中国移动网络与信息安全保.ppt

系统运作管理体系架构 权限管理 转产安全管理 变更管理 问题管理 监控 系统维护管理 系统 人员 设备 系统开发 安全事件响应及业务连续性管理 安全事件响应：建立安全事件报告流程，制定安全预警信息的授权审批发布流程。确保及时、准确地报告安全事件。 业务连续性管理 制定并实施业务连续性管理体系，将风险降至可以接受的水平。 根据业务影响分析和风险评估的结果，制定业务连续性计划与策略。 根据业务连续性计划与策略，制定相应业务连续性方案及框架。 应定期测试、评审和更新业务连续性方案，保障方案的时效性。 定期进行紧急事件响应演练。 安全审计 从管理和技术两个方面定期检查安全策略、控制措施的执行情况，发现安全隐患。 网络与信息系统的设计、操作、使用和管理不仅要遵从公司本身的安全方针，而且要符合国家法律法规、管理条例及合同的要求，以及符合美国萨班斯法案的要求。 安全审计管理：独立审计、最大程度降低对正常运营的影响、审计记录完好保存。 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 角色责任与执行 关键成功因素 网络与信息安全工作必须是高层牵头，领导负责，全员参与，专人管理； 必须全员参与。 建立全面、均衡、可行的评估、考核体系，以衡量网络与信息安全管理工作的水平； 安全工作的具体实施必须同公司的企业文化相兼容； 组织，政策、支援。 NISS的执行 基于中移动网络与信息安全体系总纲，将形成一系列二层的信息安全管理规定。 帐号口令安全管理办法 终端安全管理办法 病毒防制相关规定 信息安全保密相关规定 …… 管理者的责任 责任清晰 各级部门的一把手是本部门信息安全的第一责任人 负责信息安全管理规定在本部门的推行和落实 对本部门人员的违规事件承担领导责任和连带处罚 如何管理 各部门主管首先需要以身作则，带头遵守公司各项信息安全规定 要在部门的各种场合向部门强调和灌输信息安全保密意识 在本部门指定专门的人员负责信息安全工作 在部门内持续不断的进行信息安全宣传、检查 对本部门人员的违规行为应严肃对待，不姑息，不袒护 普通员工的责任 严格遵守和执行公司各类信息安全管理规定和流程制度以及安全方面的有关措施 有义务制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患 如何避免信息安全违规 首先需要每个员工有强烈的安全意识 积极学习公司的各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中 员工的保密义务和责任 保密信息密级 公司商业秘密的密级可视情况分为商密A（绝密级事项），商密B（机密级事项）、商密C（秘密级事项） （一）不准利用工作中的便利条件窃取国家及公司的秘密； （二）不准在工作中泄露国家及公司秘密； （三）不准在私人交往和通信中泄露国家及公司秘密； （四）不准在公共场所议论国家及公司秘密； （五）不准在非保密本上记录国家及公司秘密。 公司员工保密五不准： 信息安全保密相关规定 保密信息的访问和授权原则 工作相关性原则：依据个人工作相关性给个人分配权限。 最小授权原则：将数据的分发限制在最小范围内；访问列表应控制在最小范围，并由应用责任人授权。 审批、受控原则：只有经上级明确授权后才能获得权限，否则在缺省情况下一律禁止。使用唯一用户标识（用户ID），以确保可审查性 《中国移动网络与信息安全总纲》（NISS）已上载至网络学习平台。请登陆学习。 登陆方法： 通过OA网络登录：http://edu.gx.cmcc 通过互联网登陆： * 病毒 便携机 内部网络资源滥用 非法 目标：对涉及公司运营的所有信息资产（对通信网业务系统、 各支撑系统网络、以及市场、财务、研发、人力的各类重要信息）进行保护，保障公司“新跨越战略”实施，保护公司的核心竞争力。 指导思想：以风险管理为核心， 预防为主，技术手段为支撑， 围绕信息和信息系统生命周期， 逐步建立由安全组织、管理规定 和技术指南、运行和技术防护手段 构成的具有自主创新能力和拓展能 力的安全体系，保障公司“做世界一 流企业”新跨越战略的实施。 网络与信息安全保障体系 中国移动网络与信息安全保障体系 技术及防 护支撑手段 安全 运行 管理规定 和技术指南 安全 组织架构 制定 执行 支撑 基于 运用 建立 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 安全事件分布 安全事件的损失 安全威胁方的分布 独立黑客：黑客攻击越来越频繁，直接 影响企业正常的业务运作！ 内部员工： 1、信息安全意识薄弱的员工误用、滥用等； 2、越权访问，如：系统管理员，应用管理员越权访问数据； 3