基础信息安全综合管理体系.pdfVIP

TELEcoM ENG |NEER|NG TEcHN|cs AND STANDARD |ZATloN 基础信息安全综合管理体系 侯芳，颜骏，朱东来，孙润涛，孙晶 (中国移动通信集 团北京有限公司，北京 100007) 摘 要‘ 中国移动北京公司根据电信网和互联网安全等级保护工作的思路，结合公司网络运营实际情况，因地制宜， 建立了分阶层、多维度、全周期的网络与信息安全综合管理体系，以此为框架和标准，开展各项基础信息安 全工作，防范重大安全事件的发生。 关键词 信息安全；基础安全；安全体系 中图分类号 TN918 文献标识码 A 文章编号 1008-5599(2011)10—0042-04 中国移动北京公司以电信网和互联网安全等级保护 总体的安全目标。 工作为思路，以 “适度安全原则、标准性原则、可控性 1．2体系自身建设 原则、完备性原则、最小影响原则、保密性原则、三同 应用PDCA方法，以自然年为周期，对安全体系 步原则”为原则，以保护 “机密性、完整性、可用性” 进行周期性闭环管理，保持体系的先进性和完整性，实 为基本点，建立了分阶层、多维度、全周期的网络与信 现体系的持续改进。 息安全综合管理体系。 (1)计划。根据国家相关法律法规和安全要求、根 据中国移动集团公司安全规范和要求，根据公司业务和 1 安全体系简介 网络安全现状和下一步建设的安全需求，补充、完善安 全体系中的流程和要求，设定本年度安全工作 目标，将 1．1体系设计 目标 安全目标落实到各个部门； 体系设计目标是保障公司的网络与信息安全建设能 (2)执行。公司各部门根据已经确定的安全目标， 够依照体系化的发展方向不断进行建设和完善，充分覆 落实工作 ； 盖公司、部门、系统的发展目标、规划和具体的安全控 (3)检查。各维护部门、公司安全职能管理部门根 制措施。 据既定的安全 目标，对要求执行情况进行核查，收集落 体系以公司信息安全现状为基础，设定安全保障的 实效果和存在问题 ； 建设 目标，使公司的信息安全工作与安全 目标相结合， (4)改进。分析存在问题，若体系内容不适用于实 部门的信息安全工作与部门的安全目标相结合，系统的 际的工作情况、体系内容落后于实际情况的发展等，则 信息安全工作与系统的安全 目标相结合，最终实现公司 其结果作为下一年度体系目标改进和更新的重要依据 收稿日期：2011—09—25 42 · 2011年 第10期 · TELECOM ENGINEERING TECHNlCS AND STANDARDIZATION 全风险。 重要手段，是解决问题的重要前提。安全检查分为手段 在系统入网验收时，根据采购书的内容，对系统进 自动巡检和人工智能抽检两种方式，如图2所示，自动 行技术达标验收，确保系统入网时满足技术规范。 与手动有效协同，互相补充，及时准确发现问题，并形 由于系统入网有多种场景，为了对该环节进行严格 成 “闭环管理、螺旋上升”的工作机制。 的把控，验收过程分为4个关键点 ：(1)与现网互联 ： 因需与现网联调等需求而导致新建系统与现网进行连 接 ；(2)设备验收 ：与功能测试等设备验收同期 ；(3) 4A：安全内控利器。把、