H网络安全管控要求V.pptx
《H网络安全管控要求V.pptx》由会员分享,可在线阅读,更多相关《H网络安全管控要求V.pptx(14页珍藏版)》请在冰点文库上搜索。
2023/5/11,2014年H2网络安全管控要求重项目、抓管理、保安全,Page2,目录,Internet,NodeB,MGW,MSCServer,SGSN/MME,GGSN/S/PGW,HLR/HSS,RNC,BSC,BTS,eNodeB,MME,S/PGW,CS域,PS域,PTN/IPRAN,安全风险场景复杂化、网络扁平化小操作导致大事故,4G,2/3G,PTN/IPRAN,1、人员服务意识(网络安全意识、流程意识、责任心)薄弱;2、日常维护管理(高危操作管控、应急场景演练、人员能力培养)不足。
网络安全行为红线,禁止条款,未经客户书面授权,访问客户系统,收集、持有、处理、修改客户网络中的任何数据和信息。
未经客户书面许可,使用个人便携设备、存储介质接入客户网络。
进行超出客户审批范围内的任何操作。
使用他人账号或非授权账号登录设备进行操作。
在提供的产品或服务中植入任何恶意代码、恶意软件、后门,预留任何未公开接口和账号。
攻击、破坏客户网络,破解客户账户密码。
泄漏和传播客户网络中的数据和信息。
未经客户书面许可,使用共享账号和密码。
商用或转维后,保留或使用管理员账号及其它非授权账号。
使用未经华为或华为客户书面授权的软件部署在客户网络上运行,或没有使用来自公司正式渠道的软件版本、补丁、License。
利用客户系统的信息和数据谋取个人利益或用于其它非法目的。
保护客户网络安全,避免因违法、违规行为导致客户网络安全危机或安全事件。
促使员工对安全法律、法规的遵从,从而保护员工因客户网络安全意识淡薄的违法、违规。
目标,Page5,流程管理工程师上岗前认证、出差工程师BTA安全承诺审批、合作方工程师规范认证评估流程管控宣传宣传卡、问题单/变更单、三授权、重大事故、高危操作等控制点,过程执行审计通过过程审计促进各项服务行为规范的有效落实现场走动管理通过主管现场管理,审计规范执行、安全意识,优化管理措施。
例行审计每双周审计,通报结果、考核应用案例回溯月度输出规范案例回溯,并组织学习、研讨持续优化审计执行效果,持续优化管理措施,强化流程规范操作,3,4,1,2,重宣传、抓学习1、每月组织服务规范性文件、典型案例学习2、每月以考试、电话的方式,抽查掌握情况3、每月签署“网络安全责任书”,持续警醒,重安全、抓授权1、客户100管理授权;2、内部100技术授权;3、内部100管理授权。
重客户、抓上岗1、实时跟进运营商机房管理规定,组织学习2、所有工程均参加运营商规范考试,并通过后才能上岗。
重准备、抓执行1、方案细化到每一步操作动作及时间点;2、现场严格按方案操作,不得擅自更改操作内容3、重要操作11配置,1人操作,1人审核。
网络安全流程规范提升安全意识,强化流程落实,对代表处支持工程师(包括实习)要求:
1、提前学习代表处流程规范沙盘,并签署网络安全承诺书出差电子流必须附上签字承诺书原件,同时LEADER要抽查其掌握效果;2、产品Leader组织支持工程师进行流相应流程规范学习,通过后方可上岗。
对代表处自有工程师要求:
1、以AMS为平台,拉通全产品,统一进行流程规范管控;2、统一组织流程规范、安全案例学习,认证上岗;3、统一签署网络安全承诺书;4、统一现场管理、规范审计、考核应用。
对合作单位工程师要求:
1、每月组织代表处流程规范沙盘学习;2、每季度组织流程规范认证,获得认证许可,方可上岗;3、对操作进行抽查,重点检查事前准备、过程执行,记录合作单位绩效考核。
重客户、抓上岗!
重准备、抓执行!
重宣传、抓学习!
重安全,抓授权!
Page6,重大操作管理强化重大操作管控,杜绝人为事故,分场景操作管控细化场景、明确要求、例行审视,全产品从“6大场景、5个纬度”深入梳理操作场景管控要求,做为中小型项目技术管控的输入。
管理要求:
每周日14点前,各产品根据操作场景管控要求组织输出该产品本周所有操作自检报告;同时汇总区域TD重大操作方案每周日下午14点AMS组织Leader例会,对本周操作合规性检查,同时对下周重大操作方案统一审视。
当前问题识别:
1、操作风险识别存在盲区,易触雷区;2、操作场景归类不清晰,缺乏统一指导;3、不同场景操作要求不明确。
4、操作是否完全按照指导书操作,缺乏有效监控5、结果不可回溯,重大事故快速恢复第一时间通报,快速集结资源,受理到客户技术服务请求后应根据事故定级标准在5分钟内判断时否为事故,要点1:
代表处负责事故定级,地区部RL通过定级工具辅助定级。
要点2:
事故第一时间通报,杜绝隐瞒或延误通报;并同时创建iCare单,准确记录发生、申告、恢复时间点;要点3:
完成建单和事故级别确认后,RL于10分钟内完成短信通报、并启动warroom,30分钟内完成邮件通报;要点4:
事故通报和处理全过程必须通过IT平台,确保过程有监控、可回溯。
关键信息要求:
故障现象发生时间事故影响范围客户态度事故进展,中小项目管理规定强化项目管理、落实关键控制点,输入:
合同配置清单、图纸动作:
1、KCP1:
PD每周输出区域项目监控表,分解、下发项目交付任务给区域交付团队;输出:
区域项目监控表,输入:
合同配置清单、图纸、区域项目监控表动作:
1、KCP2:
RPM、TD、合作督导制作并输出网络部署方案,并提交代表处PD及省公司TD评审;输出:
网络部署方案评审报告,售前介入阶段,交付准备阶段,交付实施阶段,验收阶段:
输入:
网络割接实施方案、高危操作三授权管理规定动作:
1、KCP3:
TD指导合作督导制作并输出网络割接实施方案,并严格遵守三授权流程;输出:
高危操作监管表,输入:
转维资料、竣工资料动作:
1、KCP4:
项目完工后,RPM推动工程验收,并跟踪遗留处理。
输出:
验收证书,9月30日组织完成区域中小项目管理流程图梳理,中小项目交付技术管理规定,Page10,9月30日组织完成区域中小项目技术管理流程图梳理,输入:
区域项目监控表动作:
1、KCP1:
项目TD识别交付过程中的关键风险点并传递给合作督导/TL;2、KCP2(可选):
合作督导根据TD识别的关键风险点输出网络部署方案,并提交评审;输出:
区域项目监控表,网络部署方案,输入:
区域项目监控表,高危操作管控表动作:
1、KCP3:
合作TL将评审通过的实施方案提交给项目TD评审;2、KCP4:
合作TL根据“三授权”要求提交管理和技术授权;3、KCP5:
超过4分操作安排现场保障,超过8分操作代表处主管现场走动管理;输出:
网络实施方案项目技术问题管理跟踪表高危操作总结,输入:
项目技术问题管理跟踪表动作:
1、项目TD/合作TL/合作督导负责项目技术问题解决并关闭;2、合作督导提交竣工资料;3、RPM组织项目初验;输出:
项目竣工资料初验证书,交付准备阶段,交付实施阶段,验收阶段,所有操作严格遵守操作管控场景,国庆期间,代表处组织全产品从“6大场景、5个纬度”深入梳理操作场景管控要求,做为中小型项目技术管控的输入。
管理要求:
每周日14点前,各产品根据操作场景管控要求组织输出该产品本周所有操作自检报告;同时汇总区域TD重大操作方案每周日下午14点AMS组织Leader例会,对本周操作合规性检查,同时对下周重大操作方案统一审视。
痛点:
1、操作风险识别存在盲区,易触雷区;2、操作场景归类不清晰,缺乏统一指导;3、不同场景操作要求不明确。
4、操作是否完全按照指导书操作,缺乏有效监控5、结果不可回溯,交付技能匹配按项目匹配交付技能、提升交付能力,Page12,督导技能评估:
项目TD结合督导技能(笔试、面试)、经验、方案质量、培训经理、关键事件等,对项目交付督导的技能进行评估,输出评估结论交付需求评估:
项目TD结合具体项目的交付特点评估项目交付资源需求(交付资源人数、交付技能等级)交付技能与项目需求满足度评估:
项目TD结合交付资源技能评价结果和项目需求,进行项目匹配度评估,给出具体评估意见,项目交付技能评估,制定技能提升计划:
合作单位项目TL根据项目满足度技能评估意见,制定具体交付人员的的技能提升计划,并提交给华为项目经理和项目TD,协助培养。
合作方技能培养:
华为项目TD定期组织针对性的技能培训,采用集中培训或远程培训方式,并进行培训效果验证,含笔试、抽查答辩。
在项目技术问题管理跟踪表中输出合作方技能匹配情况。
项目技能匹配要求:
经华为项目TD技能评估后,如无法满足项目需求,是否通过技能培养后再进项目,由具体项目需求特点决定。
项目交付技能培养,项目交付日常动作及职责规范动作,明确职责,1:
规范项目各角色日常动作,2:
明确各角色职责,1、PD:
对所负责产品的所有项目负管理责任,重点关注产品域重大操作及项目计划管理,对产品域所有项目网络安全负责;2、RPM:
对区域所有项目负管理责任,重点关注重大操作及项目计划管理,对区域所有项目网络安全负责;3、合作CPM:
对区域本单位承接的所有项目负管理责任,重点关注重大操作及项目计划管理,对所承接项目网络安全负责;4、TD:
对项目技术风险及操作方案质量负管理责任,关注区域所有操作及技术风险管理,对所负责项目网络安全负责;5、合作TL:
对区域本单位承接的所有项目技术风险及操作方案质量负管理责任,关注区域所有操作及技术风险管理,对所承接项目网络安全负责;6、合作督导:
负责项目操作实施,对项目所有操作结果负责;,
升级会员 