中國移動(dòng)網(wǎng)絡(luò)與信息安全體系.doc

《中國移動(dòng)網(wǎng)絡(luò)與信息安全體系.doc》由會員分享，可在線閱讀，更多相關(guān)《中國移動(dòng)網(wǎng)絡(luò)與信息安全體系.doc（107頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、中國移動(dòng)網(wǎng)絡(luò)與信息安全總綱中國移動(dòng)網(wǎng)絡(luò)與信息安全總綱 中國移動(dòng)通信集團(tuán)公司中國移動(dòng)通信集團(tuán)公司 2006 年 7 月 本文檔版權(quán)由中國移動(dòng)通信集團(tuán)公司所有。未經(jīng)中國移動(dòng)通信集團(tuán)公司書面許 可，任何單位和個(gè)人不得以任何形式摘抄、復(fù)制本文檔的部分或全部，并以任 何形式傳播。 http:/ 前言前言 中國移動(dòng) 注的通信網(wǎng)絡(luò)和支撐系統(tǒng)是國家基礎(chǔ)信息設(shè)施，必須加以妥善保 護(hù)。隨著網(wǎng)絡(luò)和通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)互聯(lián)與開放、信息共享帶來了日益 增長的安全威脅。為了企業(yè)乃至國家的網(wǎng)絡(luò)與信息安全，為了保障客戶利益， 加強(qiáng)各方面的安全工作刻不容緩！ 制訂和頒布本標(biāo)準(zhǔn)的目的是為中國移動(dòng)的網(wǎng)絡(luò)與信息安全管理工作建立科

2、 學(xué)的體系，力爭通過科學(xué)規(guī)范的全過程管理，結(jié)合成熟和領(lǐng)先的技術(shù)，確保安 全控制措施落實(shí)到位，為各項(xiàng)業(yè)務(wù)的安全運(yùn)行提供保障。 本標(biāo)準(zhǔn)主要依據(jù)國際規(guī)范，參考業(yè)界的成熟經(jīng)驗(yàn)，結(jié)合中國移動(dòng)的實(shí)際情 況進(jìn)行補(bǔ)充、修改、完善而來。本標(biāo)準(zhǔn)目前主要針對互聯(lián)網(wǎng)、支撐網(wǎng)等 IT 系統(tǒng) 安全。 注：本標(biāo)準(zhǔn)所稱“中國移動(dòng)”是指中國移動(dòng)通信集團(tuán)公司及由其直接或間 接控股的公司。 中國移動(dòng)通信集團(tuán)公司，以下簡稱“集團(tuán)公司”。 各移動(dòng)通信有限責(zé)任公司，以下簡稱“各省公司”。 http:/ 目錄目錄 前言前言1 目錄目錄2 總則總則11 1網(wǎng)絡(luò)與信息安全的基本概念.11 2網(wǎng)絡(luò)與信息安全的重要性和普遍性 11 3中國移動(dòng)網(wǎng)絡(luò)

3、與信息安全體系與安全策略 12 4安全需求的來源 14 5安全風(fēng)險(xiǎn)的評估 15 6安全措施的選擇原則.15 7安全工作的起點(diǎn) 16 8關(guān)鍵性的成功因素17 9安全標(biāo)準(zhǔn)綜述.17 10適用范圍.22 第一章第一章組織與人員組織與人員.23 第一節(jié)組織機(jī)構(gòu).23 1領(lǐng)導(dǎo)機(jī)構(gòu).23 2工作組織.24 3安全職責(zé)的分配 25 4職責(zé)分散與隔離 26 5安全信息的獲取和發(fā)布 27 6加強(qiáng)與外部組織之間的協(xié)作.27 7安全審計(jì)的獨(dú)立性28 第二節(jié)崗位職責(zé)與人員考察.28 1崗位職責(zé)中的安全內(nèi)容 28 2人員考察.29 3保密協(xié)議.30 4勞動(dòng)合同.30 http:/ 5員工培訓(xùn).30 第三節(jié)第三方訪問與外

4、包服務(wù)的安全 30 1第三方訪問的安全30 2外包服務(wù)的安全 32 第四節(jié)客戶使用業(yè)務(wù)的安全.33 第二章第二章網(wǎng)絡(luò)與信息資產(chǎn)管理網(wǎng)絡(luò)與信息資產(chǎn)管理35 第一節(jié)網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任制度35 1資產(chǎn)清單.35 2資產(chǎn)責(zé)任制度.36 第二節(jié)資產(chǎn)安全等級及相應(yīng)的安全要求 .39 1信息的安全等級、標(biāo)注及處置39 2網(wǎng)絡(luò)信息系統(tǒng)安全等級 41 第三章第三章物理及環(huán)境安全物理及環(huán)境安全 .43 第一節(jié)安全區(qū)域.43 1安全邊界.43 2出入控制.44 3物理保護(hù).45 4安全區(qū)域工作規(guī)章制度 46 5送貨、裝卸區(qū)與設(shè)備的隔離.47 第二節(jié)設(shè)備安全.48 1設(shè)備安置及物理保護(hù).48 2電源保護(hù).49 3線纜

5、安全.50 4工作區(qū)域外設(shè)備的安全 51 5設(shè)備處置與重用的安全 51 第三節(jié)存儲媒介的安全.52 1可移動(dòng)存儲媒介的管理 52 2存儲媒介的處置 52 3信息處置程序.53 http:/ 4系統(tǒng)文檔的安全 54 第四節(jié)通用控制措施 .55 1屏幕與桌面的清理55 2資產(chǎn)的移動(dòng)控制 56 第四章第四章通信和運(yùn)營管理的安全通信和運(yùn)營管理的安全.57 第一節(jié)操作流程與職責(zé).57 1規(guī)范操作細(xì)則.57 2設(shè)備維護(hù).58 3變更控制.59 4安全事件響應(yīng)程序59 5開發(fā)、測試與現(xiàn)網(wǎng)設(shè)備的分離60 第二節(jié)系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)和驗(yàn)收 61 1系統(tǒng)規(guī)劃和設(shè)計(jì) 61 2審批制度.61 3系統(tǒng)建設(shè)和驗(yàn)收 62

6、4設(shè)備入網(wǎng)管理.64 第三節(jié)惡意軟件的防護(hù).64 第四節(jié)軟件及補(bǔ)丁版本管理.66 第五節(jié)時(shí)鐘和時(shí)間同步.67 第六節(jié)日常工作.67 1維護(hù)作業(yè)計(jì)劃管理67 2數(shù)據(jù)與軟件備份 67 3操作日志.69 4日志審核.69 5故障管理.70 6測試制度.71 7日常安全工作.71 第七節(jié)網(wǎng)絡(luò)安全控制 .72 第八節(jié)信息與軟件的交換73 http:/ 1信息與軟件交換協(xié)議.73 2交接過程中的安全73 3電子商務(wù)安全.74 4電子郵件的安全 75 5電子辦公系統(tǒng)的安全.76 6信息發(fā)布的安全 77 7其他形式信息交換的安全 .78 第五章第五章網(wǎng)絡(luò)與信息系統(tǒng)的訪問控制網(wǎng)絡(luò)與信息系統(tǒng)的訪問控制 .79 第

7、一節(jié)訪問控制策略 .79 第二節(jié)用戶訪問管理 .81 1用戶注冊.81 2超級權(quán)限的管理 82 3口令管理.84 4用戶訪問權(quán)限核查84 第三節(jié)用戶職責(zé).85 1口令的使用85 2無人值守的用戶設(shè)備.86 第四節(jié)網(wǎng)絡(luò)訪問控制 .87 1網(wǎng)絡(luò)服務(wù)使用策略87 2邏輯安全區(qū)域的劃分與隔離.88 3訪問路徑控制.89 4外部連接用戶的驗(yàn)證.89 5網(wǎng)元節(jié)點(diǎn)驗(yàn)證.90 6端口保護(hù).90 7網(wǎng)絡(luò)互聯(lián)控制.91 8網(wǎng)絡(luò)路由控制.91 9網(wǎng)絡(luò)服務(wù)的安全 92 第五節(jié)操作系統(tǒng)的訪問控制.92 1終端自動(dòng)識別.93 http:/ 2終端登錄程序.93 3用戶識別和驗(yàn)證 94 4口令管理系統(tǒng).94 5限制系統(tǒng)工具

8、的使用.95 6強(qiáng)制警報(bào).96 7終端超時(shí)關(guān)閉.96 8連接時(shí)間限制.96 第六節(jié)應(yīng)用訪問控制 .97 1信息訪問限制.97 2隔離敏感應(yīng)用.98 第七節(jié)系統(tǒng)訪問與使用的監(jiān)控 98 1事件記錄.98 2監(jiān)控系統(tǒng)使用情況99 第八節(jié)移動(dòng)與遠(yuǎn)程工作.101 1移動(dòng)辦公.101 2遠(yuǎn)程辦公.102 第六章第六章系統(tǒng)開發(fā)與軟件維護(hù)的安全系統(tǒng)開發(fā)與軟件維護(hù)的安全104 第一節(jié)系統(tǒng)的安全需求.104 第二節(jié)應(yīng)用系統(tǒng)的安全.106 1輸入數(shù)據(jù)驗(yàn)證 .106 2內(nèi)部處理控制 .107 3消息認(rèn)證.108 4輸出數(shù)據(jù)驗(yàn)證 .109 第三節(jié)系統(tǒng)文件的安全.109 1操作系統(tǒng)軟件的控制 .109 2系統(tǒng)測試數(shù)據(jù)的保

9、護(hù) .110 3系統(tǒng)源代碼的訪問控制 111 第四節(jié)開發(fā)和支持過程中的安全112 1變更控制程序 .112 http:/ 2軟件包的變更限制113 3后門及特洛伊代碼的防范114 4軟件開發(fā)外包的安全控制115 第五節(jié)加密技術(shù)控制措施115 1加密技術(shù)使用策略115 2使用加密技術(shù) .116 3數(shù)字簽名.117 4不可否認(rèn)服務(wù) .118 5密鑰管理.118 第七章第七章安全事件響應(yīng)及業(yè)務(wù)連續(xù)性管理安全事件響應(yīng)及業(yè)務(wù)連續(xù)性管理121 第一節(jié)安全事件及安全響應(yīng) .121 1及時(shí)發(fā)現(xiàn)與報(bào)告.122 2分析、協(xié)調(diào)與處理122 3總結(jié)與獎(jiǎng)懲124 第二節(jié)業(yè)務(wù)連續(xù)性管理.124 1建立業(yè)務(wù)連續(xù)性管理程序1

10、24 2業(yè)務(wù)連續(xù)性和影響分析 125 3制定并實(shí)施業(yè)務(wù)連續(xù)性方案.126 4業(yè)務(wù)連續(xù)性方案框架 .127 5維護(hù)業(yè)務(wù)連續(xù)性方案 .129 第八章第八章安全審計(jì)安全審計(jì)131 第一節(jié)遵守法律法規(guī)要求131 1識別適用的法律法規(guī) .131 2保護(hù)知識產(chǎn)權(quán) .132 3保護(hù)個(gè)人信息 .132 4防止網(wǎng)絡(luò)與信息處理設(shè)施的不當(dāng)使用133 5加密技術(shù)控制規(guī)定133 6保護(hù)公司記錄 .134 7收集證據(jù).134 http:/ 第二節(jié)安全審計(jì)的內(nèi)容.135 第三節(jié)安全審計(jì)管理135 1獨(dú)立審計(jì)原則 .136 2控制安全審計(jì)過程136 3保護(hù)審計(jì)記錄和工具 .137 參考文獻(xiàn)參考文獻(xiàn) 138 術(shù)語和專有名詞術(shù)語

11、和專有名詞139 附錄附錄 1：安全體系第二層項(xiàng)目清單（列表）：安全體系第二層項(xiàng)目清單（列表）.140 http:/ 總則總則 1網(wǎng)絡(luò)與信息安全的基本概念網(wǎng)絡(luò)與信息安全的基本概念 網(wǎng)絡(luò)與信息安全包括下列三個(gè)基本屬性： 機(jī)密性（Confidentiality）：確保網(wǎng)絡(luò)設(shè)施和信息資源只允許被授權(quán) 人員訪問。根據(jù)信息的重要性和保密要求，可以分為不同密級，并具 有時(shí)效性。 完整性（Integrity）：確保網(wǎng)絡(luò)設(shè)施和信息及其處理的準(zhǔn)確性和完整 性。 可用性（Availability）：確保被授權(quán)用戶能夠在需要時(shí)獲取網(wǎng)絡(luò)與信 息資產(chǎn)。 需要特別指出的是，網(wǎng)絡(luò)安全與信息安全（包括但不限于內(nèi)容安全）是一

12、體的，不可分割的。 2網(wǎng)絡(luò)與信息安全的重要性和普遍性網(wǎng)絡(luò)與信息安全的重要性和普遍性 網(wǎng)絡(luò)與信息都是資產(chǎn)，具有不可或缺的重要價(jià)值。無論對企業(yè)、國家還是 個(gè)人，保證其安全性是十分重要的。 網(wǎng)絡(luò)與信息安全工作是企業(yè)運(yùn)營與發(fā)展的基礎(chǔ)和核心；是保證網(wǎng)絡(luò)品質(zhì)的 基礎(chǔ)；是保障客戶利益的基礎(chǔ)。中國移動(dòng)的網(wǎng)絡(luò)與信息安全也是國家安全的需 要。 網(wǎng)絡(luò)與信息安全工作無所不在，分散在每一個(gè)部門，每一個(gè)崗位，甚至是 每一個(gè)合作伙伴；同時(shí)，網(wǎng)絡(luò)與信息安全是中國移動(dòng)所有員工共同分擔(dān)的責(zé)任， 與每一個(gè)員工每一天的日常工作息息相關(guān)。中國移動(dòng)所有員工必須統(tǒng)一思想， 提高認(rèn)識，高度重視，從自己開始，堅(jiān)持不懈地做好網(wǎng)絡(luò)與信息安全工作。

13、 http:/ 3中國移動(dòng)網(wǎng)絡(luò)與信息安全體系與安全策略中國移動(dòng)網(wǎng)絡(luò)與信息安全體系與安全策略 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 N I SS、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 、 中國移動(dòng)網(wǎng)絡(luò)與信息安全體系如上圖所示。 中國移動(dòng)網(wǎng)絡(luò)與信

14、息安全體系是由兩部分組成的。一部分是一系列安全策 略和技術(shù)管理規(guī)范（第一、二層），另一部分是實(shí)施層面的工作流程（第三層） 。 網(wǎng)絡(luò)與信息安全體系（NISS）總綱（以下簡稱總綱）位于安全體系的第一 層，是整個(gè)安全體系的最高綱領(lǐng)。它主要闡述安全的必要性、基本原則及宏觀 策略。總綱具有高度的概括性，涵蓋了技術(shù)和管理兩個(gè)方面，對中國移動(dòng)各方 面的安全工作具有通用性。 安全體系的第二層是一系列的技術(shù)規(guī)范和管理規(guī)定，是對總綱的分解和進(jìn) 一步闡述，側(cè)重于共性問題、操作實(shí)施和管理考核，提出具體的要求，對安全 工作具有實(shí)際的指導(dǎo)作用。 安全體系的第三層是操作層面，它根據(jù)第一層和第二層的要求，結(jié)合具體 的網(wǎng)絡(luò)和應(yīng)

15、用環(huán)境，制訂具體實(shí)施的細(xì)則、流程等，具備最直觀的可操作性。 安全體系也包含了實(shí)施層面的工作流程，結(jié)合三層安全策略，進(jìn)行具體實(shí) 施和檢查考核，同時(shí)遵循動(dòng)態(tài)管理和閉環(huán)管理的原則，通過定期的評估不斷修 改完善。 http:/ 安全策略是在公司內(nèi)部，指導(dǎo)如何對網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行管理、保護(hù)和分 配的規(guī)則和指示。中國移動(dòng)必須制訂并實(shí)施統(tǒng)一的網(wǎng)絡(luò)與信息安全策略，明確 安全管理的方向、目標(biāo)和范圍。安全策略必須得到管理層的批準(zhǔn)和支持。安全 策略應(yīng)被定期評審和修訂，以確保其持續(xù)適宜性，特別是在組織結(jié)構(gòu)或技術(shù)基 礎(chǔ)改變、出現(xiàn)新的漏洞和威脅、發(fā)生重大安全事件時(shí)。 中國移動(dòng)的安全策略是由安全體系三個(gè)層面的多個(gè)子策略組成

16、的，具有分 層結(jié)構(gòu)的完整體系，包含了從宏觀到微觀，從原則方向到具體措施等多方面的 內(nèi)容。安全策略用來指導(dǎo)全網(wǎng)的網(wǎng)絡(luò)與信息安全工作。 4安全需求的來源安全需求的來源 確立安全需求是建立完整的安全體系的首要工作。中國移動(dòng)的安全需求主 要源自下述三個(gè)方面： 系統(tǒng)化的安全評估。結(jié)合經(jīng)驗(yàn)教訓(xùn)和技術(shù)發(fā)展，通過安全評估分析公 司網(wǎng)絡(luò)和信息資產(chǎn)所面臨的威脅，存在的薄弱點(diǎn)和安全事件發(fā)生的可 能性，并估計(jì)可能對公司造成的各種直接的和潛在的影響。 中國移動(dòng)及其合作伙伴、承包商、服務(wù)提供商必需遵守的法律法規(guī)、 行政條例和合同約束，以及公司對客戶的服務(wù)承諾。 公司運(yùn)營管理的目標(biāo)與策略。 下圖說明了安全需求、風(fēng)險(xiǎn)評估和安

17、全措施三者的關(guān)系。 http:/ 風(fēng)險(xiǎn)評估安全措施 安全需求 法律合同 服務(wù)承諾 運(yùn)營管理 目標(biāo)策略 5安全風(fēng)險(xiǎn)的評估安全風(fēng)險(xiǎn)的評估 安全風(fēng)險(xiǎn)評估可以應(yīng)用于整個(gè)公司或某些部分，也可應(yīng)用于單個(gè)網(wǎng)絡(luò)信息 系統(tǒng)、特定系統(tǒng)組件或服務(wù)。 安全風(fēng)險(xiǎn)評估應(yīng)著重于： 安全事件可能對中國移動(dòng)造成的損失，以及所產(chǎn)生的直接和潛在的影 響。 綜合考慮所有風(fēng)險(xiǎn)，以及目前已實(shí)施的控制措施，判斷此類安全事件 發(fā)生的實(shí)際可能性。 從安全角度，對公司現(xiàn)有的管理制度和流程本身的合理性與完備程度 進(jìn)行評估。 安全風(fēng)險(xiǎn)評估應(yīng)本著可行、實(shí)際和有效的原則，通過標(biāo)準(zhǔn)統(tǒng)一的評估程序 和方法，量化安全風(fēng)險(xiǎn)，確定安全風(fēng)險(xiǎn)的危險(xiǎn)級別，從而采取合理

18、措施防范或 降低安全風(fēng)險(xiǎn)。 http:/ 需要特別指出的是：為適應(yīng)業(yè)務(wù)發(fā)展的變化，應(yīng)對新出現(xiàn)的威脅和漏洞， 評估現(xiàn)有控制措施的有效性及合理性，必須周期性地進(jìn)行安全風(fēng)險(xiǎn)評估并調(diào)整 控制措施，且應(yīng)在不同的層面進(jìn)行，為高風(fēng)險(xiǎn)領(lǐng)域優(yōu)先分配資金、人力等資源。 6安全措施的選擇原則安全措施的選擇原則 有效性。安全措施的實(shí)施必須能夠確保風(fēng)險(xiǎn)被降低到可以接受的水平， 達(dá)到期望的安全目標(biāo)。 可行性。安全措施必須在技術(shù)上是可操作的，可以實(shí)現(xiàn)的。某些安全 措施不具備通用性，需要因地制宜的考慮具體實(shí)施環(huán)境。 實(shí)際性。應(yīng)從管理、財(cái)務(wù)等非技術(shù)因素詳細(xì)分析待實(shí)施的安全措施， 綜合比較實(shí)施成本與由此減少的潛在損失，非經(jīng)濟(jì)因素

19、也應(yīng)考慮在內(nèi)。 公司應(yīng)在遵循以上原則的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)與信息資產(chǎn)面臨風(fēng)險(xiǎn)的大小， 區(qū)分輕重緩急，實(shí)施相應(yīng)的安全控制措施。 7安全工作的起點(diǎn)安全工作的起點(diǎn) 根據(jù)一般性規(guī)律和業(yè)界的實(shí)際經(jīng)驗(yàn)，網(wǎng)絡(luò)與信息安全工作的開展可以從以 下幾個(gè)方面著手： 法律方面：數(shù)據(jù)保護(hù)以及個(gè)人隱私保護(hù)、公司記錄保護(hù)和知識產(chǎn)權(quán)保 護(hù)等。 業(yè)界慣例：安全策略制訂、安全職責(zé)劃分、安全教育與培訓(xùn)、安全事 件響應(yīng)和業(yè)務(wù)連續(xù)性管理等。 需要指出的是，上述內(nèi)容不能取代根據(jù)安全風(fēng)險(xiǎn)評估選擇控制措施的基本 原則。任何控制措施的選取都應(yīng)當(dāng)依據(jù)實(shí)際面臨的具體風(fēng)險(xiǎn)來確定。 http:/ 8關(guān)鍵性的成功因素關(guān)鍵性的成功因素 為了確保網(wǎng)絡(luò)與信息安全工

20、作的順利實(shí)施，下列因素至關(guān)重要： 公司管理層的高度重視、明確支持和承諾； 安全工作組織與人員的落實(shí)； 安全策略、目標(biāo)和措施應(yīng)與公司經(jīng)營目標(biāo)一致； 安全工作的具體實(shí)施必須同公司的企業(yè)文化相兼容； 深刻理解安全需求、風(fēng)險(xiǎn)評估及風(fēng)險(xiǎn)管理； 在全體員工中建立網(wǎng)絡(luò)與信息安全無處不在的安全理念； 建立全面、均衡、可行的評估、考核體系，以衡量網(wǎng)絡(luò)與信息安全管 理工作的水平； 向所有員工和第三方（ 包括承包商、合作伙伴、客戶等）分發(fā)網(wǎng)絡(luò)與 信息安全指南，并提供相應(yīng)的培訓(xùn)和教育。 9安全標(biāo)準(zhǔn)綜述安全標(biāo)準(zhǔn)綜述 本標(biāo)準(zhǔn)依據(jù)國際規(guī)范，參考業(yè)界的成熟經(jīng)驗(yàn)，結(jié)合中國移動(dòng)的實(shí)際情況， 制定并描述了網(wǎng)絡(luò)與信息安全管理必須遵守

21、的基本原則和要求，將安全工作要 點(diǎn)歸結(jié)到以下八個(gè)方面： 組織與人員組織與人員 集團(tuán)公司和各省公司必須建立公司級別的網(wǎng)絡(luò)與信息安全常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu)， 全面負(fù)責(zé)公司的網(wǎng)絡(luò)與信息安全工作。安全領(lǐng)導(dǎo)機(jī)構(gòu)必須明確劃分安全職責(zé)并 建立內(nèi)部協(xié)調(diào)機(jī)制。公司必須設(shè)立專職安全隊(duì)伍，建立安全事件響應(yīng)流程和聯(lián) 絡(luò)人制度。公司應(yīng)與外部安全專家和其他相關(guān)組織加強(qiáng)溝通與協(xié)作。 中國移動(dòng)的所有崗位職責(zé)中必須包含安全內(nèi)容，并盡量實(shí)現(xiàn)職責(zé)分隔。公 司應(yīng)實(shí)施人員考察制度。公司的所有員工及使用中國移動(dòng)網(wǎng)絡(luò)與信息資產(chǎn)的其 http:/ 他組織人員都應(yīng)當(dāng)簽署保密協(xié)議。中國移動(dòng)的所有員工都應(yīng)當(dāng)接受網(wǎng)絡(luò)與信息 安全培訓(xùn)。 第三方訪問和外包服務(wù)必

22、須受到控制，應(yīng)事先進(jìn)行風(fēng)險(xiǎn)評估，分析安全影 響并制訂相應(yīng)措施。同第三方和外包服務(wù)機(jī)構(gòu)簽訂的合同中應(yīng)包含雙方認(rèn)可的 安全條款。 公司應(yīng)與客戶簽署相關(guān)協(xié)議，明確雙方在網(wǎng)絡(luò)與信息安全方面的權(quán)利與義 務(wù)及違約責(zé)任，保障客戶與公司雙方的利益。 網(wǎng)絡(luò)與信息資產(chǎn)管理網(wǎng)絡(luò)與信息資產(chǎn)管理 公司必須建立詳細(xì)準(zhǔn)確的網(wǎng)絡(luò)與信息資產(chǎn)清單和嚴(yán)格的資產(chǎn)責(zé)任制度。每 一項(xiàng)資產(chǎn)都應(yīng)當(dāng)指定“責(zé)任人”，分配其相應(yīng)的安全管理職權(quán)，并由其承擔(dān)相應(yīng) 的安全責(zé)任?！柏?zé)任人”可以將具體的工作職責(zé)委派給“維護(hù)人”，但“責(zé)任人”仍 必須承擔(dān)資產(chǎn)安全的最終責(zé)任。 根據(jù)網(wǎng)絡(luò)與信息資產(chǎn)的敏感度和重要性，必須對其進(jìn)行分類和標(biāo)注，并采 取相應(yīng)的管理措施。

23、 物理與環(huán)境安全物理與環(huán)境安全 公司的關(guān)鍵或敏感的網(wǎng)絡(luò)與信息處理設(shè)施應(yīng)被放置在安全區(qū)域內(nèi)，由指定 的安全邊界予以保護(hù)。根據(jù)不同的安全需求等級，公司應(yīng)劃分不同的安全區(qū)域， 例如：機(jī)房、辦公區(qū)和第三方接入?yún)^(qū)。針對不同的安全區(qū)域，公司應(yīng)采取不同 等級的安全防護(hù)和訪問控制措施，阻止非法訪問、破壞和干擾。工程施工期間 也應(yīng)遵守相關(guān)規(guī)定，加強(qiáng)安全區(qū)域的保護(hù)。 公司必須制定清理辦公環(huán)境及合理使用計(jì)算機(jī)設(shè)備的規(guī)定。網(wǎng)絡(luò)與信息處 理設(shè)施的處置與轉(zhuǎn)移應(yīng)遵守相應(yīng)的安全要求。 通信與運(yùn)營管理安全通信與運(yùn)營管理安全 公司應(yīng)建立網(wǎng)絡(luò)與信息處理設(shè)施的管理和操作的職責(zé)及流程，并盡可能地 實(shí)現(xiàn)職責(zé)分離。開發(fā)、調(diào)測和運(yùn)營環(huán)境應(yīng)保

24、持相對隔離。 http:/ 公司應(yīng)做好系統(tǒng)容量的監(jiān)視和規(guī)劃。配套安全系統(tǒng)應(yīng)與業(yè)務(wù)系統(tǒng)“同步規(guī)劃、 同步建設(shè)、同步運(yùn)行”。新建或擴(kuò)容系統(tǒng)的審批應(yīng)包含安全內(nèi)容，并在交付使用 前做好測試和驗(yàn)收工作。涉及安全方面的審批工作應(yīng)由安全機(jī)構(gòu)人員負(fù)責(zé)。 公司應(yīng)加強(qiáng)防范意識，采取有效措施，預(yù)防和控制惡意軟件。 公司應(yīng)采取相應(yīng)技術(shù)手段，確保時(shí)鐘和時(shí)間同步。 公司應(yīng)建立嚴(yán)格的軟件管理制度，及時(shí)加載安全補(bǔ)丁，定期進(jìn)行系統(tǒng)安全 漏洞評估，并執(zhí)行系統(tǒng)加固解決方案。 公司應(yīng)當(dāng)制定備份制度，執(zhí)行備份策略，并定期演練數(shù)據(jù)恢復(fù)過程。記錄 操作和故障日志。 公司必須采取多種控制措施，保護(hù)網(wǎng)絡(luò)設(shè)備及其上信息的安全，尤其是網(wǎng) 絡(luò)邊界和

25、與公共網(wǎng)絡(luò)交換的信息?？刹扇〉目刂拼胧┤纾涸L問控制技術(shù)、加密 技術(shù)、網(wǎng)管技術(shù)、安全設(shè)備、安全協(xié)議等。 公司應(yīng)制定信息存儲介質(zhì)的管理制度和處置流程。應(yīng)特別加強(qiáng)對可移動(dòng)存 儲介質(zhì)和系統(tǒng)文檔的管理。 公司在與其他組織交換信息和軟件時(shí)，應(yīng)遵從相應(yīng)的法律或合同規(guī)定，采 取必要的控制措施。公司應(yīng)制定相應(yīng)的程序和標(biāo)準(zhǔn)，以保護(hù)傳送過程中的信息 和媒介安全，尤其要考慮電子商務(wù)、電子郵件等應(yīng)用的安全控制需求。公司還 應(yīng)制定信息發(fā)布管理規(guī)定。 訪問控制訪問控制 公司應(yīng)基于業(yè)務(wù)和安全需求，制定訪問控制策略，并明確用戶職責(zé)，加強(qiáng) 用戶訪問控制管理。公司應(yīng)加強(qiáng)對移動(dòng)辦公和遠(yuǎn)程辦公的管理。 公司應(yīng)加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)、

26、應(yīng)用系統(tǒng)的訪問控制，如在公司網(wǎng)絡(luò) 邊界設(shè)置合適的接口，采取有效的用戶和設(shè)備驗(yàn)證機(jī)制，控制用戶訪問，隔離 敏感信息。同時(shí)應(yīng)監(jiān)控對系統(tǒng)的訪問和使用，記錄并審查事件日志。 開發(fā)與維護(hù)開發(fā)與維護(hù) http:/ 新系統(tǒng)的開發(fā)，包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、支撐系統(tǒng)，必須遵循系統(tǒng)安全生命周 期管理流程。在開發(fā)新系統(tǒng)之前，應(yīng)確認(rèn)安全需求。在設(shè)計(jì)中應(yīng)采用合適的控 制措施、審計(jì)跟蹤記錄和活動(dòng)日志，包括輸入數(shù)據(jù)、內(nèi)部處理和輸出數(shù)據(jù)的驗(yàn) 證。應(yīng)用系統(tǒng)不應(yīng)在程序或進(jìn)程中固化賬戶和口令，系統(tǒng)應(yīng)具備對口令猜測的 防范機(jī)制和監(jiān)控手段。 公司應(yīng)通過風(fēng)險(xiǎn)評估來確定加密策略，基于統(tǒng)一的標(biāo)準(zhǔn)和程序建立加密管 理規(guī)范。 在系統(tǒng)開發(fā)及維護(hù)過程中，

27、應(yīng)嚴(yán)格執(zhí)行系統(tǒng)開發(fā)流程管理，包括對開發(fā)、 測試和生產(chǎn)環(huán)境的變更控制，以保證系統(tǒng)軟硬件和數(shù)據(jù)的安全。 安全事件響應(yīng)與業(yè)務(wù)連續(xù)性安全事件響應(yīng)與業(yè)務(wù)連續(xù)性 公司必須貫徹“積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速反應(yīng)與確?；謴?fù)”的方針，建立 安全事件響應(yīng)流程和獎(jiǎng)懲機(jī)制。如有必要，應(yīng)盡快收集相關(guān)證據(jù)。 公司應(yīng)實(shí)施業(yè)務(wù)連續(xù)性管理，通過分析安全事件對業(yè)務(wù)系統(tǒng)的影響，制定 并實(shí)施應(yīng)急方案，并定期更新、維護(hù)和測試。 安全審計(jì)安全審計(jì) 網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理必須遵從國家法律、信息產(chǎn)業(yè) 部相關(guān)管理?xiàng)l例以及合同規(guī)定的安全要求。 安全審計(jì)應(yīng)遵循獨(dú)立原則，定期檢查網(wǎng)絡(luò)與信息系統(tǒng)安全，檢驗(yàn)安全政策 和技術(shù)規(guī)范的執(zhí)行情況。應(yīng)

28、采取有效的控制措施保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)及審計(jì)工 具，使安全審計(jì)的效果最大化，影響最小化。 10適用范圍適用范圍 本標(biāo)準(zhǔn)適用于中國移動(dòng)的所有網(wǎng)絡(luò)與信息系統(tǒng)（包括但不限于業(yè)務(wù)網(wǎng)絡(luò)、 支撐網(wǎng)絡(luò)），及組織和人員。 本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)歸中國移動(dòng)通信集團(tuán)公司。 http:/ 第一章第一章 組織與人員組織與人員 第一節(jié)第一節(jié) 組織機(jī)構(gòu)組織機(jī)構(gòu) 安全工作“三分靠技術(shù)，七分靠管理”，建立有效的組織機(jī)構(gòu)是安全管理的 基礎(chǔ)。不健全的安全管理機(jī)制是網(wǎng)絡(luò)與信息安全最大的薄弱點(diǎn)。 1領(lǐng)導(dǎo)領(lǐng)導(dǎo)機(jī)構(gòu)機(jī)構(gòu) 集團(tuán)公司和各省公司必須建立公司級別的網(wǎng)絡(luò)與信息安全常設(shè)領(lǐng)導(dǎo)機(jī)構(gòu)， 全面負(fù)責(zé)公司的網(wǎng)絡(luò)與信息安全工作。該機(jī)構(gòu)應(yīng)由公司級別主

29、管領(lǐng)導(dǎo)負(fù)責(zé)，各 相關(guān)部門領(lǐng)導(dǎo)組成。 安全領(lǐng)導(dǎo)機(jī)構(gòu)應(yīng)為公司的安全管理指明清晰的方向，并提供強(qiáng)有力的管理 層支持。安全領(lǐng)導(dǎo)機(jī)構(gòu)應(yīng)通過合理的承諾和充分的資源配置，來推進(jìn)整個(gè)公司 的網(wǎng)絡(luò)與信息安全工作。 集團(tuán)公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組是中國移動(dòng)網(wǎng)絡(luò)與信息安全管理的最高 決策機(jī)構(gòu)。 安全領(lǐng)導(dǎo)機(jī)構(gòu)承擔(dān)以下責(zé)任： a) 審查并批準(zhǔn)公司的網(wǎng)絡(luò)與信息安全策略； b) 分配安全管理總體職責(zé)； c) 在網(wǎng)絡(luò)與信息資產(chǎn)暴露于重大威脅時(shí)，監(jiān)督控制可能發(fā)生的重大變化； d) 對安全管理的重大更改事項(xiàng)（例如：組織機(jī)構(gòu)調(diào)整、關(guān)鍵人事變動(dòng)、信 息系統(tǒng)更改等）進(jìn)行決策； e) 指揮、協(xié)調(diào)、督促并審查重大安全事件的處理。 2工作組

30、織工作組織 公司各部門應(yīng)建立專職或兼職的安全隊(duì)伍，從事具體的安全工作。安全工 作需要多個(gè)部門的共同參與，為迅速解決工作中出現(xiàn)的問題，防止相互推諉， 提高工作效率，公司必須建立跨部門的協(xié)調(diào)機(jī)制。具體協(xié)調(diào)機(jī)構(gòu)應(yīng)由各部門從 http:/ 事安全工作的相關(guān)人員組成，并明確牽頭部門或人員。條件成熟時(shí)，應(yīng)成立獨(dú) 立的安全工作組織。 集團(tuán)公司網(wǎng)絡(luò)與信息安全辦公室是中國移動(dòng)網(wǎng)絡(luò)與信息安全工作的具體組 織機(jī)構(gòu)。 工作組織承擔(dān)以下責(zé)任： a) 制定相關(guān)的安全崗位及職責(zé)； b) 制定并落實(shí)相關(guān)安全管理制度； c) 制定并落實(shí)安全保護(hù)方案； d) 審批新系統(tǒng)或服務(wù)的規(guī)劃和設(shè)計(jì)中的安全部分，并監(jiān)督其實(shí)施落實(shí)； e) 審

31、批業(yè)務(wù)連續(xù)性方案； f) 牽頭處理網(wǎng)絡(luò)與信息安全事件； g) 組織安全評估和安全審計(jì)工作； h) 輔助領(lǐng)導(dǎo)機(jī)構(gòu)進(jìn)行安全方面的決策； i) 完成部門間的協(xié)調(diào)工作，分派并落實(shí)某項(xiàng)具體工作中各部門的職責(zé)； j) 獲取和發(fā)布安全信息； k) 完成領(lǐng)導(dǎo)機(jī)構(gòu)下達(dá)的各項(xiàng)任務(wù)。 3安全職責(zé)的分配安全職責(zé)的分配 為明確安全責(zé)任，劃分（界定）安全管理與具體執(zhí)行之間的工作職責(zé)，公 司必須建立安全責(zé)任制度。 安全責(zé)任分配的基本原則是“誰主管，誰負(fù)責(zé)”。公司擁有的每項(xiàng)網(wǎng)絡(luò)與信 息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定“責(zé)任人”?！柏?zé)任人”對資產(chǎn)安全保護(hù)負(fù)有完全 責(zé)任?！柏?zé)任人”可以是個(gè)人或部門，但“責(zé)任人”是部門時(shí)，應(yīng)由該部門領(lǐng)導(dǎo)

32、實(shí) 際負(fù)責(zé)。 http:/ “責(zé)任人”可以將具體的執(zhí)行工作委派給“維護(hù)人”，但“責(zé)任人”仍然必須承 擔(dān)資產(chǎn)安全的最終責(zé)任。因此“責(zé)任人”應(yīng)明確規(guī)定“維護(hù)人”的工作職責(zé)，并定 期檢查“維護(hù)人”是否正確履行了安全職責(zé)。“維護(hù)人”可以是個(gè)人或部門，也可 以是外包服務(wù)提供商。當(dāng)“維護(hù)人”是部門時(shí)，應(yīng)由該部門領(lǐng)導(dǎo)實(shí)際負(fù)責(zé)。 安全工作人員的職責(zé)是指導(dǎo)、監(jiān)督、管理、考核“責(zé)任人”的安全工作，不 能替代“責(zé)任人”對具體網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行安全保護(hù)。 在資產(chǎn)的安全保護(hù)工作中，應(yīng)重點(diǎn)關(guān)注以下內(nèi)容： a) 應(yīng)清楚地說明每個(gè)獨(dú)立的網(wǎng)絡(luò)與信息系統(tǒng)所包含的各種資產(chǎn)和相應(yīng)的安 全保護(hù)流程。 b) “責(zé)任人”與“維護(hù)人”都應(yīng)明

33、確接受其負(fù)責(zé)的安全職責(zé)和安全保護(hù)流程， 并對該職責(zé)的詳細(xì)內(nèi)容記錄在案。 c) 所有授權(quán)的內(nèi)容和權(quán)限應(yīng)當(dāng)被明確規(guī)定，并記錄在案。 4職責(zé)職責(zé)分散與隔離分散與隔離 職責(zé)分隔（Segregation of Duties）是一種減少偶然或故意行為造成安 全風(fēng)險(xiǎn)的方法。公司應(yīng)分散某些任務(wù)的管理、執(zhí)行及職責(zé)范圍，以減少誤用或 濫用職責(zé)帶來風(fēng)險(xiǎn)的概率。例如關(guān)鍵數(shù)據(jù)修改的審批與制作必須分開。 在無法實(shí)現(xiàn)職責(zé)充分分散的情況下，應(yīng)采取其他補(bǔ)償控制措施并記錄在案。 例如：活動(dòng)監(jiān)控、檢查審計(jì)跟蹤記錄以及管理監(jiān)督等。 為避免串通勾結(jié)等欺詐活動(dòng)，公司應(yīng)盡量隔離相應(yīng)職責(zé)，并增加執(zhí)行和監(jiān) 督人員，以降低串通的可能性。 5安全

34、安全信息的獲取和發(fā)布信息的獲取和發(fā)布 信息技術(shù)的發(fā)展日新月異，安全工作愈發(fā)復(fù)雜和困難。公司必須建立有效 可靠的渠道，獲取安全信息，不斷推進(jìn)安全工作。例如： a) 從內(nèi)部挑選經(jīng)驗(yàn)豐富的安全管理和技術(shù)人員，組成內(nèi)部專家組，制定安 全解決方案，參與安全事件處理，解決實(shí)際安全問題，提供預(yù)防性建議 http:/ 等。為使內(nèi)部專家組的工作更具成效，應(yīng)允許他們直接接觸公司的管理 層。 b) 與設(shè)備提供商、安全服務(wù)商等外部安全專家保持緊密聯(lián)系，聽取他們的 安全建議。 c) 從一些公開的信息渠道獲取安全信息，例如專業(yè)出版物、定期公告等。 中國移動(dòng)權(quán)威的安全信息發(fā)布機(jī)構(gòu)為集團(tuán)公司安全辦公室。集團(tuán)公司負(fù)責(zé) 收集和整

35、理并向各省發(fā)布安全信息；各省負(fù)責(zé)省內(nèi)發(fā)布和信息上報(bào)。 6加強(qiáng)與外部組織之間的加強(qiáng)與外部組織之間的協(xié)作協(xié)作 公司應(yīng)加強(qiáng)與國家安全機(jī)關(guān)、行業(yè)監(jiān)管部門、其他運(yùn)營商和信息服務(wù)提供 商等外部組織的聯(lián)系，并建立協(xié)作流程，以便在出現(xiàn)安全事件時(shí)，盡快獲取信 息、采取措施。 公司在加入安全組織或與其他組織進(jìn)行交流時(shí)，應(yīng)對信息交換予以嚴(yán)格限 制，以確保公司信息的保密性。 7安全安全審計(jì)的獨(dú)立性審計(jì)的獨(dú)立性 安全審計(jì)是從管理和技術(shù)兩個(gè)方面檢查公司的安全策略和控制措施的執(zhí)行 情況，發(fā)現(xiàn)安全隱患的過程。 安全審計(jì)的獨(dú)立性是指審計(jì)方與被審計(jì)方應(yīng)保持相對獨(dú)立，即不能自己審 計(jì)自己的工作，以確保審計(jì)結(jié)果的公正可靠。 安全審計(jì)

36、可由公司內(nèi)部審計(jì)組織，或外聘的專業(yè)審計(jì)機(jī)構(gòu)完成。審計(jì)人員 應(yīng)接受審計(jì)培訓(xùn)，掌握一定的技能和經(jīng)驗(yàn)。當(dāng)采用外聘審計(jì)機(jī)構(gòu)時(shí)，應(yīng)充分考 慮其風(fēng)險(xiǎn)，并采取相應(yīng)的控制措施。 http:/ 第二節(jié)第二節(jié) 崗位職責(zé)與人員考察崗位職責(zé)與人員考察 1崗位職責(zé)中的安全崗位職責(zé)中的安全內(nèi)容內(nèi)容 中國移動(dòng)的崗位描述中都應(yīng)明確包含安全職責(zé)，并形成正式文件記錄在案。 安全描述應(yīng)包括落實(shí)安全政策的常規(guī)職責(zé)和保護(hù)具體資產(chǎn)或執(zhí)行具體安全程序 或活動(dòng)的特定職責(zé)。 公司管理層應(yīng)向所有員工告知其自身的崗位職責(zé)，并監(jiān)督執(zhí)行。 2人員人員考察考察 公司應(yīng)明確員工的雇用條件和考察評價(jià)的方法與程序，減少因雇用不當(dāng)而 產(chǎn)生的安全風(fēng)險(xiǎn)。 人員考察

37、的內(nèi)容應(yīng)包括： a) 來自組織和個(gè)人的品格鑒定； b) 學(xué)歷和履歷的真實(shí)性和完整性； c) 學(xué)術(shù)及專業(yè)資格； d) 身份查驗(yàn)。 在首次聘用、內(nèi)部轉(zhuǎn)崗、職位晉升等情況下，公司應(yīng)進(jìn)行人員考察。需要 特別指出的是：對接觸公司機(jī)密信息或擁有較大權(quán)力的人員，應(yīng)定期重復(fù)進(jìn)行 考察。 考察的對象包括：正式員工、臨時(shí)人員、承包商。需要注意的是：如果使 用中介機(jī)構(gòu)提供的人員，同中介機(jī)構(gòu)簽署的協(xié)議應(yīng)當(dāng)明確規(guī)定中介機(jī)構(gòu)的審查 責(zé)任和通知程序。另外，對新員工和經(jīng)驗(yàn)不足的員工應(yīng)加強(qiáng)指導(dǎo)和管理。 員工的個(gè)人情況變化會影響他們的工作。例如個(gè)人問題或經(jīng)濟(jì)問題、行為 和生活方式的變化、反復(fù)缺席以及明顯的壓力和消沉都有可能導(dǎo)致欺

38、詐、盜竊、 差錯(cuò)或者其他安全問題。管理層應(yīng)關(guān)注此情況，并遵照相關(guān)制度予以處置。 http:/ 3保密協(xié)議保密協(xié)議 公司應(yīng)與所有員工簽訂保密協(xié)議。保密協(xié)議可以作為勞動(dòng)合同條款的一部 分。 保密協(xié)議應(yīng)明確規(guī)定員工承擔(dān)的安全責(zé)任、保密要求和違約責(zé)任。 在雇用合同出現(xiàn)變化時(shí)應(yīng)對保密協(xié)議的內(nèi)容和執(zhí)行情況進(jìn)行審查，特別是 當(dāng)員工離開公司或者合同終止時(shí)。 4勞動(dòng)合同勞動(dòng)合同 勞動(dòng)合同中應(yīng)包含網(wǎng)絡(luò)與信息安全條款，明確規(guī)定員工的安全責(zé)任和違約 罰則。這些責(zé)任可延伸至公司場所以外和正常工作時(shí)間以外。必要時(shí)，這些責(zé) 任應(yīng)在雇用結(jié)束后延續(xù)一段特定的時(shí)間。 5員工培訓(xùn)員工培訓(xùn) 所有員工必須接受安全教育或培訓(xùn)，一般內(nèi)容包

39、括：公司網(wǎng)絡(luò)與信息安全 策略、安全職責(zé)、安全管理規(guī)章制度和法律法規(guī)。不同崗位的員工應(yīng)接受符合 其工作要求的必要的專業(yè)技能培訓(xùn)。 第三節(jié)第三節(jié) 第三方訪問與外包服務(wù)的安全第三方訪問與外包服務(wù)的安全 1第三方訪問的安全第三方訪問的安全 第三方，是指除中國移動(dòng)以外，所有的組織和人員。 1.1 第三方訪問的風(fēng)險(xiǎn)第三方訪問的風(fēng)險(xiǎn) 第三方的訪問類型可分為物理訪問和邏輯訪問，例如進(jìn)入公司機(jī)房、接入 公司信息系統(tǒng)等。 公司應(yīng)審核第三方的訪問需求，進(jìn)行風(fēng)險(xiǎn)分析，確定控制措施。風(fēng)險(xiǎn)分析 時(shí)需要考慮的因素有：訪問類型、信息的價(jià)值、第三方采取的控制措施以及該 訪問對公司造成的潛在影響。 http:/ 需要特別指出的是

40、，應(yīng)加強(qiáng)對第三方臨時(shí)人員現(xiàn)場訪問的管理，清潔人員、 餐飲服務(wù)人員、保安人員、實(shí)習(xí)生、咨詢顧問等人員也不應(yīng)被忽視。 1.2 第三方訪問的控制措施第三方訪問的控制措施 公司應(yīng)采取以下措施，對第三方訪問進(jìn)行控制： a）公司應(yīng)與第三方公司法人簽署保密協(xié)議，并要求其第三方個(gè)人簽署保密 承諾，此項(xiàng)工作應(yīng)在第三方獲得網(wǎng)絡(luò)與信息資產(chǎn)的訪問權(quán)限之前完成。 b）實(shí)行訪問授權(quán)管理，未經(jīng)授權(quán)，第三方不得進(jìn)行任何形式的訪問。 c） 公司應(yīng)加強(qiáng)第三方訪問的過程控制，監(jiān)督其活動(dòng)及操作。 d）公司應(yīng)對第三方人員進(jìn)行適當(dāng)?shù)陌踩麄髋c培訓(xùn)。 e）第三方人員應(yīng)佩帶易于識別的標(biāo)志，并在訪問公司重要場所時(shí)有專人陪 同。 在與第三方簽署

41、合同時(shí)，應(yīng)明確規(guī)定安全要求。如：安全目標(biāo)、保護(hù)對象、 雙方責(zé)任與權(quán)力、服務(wù)種類與級別、事件通報(bào)處理流程、第三方引入分包商的 規(guī)定等。 需要特別指出的是，在相應(yīng)的控制措施未落實(shí)之前，或相關(guān)合同（保密協(xié) 議）尚未簽署之前，第三方不得訪問公司的任何網(wǎng)絡(luò)與信息系統(tǒng)。 2外包服務(wù)的安全外包服務(wù)的安全 當(dāng)公司將網(wǎng)絡(luò)與信息系統(tǒng)的管理職責(zé)全部或部分外包給其他組織時(shí)，如果 控制不當(dāng)，會帶來很大的安全風(fēng)險(xiǎn)。因此，管理層在進(jìn)行外包決策時(shí)，應(yīng)考慮 下列事項(xiàng)： a)必須綜合權(quán)衡外包風(fēng)險(xiǎn)和由外包帶來的成本優(yōu)勢，并根據(jù)公司安全策略 決定何種服務(wù)可以外包。公司應(yīng)明確禁止外包的敏感和關(guān)鍵應(yīng)用。 b)必須獲得設(shè)備責(zé)任人的批準(zhǔn)；

42、c) 對業(yè)務(wù)連續(xù)性的影響； http:/ d) 規(guī)定的安全標(biāo)準(zhǔn)以及用于審計(jì)的程序； e) 有效監(jiān)控和管理所有與外包相關(guān)的安全活動(dòng)所需的特定的職責(zé)和程序； f) 上報(bào)和處理安全事件的責(zé)任和程序； g) 對外包服務(wù)商的資格、素質(zhì)、能力進(jìn)行考核、管理和審計(jì)； 在外包合同中，除了包含第三方合同中提到的安全要素外，還應(yīng)強(qiáng)調(diào)以下 具體內(nèi)容： a) 如何確保參與外包的所有各方（包括分包商）都能夠意識到自己的安全 職責(zé)； b) 如何保證并檢查公司相關(guān)資產(chǎn)（特別是敏感商業(yè)信息）的完整性和機(jī)密 性； c) 如何保證在發(fā)生故障和災(zāi)難時(shí)，服務(wù)與業(yè)務(wù)的連續(xù)性和可用性； d) 為外包設(shè)備提供什么樣的物理安全； e) 審計(jì)

43、權(quán)。 考慮到今后的發(fā)展，外包合同應(yīng)允許在各方約定的安全框架內(nèi)擴(kuò)展安全要 求和流程。 第四節(jié)第四節(jié) 客戶使用業(yè)務(wù)的安全客戶使用業(yè)務(wù)的安全 公司應(yīng)與客戶簽署相關(guān)協(xié)議，明確雙方在網(wǎng)絡(luò)與信息安全方面的權(quán)利、義 務(wù)及違約責(zé)任，保障客戶與公司雙方的利益。如專線用戶、IDC 用戶等。 公司應(yīng)提供必要的安全培訓(xùn)，使客戶意識到網(wǎng)絡(luò)與信息安全威脅及利害關(guān) 系，了解并支持遵守公司的安全策略和控制措施，提高他們的安全意識和防范 能力。 http:/ 第二章第二章 網(wǎng)絡(luò)與信息資產(chǎn)網(wǎng)絡(luò)與信息資產(chǎn)管理管理 第一節(jié)第一節(jié) 網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任制度網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任制度 1資產(chǎn)清單資產(chǎn)清單 公司各部門應(yīng)編制并保留各自責(zé)任范圍內(nèi)的

44、各套網(wǎng)絡(luò)與信息系統(tǒng)的重要資 產(chǎn)清單，明確每件資產(chǎn)的責(zé)任人和安全保護(hù)級別，同時(shí)還應(yīng)當(dāng)確定其當(dāng)前位置。 公司安全工作組織應(yīng)匯總、保留全公司完整的資產(chǎn)清單。 網(wǎng)絡(luò)與信息資產(chǎn)例如： a）實(shí)物資產(chǎn)：計(jì)算機(jī)設(shè)備、數(shù)據(jù)網(wǎng)絡(luò)通信設(shè)備（路由器、交換機(jī)等）；磁 性媒介（磁帶和磁盤等）、其他技術(shù)設(shè)備（電源以及空調(diào)裝置等）等； b）信息資產(chǎn)：技術(shù)文檔、配置數(shù)據(jù)、拓?fù)鋱D等； c）軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件以及開發(fā)工具等； 需要特別指出的是，在確定資產(chǎn)清單中各項(xiàng)資產(chǎn)的安全保護(hù)等級時(shí)，必須 依據(jù)該資產(chǎn)的相對價(jià)值，尤其要根據(jù)該資產(chǎn)所在系統(tǒng)的服務(wù)對象、所處地點(diǎn)、 承載業(yè)務(wù)等方面的不同，分為不同的安全保護(hù)級別，采取不同的安全保

45、護(hù)措施。 2資產(chǎn)責(zé)任制度資產(chǎn)責(zé)任制度 網(wǎng)絡(luò)與信息都是資產(chǎn)，是企業(yè)運(yùn)營與發(fā)展的基礎(chǔ)和核心，具有不可或缺的 重要價(jià)值。中國移動(dòng)必須建立嚴(yán)格的資產(chǎn)責(zé)任制度，以有效保護(hù)網(wǎng)絡(luò)與信息資 產(chǎn)。 資產(chǎn)責(zé)任制度的要點(diǎn)如下： a) 公司必須為網(wǎng)絡(luò)與信息資產(chǎn)建立詳細(xì)清單，并維護(hù)其準(zhǔn)確性與完整性。 具體可以按照網(wǎng)絡(luò)與信息資產(chǎn)所屬系統(tǒng)或所在部門列出，并給出諸如資 產(chǎn)名稱、所處位置、資產(chǎn)責(zé)任人、資產(chǎn)分類及重要性級別等相關(guān)信息。 http:/ b) 公司應(yīng)根據(jù)資產(chǎn)的相對價(jià)值大小來確定其重要性，即根據(jù)資產(chǎn)受威脅所 產(chǎn)生的實(shí)際影響和其本身的價(jià)值來綜合評價(jià)。 c) “誰主管，誰負(fù)責(zé)”。公司擁有的每項(xiàng)網(wǎng)絡(luò)與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸

46、 屬確定“責(zé)任人”，分配其相應(yīng)的安全管理職權(quán)，并由其承擔(dān)相應(yīng)的安全 責(zé)任。資產(chǎn)“責(zé)任人”可以將具體的安全職責(zé)委派給“維護(hù)人”，但“責(zé)任人” 仍須承擔(dān)資產(chǎn)安全的最終責(zé)任。 d) 任何對網(wǎng)絡(luò)與信息資產(chǎn)的變更、訪問必須在獲得資產(chǎn)責(zé)任人的批準(zhǔn)后進(jìn) 行。 e) 維護(hù)人應(yīng)根據(jù)與資產(chǎn)責(zé)任人達(dá)成一致的維護(hù)要求，保證所維護(hù)網(wǎng)絡(luò)與信 息資產(chǎn)的機(jī)密性、完整性和可用性。 f) 定期對網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行清查盤點(diǎn)，確保資產(chǎn)帳物相符和完好無損。 g) 未經(jīng)管理人員批準(zhǔn)，任何人都不得將公司資產(chǎn)用于私人目的,公司有權(quán)對 有意誤用者進(jìn)行紀(jì)律懲戒。 在資產(chǎn)責(zé)任制度中，可對資產(chǎn)責(zé)任人、資產(chǎn)維護(hù)人等的職責(zé)和權(quán)利作如下 細(xì)化： 責(zé)任人的

47、職責(zé)和權(quán)限責(zé)任人的職責(zé)和權(quán)限 網(wǎng)絡(luò)與信息資產(chǎn)的責(zé)任人是指負(fù)責(zé)管理網(wǎng)絡(luò)與信息資產(chǎn)并落實(shí)相應(yīng)安全措 施的個(gè)人或部門。 a) 所有網(wǎng)絡(luò)與信息資產(chǎn)都必須指定責(zé)任人。 b) 責(zé)任人及其領(lǐng)導(dǎo)負(fù)責(zé)進(jìn)行風(fēng)險(xiǎn)分析，根據(jù)信息保密標(biāo)準(zhǔn)分類確定、鑒別 并記錄其所擁有的網(wǎng)絡(luò)與信息資產(chǎn)的安全級別。該級別至少每年評審一 次。 c) 責(zé)任人必須貫徹、落實(shí)恰當(dāng)?shù)陌踩刂拼胧?，確保只有在工作必須的情 況下才能使用相關(guān)資產(chǎn)。 d) 責(zé)任人可以為由其負(fù)責(zé)的資產(chǎn)指派維護(hù)人，或自己擔(dān)當(dāng)此任。 http:/ e) 責(zé)任人可基于工作相關(guān)性分配訪問權(quán)，并與維護(hù)人共同負(fù)責(zé)保證網(wǎng)絡(luò)與 信息資產(chǎn)的可用性。 f) 責(zé)任人必須至少每年審查一次其資產(chǎn)的訪

48、問權(quán)限。評審流程必須記錄在 案，并保留到下一次審查結(jié)束之前。 需要特別指出的是，數(shù)據(jù)責(zé)任人是一種職能角色，負(fù)責(zé)管理控制特定數(shù)據(jù) 的訪問權(quán)限及與安全相關(guān)的問題。數(shù)據(jù)責(zé)任人可以將自己負(fù)責(zé)的數(shù)據(jù)的所有權(quán) 授予其他個(gè)人，但讓與此類權(quán)力決不意味著能夠免除數(shù)據(jù)責(zé)任人對數(shù)據(jù)的責(zé)任。 例如：人事信息數(shù)據(jù)被應(yīng)用系統(tǒng)調(diào)用，提供用戶查詢。數(shù)據(jù)的責(zé)任人是人力資 源部，其他人無權(quán)修改。 維護(hù)人的職責(zé)和權(quán)限維護(hù)人的職責(zé)和權(quán)限 網(wǎng)絡(luò)與信息資產(chǎn)的維護(hù)人是指支持并維護(hù)網(wǎng)絡(luò)與信息資產(chǎn)的人員。 a) 維護(hù)人可以根據(jù)所保管的信息的保密類別來確定相應(yīng)的實(shí)物資產(chǎn)的安全 管理流程，以確保網(wǎng)絡(luò)與信息資產(chǎn)責(zé)任人所要求的機(jī)密性、完整性和可 用性

49、。 b) 責(zé)任人應(yīng)確保適當(dāng)?shù)陌踩胧┑轿?，并可以適度向下委派。如若需要， 可以確定備用聯(lián)絡(luò)人。維護(hù)人必須保留責(zé)任人的名單。 c) 維護(hù)人必須通知責(zé)任人其所應(yīng)承擔(dān)的安全職責(zé)。 d) 未經(jīng)責(zé)任人許可，維護(hù)人不得重新劃分信息的類別。 第二節(jié)第二節(jié) 資產(chǎn)安全等級及相應(yīng)的安全要求資產(chǎn)安全等級及相應(yīng)的安全要求 公司應(yīng)確定網(wǎng)絡(luò)與信息資產(chǎn)的相對價(jià)值和重要性，并明確相應(yīng)的安全保護(hù) 級別。 資產(chǎn)分類時(shí)的注意事項(xiàng)如下： a) 資產(chǎn)責(zé)任人負(fù)責(zé)指定資產(chǎn)級別并定期評審； b) 資產(chǎn)的級別不是一成不變的，而是隨著分類政策的變化而變化的； http:/ c) 必須綜合考慮資產(chǎn)分類方式的利弊，避免過度復(fù)雜的劃分模式導(dǎo)致使用 不

50、便和成本升高。 1信息的安全等級、標(biāo)注及處置信息的安全等級、標(biāo)注及處置 信息能夠以眾多形式存在，如：語音、書面、電子文檔等。不論信息以何 種形式存在，也不論以何種方式被共享或存儲，信息始終應(yīng)當(dāng)?shù)玫酵咨票Ｗo(hù)。 信息具有不同的敏感度和重要性，應(yīng)從其機(jī)密性、完整性和可用性等安全 屬性對其進(jìn)行分級，反映不同的保護(hù)要求、優(yōu)先級和程度。 公司應(yīng)明確規(guī)定信息處于不同載體的標(biāo)注方法。信息的密級必須被明確標(biāo) 注。根據(jù)存儲和輸出方式的不同，可以采用物理標(biāo)簽、電子標(biāo)記等方法。信息 的存儲介質(zhì)必須以物理標(biāo)簽形式標(biāo)明其密級。當(dāng)信息以可視方式輸出（如：打 印、屏幕顯示等）時(shí)，必須以可視的方式顯示其密級。 需要注意的是，其

51、他機(jī)構(gòu)可能對相同或類似的信息分級標(biāo)志作了不同的定 義，在使用中應(yīng)特別注意。 處置是對實(shí)物形式和電子形式的信息資產(chǎn)進(jìn)行以下類型的信息處理活動(dòng)： a) 復(fù)制； b) 存儲； c) 通過郵寄、傳真或電子郵件等方式進(jìn)行傳輸； d) 通過口頭對話方式進(jìn)行傳播，包括電話、語音郵件、應(yīng)答設(shè)備等等； e) 銷毀。 公司應(yīng)明確規(guī)定不同密級的信息，在處置過程中需要采取的相應(yīng)控制和保 護(hù)措施。 中國移動(dòng)的信息分級、標(biāo)注和處置情況見下表。 信息信息 密級密級 說明說明 分級職分級職 責(zé)責(zé) 控制要求控制要求使用說明使用說明 http:/ 使用者：使用者： 所有對此類信息具有合 法業(yè)務(wù)需求的人員。 標(biāo)記：標(biāo)記： 無特殊要

52、求，電子郵件必 須標(biāo)記“中國移動(dòng)一般性商業(yè)信息”。 處置：處置：無特殊預(yù)防措施。 分發(fā)：分發(fā)：采用任何適用的方式。 一般 信息 由公司各 部門創(chuàng)建 擁有、無 需分級的 信息，如： 公司刊物 世紀(jì)虹 、motern et 網(wǎng)頁 創(chuàng)建者防止非法修改 銷毀：銷毀：無特殊要求。 使用者：使用者：任何需要知道的人員。 標(biāo)記：標(biāo)記：在第一頁標(biāo)記“僅供中國移 動(dòng)內(nèi)部使用”。 處置：處置：控制。 分發(fā)：分發(fā)：經(jīng)過批準(zhǔn)的電子郵件或者電 子文件傳輸系統(tǒng)。 內(nèi)部 信息 能夠因己 方的損失 使競爭對 手獲益的 信息，如： 電話簿或 者內(nèi)部備 忘錄 創(chuàng)建者 防止非法修改； 必須建立獨(dú)立 的用戶賬戶 和密 碼； 基于讀寫

53、訪問 的必要性原則予以 批準(zhǔn) 銷毀：銷毀： 所采用的銷毀手段必須確 保相應(yīng)信息不被非中國移動(dòng)員工獲 得。 使用者：使用者：“必須知道”的人員，需要 簽署保密協(xié)議。 標(biāo)記：標(biāo)記：在每一頁都標(biāo)記“中國移動(dòng) 機(jī)密信息”。 處置：處置：專人保管或者鎖閉。 分發(fā)：分發(fā)：經(jīng)過批準(zhǔn)的電子郵件或者具 有訪問控制的電子文件傳輸系統(tǒng)。 機(jī)密 信息 對公司具 有重大價(jià) 值的信息， 如：財(cái)務(wù) 報(bào)表 創(chuàng)建者 的直接 主管 同“內(nèi)部信息”控 制要求 必須創(chuàng)建審計(jì)跟蹤 紀(jì)錄，并保護(hù)、歸 檔至少一年 筆記本電腦、 移動(dòng)硬盤中的秘密 信息必須加密存儲 銷毀：銷毀： 粉碎或者置于安全的文檔 容器內(nèi)。 http:/ 使用者：使用者

54、：“必須知道”的人員，需要 簽署保密協(xié)議；授權(quán)訪問至少由公 司級別的分管領(lǐng)導(dǎo)決定。 標(biāo)記：標(biāo)記：在每一頁標(biāo)記“中國移動(dòng)絕 密信息”。 處置：處置：專人保管或者鎖閉，不得復(fù) 制。 分發(fā)：分發(fā)： 具有訪問控制和加密的安 全的電子系統(tǒng)。 絕密 信息 從本質(zhì)上 講最敏感 的信息 （比如商 業(yè)機(jī)密和 軟硬件設(shè) 計(jì)等等） 部門主 管或更 高級別 人員 同“機(jī)密信息”控 制要求 需要 明文規(guī)定，紀(jì)錄所 有訪問歷史，并加 密存儲 銷毀：銷毀：返回給創(chuàng)建者。 2網(wǎng)絡(luò)信息系統(tǒng)安全等級網(wǎng)絡(luò)信息系統(tǒng)安全等級 根據(jù)網(wǎng)絡(luò)信息系統(tǒng)的安全屬性和服務(wù)對象、所處地點(diǎn)、承載業(yè)務(wù)等不同， 可分為不同安全等級，采取不同的安全措施。實(shí)物

55、、軟件類資產(chǎn)是根據(jù)其所處 網(wǎng)絡(luò)信息系統(tǒng)的不同而具有不同的安全等級，不再對具體資產(chǎn)進(jìn)行分級。 網(wǎng)絡(luò)信息系統(tǒng)的安全等級可按如下原則進(jìn)行分類： a) 從公司客戶的角度來衡量業(yè)務(wù)系統(tǒng)故障所造成的影響。 b) 經(jīng)濟(jì)損失：可以根據(jù)影響營業(yè)收入的程度或者無法滿足財(cái)務(wù)目標(biāo)來評估 業(yè)務(wù)系統(tǒng)的重要性。 c) 法律影響：可以根據(jù)法律、合同、政府的監(jiān)管要求來評估業(yè)務(wù)系統(tǒng)的重 要性。 d) 由于信息資產(chǎn)損失而導(dǎo)致的公司形象受損也應(yīng)被評估。此類損失能夠嚴(yán) 重影響公司的聲譽(yù)和股東的信心。重大損失可能導(dǎo)致整個(gè)公司或者業(yè)務(wù) 部門無法正常運(yùn)轉(zhuǎn)。 根據(jù)以上原則，中國移動(dòng)的業(yè)務(wù)和支撐網(wǎng)絡(luò)可分為關(guān)鍵系統(tǒng)和一般系統(tǒng)兩 個(gè)安全等級。如果實(shí)

56、際情況需要，也可進(jìn)一步細(xì)分。 http:/ 在資產(chǎn)清單中應(yīng)標(biāo)明具體資產(chǎn)歸屬的網(wǎng)絡(luò)信息系統(tǒng)及其安全等級，同時(shí)， 對于實(shí)物資產(chǎn)還應(yīng)在物理實(shí)體上進(jìn)行標(biāo)注。 http:/ 第三章第三章 物理及環(huán)境安全物理及環(huán)境安全 物理與環(huán)境安全是保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)及存儲媒介免受非法的物 理訪問、自然災(zāi)害和環(huán)境危害。 第一節(jié)第一節(jié) 安全區(qū)域安全區(qū)域 安全區(qū)域是需要被保護(hù)的生產(chǎn)和辦公場所，和放置網(wǎng)絡(luò)與信息處理設(shè)施的 物理區(qū)域。例如：辦公室、機(jī)房、營業(yè)廳等。 公司應(yīng)根據(jù)安全評估的結(jié)果，通過建立安全區(qū)域并實(shí)施相應(yīng)的控制措施， 對網(wǎng)絡(luò)與信息處理設(shè)施進(jìn)行全面的物理保護(hù)。 公司應(yīng)根據(jù)不同的安全保護(hù)需要，劃分不同的安全區(qū)域

57、，實(shí)施不同等級的 安全管理。例如：核心生產(chǎn)區(qū)域、內(nèi)部辦公區(qū)域、第三方接入訪問區(qū)域、公共/ 會客區(qū)域等。 需要特別指出的是，工程施工期間也應(yīng)遵守相關(guān)規(guī)定，加強(qiáng)安全區(qū)域的保 護(hù)。 1安全邊界安全邊界 安全區(qū)域的物理保護(hù)可以通過在其周圍設(shè)置若干物理關(guān)卡來實(shí)現(xiàn)。安全邊 界是指那些可以建立這種關(guān)卡的實(shí)物，例如：墻壁、門禁、接待處等。安全邊 界的位置和強(qiáng)度取決于風(fēng)險(xiǎn)評估的結(jié)果。以下是建立安全邊界的指導(dǎo)原則： a) 安全邊界應(yīng)被明確規(guī)定。 b) 安全邊界在物理上應(yīng)該非常堅(jiān)固。 c) 應(yīng)設(shè)立人工接待處或采取其他限制物理出入的措施，控制安全區(qū)域的進(jìn) 出。 d) 訪問安全區(qū)域應(yīng)僅限于經(jīng)過授權(quán)的人員。 e) 必要時(shí)

58、，安全邊界應(yīng)延伸至整個(gè)物理空間，以防止非授權(quán)訪問及環(huán)境污 染（例如火災(zāi)、水災(zāi)等）。 f) 安全邊界上的所有應(yīng)急通道出入口都應(yīng)關(guān)閉，并設(shè)置報(bào)警裝置。 http:/ 2出入控制出入控制 無論內(nèi)部員工還是第三方人員，只有經(jīng)過授權(quán)的人員才可以進(jìn)入安全區(qū)域。 公司應(yīng)實(shí)施以下措施對安全區(qū)域的出入進(jìn)行控制： a) 安全區(qū)域的訪問者應(yīng)辦理出入手續(xù)并接受監(jiān)督或檢查，應(yīng)記錄其進(jìn)入和 離開的日期和時(shí)間。訪問者的訪問目的必須經(jīng)過批準(zhǔn)，并只允許訪問經(jīng) 授權(quán)的目標(biāo)。訪問者應(yīng)被告知該區(qū)域的安全要求及有關(guān)應(yīng)急程序。 b) 重要的安全區(qū)域應(yīng)僅限于授權(quán)人員訪問，并使用身份識別技術(shù)（例如門 禁卡、個(gè)人識別碼等）對所有訪問活動(dòng)進(jìn)行授

59、權(quán)和驗(yàn)證。所有訪問活動(dòng) 的審計(jì)跟蹤記錄應(yīng)被安全地保管。 c) 所有內(nèi)部員工都應(yīng)佩戴明顯的、可視的身份識別證明，并應(yīng)主動(dòng)向那些 無公司員工陪伴的陌生人和未佩戴可視標(biāo)志的人員提出質(zhì)疑。 d) 安全區(qū)域的訪問權(quán)應(yīng)被定期審查和更新。 3物理保護(hù)物理保護(hù) 安全區(qū)域的選擇和設(shè)計(jì)應(yīng)考慮火災(zāi)、洪水、雷擊、爆炸、騷亂及其他形式 的自然或人為災(zāi)害導(dǎo)致的破壞，還應(yīng)考慮相關(guān)的衛(wèi)生、安全條例標(biāo)準(zhǔn)及周邊的 任何安全威脅。 公司應(yīng)實(shí)施以下措施對安全區(qū)域進(jìn)行物理保護(hù)： a) 重要的網(wǎng)絡(luò)與信息處理設(shè)施（例如：通信網(wǎng)設(shè)備、支撐設(shè)備等）應(yīng)置于 公眾無法進(jìn)入的場所。 b) 建筑物應(yīng)不引人注目，并盡量減少其用途的標(biāo)示。建筑物內(nèi)外不應(yīng)設(shè)

60、置 明顯的表明信息處理活動(dòng)的標(biāo)志。 c) 辦公設(shè)備，如復(fù)印機(jī)、傳真機(jī)等，應(yīng)放置在合適的安全區(qū)域內(nèi)，避免無 關(guān)人員接觸，減少信息的泄露。 d) 無人值守時(shí)，門窗都應(yīng)關(guān)閉，底層窗戶應(yīng)考慮設(shè)置外部防護(hù)。 http:/ e) 應(yīng)按照專業(yè)標(biāo)準(zhǔn)安裝并定期測試防盜入侵檢測系統(tǒng)、防火探測警報(bào)系統(tǒng)、 電視監(jiān)視系統(tǒng)等安全設(shè)施。未被使用區(qū)域的告警裝置也應(yīng)開啟。 f) 公司管理的網(wǎng)絡(luò)與信息處理設(shè)施應(yīng)與第三方管理的設(shè)備實(shí)現(xiàn)物理分離。 g) 記錄重要網(wǎng)絡(luò)與信息處理設(shè)施所在位置等信息的通信錄和內(nèi)部電話簿不 應(yīng)被公眾接觸到。 h) 危險(xiǎn)或易燃物品應(yīng)安全存放，與安全區(qū)域保持一定的安全距離。一般情 況下，在安全區(qū)域內(nèi)不得存放大量

61、的、短期內(nèi)不使用的材料和物品。 i) 備用設(shè)備和備份媒介應(yīng)安置在與主場所保持安全距離的區(qū)域內(nèi)，以防主 場所發(fā)生災(zāi)難時(shí)可能造成的破壞。 4安全區(qū)域工作規(guī)章制度安全區(qū)域工作規(guī)章制度 公司應(yīng)制訂安全區(qū)域工作規(guī)章制度，對在安全區(qū)域內(nèi)工作的人員及被授權(quán) 進(jìn)入安全區(qū)域的其他人員加強(qiáng)管理。工作規(guī)章制度應(yīng)考慮不同安全區(qū)域的特點(diǎn)， 可采取以下控制措施： a) 明確基本安全原則； b) 落實(shí)安全區(qū)域內(nèi)資產(chǎn)保護(hù)的責(zé)任； c) 出于安全原因和防止惡意破壞，安全區(qū)域內(nèi)應(yīng)避免不受監(jiān)督的工作； d) 未使用的安全區(qū)域應(yīng)采取物理方式鎖閉，并定期檢查； e) 第三方支持人員應(yīng)僅在需要時(shí)才能進(jìn)入安全區(qū)，使用信息處理設(shè)施。這 種訪

62、問必須經(jīng)過授權(quán)并受到相應(yīng)的限制，同時(shí)應(yīng)接受監(jiān)督； f) 安全區(qū)域內(nèi)，具有不同安全要求的區(qū)域之間需要設(shè)置額外的安全邊界， 以控制物理訪問； g) 除非經(jīng)過授權(quán)，否則不允許使用攝影、攝像、音頻、視頻及其他記錄設(shè) 備； h) 明確緊急情況下的處理措施，例如火災(zāi)等； http:/ i) 工作人員應(yīng)僅在“需要知道”時(shí)才了解安全區(qū)域的存在或者發(fā)生的活動(dòng)。 5送貨、裝卸區(qū)與設(shè)備的隔離送貨、裝卸區(qū)與設(shè)備的隔離 當(dāng)物品被運(yùn)送或卸載到重要安全區(qū)域時(shí)，物品和搬運(yùn)人員都有可能對該區(qū) 域內(nèi)的重要網(wǎng)絡(luò)與信息資產(chǎn)產(chǎn)生威脅。因此，在可行的情況下，公司應(yīng)將送貨、 裝卸區(qū)和網(wǎng)絡(luò)與信息處理設(shè)施隔離，并對物品和搬運(yùn)人員進(jìn)行嚴(yán)格控制。公司 應(yīng)根據(jù)風(fēng)險(xiǎn)評估結(jié)果確定區(qū)域隔離的安全要求，并采取以下控制措施： a) 從建筑物外部進(jìn)入送貨、裝卸區(qū)的人員應(yīng)經(jīng)過授權(quán)和身份確認(rèn)； b) 送貨、裝卸區(qū)的設(shè)計(jì)應(yīng)使搬運(yùn)人員沒有機(jī)會接觸其他區(qū)域； c) 送貨、裝卸區(qū)的外門應(yīng)在內(nèi)門打開時(shí)緊閉； d) 物品從送貨、裝卸區(qū)轉(zhuǎn)移到使用地點(diǎn)前應(yīng)進(jìn)行檢查，防止?jié)撛诘奈ｋU(xiǎn)； e) 進(jìn)出的物品都應(yīng)進(jìn)行登記。 第二節(jié)第二節(jié) 設(shè)備安全設(shè)備安全 保護(hù)網(wǎng)絡(luò)與信息處理設(shè)備是降低數(shù)據(jù)遭受非授權(quán)訪問的風(fēng)險(xiǎn)和保護(hù)數(shù)據(jù)不 受破壞及丟失的必要措施。 1設(shè)備安置