信息安全管理规范.docx
《信息安全管理规范.docx》由会员分享,可在线阅读,更多相关《信息安全管理规范.docx(26页珍藏版)》请在冰点文库上搜索。
信息安全管理规范
1.0目的
为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。
2.0适用范围
本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。
3.0信息安全组织机构及职责:
根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行管理,省公司网络部门设置信息安全管理专职人员,负责信息安全职能管理和安全技术管理,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,负责全省各系统及网络的信息安全管理协调工作。
3.1.1网络与信息安全工作管理组组长职责:
负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。
3.1.2网络与信息安全工作管理组副组长职责:
负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。
3.1.3信息安全职能管理职责:
负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度与相关工作流程;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。
3.1.4信息安全技术管理职责:
根据有限公司制定的技术规范和有关技术要求,对各类网络、业务系统和支撑系统提出相应安全技术要求,并审核技术方案;牵头对各类网络和系统实施安全技术评估和技术审计工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,参与实施应急处理,并定期对各类安全事件进行技术分析。
3.1.5安全监控人员职责:
对全网安全设备进行集中监控;处理日常的安全事件;协助网络安全处分析、处理复杂和重大安全事件。
3.1.6安全管理员职责:
在省公司及分公司网络部领导下,负责各市州分公司及生产中心网络信息安全的技术工作及相关协调工作,贯彻执行集团公司和省省/市公司网络部下发的相关信息安全技术规范及文件,根据相关安全技术规范和技术要求,对各类网络、业务系统和支撑系统进行包括安全在内的日常维护。
协调各相关部门进行具体实施,对各市州分公司及生产中心业务系统、支撑系统网络安全进行分析、审计,降低各市州分公司及生产中心各业务系统、支撑系统安全隐患,减少信息安全事件的发生,保障其安全运行。
4.0管理规范
4.1管理系统
本管理规范适用于四川移动各生产、支撑系统,包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃平台等。
4.2网络与信息安全基本要求:
4.2.1网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则,逐级建立安全保护责任制。
4.2.2各级网络维护部门应加强对系统管理人员安全意识的培养,建立完善的定时定人负责制,有效明确责任,提高维护管理效率。
4.3用户帐号/权限管理流程
4.3.1用户帐号/权限管理适用于四川省移动通信有限责任公司及下属各分公司,主要为了规范四川移动各业务系统涉及系统级(含数据库级)、应用级层面的的帐号、权限及密码的管理。
4.3.2系统管理人员逻辑分类
四川省移动通信有限责任公司所属系统及网络(包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃平台等)的信息安全管理及公司内部信息技术整体的控制,各系统分别具有不同层面管理员及用户:
岗位
职责
涉及相关记录
部门负责人
如各生产中心分管领导
1、需对相关授权表进行审批授权签字,每季度需复核审批;
2、需对员工变动情况进行审批;
3、需对远程维护接入申请进行审批
《远程维护接入申请和情况记录表》
《员工变动登陆公司网络系统申请表》
《网络/系统层/应用层超级管理员授权表》
《安全管理员授权表》
《用户帐号审阅表》
《系统预设用户帐号审阅表》
《超级管理员帐号移交单》
系统层/应用层/网络超级管理员:
1、系统层超级管理员:
按各系统进行设置,如智能网、彩铃、BOSS、交换机操作系统及数据库维护管理人员。
2、应用层超级管理员:
按业务应用管理进行设置,如彩铃应用层超级管理员由数据部彩铃管理员负责。
3、网络超级管理员:
按公司网络划分进行设置,省公司及地市各生产中心分别设置网络超级管理员。
系统/应用程序/网络最高权限管理员,负责管理所辖系统的帐号分配和管理,需要部门负责人对其进行授权。
网络超级管理员、系统层超级管理员、应用层超级管理员需由部门领导分别进行授权,可以兼任。
《终端接入公司局域网申请表》
《远程维护接入申请和情况记录表》
《员工变动登陆公司网络系统申请表》
《网络/系统层/应用层超级管理员授权表》
《帐号创建、变更申请表》
《用户帐号审阅表》
《系统预设用户帐号审阅表》
《帐号密码更改记录》
《超级管理员帐号移交单》
《账号临时使用申请表》
系统层/应用层普通用户:
系统层普通用户:
如交换机、智能网、短信等监控、普通系统维护人员
应用层普通用户:
智能网地市操作人员,彩铃业务操作人员。
系统维护、应用操作执行人员,为普通维护人员及第三方人员,只能申请自身帐号进行操作,不能进行帐号分配管理。
《终端接入公司局域网申请表》
《系统备份记录》
《帐号创建、变更申请表》
《帐号密码更改记录》
《账号临时使用申请表》
安全管理员:
各生产中心及地市分公司分别进行设置。
负责所辖各系统及设备的信息安全管理工作。
每月检查所辖中心信息安全管理的执行情况,汇总安全分析报告;负责所辖中心机房管理审查。
与网络超级管理员、系统层超级管理员、应用层管理员需职责分离。
《安全分析记录报告》
《远程维护接入申请和情况记录表》
《员工变动登陆公司网络系统申请表》
《帐号创建、变更申请表》
《安全管理员授权表》
《用户帐号审阅表》
《系统预设用户帐号审阅表》
《帐号密码更改记录》
4.3.3用户授权管理流程
管理流程
管理要求
☞在发生变动情况时,由使用部门/第三方人员填写《帐号创建/变更申请表》。
☞各市州分公司、信息技术中心(网管、数据、计费、信息中心)网络超级管理员、系统层超级管理员、应用层超级管理员、安全管理员分别填写《网络超级管理员授权表》、《系统层超级管理员授权表》、《安全管理员授权表》、《应用层超级管理员授权表》,由相关信息系统部门负责人审批并进行授权,并对各清单每季度进行复核并签字确认,对多余或不恰当的账号进行调整。
☞由应用层超级管理员提交业务部门主管进行书面审批后
☞创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确认,以合理确保用户在系统中的权限与其职责相符。
超级管理员根据经审批的用户角色权限,在系统中设置用户角色权限。
☞各部门在发生人员新增、调动及离职情况经部门领导审核盖章后提交省公司安保部审批通过,《员工变动登陆公司网络系统申请表》。
☞由超级管理员在系统中创建用户账号,避免XX的账号及权限创建/修改
☞对系统、数据库、应用层,除查询用户外应按个人创建单独的用户账号,并赋予相应的权限,以避免共享账号的产生。
☞各超级管理员每季度形成用户帐号清单。
☞业务部门主管对网络、系统用户的清单每季度进行复核签字确认,对第三方用户的清单每季度进行复核签字确认。
形成《用户帐号审阅表》、《四川移动通信有限责任公司员工(合作单位员工)登陆公司网络系统审批表》
☞《四川移动通信有限责任公司员工(合作单位员工)登陆公司网络系统审批表》由部门领导复核盖章后,提交省公司安保部审批
☞各部门网络超级管理员每季度准备本部门登陆公司网络系统用户清单,由部门领导复核盖章后,提交省公司网络部及安保部进行审查。
如发现多余或不恰当的账号应进行及时根据要求进行调整并反馈安保部。
☞各市、州移动分公司登陆省公司网络系统的公司员工和合作单位人员,由安保部门每季度汇总报省公司安保部审核,相关业务部门根据省公司安保部通知予以授权。
☞如发现多余或不恰当的账号系统管理员需进行及时调整,并反馈调整结果。
☞超级管理员变更时,应填写《超级管理员帐号移交单》,由相应部门主管进行审批签字,移交双方签字确认。
☞公司业务流程发生重大变更时,由各超级管理员打印系统用户的访问权限清单,并交由相关业务部门主管,对用户的权限进行审阅签字,以避免在用户的权限中有不兼容职责的存在。
如发现不相容职责,应及时通知超级管理员,对用户的权限进行调整。
4.3.4如果存在第三方厂商人员使用超级管理员帐号的情况,应和第三方厂商签订相关的安全保密协议,以合理确保第三方厂商能够执行中国移动的安全管理要求和职责不相容要求。
厂商要保留帐号创建,帐号变更,帐号删除和密码变更的记录,供我方人员进行定期的检查。
4.3.6各生产、支撑网络系统如因维护要求有第三方远程登陆接入需求,应填写《远程维护接入申请和情况记录表》,经本维护单位安全管理员和部门分管负责人签字后,临时开通远程登录功能,方可接入。
操作完毕后,应及时关闭远程维护接入点,并填写《远程维护接入申请和情况记录表》。
本维护单位安全管理员及时审阅相应的操作日志记录并签字确认。
4.3.7各业务及支撑系统的厂商开发人员由于需要进行系统故障处理、检查等原因拥有生产系统的用户名及口令。
公司进行对开发人员(包括外包厂商)对生产系统进行程序更新的控制,只有在有必要时才临时由信息技术部门主管授权开发人员访问并更新生产系统,开发人员访问生产系统时由信息技术部门系统维护人员对其访问进行监督,并在访问结束后及时删除或禁止开发人员在生产系统中的账号。
4.3.8因系统原因不能按个人创建独立的用户账号的,由超级管理员按使用权限制定相应账号,授权到到使用部门指定人员。
其他维护人员工作若需要使用该账号,每次需要填写《账号临时使用申请表》,由超级管理员审批后,在超级管理员的帮助下进入系统进行维护,工作完成后立即退出系统,保证系统安全。
4.3.9质量管理和考核办法见6.0
4.4密码口令管理要求
管理流程
管理要求
☞不得使用最近5次以内重复的密码
☞密码重复尝试5次以后应暂停该帐号登录
☞密码长度为6位以上,必须是字母大小写和数字混用
☞密码应至少每90天进行更新
☞对于设置了有效期的口令,如HLR系统用户,系统管理员应在口令过期前完成口令的重新设置工作。
☞对于因系统限制暂时无法在系统中建立密码策略的,各部门安全管理员每季度对本部门各系统密码进行检查,以保证密码政策的有效执行。
☞各市州分公司、信息技术中心系统维护及使用人员根据密码策略定期进行密码修改,更改后密码应以某种介质形式密封保存至安全可靠处。
☞维护维护终端应设置开机口令、屏幕保护口令。
在有人值守机房内,维护终端屏幕保护的时间不能多于15分钟;对于无人值守机房,终端屏保时间不能多于3分钟。
六个月至少修改一次开机口令、屏幕保护口令。
4.5信息安全监控
4.5.1密切关注用户投诉情况,并通过短信监控过滤系统7*24小时对短信中心中所有短信息进行监控。
对更新的关键词在2小时内录入关键词库,对短信进行内容监控。
对短信发送的流量进行控制,对个人每小时发送500条或企业每小时发送10000条的要过滤出来,审核内容,如内容合法,可继续发送,否则将主被叫号码、发送时间、信息内容等相关信息进行保存,并上报上级主管单位。
对于大量发送有害信息(法轮功:
10条和10条以上,其它政治类30条和30条以上)的用户,应在发现后15分钟内关闭该用户的短信息业务功能。
4.5.2移动信使、短信网关、企业网站及WAP二级站点,EMIS系统公告板(包括分公司)、电子论坛、邮件网关服务器应建立信息监控过滤机制,7*24小时监控,对发布内容先审后发并进行信息巡查,杜绝反动、色情等有害信息出现在网站上。
一旦发现SP业务出现非法信息传播,将立即断掉梦网与该SP的连接端口,并立即上报主管部门。
4.5.3企业网站及WAP二级站点应7*24小时对访问情况进行监控,发现黑客攻击,立即封掉黑客的IP地址,同时上报上级主管部门。
4.6系统信息安全策略
4.6.1系统信息安全策略表:
安全策略
管理要求
执行周期
检查周期
相关记录
公司内部网络系统与外部网互联策略
应确保采取必要的措施(如防火墙、限制网段和端口、数据加密、虚拟专网或身份认证等技术)限制网外或非法用户进行穿透访问。
网络割接、系统上线
年
系统设置
设备专机专用策略
不得装入与工作无关的软件。
禁止开启RLOGIN服务。
禁止ROOT用户从其它主机登陆。
严禁将网管设备挪作他用或擅自更改配置。
网络割接、系统上线
年
系统设置
主机防病毒防火墙软件或硬件策略
禁止生产系统与互联网相接,严禁使用来历不明的软件。
定时对磁盘、内存进行扫描,及时杀死已驻留的病毒,以免病毒在网上传播造成严重后果。
每周使用正版杀毒软件检查在用WINDOWS系统和维护终端软件。
每周对杀毒软件进行升级。
周
月
安全维护作业计划
邮件服务安全
数据中心邮件系统维护需负责各系统电子邮件服务器应开启邮件安全应用程序,
网络割接、系统上线
季度
系统设置
SP专线接入策略
各移动梦网SP、专线用户在连入我公司网络前,应确保业务内容合法,并与我公司签定信息安全协议。
各移动梦网SP不得开展与我公司所签协议之外的业务。
各SP需安排7*24小时值班人员和值班电话,确保出现信息安全问题时的快速反应能力。
入网管理见《梦网SP网络运行管理办法》。
业务接入
季度
《梦网SP网络运行管理办法》
系统预设帐号策略
对于在系统中预设的用户帐号,需要对接口程序、脚本或系统相关设置进行加密或实施访问控制,以保证该类用户帐号只有经授权的用户可以访问,如非授权人员需要访问相关程序需要进行申请,由相关系统管理部门业务主管审批。
因系统原因不能进行加密保存的,使用部门需提交预设帐号清单及使用人员清单,由相关部门负责人进行书面审批授权。
并每季度进行复核签字确认,如发现多余或不恰当的账号应进行及时调整。
季度
半年
《系统预设用户帐号审阅表》
版本服务器的访问控制策略
版本服务器的访问控制:
四川移动现有系统版本服务器的访问授权必须经过信息技术部门主管的书面授权批准。
对于不存在版本服务器(如软件版本由总部统一控制入网的系统)由总部统一下发软件版本及入网许可。
网络割接、系统上线
年
系统设置
安全日志审计策略
市州分公司、信息技术中心各系统安全管理员查看各系统运行的日志文件,发现问题(例如严重错误信息、非法访问、故障隐患等)后,及时处理或上报,在维护作业计划中进行记录,各中心安全管理员在安全分析月报中进行汇总。
由网络部安全管理员进行审核。
如因系统原因暂时无法提供相应技术手段进行日志审计,需加强用户及密码的管理,填写使用申请记录表,由系统维护部门进行归口管理,系统管理员定期每月进行审阅确认。
各网络安全管理员每季度进行全面的网络安全审计,梳理防火墙安全策略。
周/月
月
安全维护作业计划
安全分析周报
4.7局域网终端接入管理
为了加强公司各系统局域网终端接入认证管理,确保只有通过认证的终端设备才可对公司内部局域网资源进行使用,保障移动通信网络畅通与信息安全,所有接入公司内部局域网终端,需按以下流程进行接入:
管理流程
管理要求
☞各市州分公司、信息技术中心系统网络管理员,负责对接入该局域网的终端进行管理,并对登录认证系统进行日常管理
☞各市州分公司、信息技术中心不管是长期或临时接入局域网的设备,均需向系统网络管理员提交由使用部门填写《终端接入断开公司局域网申请表》
☞网络管理员根据实际需求和风险评估情况为其分配适当的访问权限和使用期限,并在《终端接入汇总表》中进行记录。
☞各市州分公司、信息技术中心中心安全管理员每季度审查本部门管理局域网的登录申请、审批记录,抽查登录系统的记录并签字确认。
4.8系统备份制度
4.8.1各市州分公司、信息技术中心维护单位必须准备一定数量的磁带/光盘作为存贮文件使用。
各类磁带/光盘要妥放在专柜中,以保证安全和使用方便。
4.8.2必须按照相关专业维护规程和厂家要求进行磁带(磁盘)/光盘转录工作。
4.8.3每次系统备份后,操作员必须在磁带盘/光盘和磁带/光盘登记本上同时进行登记。
登记内容内容包括:
磁带盘/光盘编号、拷贝日期、时间、操作员工号等。
4.8.4各类磁带/光盘要置放在温、湿度适宜的环境中,注意避免强光、强磁的影响,避免挤压。
4.8.5加强对计费磁带/光盘的管理,要设专人负责保管,严格按照规定步骤操作,防止计费信息和用户信息的遗失。
交接手续要完备,防止遗失计费磁带。
4.8.6在局数据修改、软件版本升级、软件补丁装载、工程割接、系统配置修改、人工再启动、再装载前后,均须由执行人制定备份计划并由相应业务部门主管审批后实施。
4.8.7四川移动各地所有系统的备份介质保存在本地机房中,只有本地经过授权进入机房的人员才能接触系统备份磁带。
异地备份介质保存在异地专用库房中,库房钥匙只有负责异地存放备份介质的维护人员掌握。
4.8.8各市州分公司、信息技术中心系统的备份介质应由相关维护人员定期(如:
每周)执行异地存放,并由执行异地备份人员在完成异地存放后进行记录(如:
异地备份登记表),部门主管定期(如:
每月)审阅本地、异地备份记录并签字。
4.9信息安全预警管理
4.9.1信息安全预警基本要求:
4.9.1.1信息安全的预警工作实行预防为主、信息收集发布与及时处理相结合的原则,逐级建立安全预警责任制。
4.9.1.2各级网络维护部门应加强对系统管理人员安全意识的培养,明确责任,提高维护管理效果。
4.9.2预警信息管理流程
4.9.2.1预警信息分类
四川省移动通信有限责任公司所属系统及网络(包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃平台等)信息安全预警信息发布。
预警信息分类主要分为普及型预警和专项预警:
发布分类
信息分类
信息内容
发布周期
发布范围
普及型预警
人员操作预警
针对内部人员的操作可能会造成系统的威胁,提供人员正常操作流程。
不定期
全公司
病毒预警
利用防病毒厂商的全球防病毒预警系统提供的病毒信息整理发布。
不定期
全公司
专项预警
软件预警
针对软件系统,包括应用软件、业务软件和数据库系统自身的安全漏洞信息。
不定期
专业管理员
网络预警
针对网络设备,包括路由器、交换机、防火墙、VPN设备等自身软件的BUG和漏洞。
不定期
专业管理员
主机预警
针对系统中的Web服务器、Unix服务器、Windows服务器、应用服务器等的系统漏洞。
不定期
专业管理员
4.9.2.2预警信息发布流程
4.9.2.3由信息安全技术管理员负责收集来自于安全厂商的安全公告信息,并根据预警信息归类。
预警信息主要划分为两类,普及型预警和专项预警。
普及型预警面向的对象是全公司员工,主要包括病毒预警和人员操作预警。
专项预警主要是通知专业管理员进行处理,主要包括软件预警、网络预警和主机预警。
具体预警信息参照《安全预警信息收集和发布》。
4.3.4信息安全技术管理员归类后的安全预警信息提交信息安全职能管理和网络与信息安全工作管理组副组长审核后发布到全公司或者安全管理员及安全监控人员。
4.3.5发布方式:
预警信息通过四川省移动通信有限责任公司的EIP平台预警通知的方式进行不定期的信息安全预警发布。
5.0审阅更新要求
5.1本规定每年由四川移动省公司网络部进行审阅更新,并将已更新的安全规章制度应及时下发各相关部门遵照执行。
5.2各部门和生产中心可根据本程序对不同的生产系统根据具体要求进行细化,形成相关细则。
6.0质量控制与考核
6.1质量控制及考核对象:
各市州分公司、网管中心、数据中心
网管中心应负责全省GSM网、智能网、动环、传输、拨测设备等网络、系统及业务的信息安全维护管理。
数据中心应负责全省数据业务系统、网络及业务的信息安全维护管理。
各地市分公司负责本地进行维护的系统设备的信息安全维护管理工作。
6.2质量控制及考核内容:
6.2.1重大信息安全事件(30分):
各地市分公司、网管中心、数据中心发生造成业务中断的重大信息安全事件。
6.2.2用户授权管理(30分):
各地市分公司、网管中心、数据中心每月定期汇总用户情况上报网络部及安保部审核。
6.2.3系统设备备份情况检查(20分)
各地市分公司、网管中心、数据中心所维护交换、智能网、数据网等系统等设备的备份情况。
6.2.4设备信息安全配置检查(20分)
各地市分公司、网管中心、数据中心所维护基于服务器、主机、网络设备安全配置。
6.3质量控制及考核办法:
6.3.1重大信息安全事件(30分):
各地市分公司、网管中心、数据中心每月发生造成业务中断的信息安全事件,发生后如未按流程要求操作,造成影响,发生一次扣20分,扣完为止。
6.3.2用户授权管理(30分):
各地市分公司、网管中心、数据中心每月是否已汇总用户情况上报网络部及安保部审核。
是否存在用户异常设置的情况,发现存在未经审核的用户存在系统中一次扣5分,扣完为止。
6.3.3系统设备备份情况检查(20分)
每月对各地市分公司、网管中心、数据中心所负责系统抽查交换、智能网、数据网系统设备任意2种,检查系统备份带是否做好,是否与维护作业计划上记录一致,发现未完成一次扣10分。
6.3.4设备信息安全配置检查(20分)
每月对各地市分公司、网管中心、数据中心检查内网服务器、终端是否与公网相连、是否设置屏保、windows主机是否安装有正版杀毒软件且更新、是否有无关软件、是否每季度有口令更改纪录,口令是否符合管理规范,发现一项扣5分,扣完为止。
7.0相关文件及记录
7.1《安全分析记录报告》
7.2《终端接入公司局域网申请表》
7.3《终端接入汇总表》
7.4《远程维护接入申请和情况记录表》
7.5《系统备份记录》
7.6用户权限及密码管理相关表格,包括:
《员工变动登陆公司网络系统申请表》
《网络/系统层/应用层超级管理员授权表》
《安全管理员授权表》
《帐号创建、变更申请表》
《用户帐号审阅表》
《系统预设用户帐号审阅表》
《账号临时使用申请表》
《帐号密码更改记录》
升级会员 