員組成，并明確牽頭部門或人員。條件成熟時(shí)，應(yīng)成立獨(dú)立的安全工作組織。 集團(tuán)公司網(wǎng)絡(luò)與信息安全辦公室是中國移動網(wǎng)絡(luò)與信息安全工作的具體組織機(jī)構(gòu)。 工作組織承擔(dān)以下責(zé)任： a) 制定相關(guān)的安全崗位及職責(zé)； b) 制定并落實(shí)相關(guān)安全管理制度； c) 制定并落實(shí)安全保護(hù)方案； d) 審批新系統(tǒng)或服務(wù)的規(guī)劃和設(shè)計(jì)中的安全部分，并監(jiān)督 其實(shí)施落實(shí)； e) 審批業(yè)務(wù)連續(xù)性方案； f) 牽頭處理網(wǎng)絡(luò)與信息安全事件； g) 組織安全評估和安全審計(jì)工作； h) 輔助領(lǐng)導(dǎo)機(jī)構(gòu)進(jìn)行安全方面的決策； i) 完成部門間的協(xié)調(diào)工作，分派并落實(shí)某項(xiàng)具體工作中各部門的職責(zé)； j) 獲取和發(fā)布安全信息； k) 完成領(lǐng)導(dǎo)機(jī)構(gòu)下達(dá)的各項(xiàng)任務(wù)。 3安全職責(zé)的分配 為明確安全責(zé)任，劃分（界定）安全管理與具體執(zhí)行之間的工作職責(zé)，公司必須建立安全責(zé)任制度。 安全責(zé)任分配的基本原則是 “誰主管，誰負(fù)責(zé) ”。公司擁有的每項(xiàng)網(wǎng)絡(luò)與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定 “責(zé)任人 ”。 “責(zé)任人 ”對資產(chǎn)安全保護(hù)負(fù)有完全責(zé)任?！柏?zé)任人 ”可以 是個人或部門，但 “責(zé)任人 ”是部門時(shí)，應(yīng)由該部門領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)。 /webmoney 20 “責(zé)任人 ”可以將具體的執(zhí)行工作委派給 “維護(hù)人 ”，但 “責(zé)任人 ”仍然必須承擔(dān)資產(chǎn)安全的最終責(zé)任。因此 “責(zé)任人 ”應(yīng)明確規(guī)定 “維護(hù)人 ”的工作職責(zé)，并定期檢查 “維護(hù)人 ”是否正確履行了安全職責(zé)。 “維護(hù)人 ”可以是個人或部門，也可以是外包服務(wù)提供商。當(dāng) “維護(hù)人 ”是部門時(shí)，應(yīng)由該部門領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)。 安全工作人員的職責(zé)是指導(dǎo)、監(jiān)督、管理、考核 “責(zé)任人 ”的安全工作，不能替代 “責(zé)任人 ”對具體網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行安全保護(hù)。 在資產(chǎn)的安全保護(hù)工作中，應(yīng)重點(diǎn)關(guān)注以下內(nèi)容： a) 應(yīng)清 楚地說明每個獨(dú)立的網(wǎng)絡(luò)與信息系統(tǒng)所包含的各種資產(chǎn)和相應(yīng)的安全保護(hù)流程。 b) “責(zé)任人 ”與 “維護(hù)人 ”都應(yīng)明確接受其負(fù)責(zé)的安全職責(zé)和安全保護(hù)流程，并對該職責(zé)的詳細(xì)內(nèi)容記錄在案。 c) 所有授權(quán)的內(nèi)容和權(quán)限應(yīng)當(dāng)被明確規(guī)定，并記錄在案。 4職責(zé)分散與隔離 職責(zé)分隔（ Segregation of Duties）是一種減少偶然或故意行為造成安全風(fēng)險(xiǎn)的方法。公司應(yīng)分散某些任務(wù)的管理、執(zhí)行及職責(zé)范圍，以減少誤用或?yàn)E用職責(zé)帶來風(fēng)險(xiǎn)的概率。例如關(guān)鍵數(shù)據(jù)修改的審批與制作必須分開。 在無法實(shí)現(xiàn)職責(zé)充分分散的情況下，應(yīng)采取其他補(bǔ)償控制措施并 記錄在案。例如：活動監(jiān)控、檢查審計(jì)跟蹤記錄以及管理監(jiān)督等。 為避免串通勾結(jié)等欺詐活動，公司應(yīng)盡量隔離相應(yīng)職責(zé)，并增加執(zhí)行和監(jiān)督人員，以降低串通的可能性。 5安全信息的獲取和發(fā)布 信息技術(shù)的發(fā)展日新月異，安全工作愈發(fā)復(fù)雜和困難。公司必須建立有效可靠的渠道，獲取安全信息，不斷推進(jìn)安全工作。例如： a) 從內(nèi)部挑選經(jīng)驗(yàn)豐富的安全管理和技術(shù)人員，組成內(nèi)部專家組，制定安全解決方案，參與安全事件處理，解決實(shí)際安全問題，提供預(yù)防性建議/webmoney 21 等。為使內(nèi)部專家組的工作更具成效，應(yīng)允許他們直接接觸公司的管理層。 b) 與設(shè)備提供商、安全服務(wù)商 等外部安全專家保持緊密聯(lián)系，聽取他們的安全建議。 c) 從一些公開的信息渠道獲取安全信息，例如專業(yè)出版物、定期公告等。 中國移動權(quán)威的安全信息發(fā)布機(jī)構(gòu)為集團(tuán)公司安全辦公室。集團(tuán)公司負(fù)責(zé)收集和整理并向各省發(fā)布安全信息；各省負(fù)責(zé)省內(nèi)發(fā)布和信息上報(bào)。 6加強(qiáng)與外部組織之間的協(xié)作 公司應(yīng)加強(qiáng)與國家安全機(jī)關(guān)、行業(yè)監(jiān)管部門、其他運(yùn)營商和信息服務(wù)提供商等外部組織的聯(lián)系，并建立協(xié)作流程，以便在出現(xiàn)安全事件時(shí)，盡快獲取信息、采取措施。 公司在加入安全組織或與其他組織進(jìn)行交流時(shí)，應(yīng)對信息交換予以嚴(yán)格限制，以確保公司信息的保密性。 7安全審計(jì)的獨(dú)立性 安全審計(jì)是從管理和技術(shù)兩個方面檢查公司的安全策略和控制措施的執(zhí)行情況，發(fā)現(xiàn)安全隱患的過程。 安全審計(jì)的獨(dú)立性是指審計(jì)方與被審計(jì)方應(yīng)保持相對獨(dú)立，即不能自己審計(jì)自己的工作，以確保審計(jì)結(jié)果的公正可靠。 安全審計(jì)可由公司內(nèi)部審計(jì)組織，或外聘的專業(yè)審計(jì)機(jī)構(gòu)完成。審計(jì)人員應(yīng)接受審計(jì)培訓(xùn)，掌握一定的技能和經(jīng)驗(yàn)。當(dāng)采用外聘審計(jì)機(jī)構(gòu)時(shí)，應(yīng)充分考慮其風(fēng)險(xiǎn)，并采取相應(yīng)的控制措施。 /webmoney 22 第二節(jié) 崗位職責(zé)與人員考察 1崗位職責(zé)中的安全內(nèi)容 中國移動的崗位描述中都應(yīng)明確包含安全職責(zé)，并形成正式文件記錄在案。安全 描述應(yīng)包括落實(shí)安全政策的常規(guī)職責(zé)和保護(hù)具體資產(chǎn)或執(zhí)行具體安全程序或活動的特定職責(zé)。 公司管理層應(yīng)向所有員工告知其自身的崗位職責(zé)，并監(jiān)督執(zhí)行。 2人員考察 公司應(yīng)明確員工的雇用條件和考察評價(jià)的方法與程序，減少因雇用不當(dāng)而產(chǎn)生的安全風(fēng)險(xiǎn)。 人員考察的內(nèi)容應(yīng)包括： a) 來自組織和個人的品格鑒定； b) 學(xué)歷和履歷的真實(shí)性和完整性； c) 學(xué)術(shù)及專業(yè)資格； d) 身份查驗(yàn)。 在首次聘用、內(nèi)部轉(zhuǎn)崗、職位晉升等情況下，公司應(yīng)進(jìn)行人員考察。需要特別指出的是：對接觸公司機(jī)密信息或擁有較大權(quán)力的人員，應(yīng)定期重復(fù)進(jìn)行考察。 考察的對象包括： 正式員工、臨時(shí)人員、承包商。需要注意的是：如果使用中介機(jī)構(gòu)提供的人員，同中介機(jī)構(gòu)簽署的協(xié)議應(yīng)當(dāng)明確規(guī)定中介機(jī)構(gòu)的審查責(zé)任和通知程序。另外，對新員工和經(jīng)驗(yàn)不足的員工應(yīng)加強(qiáng)指導(dǎo)和管理。 員工的個人情況變化會影響他們的工作。例如個人問題或經(jīng)濟(jì)問題、行為和生活方式的變化、反復(fù)缺席以及明顯的壓力和消沉都有可能導(dǎo)致欺詐、盜竊、差錯或者其他安全問題。管理層應(yīng)關(guān)注此情況，并遵照相關(guān)制度予以處置。 /webmoney 23 3保密協(xié)議 公司應(yīng)與所有員工簽訂保密協(xié)議。保密協(xié)議可以作為勞動合同條款的一部分。 保密協(xié)議應(yīng)明確規(guī)定員工承擔(dān)的安全責(zé)任、保密要 求和違約責(zé)任。 在雇用合同出現(xiàn)變化時(shí)應(yīng)對保密協(xié)議的內(nèi)容和執(zhí)行情況進(jìn)行審查，特別是當(dāng)員工離開公司或者合同終止時(shí)。 4勞動合同 勞動合同中應(yīng)包含網(wǎng)絡(luò)與信息安全條款，明確規(guī)定員工的安全責(zé)任和違約罰則。這些責(zé)任可延伸至公司場所以外和正常工作時(shí)間以外。必要時(shí)，這些責(zé)任應(yīng)在雇用結(jié)束后延續(xù) 一段 特定的時(shí)間。 5 員工 培訓(xùn) 所有員工必須接受安全教育或培訓(xùn)，一般內(nèi)容包括：公司網(wǎng)絡(luò)與信息安全策略、安全職責(zé)、安全管理規(guī)章制度和法律法規(guī)。不同崗位的員工應(yīng)接受符合其工作要求的必要的專業(yè)技能培訓(xùn)。 第三節(jié) 第三方訪問與外包服務(wù)的安全 1第三方訪問的安全 第三方，是指除中國移動以外，所有的組織和人員。 1.1 第三方訪問的風(fēng)險(xiǎn) 第三方的訪問類型可分為物理訪問和邏輯訪問，例如進(jìn)入公司機(jī)房、接入公司信息系統(tǒng)等。 公司應(yīng)審核第三方的訪問需求，進(jìn)行風(fēng)險(xiǎn)分析，確定控制措施。風(fēng)險(xiǎn)分析時(shí)需要考慮的因素有：訪問類型、信息的價(jià)值、第三方采取的控制措施以及該訪問對公司造成的潛在影響。 /webmoney 24 需要特別指出的是，應(yīng)加強(qiáng)對第三方臨時(shí)人員現(xiàn)場訪問的管理，清潔人員、餐飲服務(wù)人員、保安人員、實(shí)習(xí)生、咨詢顧問等人員也不應(yīng)被忽視。 1.2 第三方訪問的控制措施 公司應(yīng)采取以下措 施，對第三方訪問進(jìn)行控制： a） 公司應(yīng)與第三方公司法人簽署保密協(xié)議，并要求其第三方個人簽署保密承諾，此項(xiàng)工作應(yīng)在第三方獲得網(wǎng)絡(luò)與信息資產(chǎn)的訪問權(quán)限之前完成。 b） 實(shí)行訪問授權(quán)管理，未經(jīng)授權(quán)，第三方不得進(jìn)行任何形式的訪問。 c） 公司應(yīng)加強(qiáng)第三方訪問的過程控制，監(jiān)督其活動及操作。 d） 公司應(yīng)對第三方人員進(jìn)行適當(dāng)?shù)陌踩麄髋c培訓(xùn)。 e） 第三方人員應(yīng)佩帶易于識別的標(biāo)志，并在訪問公司重要場所時(shí)有專人陪同。 在與第三方簽署合同時(shí)，應(yīng)明確規(guī)定安全要求。如：安全目標(biāo)、保護(hù)對象、雙方責(zé)任與權(quán)力、服務(wù)種類與級別、事件通報(bào)處理流程、第三方引入分包商 的規(guī)定等。 需要特別指出的是，在相應(yīng)的控制措施未落實(shí)之前，或相關(guān)合同（保密協(xié)議）尚未簽署之前，第三方不得訪問公司的任何網(wǎng)絡(luò)與信息系統(tǒng)。 2外包服務(wù)的安全 當(dāng)公司將網(wǎng)絡(luò)與信息系統(tǒng)的管理職責(zé)全部或部分外包給其他組織時(shí)，如果控制不當(dāng)，會帶來很大的安全風(fēng)險(xiǎn)。因此，管理層在進(jìn)行外包決策時(shí)，應(yīng)考慮下列事項(xiàng)： a) 必須綜合權(quán)衡外包風(fēng)險(xiǎn)和由外包帶來的成本優(yōu)勢，并根據(jù)公司安全策略決定何種服務(wù)可以外包。公司應(yīng)明確禁止外包的敏感和關(guān)鍵應(yīng)用。 b) 必須獲得設(shè)備責(zé)任人的批準(zhǔn)； c) 對業(yè)務(wù)連續(xù)性的影響； /webmoney 25 d) 規(guī)定的安全標(biāo)準(zhǔn)以及用于審計(jì)的程序； e) 有效 監(jiān)控和管理所有與外包相關(guān)的安全活動所需的特定的職責(zé)和程序； f) 上報(bào)和處理安全事件的責(zé)任和程序； g) 對外包服務(wù)商的資格、素質(zhì)、能力進(jìn)行考核、管理和審計(jì)； 在外包合同中，除了包含第三方合同中提到的安全要素外，還應(yīng)強(qiáng)調(diào)以下具體內(nèi)容： a) 如何確保參與外包的所有各方（包括分包商）都能夠意識到自己的安全職責(zé)； b) 如何保證并檢查公司相關(guān)資產(chǎn)（特別是敏感商業(yè)信息）的完整性和機(jī)密性； c) 如何保證在發(fā)生故障和災(zāi)難時(shí)，服務(wù)與業(yè)務(wù)的連續(xù)性和可用性； d) 為外包設(shè)備提供什么樣的物理安全； e) 審計(jì)權(quán)。 考慮到今后的發(fā)展，外包合同應(yīng)允許在各方約定的安全 框架內(nèi)擴(kuò)展安全要求和流程。 第四節(jié) 客戶使用業(yè)務(wù)的安全 公司應(yīng)與客戶簽署相關(guān)協(xié)議，明確雙方在網(wǎng)絡(luò)與信息安全方面的權(quán)利、義務(wù)及違約責(zé)任，保障客戶與公司雙方的利益。如專線用戶、 IDC 用戶等。 公司應(yīng) 提供必要的安全培訓(xùn)，使客戶意識到網(wǎng)絡(luò)與信息安全威脅及利害關(guān)系， 了解并 支持遵守 公司的安全策略和控制措施，提高他們的安全意識和防范能力。 /webmoney 26 第二章 網(wǎng)絡(luò)與信息資產(chǎn)管理 第一節(jié) 網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任制度 1資產(chǎn)清單 公司各部門應(yīng)編制并保留各自責(zé)任范圍內(nèi)的各套網(wǎng)絡(luò)與信息系統(tǒng)的重要資產(chǎn)清單，明確每件資產(chǎn)的責(zé)任人和安全保護(hù)級別， 同時(shí)還應(yīng)當(dāng)確定其當(dāng)前位置。公司安全工作組織應(yīng)匯總、保留全公司完整的資產(chǎn)清單。 網(wǎng)絡(luò)與信息資產(chǎn)例如： a） 實(shí)物資產(chǎn)：計(jì)算機(jī)設(shè)備、數(shù)據(jù)網(wǎng)絡(luò)通信設(shè)備（路由器、交換機(jī)等）；磁性媒介（磁帶和磁盤等）、其他技術(shù)設(shè)備（電源以及空調(diào)裝置等）等； b） 信息資產(chǎn)：技術(shù)文檔、配置數(shù)據(jù)、拓?fù)鋱D等； c） 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件以及開發(fā)工具等； 需要特別指出的是，在確定資產(chǎn)清單中各項(xiàng)資產(chǎn)的安全保護(hù)等級時(shí)，必須依據(jù)該資產(chǎn)的相對價(jià)值，尤其要根據(jù)該資產(chǎn)所在系統(tǒng)的服務(wù)對象、所處地點(diǎn)、承載業(yè)務(wù)等方面的不同，分為不同的安全保護(hù)級別，采取不同的安全保護(hù)措 施。 2資產(chǎn)責(zé)任制度 網(wǎng)絡(luò)與信息都是資產(chǎn)，是企業(yè)運(yùn)營與發(fā)展的基礎(chǔ)和核心，具有不可或缺的重要價(jià)值。中國移動必須建立嚴(yán)格的資產(chǎn)責(zé)任制度，以有效保護(hù)網(wǎng)絡(luò)與信息資產(chǎn)。 資產(chǎn)責(zé)任制度的要點(diǎn)如下： a) 公司必須為網(wǎng)絡(luò)與信息資產(chǎn)建立詳細(xì)清單，并維護(hù)其準(zhǔn)確性與完整性。具體可以按照網(wǎng)絡(luò)與信息資產(chǎn)所屬系統(tǒng)或所在部門列出，并給出諸如資產(chǎn)名稱、所處位置、資產(chǎn)責(zé)任人、資產(chǎn)分類及重要性級別等相關(guān)信息。 b) 公司應(yīng)根據(jù)資產(chǎn)的相對價(jià)值大小來確定其重要性，即根據(jù)資產(chǎn)受威脅所產(chǎn)生的實(shí)際影響和其本身的價(jià)值來綜合評價(jià)。 /webmoney 27 c) “誰主管，誰負(fù)責(zé) ”。公司擁有的每 項(xiàng)網(wǎng)絡(luò)與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定 “責(zé)任人 ”，分配其相應(yīng)的安全管理職權(quán)，并由其承擔(dān)相應(yīng)的安全責(zé)任。資產(chǎn) “責(zé)任人 ”可以將具體的安全職責(zé)委派給 “維護(hù)人 ”，但 “責(zé)任人 ”仍須承擔(dān)資產(chǎn)安全的最終責(zé)任。 d) 任何對網(wǎng)絡(luò)與信息資產(chǎn)的變更、訪問必須在獲得資產(chǎn)責(zé)任人的批準(zhǔn)后進(jìn)行。 e) 維護(hù)人應(yīng)根據(jù)與資產(chǎn)責(zé)任人達(dá)成一致的維護(hù)要求，保證所維護(hù)網(wǎng)絡(luò)與信息資產(chǎn)的機(jī)密性、完整性和可用性。 f) 定期對網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行清查盤點(diǎn)，確保資產(chǎn)帳物相符和完好無損。 g) 未經(jīng)管理人員批準(zhǔn)，任何人都不得將公司資產(chǎn)用于私人目的 ,公司有權(quán)對有意誤用者進(jìn)行紀(jì)律懲戒。 在資產(chǎn)責(zé)任制度中，可對資產(chǎn)責(zé)任人、資產(chǎn)維護(hù)人等的職責(zé)和權(quán)利作如下細(xì)化： 責(zé)任人的職責(zé)和權(quán)限 網(wǎng)絡(luò)與信息資產(chǎn)的責(zé)任人是指負(fù)責(zé)管理網(wǎng)絡(luò)與信息資產(chǎn)并落實(shí)相應(yīng)安全措施的個人或部門。 a) 所有網(wǎng)絡(luò)與信息資產(chǎn)都必須指定責(zé)任人。 b) 責(zé)任人及其領(lǐng)導(dǎo)負(fù)責(zé)進(jìn)行風(fēng)險(xiǎn)分析，根據(jù)信息保密標(biāo)準(zhǔn)分類確定、鑒別并記錄其所擁有的網(wǎng)絡(luò)與信息資產(chǎn)的安全級別。該級別至少每年評審一次。 c) 責(zé)任人必須貫徹、落實(shí)恰當(dāng)?shù)陌踩刂拼胧?，確保只有在工作必須的情況下才能使用相關(guān)資產(chǎn)。 d) 責(zé)任人可以為由其負(fù)責(zé)的資產(chǎn)指派維護(hù)人，或自己擔(dān)當(dāng)此任。 e) 責(zé)任人可基于工作相 關(guān)性分配訪問權(quán)，并與維護(hù)人共同負(fù)責(zé)保證網(wǎng)絡(luò)與信息資產(chǎn)的可用性。 /webmoney 28 f) 責(zé)任人必須至少每年審查一次其資產(chǎn)的訪問權(quán)限。評審流程必須記錄在案，并保留到下一次審查結(jié)束之前。 需要特別指出的是，數(shù)據(jù)責(zé)任人是一種職能角色，負(fù)責(zé)管理控制特定數(shù)據(jù)的訪問權(quán)限及與安全相關(guān)的問題。數(shù)據(jù)責(zé)任人可以將自己負(fù)責(zé)的數(shù)據(jù)的所有權(quán)授予其他個人，但讓與此類權(quán)力決不意味著能夠免除數(shù)據(jù)責(zé)任人對數(shù)據(jù)的責(zé)任。例如：人事信息數(shù)據(jù)被應(yīng)用系統(tǒng)調(diào)用，提供用戶查詢。數(shù)據(jù)的責(zé)任人是人力資源部，其他人無權(quán)修改。 維護(hù)人的職責(zé)和權(quán)限 網(wǎng)絡(luò)與信息資產(chǎn)的維護(hù)人是指支持 并維護(hù)網(wǎng)絡(luò)與信息資產(chǎn)的人員。 a) 維護(hù)人可以根據(jù)所保管的信息的保密類別來確定相應(yīng)的實(shí)物資產(chǎn)的安全管理流程，以確保網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任人所要求的機(jī)密性、完整性和可用性。 b) 責(zé)任人應(yīng)確保適當(dāng)?shù)陌踩胧┑轿?，并可以適度向下委派。如若需要，可以確定備用聯(lián)絡(luò)人。維護(hù)人必須保留責(zé)任人的名單。 c) 維護(hù)人必須通知責(zé)任人其所應(yīng)承擔(dān)的安全職責(zé)。 d) 未經(jīng)責(zé)任人許可，維護(hù)人不得重新劃分信息的類別。 第二節(jié) 資產(chǎn)安全等級及相應(yīng)的安全要求 公司應(yīng)確定網(wǎng)絡(luò)與信息資產(chǎn)的相對價(jià)值和重要性，并明確相應(yīng)的安全保護(hù)級別。 資產(chǎn)分類時(shí)的注意事項(xiàng)如下： a) 資產(chǎn)責(zé)任 人負(fù)責(zé)指定資產(chǎn)級別并定期評審； b) 資產(chǎn)的級別不是一成不變的，而是隨著分類政策的變化而變化的； c) 必須綜合考慮資產(chǎn)分類方式的利弊，避免過度復(fù)雜的劃分模式導(dǎo)致使用不便和成本升高。 /webmoney 29 1信息的安全等級、標(biāo)注及處置 信息能夠以眾多形式存在，如：語音、書面、電子文檔等。不論信息以何種形式存在，也不論以何種方式被共享或存儲，信息始終應(yīng)當(dāng)?shù)玫酵咨票Ｗo(hù)。 信息具有不同的敏感度和重要性，應(yīng)從其機(jī)密性、完整性和可用性等安全屬性對其進(jìn)行分級，反映不同的保護(hù)要求、優(yōu)先級和程度。 公司應(yīng)明確規(guī)定信息處于不同載體的標(biāo)注方法。信息的密級必須 被明確標(biāo)注。根據(jù)存儲和輸出方式的不同，可以采用物理標(biāo)簽、電子標(biāo)記等方法。信息的存儲介質(zhì)必須以物理標(biāo)簽形式標(biāo)明其密級。當(dāng)信息以可視方式輸出（如：打印、屏幕顯示等）時(shí)，必須以可視的方式顯示其密級。 需要注意的是，其他機(jī)構(gòu)可能對相同或類似的信息分級標(biāo)志作了不同的定義，在使用中應(yīng)特別注意。 處置是對實(shí)物形式和電子形式的信息資產(chǎn)進(jìn)行以下類型的信息處理活動： a) 復(fù)制； b) 存儲； c) 通過郵寄、傳真或電子郵件等方式進(jìn)行傳輸； d) 通過口頭對話方式進(jìn)行傳播，包括電話、語音郵件、應(yīng)答設(shè)備等等； e) 銷毀。 公司應(yīng)明確規(guī)定不同密級的信息，在處 置過程中需要采取的相應(yīng)控制和保護(hù)措施。 中國移動的信息分級、標(biāo)注和處置情況見下表。 信息密級 說明 分級職責(zé) 控制要求 使用說明 一般信息 由公司各部門創(chuàng)建創(chuàng)建者 防止非法修改 使用者： 所有對此類信息具有合法業(yè)務(wù)需求的人員。 /webmoney 30 擁有、無需分級的信息，如：公司刊物世紀(jì)虹、moternet網(wǎng)頁 標(biāo)記： 無特殊要求，電子郵件必須標(biāo)記 “中國移動一般性商業(yè)信息 ”。 處置： 無特殊預(yù)防措施。 分發(fā)： 采用任何適用的方式。 銷毀： 無特殊要求。 內(nèi)部信息 能夠因己方 的損失使競爭對手獲益的信息，如：電話簿或者內(nèi)部備忘錄 創(chuàng)建者 防止非法修改； 必須建立獨(dú)立的用戶賬戶 和密碼； 基于讀寫訪問的必要性原則予以批準(zhǔn) 使用者： 任何需要知道的人員。 標(biāo)記： 在第一頁標(biāo)記 “僅供中國移動內(nèi)部使用 ”。 處置： 控制。 分發(fā)： 經(jīng)過批準(zhǔn)的電子郵件或者電子文件傳輸系統(tǒng)。 銷毀： 所采用的銷毀手段必須確保相應(yīng)信息不被非中國移動員工獲得。 機(jī)密信息 對公司具有重大價(jià)值的信息，如：財(cái)務(wù)報(bào)表 創(chuàng)建者的直接主管 同 “內(nèi)部信息 ”控制要求 必須創(chuàng)建審計(jì)跟蹤紀(jì)錄，并保護(hù)、歸檔至少一年 筆記本電腦、移動硬盤中的秘密信息必須加密存儲 使用者： “必須知道 ”的人員，需要簽署保密協(xié)議。 標(biāo)記： 在每一頁都標(biāo)記 “中國移動機(jī)密信息 ”。 處置： 專人保管或者鎖閉。 分發(fā)： 經(jīng)過批準(zhǔn)的電子郵件或者具有訪問控制的電子文件傳輸系統(tǒng)。 銷毀： 粉碎或者置于安全的文檔容器內(nèi)。 絕密信息 從本質(zhì)上講最敏感的信息（比部門主管或更高級別 同 “機(jī)密信息 ”控制要求 需要明文規(guī)定，紀(jì) 錄所使用者： “必須知道 ”的人員，需要簽署保密協(xié)議；授權(quán)訪問至少由公司級別的分管領(lǐng)導(dǎo)決定。 /webmoney 31 如商業(yè)機(jī)密和軟硬件設(shè)計(jì)等等） 人員 有訪問歷史，并加密存儲 標(biāo)記： 在每一頁標(biāo)記 “中國移動絕密信息 ”。 處置： 專人保管或者鎖閉，不得復(fù)制。 分發(fā)： 具有訪問控制和加密的安全的電子系統(tǒng)。 銷毀： 返回給創(chuàng)建者。 2網(wǎng)絡(luò)信息系統(tǒng)安全等級 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全屬性和服務(wù)對象、所處地點(diǎn)、承載業(yè)務(wù)等不同，可分為不同安全等級，采取不同的安全措施。實(shí)物、軟件類資產(chǎn)是根據(jù)其所處網(wǎng)絡(luò)信息系統(tǒng)的不同而具有不同的安全等級，不再對具體 資產(chǎn)進(jìn)行分級。 網(wǎng)絡(luò)信息系統(tǒng)的安全等級可按如下原則進(jìn)行分類： a) 從公司客戶的角度來衡量業(yè)務(wù)系統(tǒng)故障所造成的影響。 b) 經(jīng)濟(jì)損失：可以根據(jù)影響營業(yè)收入的程度或者無法滿足財(cái)務(wù)目標(biāo)來評估業(yè)務(wù)系統(tǒng)的重要性。 c) 法律影響：可以根據(jù)法律、合同、政府的監(jiān)管要求來評估業(yè)務(wù)系統(tǒng)的重要性。 d) 由于信息資產(chǎn)損失而導(dǎo)致的公司形象受損也應(yīng)被評估。此類損失能夠嚴(yán)重影響公司的聲譽(yù)和股東的信心。重大損失可能導(dǎo)致整個公司或者業(yè)務(wù)部門無法正常運(yùn)轉(zhuǎn)。 根據(jù)以上原則，中國移動的業(yè)務(wù)和支撐網(wǎng)絡(luò)可分為關(guān)鍵系統(tǒng)和一般系統(tǒng)兩個安全等級。如果實(shí)際情況需要，也可進(jìn)一步 細(xì)分。 在資產(chǎn)清單中應(yīng)標(biāo)明具體資產(chǎn)歸屬的網(wǎng)絡(luò)信息系統(tǒng)及其安全等級，同時(shí)，對于實(shí)物資產(chǎn)還應(yīng)在物理實(shí)體上進(jìn)行標(biāo)注。 /webmoney 32 第三章 物理及環(huán)境安全 物理與環(huán)境安全是保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)及存儲媒介免受非法的物理訪問、自然災(zāi)害和環(huán)境危害。 第一節(jié) 安全區(qū)域 安全區(qū)域是需要被保護(hù)的生產(chǎn)和辦公場所，和放置網(wǎng)絡(luò)與信息處理設(shè)施的物理區(qū)域。例如：辦公室、機(jī)房、營業(yè)廳等。 公司應(yīng)根據(jù)安全評估的結(jié)果，通過建立安全區(qū)域并實(shí)施相應(yīng)的控制措施，對網(wǎng)絡(luò)與信息處理設(shè)施進(jìn)行全面的物理保護(hù)。 公司應(yīng)根據(jù)不同的安全保護(hù)需要，劃分不同的安全區(qū)域， 實(shí)施不同等級的安全管理。例如：核心生產(chǎn)區(qū)域、內(nèi)部辦公區(qū)域、第三方接入訪問區(qū)域、公共 /會客區(qū)域等。 需要特別指出的是，工程施工期間也應(yīng)遵守相關(guān)規(guī)定，加強(qiáng)安全區(qū)域的保護(hù)。 1安全邊界 安全區(qū)域的物理保護(hù)可以通過在其周圍設(shè)置若干物理關(guān)卡來實(shí)現(xiàn)。安全邊界是指那些可以建立這種關(guān)卡的實(shí)物，例如：墻壁、門禁、接待處等。安全邊界的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評估的結(jié)果。以下是建立安全邊界的指導(dǎo)原則： a) 安全邊界應(yīng)被明確規(guī)定。 b) 安全邊界在物理上應(yīng)該非常堅(jiān)固。 c) 應(yīng)設(shè)立人工接待處或采取其他限制物理出入的措施，控制安全區(qū)域的進(jìn)出。 d) 訪問安 全區(qū)域應(yīng)僅限于經(jīng)過授權(quán)的人員。 e) 必要時(shí)，安全邊界應(yīng) 延伸至整個物理空間 ，以防止非授權(quán)訪問及環(huán)境污染（例如火災(zāi)、水災(zāi)等）。 f) 安全邊界上的所有應(yīng)急通道出入口都應(yīng)關(guān)閉，并設(shè)置報(bào)警裝置。 /webmoney 33 2出入控制 無論內(nèi)部員工還是第三方人員，只有經(jīng)過授權(quán)的人員才可以進(jìn)入安全區(qū)域。公司應(yīng)實(shí)施以下措施對安全區(qū)域的出入進(jìn)行控制： a) 安全區(qū)域的訪問者應(yīng)辦理出入手續(xù)并接受監(jiān)督或檢查，應(yīng)記錄其進(jìn)入和離開的日期和時(shí)間。訪問者的訪問目的必須經(jīng)過批準(zhǔn)，并只允許訪問經(jīng)授權(quán)的目標(biāo)。訪問者應(yīng)被告知該區(qū)域的安全要求及有關(guān)應(yīng)急程序。 b) 重要的安全區(qū)域應(yīng)僅限于授 權(quán)人員訪問，并使用身份識別技術(shù)（例如門禁卡、個人識別碼等）對所有訪問活動進(jìn)行授權(quán)和驗(yàn)證。所有訪問活動的審計(jì)跟蹤記錄應(yīng)被安全地保管。 c) 所有內(nèi)部員工都應(yīng)佩戴明顯的、可視的身份識別證明，并應(yīng)主動向那些無公司員工陪伴的陌生人和未佩戴可視標(biāo)志的人員提出質(zhì)疑。 d) 安全區(qū)域的訪問權(quán)應(yīng)被定期審查和更新。 3物理保護(hù) 安全區(qū)域的選擇和設(shè)計(jì)應(yīng)考慮火災(zāi)、洪水、雷擊、爆炸、騷亂及其他形式的自然或人為災(zāi)害導(dǎo)致的破壞，還應(yīng)考慮相關(guān)的衛(wèi)生、安全條例標(biāo)準(zhǔn)及周邊的任何安全威脅。 公司應(yīng)實(shí)施以下措施對安全區(qū)域進(jìn)行物理保護(hù)： a) 重要的網(wǎng)絡(luò)與信息處 理設(shè)施（例如：通信網(wǎng)設(shè)備、支撐設(shè)備等）應(yīng)置于公眾無法進(jìn)入的場所。 b) 建筑物應(yīng)不引人注目，并盡量減少其用途的標(biāo)示。建筑物內(nèi)外不應(yīng)設(shè)置明顯的表明信息處理活動的標(biāo)志。 c) 辦公設(shè)備，如復(fù)印機(jī)、傳真機(jī)等，應(yīng)放置在合適的安全區(qū)域內(nèi)，避免無關(guān)人員接觸，減少信息的 泄露 。 d) 無人值守時(shí)，門窗都應(yīng)關(guān)閉，底層窗戶應(yīng)考慮設(shè)置外部防護(hù)。 /webmoney 34 e) 應(yīng)按照專業(yè)標(biāo)準(zhǔn)安裝并定期測試防盜入侵檢測系統(tǒng)、防火探測警報(bào)系統(tǒng)、電視監(jiān)視系統(tǒng)等安全設(shè)施。未被使用區(qū)域的告警裝置也應(yīng)開啟。 f) 公司管理的網(wǎng)絡(luò)與信息處理設(shè)施應(yīng)與第三方管理的設(shè)備實(shí)現(xiàn)物理分離。 g) 記錄重要網(wǎng)絡(luò)與信息 處理設(shè)施所在位置等信息的通信錄和內(nèi)部電話簿不應(yīng)被公眾接觸到。 h) 危險(xiǎn)或易燃物品應(yīng)安全存放，與安全區(qū)域保持一定的安全距離。一般情況下，在安全區(qū)域內(nèi)不得存放大量的、短期內(nèi)不使用的材料和物品。 i) 備用設(shè)備和備份媒介應(yīng)安置在與主場所保持安全距離的區(qū)域內(nèi)，以防主場所發(fā)生災(zāi)難時(shí)可能造成的破壞。 4安全區(qū)域工作規(guī)章制度 公司應(yīng)制訂安全區(qū)域工作規(guī)章制度，對在安全區(qū)域內(nèi)工作的人員及被授權(quán)進(jìn)入安全區(qū)域的其他人員加強(qiáng)管理。工作規(guī)章制度應(yīng)考慮不同安全區(qū)域的特點(diǎn)，可采取以下控制措施： a) 明確基本安全原則； b) 落實(shí)安全區(qū)域內(nèi)資產(chǎn)保護(hù)的責(zé)任； c) 出于安全原因和防止惡意破壞，安全區(qū)域內(nèi)應(yīng)避免不受監(jiān)督的工作； d) 未使用的安全區(qū)域應(yīng)采取物理方式鎖閉，并定期檢查； e) 第三方支持人員應(yīng)僅在需要時(shí)才能進(jìn)入安全區(qū)，使用信息處理設(shè)施。這種訪問必須經(jīng)過授權(quán)并受到相應(yīng)的限制，同時(shí)應(yīng)接受監(jiān)督； f) 安全區(qū)域內(nèi)，具有不同安全要求的區(qū)域之間需要設(shè)置額外的安全邊界，以控制物理訪問； g) 除非經(jīng)過授權(quán)，否則不允許使用攝影、攝像、音頻、視頻及其他記錄設(shè)備； h) 明確緊急情況下的處理措施，例如火災(zāi)等； i) 工作人員應(yīng)僅在 “需要知道 ”時(shí)才了解安全區(qū)域的存在或者發(fā)生的活動。 /webmoney 35 5送貨、裝卸區(qū)與設(shè)備的隔離 當(dāng)物品被運(yùn)送或卸載到重要安全區(qū)域時(shí)，物品和搬運(yùn)人員都有可能對該區(qū)域內(nèi)的重要網(wǎng)絡(luò)與信息資產(chǎn)產(chǎn)生威脅。因此，在可行的情況下，公司應(yīng)將送貨、裝卸區(qū)和網(wǎng)絡(luò)與信息處理設(shè)施隔離，并對物品和搬運(yùn)人員進(jìn)行嚴(yán)格控制。公司應(yīng)根據(jù)風(fēng)險(xiǎn)評估結(jié)果確定區(qū)域隔離的安全要求，并采取以下控制措施： a) 從建筑物外部進(jìn)入送貨、裝卸區(qū)的人員應(yīng)經(jīng)過授權(quán)和身份確認(rèn)； b) 送貨、裝卸區(qū)的設(shè)計(jì)應(yīng)使搬運(yùn)人員沒有機(jī)會接觸其他區(qū)域； c) 送貨、裝卸區(qū)的外門應(yīng)在內(nèi)門打開時(shí)緊閉； d) 物品從送貨、裝卸區(qū)轉(zhuǎn)移到使用地點(diǎn)前應(yīng)進(jìn)行檢查，防止?jié)撛诘奈ｋU(xiǎn)； e) 進(jìn)出的物品都應(yīng)進(jìn)行登記。 第 二節(jié) 設(shè)備安全 保護(hù)網(wǎng)絡(luò)與信息處理設(shè)備是降低數(shù)據(jù)遭受非授權(quán)訪問的風(fēng)險(xiǎn)和保護(hù)數(shù)據(jù)不受破壞及丟失的必要措施。 1設(shè)備安置及物理保護(hù) 為降低環(huán)境因素帶來的風(fēng)險(xiǎn)，并減小非法訪問的概率，公司應(yīng)妥當(dāng)安置設(shè)備，并采取以下控制措施： a) 設(shè)備布局應(yīng)盡量減少對工作區(qū)的不必要的訪問； b) 重要的網(wǎng)絡(luò)與信息處理設(shè)施的放置應(yīng)盡量降低使用中的過失風(fēng)險(xiǎn)； c) 需要特殊保護(hù)的設(shè)備應(yīng)與其他設(shè)備隔離，以降低整個區(qū)域內(nèi)所需的安全保護(hù)級別； d) 采取相應(yīng)的控制措施，盡量降低環(huán)境因素帶來的潛在威脅。例如：盜竊、火災(zāi)、爆炸、煙霧、水、灰塵、震動、化學(xué)作用、電力 故障、電磁輻射等； e) 禁止在網(wǎng)絡(luò)與信息處理設(shè)施附近的進(jìn)餐、飲水及抽煙等活動； /webmoney 36 f) 監(jiān)控有可能對信息處理設(shè)施造成不良影響的環(huán)境條件。例如：溫濕度； g) 特殊環(huán)境下的設(shè)備，應(yīng)考慮采用特殊的保護(hù)方法。例如：在工業(yè)環(huán)境里，采用防爆燈罩、鍵盤隔膜等； h) 應(yīng)考慮鄰近場所發(fā)生的災(zāi)難造成的影響。例如：附近大樓的火災(zāi)、屋頂漏水、地板滲水、街道上的爆炸等。 2電源保護(hù) 可靠的電力供應(yīng)是保證網(wǎng)絡(luò)與信息處理設(shè)施可用性的必要條件。公司應(yīng)采取以下措施確保供電安全： a) 電源必須符合公司和設(shè)備制造商的技術(shù)規(guī)范； b) 采用多路供電、配備 UPS、備用發(fā)電機(jī)等 方法，避免電源單點(diǎn)故障； c) 定期維護(hù)和檢查供電設(shè)備， UPS應(yīng)有充足容量，發(fā)電機(jī)應(yīng)配備充足的燃料； d) 機(jī)房的緊急出口處必須安裝聯(lián)動的應(yīng)急開關(guān)，以便在發(fā)生緊急情況時(shí)能夠迅速斷電； e) 配備應(yīng)急照明設(shè)備； f) 所有建筑和外部通信線路都應(yīng)安裝雷電防護(hù)裝置； g) 已知的停電計(jì)劃應(yīng)提前通知有關(guān)部門，防止無準(zhǔn)備的斷電造成不必要的損失。 3線纜安全 通信電纜和電力電纜被損壞或信息被截獲，會破壞網(wǎng)絡(luò)與信息資產(chǎn)的機(jī)密性和可用性。公司應(yīng)采取以下控制措施對線纜進(jìn)行保護(hù)： a) 電力纜和通信纜應(yīng)盡可能隱藏于地下，并盡量采取充分的備用保護(hù)措施； b) 線纜布放 應(yīng)使用電纜管道或避免線路經(jīng)過公共區(qū)域； /webmoney 37 c) 電力電纜應(yīng)與通信電纜分離，避免互相干擾； d) 對于重要的網(wǎng)絡(luò)與信息處理設(shè)施，應(yīng)根據(jù)風(fēng)險(xiǎn)評估的結(jié)果采取更進(jìn)一步的控制措施。例如：將線纜檢查點(diǎn)、接頭等放在帶有加強(qiáng)保護(hù)裝置的導(dǎo)線槽、房間、箱子內(nèi)；采用備用線路或傳輸媒介；定期掃描連接至纜線的非法設(shè)備，或?qū)鬏敂?shù)據(jù)進(jìn)行加密。 e) 定期對電纜線路進(jìn)行維護(hù)、檢查和測試，及時(shí)發(fā)現(xiàn)故障隱患。 4工作區(qū)域外設(shè)備的安全 工作區(qū)域外的設(shè)備可分為兩類：一類是帶離工作區(qū)域的信息處理設(shè)備，如筆記本電腦、測試儀表、移動硬盤等；另一類是固定在公共區(qū)域的設(shè)備 ，如基站、天線、移動公用電話等。 公司應(yīng)根據(jù)工作區(qū)域外設(shè)備的安全風(fēng)險(xiǎn)，制訂相應(yīng)的保護(hù)措施，應(yīng)至少達(dá)到工作區(qū)域內(nèi)相同用途設(shè)備的安全保護(hù)級別。以下是基本的指導(dǎo)原則： a) 無論設(shè)備所有權(quán)歸屬，任何在工作區(qū)域外使用信息處理設(shè)備的行為，都應(yīng)經(jīng)過管理層授權(quán)許可； b) 在公共場所使用的公司設(shè)備和存儲媒介均不得無人看管； c) 始終嚴(yán)格遵守設(shè)備制造商有關(guān)設(shè)備保護(hù)的要求； d) 通過風(fēng)險(xiǎn)評估確定家庭辦公的控制措施； e) 采用合適的物理防護(hù)裝置； f) 加強(qiáng)監(jiān)控，定期巡檢。 5設(shè)備處置與重用的安全 在對信息處理設(shè)備處置或重用時(shí)，公司應(yīng)在風(fēng)險(xiǎn)評估的基礎(chǔ)上， 實(shí)施審批手續(xù)，決定信息處理設(shè)備的處置方法 銷毀、報(bào)廢或利舊，并采取適當(dāng)?shù)姆椒▽⑵鋬?nèi)存儲的敏感信息與授權(quán)軟件清除，而不能僅采用標(biāo)準(zhǔn)刪除功能。例如：報(bào)廢計(jì)算機(jī)的硬盤必須被格式化。 /webmoney 38 需要注意的是，如果設(shè)備本身的原理、結(jié)構(gòu)、工藝等屬于公司的專有技術(shù)秘密，則應(yīng)在處置時(shí)考慮保密問題。 第三節(jié) 存儲媒介的安全 1可移動存儲媒介的管理 公司應(yīng)制定有效管理可移動存儲媒介的規(guī)定，如移動硬盤、磁帶、磁盤、卡帶以及紙質(zhì)文件等等。以下是基本的控制措施： a) 包含重要、敏感或關(guān)鍵信息的移動式存儲設(shè)備不得無人值守，以免被盜。例如：物理 方式鎖閉。 b) 刪除可重復(fù)使用的存儲媒介中不再需要的信息。 c) 任何存儲媒介帶入和帶出公司都需經(jīng)過授權(quán)，并保留相應(yīng)記錄，方便審計(jì)跟蹤。 d) 所有存儲媒介都應(yīng)遵照其制造商的規(guī)范保存。 2存儲媒介的處置 為最大限度地降低信息泄露的風(fēng)險(xiǎn)，公司應(yīng)制定存儲媒介的安全處置流程，規(guī)定不同類型媒介的處置方法、審批程序和處置記錄等安全要求，其中處置方法應(yīng)與信息分級相一致。以下是一些基本的控制措施： a) 包含敏感信息的媒介應(yīng)被安全地處置，如粉碎、焚毀，或清空其中的數(shù)據(jù)，以便重用。 b) 以下給出了需要安全處置的媒介種類： 紙質(zhì)文檔； 語音或其 錄音； 復(fù)寫紙； 輸出報(bào)告； 一次性打印機(jī)色帶； 磁帶； 可以移動的磁盤或卡帶； 光存儲介質(zhì)（所有形式的媒介，包括制造商的軟件發(fā)布媒介）； 程序列表； 測試數(shù)據(jù)； 系統(tǒng)文檔。 c) 當(dāng)無法確認(rèn)媒介中的信息級別，或確認(rèn)信息級別的代價(jià)較高時(shí)，應(yīng)統(tǒng)一按最嚴(yán)格的方式處理所有媒介。 /webmoney 39 d) 當(dāng)公司需要外界提供的媒介收集和處置服務(wù)時(shí)，應(yīng)挑選合適的承包商，并采取有效控制措施，如簽署保密協(xié)議、抽查等。 e) 敏感媒介的處置過程應(yīng)當(dāng)記錄在案，以便審計(jì)跟蹤。 在收集、處置媒介時(shí)，應(yīng)綜合考慮相關(guān)信息，以確定這種效應(yīng)可能導(dǎo)致大量并未分級的信息 變得比少量分級信息更為敏感。 3信息處置程序 中國移動必須確立信息處置和存儲程序，以便有效保護(hù)此類信息，避免非法泄露或者誤用。應(yīng)當(dāng)根據(jù)信息在文檔、計(jì)算系統(tǒng)、網(wǎng)絡(luò)、移動計(jì)算、移動通信、郵件、語音郵件、語音通信、多媒體、郵局 /郵政設(shè)施、傳真機(jī)和其它敏感項(xiàng)目（比如語音中的空白校驗(yàn)）中的級別制定相應(yīng)的處置程序。應(yīng)當(dāng)考慮下列控制程序： a) 處置和標(biāo)記所有媒介； b) 設(shè)置非授權(quán)人員的訪問限制； c) 保持授權(quán)訪問數(shù)據(jù)人員的正式記錄； d) 確保輸入數(shù)據(jù)的完整性、確保正確的處理過程，以及確保輸出驗(yàn)證； e) 根據(jù)敏感程度相匹配的級別，保護(hù)準(zhǔn) 備輸出的假脫機(jī)數(shù)據(jù)； f) 在符合制造商規(guī)范的環(huán)境中保存媒介； g) 將數(shù)據(jù)的分發(fā)限制在最小范圍內(nèi)； h) 清楚標(biāo)記所有數(shù)據(jù)拷貝，以便引起合法接收人的注意； i) 定期檢查分發(fā)清單以及合法接收人名單。 4系統(tǒng)文檔的安全 系統(tǒng)文檔可能包含一系列敏感信息，比如應(yīng)用流程、程序、數(shù)據(jù)結(jié)構(gòu)、授權(quán)流程的說明。應(yīng)當(dāng)考慮下列控制程序，避免系統(tǒng)非法訪問。 /webmoney 40 a) 應(yīng)當(dāng)安全保存系統(tǒng)文檔。 b) 系統(tǒng)文檔的訪問列表應(yīng)控制在最小范圍，并由應(yīng)用責(zé)任人授權(quán)。 c) 保存在公共網(wǎng)絡(luò)的系統(tǒng)文檔或者通過公共網(wǎng)絡(luò)提供的系統(tǒng)文檔應(yīng)當(dāng)?shù)玫接行У谋Ｗo(hù)。 第四節(jié) 通用控制措施 1屏幕與桌 面的清理 在不使用信息資產(chǎn)時(shí)，做好屏幕和桌面的清理工作，可以有效防止信息的未授權(quán)訪問，是保護(hù)信息資產(chǎn)，防止其泄露、丟失、破壞的一種重要措施。例如：清理信息處理設(shè)施屏幕；清潔桌面的紙張文件和可移動存儲媒介。 公司制訂的屏幕與桌面的清理要求，應(yīng)與信息分級原則相一致，并考慮公司文化等因素。以下是基本的指導(dǎo)原則： a) 紙質(zhì)文件和計(jì)算機(jī)設(shè)備在不使用時(shí)，特別是在工作時(shí)間以外，應(yīng)保存在鎖閉柜子內(nèi)或其他形式的保險(xiǎn)裝置內(nèi)； b) 機(jī)密和絕密信息在不使用時(shí)，特別是辦公室無人時(shí)，必須予以鎖閉（最好是防火的保險(xiǎn)柜或文件柜）； c) 個人電腦、計(jì)算 機(jī)終端在無人看管時(shí)，不得處于登錄狀態(tài)；在不使用時(shí)，必須通過鍵盤鎖定、密碼或其他控制措施予以保護(hù)； d) 在信件收發(fā)處，無人看管的傳真機(jī)應(yīng)予以保護(hù)； e) 復(fù)印機(jī)、掃描儀在工作時(shí)間以外，應(yīng)被鎖閉或采用其他方式保護(hù)，以防非授權(quán)使用； f) 在打印、復(fù)印、掃描機(jī)密或絕密信息時(shí)，必須有人值守，并應(yīng)在完成后立即從設(shè)備中清除。 /webmoney 41 2資產(chǎn)的移動控制 公司應(yīng)對重要資產(chǎn)建立資產(chǎn)移動（包括公司內(nèi)部移動和離開公司范圍）的審批程序，并定期抽查。 員工借用的公司資產(chǎn)，必須在離職時(shí)完好歸還。第三方帶入工作區(qū)域的資產(chǎn)應(yīng)履行登記手續(xù)，以便離開時(shí)方便帶回。 /webmoney 42 第四章 通信和運(yùn)營管理的安全 第一節(jié) 操作流程與職責(zé) 為確保網(wǎng)絡(luò)與信息處理設(shè)施的正確和安全使用，公司應(yīng)建立所有網(wǎng)絡(luò)與信息處理設(shè)施的管理與操作的流程和職責(zé)，包括指定操作細(xì)則和事件響應(yīng)流程。公司應(yīng)落實(shí)責(zé)任的分工，減少疏忽的風(fēng)險(xiǎn)和蓄意的系統(tǒng)濫用。 1規(guī)范操作細(xì)則 公司應(yīng)根據(jù)安全策略制訂網(wǎng)絡(luò)與信息處理設(shè)施的操作細(xì)則，并隨時(shí)更新。操作細(xì)則應(yīng)作為正式文件，履行審批手續(xù)，其修改應(yīng)獲得管理人員的授權(quán)。操作細(xì)則應(yīng)包含操作活動的職責(zé)、內(nèi)容、目的、時(shí)間、場所、方法等，并涵蓋以下內(nèi)容： a) 信息的處理和信息載體的處置； b) 時(shí)間進(jìn)度的 要求，包括同其他系統(tǒng)的相關(guān)性、最早的開始時(shí)間與最晚的結(jié)束時(shí)間等； c) 操作過程中發(fā)生非預(yù)期的錯誤或其他異常情況的指導(dǎo)說明； d) 意外的操作困難或技術(shù)難題出現(xiàn)時(shí)的支持聯(lián)系人； e) 特殊輸出處置的說明。例如：特殊設(shè)備的使用，或輸出機(jī)密內(nèi)容的管理，包括如何安全處置失敗的任務(wù)輸出的程序； f) 故障情況下系統(tǒng)的重啟和恢復(fù)程序； g) 系統(tǒng)維護(hù)的相應(yīng)程序。例如：計(jì)算機(jī)啟動和關(guān)閉、備份、設(shè)備維護(hù)等。 2設(shè)備維護(hù) 正確規(guī)范地維護(hù)設(shè)備，可以保護(hù)設(shè)備的可用性和完整性。以下為設(shè)備維護(hù)的基本要求： a) 應(yīng)根據(jù)設(shè)備供應(yīng)商建議的維護(hù)周期和規(guī)范進(jìn)行維護(hù)； b) 設(shè)備 維護(hù)人員必須經(jīng)過授權(quán)； /webmoney 43 c) 設(shè)備維護(hù)人員必須具備相應(yīng)的技術(shù)技能； d) 必須儲備一定數(shù)量的備品備件； e) 所有日常維護(hù)和故障處理都應(yīng)記錄在案； f) 當(dāng)設(shè)備送到外部場所進(jìn)行維護(hù)時(shí)，應(yīng)當(dāng)采取有效的控制措施防止信息泄露； g) 系統(tǒng)關(guān)鍵設(shè)備應(yīng)冗余配置；關(guān)鍵部件在達(dá)到標(biāo)稱的使用期限時(shí)，不管其是否正常工作，必須予以更換； h) 若該設(shè)備已投保，則必須遵守相關(guān)保險(xiǎn)合同的所有規(guī)定。 3變更控制 網(wǎng)絡(luò)與信息系統(tǒng)的任何變更必須受到嚴(yán)格控制，包括：網(wǎng)絡(luò)結(jié)構(gòu) /局?jǐn)?shù)據(jù) /安全策略 /系統(tǒng)參數(shù)的調(diào)整、硬件的增減與更換、軟件版本與補(bǔ)丁的變更、處理流程的改變等。任何 變更必須經(jīng)過授權(quán)，記錄在案并接受測試。操作環(huán)境的變化可能會影響應(yīng)用系統(tǒng)，因此操作和應(yīng)用的變更控制程序應(yīng)盡可能相互銜接。變更控制應(yīng)至少包含下列措施： a) 識別并記錄重大變更； b) 評估此類變更的潛在影響； c) 正式的變更申請批準(zhǔn)流程； d) 向所有相關(guān)人員傳達(dá)變更細(xì)節(jié)； e) 變更失敗的恢復(fù)措施和責(zé)任； f) 變更成功與失敗回退后的驗(yàn)證測試； g) 保留所有與變更相關(guān)信息的審核日志； h) 變更后的重新評估。 /webmoney 44 4安全事件響應(yīng)程序 公司應(yīng)建立安全事件管理責(zé)任和程序，以確保迅速、有效和有序地安全事件響應(yīng)。迅速的前提是準(zhǔn)確的事件判斷和快速的通報(bào)制度，有效 和有序依賴于對潛在安全事件的準(zhǔn)確識別、分析和有準(zhǔn)備的應(yīng)對措施與演練。安全事件響應(yīng)管理應(yīng)注意以下幾點(diǎn)： a) 建立涵蓋所有潛在的安全事件類型的響應(yīng)程序； b) 除正常的用以盡快恢復(fù)系統(tǒng)或服務(wù)的應(yīng)急方案之外，還應(yīng)包括事件通報(bào)、分析總結(jié)、彌補(bǔ)措施、檢查審計(jì)等內(nèi)容； c) 明確授權(quán)可以進(jìn)行安全事件處理的人員； d) 嚴(yán)格遵守安全事件處理流程，嚴(yán)禁隨意操作，避免更大損失； e) 在必要時(shí)，應(yīng)收集并保護(hù)相關(guān)記錄和證據(jù)。 5開發(fā)、測試與現(xiàn)網(wǎng)設(shè)備的分離 開發(fā)、測試活動有可能造成嚴(yán)重的問題，例如：在運(yùn)行系統(tǒng)中引入未經(jīng)授權(quán)和測試的代碼，軟件與信息的修改， 信息泄密等。因此，為有效降低運(yùn)行系統(tǒng)被破壞或非授權(quán)訪問的風(fēng)險(xiǎn)，公司應(yīng)執(zhí)行下列控制措施： a) 前期開發(fā)調(diào)試工作與現(xiàn)網(wǎng)設(shè)備應(yīng)盡可能實(shí)現(xiàn)物理分離或邏輯分離，例如：獨(dú)立的實(shí)驗(yàn)環(huán)境、不同的計(jì)算機(jī)或不同的域、目錄等； b) 后期在現(xiàn)網(wǎng)進(jìn)行測試時(shí)，必須做好必要的安全防護(hù)措施，并對其進(jìn)行安全檢查。 第二節(jié) 系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)和驗(yàn)收 1系統(tǒng)規(guī)劃和設(shè)計(jì) 為保證系統(tǒng)擁有足夠的容量和資源的可用性，降低系統(tǒng)超載和故障的風(fēng)險(xiǎn)，必須做好系統(tǒng)容量監(jiān)視和規(guī)劃。管理人員應(yīng)通過容量監(jiān)視得到的信息分析可能對系統(tǒng)安全或用戶服務(wù)構(gòu)成威脅的潛在瓶頸，并采取合 適的補(bǔ)救措施。系統(tǒng)規(guī)劃應(yīng)/webmoney 45 考慮現(xiàn)有發(fā)展情況和預(yù)測趨勢，以及新的業(yè)務(wù)和系統(tǒng)需求。系統(tǒng)規(guī)劃必須保留一定的余量，特別是關(guān)鍵系統(tǒng)。 系統(tǒng)設(shè)計(jì)在滿足業(yè)務(wù)功能的同時(shí)，必須從軟硬件、網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)邏輯、應(yīng)急恢復(fù)等多方面考慮系統(tǒng)的安全性。例如：冗余備份、多鏈路、嚴(yán)密的業(yè)務(wù)流程、緊急情況優(yōu)先保證關(guān)鍵功能等。 需要特別指出的是，配套安全系統(tǒng)應(yīng)與業(yè)務(wù)系統(tǒng) “同步規(guī)劃、同步建設(shè)、同步運(yùn)行 ”（ “三同步原則 ”），不能滯后業(yè)務(wù)系統(tǒng)發(fā)展，以避免安全漏洞。 2審批制度 在新建網(wǎng)絡(luò)與信息處理設(shè)施時(shí)，最易忽視安全問題，如果管理不當(dāng)會帶來安全風(fēng)險(xiǎn)。 因此公司必須建立網(wǎng)絡(luò)與信息處理設(shè)施的審批制度，嚴(yán)把入網(wǎng)關(guān)。 審批制度應(yīng)注意以下事項(xiàng)： a) 應(yīng)綜合考慮新建系統(tǒng)的收益和帶來的風(fēng)險(xiǎn)之間的平衡問題。 b) 新建的網(wǎng)絡(luò)與信息處理設(shè)施必須符合相應(yīng)的安全管理規(guī)定，并滿足相應(yīng)的安全技術(shù)要求。 c) 新的網(wǎng)絡(luò)與信息處理設(shè)施必須具備適當(dāng)?shù)挠脩艄芾砉δ埽钥刂品鞘跈?quán)使用； d) 在建設(shè)新的網(wǎng)絡(luò)與信息系統(tǒng)前，應(yīng)當(dāng)明確系統(tǒng)軟硬件平臺、應(yīng)用、服務(wù)和通信協(xié)議的安全屬性和特征，并確定相應(yīng)的驗(yàn)證測試方法。 e) 應(yīng)事先檢查網(wǎng)絡(luò)與信息處理設(shè)施的硬件和軟件，確保它們能夠和其他系統(tǒng)兼容。未使用過的設(shè)備或系統(tǒng)應(yīng)進(jìn)行全面測試 。 f) 使用個人信息處理設(shè)備處理企業(yè)信息時(shí)，所采取的安全控制措施必須經(jīng)過審批。 涉及安全方面的審批工作應(yīng)由安全機(jī)構(gòu)人員負(fù)責(zé)。 /webmoney 46 3系統(tǒng)建設(shè)和驗(yàn)收 系統(tǒng)建設(shè)中容易忽視安全問題。公司應(yīng)制定相應(yīng)的建設(shè)標(biāo)準(zhǔn)和規(guī)范，并嚴(yán)格過程管理，確保系統(tǒng)建設(shè)的過程和結(jié)果都滿足公司相應(yīng)的安全策略和管理規(guī)定。 公司應(yīng)在新建系統(tǒng)、系統(tǒng)擴(kuò)容、軟硬件升級驗(yàn)收之前，制定相應(yīng)的驗(yàn)收標(biāo)準(zhǔn)。驗(yàn)收要求和標(biāo)準(zhǔn)應(yīng)能夠被清楚定義、記錄和測試，并獲得項(xiàng)目組一致同意。只有測試合格的系統(tǒng)方可驗(yàn)收。系統(tǒng)驗(yàn)收應(yīng)注意下列內(nèi)容： a) 遵照規(guī)定標(biāo)準(zhǔn)，準(zhǔn)備并測試常規(guī)操作程序，測試系 統(tǒng)性能和容量要求、兼容性等； b) 通過技術(shù)手段，對系統(tǒng)的安全性進(jìn)行測試，并驗(yàn)證達(dá)到要求的安全水平。例如：漏洞掃描，主機(jī)加固等； c) 制訂并實(shí)施一套項(xiàng)目組一致同意的安全控制