[精选]中国移动信息安全管理体系说明.pptx
目标:目标:对涉及公司运营的所有信息资产对通信网业务系统、各支撑系统网络、以及市场、财务、研发、人力的各类重要信息进行保护,保障公司“新跨越战略实施,保护公司的核心竞争力。指导思想:指导思想:以风险管理为核心,预防为主,技术手段为支撑,围绕信息和信息系统生命周期,逐步建立由平安组织、管理规定和技术指南、运行和技术防护手段构成的具有自主创新能力和拓展能流企业新跨越战略的实施。网络与信息平安保障体系网络与信息平安保障体系网络与信息平安保障体系网络与信息平安保障体系 中国移动网络与信息平安保障体系中国移动网络与信息平安保障体系技术及防技术及防技术及防技术及防护支撑手段护支撑手段护支撑手段护支撑手段 运行运行运行运行和技术指南和技术指南和技术指南和技术指南组织架构组织架构组织架构组织架构制定执行基于运用建立目录目录信息平安:企业面临的巨大挑战中国移动信息平安管理体系介绍中移动网络与信息平安总纲平安事件分布平安事件分布平安事件的损失平安事件的损失平安威胁方的分布平安威胁方的分布 独立黑客:黑客攻击越来越频繁,直接 影响企业正常的业务运作!内部员工:1、信息平安意识薄弱的员工误用、滥用等;2、越权访问,如:系统管理员,应用管理员越权访问数据;3、政治言论发表、非法站点的访问等;4、内部不稳定、情绪不满的员工。如:员工离职带走企业秘密,尤其是企业内部高层流动、集体流动等!竞争对手:法制环境不健全,行业不正当竞争如:窃取机密,破坏企业的业务效劳!国外政府或机构:法制环境不健全,行业不正当竞争如:窃取机密,破坏企业的业务效劳!企业面临的主要信息平安问题企业面临的主要信息平安问题人员问题:人员问题:信息平安意识薄弱的员工误操作、误设置造成系统宕机、数据丧失,信息泄漏等问题特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感数据内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流动等技术问题:技术问题:病毒和黑客攻击越来越多、爆发越来越频繁,直接影响企业正常的业务运作法律方面法律方面网络滥用:员工发表政治言论、访问非法网站法制不健全,行业不正当竞争如:窃取机密,破坏企业的业务效劳信息平安事件回放一信息平安事件回放一全国最大的网上盗窃通讯资费案某合作方工程师,负责某电信运营商的设备安装。获得充值中心数据库最高系统权限从2005年2月开始,复制出了14000个充值密码。获利380万。2005年7月16日才接到用户投诉说购置的充值卡无法充值,这才发现密码被人盗窃并报警。无法充值的原因是他最后盗取的那批密码忘记了修改有效日期 反思:目前是否有类似事件等待进一步发现对第三方的有效平安管理标准缺失对第三方的有效平安管理标准缺失对第三方的有效平安管理标准缺失对第三方的有效平安管理标准缺失信息平安事件回放二信息平安事件回放二北京ADSL断网事件2006年7月12日14:35左右,北京地区互联网大面积断网。事故原因:路由器软件设置发生故障,直接导致了这次大面积断网现象。事故分析:操作设备的过程中操作失误或软件不完善属于“天灾,但问题出现后不及时恢复和弥补,这就涉及人为的因素了,实际上这也是可以控制的。需制定实施的业务连续性管理体系需制定实施的业务连续性管理体系需制定实施的业务连续性管理体系需制定实施的业务连续性管理体系信息平安事件回放三信息平安事件回放三希腊 被窃听,沃达丰总裁遭传唤早在2004年雅典奥运会之前,希腊高官们的 便已开始被第三方窃听,2006年3月份才被发现。事故原因:沃达丰希腊公司的中央效劳系统被安装了间谍软件 制定严格的核心操作系统访问控制流程制定严格的核心操作系统访问控制流程制定严格的核心操作系统访问控制流程制定严格的核心操作系统访问控制流程信息平安事件四信息平安事件四两名电信公司员工利用职务上的便利篡改客户资料,侵吞ADSL宽带用户效劳费76.7万余元事故原因:内部平安管理缺失缺乏有效的内控措施和定期审计缺乏有效的内控措施和定期审计缺乏有效的内控措施和定期审计缺乏有效的内控措施和定期审计对信息平安问题产生过程的认识对信息平安问题产生过程的认识环环境境威胁威胁方方资产资产系统漏洞管理漏洞物理漏洞威胁(破坏或滥用)利用工具通过中移动网络与信息平安体系建立紧迫性中移动网络与信息平安体系建立紧迫性李跃总的讲话平安问题已时不我待。我所讲的平安问题还不是黑客和防病毒,只讲我们自身的工作平安。从全球及我们自身看,网络平安的形式非常严峻进入网管中心或者通过网管中心进入各生产网元,一定要实行有效的屡次密码认证的管理,严格管理每一次进入。对对内部人员的登陆要有严格的管理规定,后台操作要留有痕迹。不能光管外人不管自己。重在管理,其次是手段 对外来人员的进入,我们一定要限人、限时、限范围,明确进入的时间、进入的目的。谁放厂家的人进去谁就要负责检查,并做好记录,要承担起核心设备网元的管理权,出了问题要承担责任。信息平安是信息效劳提供商的核心保证信息平安是信息效劳提供商的核心保证一个不平安的网络,将不可能提供高质量的信息效劳信息效劳必须让客户可信任解决信息平安问题的关键建立一个完善的信息平安管理体系目录目录信息平安:企业面临的巨大挑战中国移动信息平安管理体系介绍中移动网络与信息平安总纲中移动网络与信息平安建设总体思路中移动网络与信息平安建设总体思路l基于信息平安管理国际标准BS7799/ISO17799l综合参谋的管理和技术经验,结合公司现有的信息平安管理措施l以公司信息平安现状为基础,充分考虑了公司所存在的信息平安风险l参考国外业界最正确实践,同时考虑国内的管理和法制环境中移动网络与信息平安的目标中移动网络与信息平安的目标为中国移动的网络与信息平安管理工作建立科学的体系,确保平安控制措施落实到位,为各项业务的平安运行提供保障。目前公司网络与信息平安工作的重点集中在可用性、保密性和可审查性。可用性可用性保密性保密性可审查性可审查性l确保被授权用户能够在需要时获取网络与信息资产。l关键信息资产的使用都必须经过授权,只有得到相应授权的人员才可使用网络和保密信息l任何对公司业务运作的威胁和破坏行为都得到记录,并能跟踪和追查中移动信息平安建设原则与总体策略中移动信息平安建设原则与总体策略平安管理流程、制度和平安控制措施的设计应基于风险分析,而不应基于信任管理权限制衡和监督原则:平安管理人员和网络管理人员、主机管理人员相互制约作为国家基础设施提供商,其网络与信息平安工作目前必须围绕公司业务目标开展;网络与信息平安管理工作应以风险管理为基础,在平安、效率和成本之间均衡考虑;全面防范,突出重点高层牵头高层牵头领导负责领导负责全员参与全员参与专人管理专人管理中移动网络与信息平安策略架构中移动网络与信息平安策略架构国家政策要求国家政策要求企业开展战略企业开展战略国内外标准国内外标准平安评估结果平安评估结果技术标准技术标准管理标准管理标准操作手册操作手册和具体系统相结合和具体系统相结合流程、细则流程、细则和具体系统相结合和具体系统相结合第一层第一层第二层第二层第三层第三层平安域划分技术标准、平安域划分技术标准、IP专网接入平安要专网接入平安要求、平安产品测试标求、平安产品测试标准准帐号口令平安管理方帐号口令平安管理方法、终端平安管理方法、终端平安管理方法法网络与信息平安体系总纲网络与信息平安体系总纲从宏从宏从宏从宏观方观方观方观方针到针到针到针到微观微观微观微观操作操作操作操作,建立建立建立建立了包了包了包了包含三含三含三含三个层个层个层个层面的面的面的面的平安平安平安平安制度制度制度制度体系体系体系体系信息平安管理组织体系模型信息平安管理组织体系模型信息平安决策层信息平安决策层决策、规划、保证机制信息平安管理层信息平安管理层平安管理、工程、保证管理信息平安操作层信息平安操作层运行、实施、保证建立垂直组织明确岗位职责贯彻分权制衡原则提高任职资格建立关键岗位人员选拔制度加强平安绩效考核中移动网络与信息平安组织体系中移动网络与信息平安组织体系集团公司网络集团公司网络信息平安领导小组信息平安领导小组集团公司网络集团公司网络信息平安办公室信息平安办公室集团网络信息集团网络信息平安小组平安小组各省公司网络各省公司网络信息平安领导小组信息平安领导小组各省公司网络各省公司网络信息平安办公室信息平安办公室各省网络信息各省网络信息平安小组平安小组决策层决策层决策层决策层管理层管理层管理层管理层执行层执行层执行层执行层集团公司集团公司集团公司集团公司省公司省公司省公司省公司n 在总部和省公司建立了三层网络平安管理组织;n 集团副总裁为集团领导小组组长,各部门总经理为小组成员;n 集团公司网络信息平安办公室设在网络部。集团公司组织架构集团公司组织架构网络与信息平安领导小组网络部业务支撑系统部管理信息系统部网络平安办公室网络部业务支撑系统部管理信息系统部集团集团集团集团省公司省公司省公司省公司为了进一步加强公司的网络平安工作,在网络部设立了网络平安处,负责推为了进一步加强公司的网络平安工作,在网络部设立了网络平安处,负责推动公司层面的各项网络平安工作落实。动公司层面的各项网络平安工作落实。公司的平安管理,跨部门公司的平安管理,跨部门工作协调,组织落实公司工作协调,组织落实公司范围的各项平安工作。范围的各项平安工作。.广西公司组织架构广西公司组织架构网络与信息平安领导小组网络部信息系统部运营支撑中心网络平安办公室网络与信息平安办公室负责公司具体的网络与信息平安工作网络与信息平安办公室负责公司具体的网络与信息平安工作 ,落实公司层面,落实公司层面的各项网络平安政策,牵头部门为网络部。的各项网络平安政策,牵头部门为网络部。公司的平安管理,跨部门公司的平安管理,跨部门工作协调,组织落实公司工作协调,组织落实公司范围的各项平安工作。范围的各项平安工作。.网络运营中心信息平安管理框架信息平安管理框架信息平安目标组织 信息资产分类与控制 职员的安全管理 物理环境的安全 业务连续性管理通信和操作安全访问控制系统开发与维护 检 查总体策略监控与审计中移动网络与信息平安体系总纲中移动网络与信息平安体系总纲物理及环境安全物理及环境安全 网络与信息资产管理网络与信息资产管理 通信和运营管理的安全通信和运营管理的安全 网络与信息系统网络与信息系统的访问控制的访问控制 系统开发系统开发与软件维护的安全与软件维护的安全 安全事件响应安全事件响应及业务连续性管理及业务连续性管理 平安审计平安审计组织与人员组织与人员国家政策要求国家政策要求企业开展战略企业开展战略国内外标准国内外标准平安评估结果平安评估结果技术标准技术标准管理标准管理标准操作手册操作手册和具体系统相结合和具体系统相结合流程、细则流程、细则和具体系统相结合和具体系统相结合第一层第一层第二层第二层第三层第三层平安域划分技术标准、平安域划分技术标准、IP专网接入平安要求、专网接入平安要求、平安产品测试标准平安产品测试标准帐号口令平安管理方帐号口令平安管理方法、终端平安管理方法、终端平安管理方法法网络与信息平安体系总纲网络与信息平安体系总纲从从从从宏宏宏宏观观观观方方方方针针针针到到到到微微微微观观观观操操操操作作作作,建建建建立立立立了了了了包包包包含含含含三三三三个个个个层层层层面面面面的的的的平平平平安安安安制制制制度度度度体体体体系系系系目录目录信息平安:企业面临的巨大挑战中国移动信息平安管理体系介绍中移动网络与信息平安总纲组织与人员组织与人员集团公司和各省公司应建立公司级别的网络与信息平安常设领导机构。设立专职平安队伍,建立平安事件响应流程。所有岗位职责中必须包含平安内容,并实现职责分隔。所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。所有员工都应当接受网络与信息平安培训。对第三方访问需求应严格审核,进行风险分析,并采取相应控制措施。应与客户签署相关协议,明确双方在网络与信息平安方面的权利、义务及违约责任,保障客户与公司双方的利益。网络与信息资产管理网络与信息资产管理网络和信息资产包括实物资产、信息资产和软件资产。实物资产:计算机设备、数据网络通信设备路由器、交换机等;磁性媒介磁带和磁盘等、其他技术设备电源以及空调装置等等;信息资产:技术文档、配置数据、拓扑图等;软件资产:应用软件、系统软件以及开发工具等;要求:对所有网络与信息资产进行登记,形成资产清单。明确责任人及平安保护级别,建立严格资产责任制度。“谁主管,谁负责。物理及其环境平安体系架构物理及其环境平安体系架构物理及环境平安介质安全设备安全场地安全场地安全保障区域划分出入控制工作区办公物流人流设备维护电源线缆设备选址销毁使用存放介质申请系统运作管理体系架构系统运作管理体系架构权限管理转产安全管理变更管理问题管理监控系统维护管理系统人员设备系统开发系统开发平安事件响应及业务连续性管理平安事件响应及业务连续性管理平安事件响应:建立平安事件报告流程,制定平安预警信息的授权审批发布流程。确保及时、准确地报告平安事件。业务连续性管理 制定并实施业务连续性管理体系,将风险降至可以接受的水平。根据业务影响分析和风险评估的结果,制定业务连续性方案与策略。根据业务连续性方案与策略,制定相应业务连续性方案及框架。应定期测试、评审和更新业务连续性方案,保障方案的时效性。定期进行紧急事件响应演练。平安审计平安审计从管理和技术两个方面定期检查平安策略、控制措施的执行情况,发现平安隐患。网络与信息系统的设计、操作、使用和管理不仅要遵从公司本身的平安方针,而且要符合国家法律法规、管理条例及合同的要求,以及符合 萨班斯法案的要求。平安审计管理:独立审计、最大程度降低对正常运营的影响、审计记录完好保存。目录目录信息平安:企业面临的巨大挑战中国移动信息平安管理体系介绍中移动网络与信息平安总纲角色责任与执行关键成功因素关键成功因素网络与信息平安工作必须是高层牵头,领导负责,全员参与,专人管理;必须全员参与。建立全面、均衡、可行的评估、考核体系,以衡量网络与信息平安管理工作的水平;平安工作的具体实施必须同公司的企业文化相兼容;组织,政策、支援。NISS的执行的执行基于中移动网络与信息平安体系总纲,将形成一系列二层的信息平安管理规定。帐号口令平安管理方法帐号口令平安管理方法终端平安管理方法终端平安管理方法病毒防制相关规定信息平安保密相关规定信息平安保密相关规定管理者的责任管理者的责任责任清晰责任清晰各级部门的一把手是本部门信息平安的第一责任人各级部门的一把手是本部门信息平安的第一责任人负责信息平安管理规定在本部门的推行和落实负责信息平安管理规定在本部门的推行和落实对本部门人员的违规事件承担领导责任和连带处分对本部门人员的违规事件承担领导责任和连带处分如何管理如何管理各部门主管首先需要以身作则,带头遵守公司各项信息平安规定各部门主管首先需要以身作则,带头遵守公司各项信息平安规定要在部门的各种场合向部门强调和灌输信息平安保密意识要在部门的各种场合向部门强调和灌输信息平安保密意识在本部门指定专门的人员负责信息平安工作在本部门指定专门的人员负责信息平安工作在部门内持续不断的进行信息平安宣传、检查在部门内持续不断的进行信息平安宣传、检查对本部门人员的违规行为应严肃对待,不姑息,不袒护对本部门人员的违规行为应严肃对待,不姑息,不袒护普通员工的责任普通员工的责任严格遵守和执行公司各类信息平安管理规定和严格遵守和执行公司各类信息平安管理规定和流程制度以及平安方面的有关措施流程制度以及平安方面的有关措施有义务制止他人违规行为或及时向信息平安部有义务制止他人违规行为或及时向信息平安部反响可能造成泄密、窃密或其他平安隐患反响可能造成泄密、窃密或其他平安隐患如何防止信息平安违规如何防止信息平安违规首先需要每个员工有强烈的平安意识首先需要每个员工有强烈的平安意识积极学习公司的各类信息平安管理规定和平安措施,将遵积极学习公司的各类信息平安管理规定和平安措施,将遵守平安规定融入自己的日常工作行为中守平安规定融入自己的日常工作行为中员工的保密义务和责任员工的保密义务和责任保密信息保密信息 公司商业秘密的密级可视情况分为商密A(绝密级事项),商密B(机密级事项)、商密C(秘密级事项)一不准利用工作中的便利条件窃取国家及公司的秘密;二不准在工作中泄露国家及公司秘密;三不准在私人交往和通信中泄露国家及公司秘密;四不准在公共场所议论国家及公司秘密;五不准在非保密本上记录国家及公司秘密。公司员工保密五不准:信息平安保密相关规定信息平安保密相关规定保密信息的访问和授权原则保密信息的访问和授权原则n工作相关性原则:依据个人工作相关性给个人分配工作相关性原则:依据个人工作相关性给个人分配权限权限。n最小授权原则:将数据的分发限制在最小范围内;最小授权原则:将数据的分发限制在最小范围内;访问列表应控制在最小范围,并由应用责任人授权。访问列表应控制在最小范围,并由应用责任人授权。n审批、受控原则:只有经上级明确授权后才能获得审批、受控原则:只有经上级明确授权后才能获得权限,否则在缺省情况下一律禁止。使用唯一用户权限,否则在缺省情况下一律禁止。使用唯一用户标识用户标识用户IDID,以确保可审查性,以确保可审查性 MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉
