课件：中国移动网络与信息安全保障体系.pptVIP

组织与人员 集团公司和各省公司应建立公司级别的网络与信息安全常设领导机构。 设立专职安全队伍，建立安全事件响应流程。 所有岗位职责中必须包含安全内容，并实现职责分隔。 所有员工及使用中国移动网络与信息资产的其他组织人员都应当签署保密协议。 所有员工都应当接受网络与信息安全培训。 对第三方访问需求应严格审核，进行风险分析，并采取相应控制措施。 应与客户签署相关协议，明确双方在网络与信息安全方面的权利、义务及违约责任，保障客户与公司双方的利益。 网络与信息资产管理 网络和信息资产包括实物资产、信息资产和软件资产 。 实物资产：计算机设备、数据网络通信设备（路由器、交换机等）；磁性媒介（磁带和磁盘等）、其他技术设备（电源以及空调装置等）等； 信息资产：技术文档、配置数据、拓扑图等； 软件资产：应用软件、系统软件以及开发工具等； 要求： 对所有网络与信息资产进行登记，形成资产清单。 明确责任人及安全保护级别，建立严格资产责任制度。 “谁主管，谁负责”。 物理及其环境安全体系架构 物理及环境安全 介质安全 设备安全 场地安全 场地安全保障 区域划分 出入控制 工作区办公 物流 人流 设备维护 电源 线缆 设备选址 销毁 使用 存放 介质申请 系统运作管理体系架构 权限管理 转产安全管理 变更管理 问题管理 监控 系统维护管理 系统 人员 设备 系统开发 安全事件响应及业务连续性管理 安全事件响应：建立安全事件报告流程，制定安全预警信息的授权审批发布流程。确保及时、准确地报告安全事件。 业务连续性管理 制定并实施业务连续性管理体系，将风险降至可以接受的水平。 根据业务影响分析和风险评估的结果，制定业务连续性计划与策略。 根据业务连续性计划与策略，制定相应业务连续性方案及框架。 应定期测试、评审和更新业务连续性方案，保障方案的时效性。 定期进行紧急事件响应演练。 安全审计 从管理和技术两个方面定期检查安全策略、控制措施的执行情况，发现安全隐患。 网络与信息系统的设计、操作、使用和管理不仅要遵从公司本身的安全方针，而且要符合国家法律法规、管理条例及合同的要求，以及符合美国萨班斯法案的要求。 安全审计管理：独立审计、最大程度降低对正常运营的影响、审计记录完好保存。 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 角色责任与执行 关键成功因素 网络与信息安全工作必须是高层牵头，领导负责，全员参与，专人管理； 必须全员参与。 建立全面、均衡、可行的评估、考核体系，以衡量网络与信息安全管理工作的水平； 安全工作的具体实施必须同公司的企业文化相兼容； 组织，政策、支援。 NISS的执行 基于中移动网络与信息安全体系总纲，将形成一系列二层的信息安全管理规定。 帐号口令安全管理办法 终端安全管理办法 病毒防制相关规定 信息安全保密相关规定 …… 管理者的责任 责任清晰 各级部门的一把手是本部门信息安全的第一责任人 负责信息安全管理规定在本部门的推行和落实 对本部门人员的违规事件承担领导责任和连带处罚 如何管理 各部门主管首先需要以身作则，带头遵守公司各项信息安全规定 要在部门的各种场合向部门强调和灌输信息安全保密意识 在本部门指定专门的人员负责信息安全工作 在部门内持续不断的进行信息安全宣传、检查 对本部门人员的违规行为应严肃对待，不姑息，不袒护 普通员工的责任 严格遵守和执行公司各类信息安全管理规定和流程制度以及安全方面的有关措施 有义务制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患 如何避免信息安全违规 首先需要每个员工有强烈的安全意识 积极学习公司的各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中 员工的保密义务和责任 保密信息密级 公司商业秘密的密级可视情况分为商密A（绝密级事项），商密B（机密级事项）、商密C（秘密级事项） （一）不准利用工作中的便利条件窃取国家及公司的秘密； （二）不准在工作中泄露国家及公司秘密； （三）不准在私人交往和通信中泄露国家及公司秘密； （四）不准在公共场所议论国家及公司秘密； （五）不准在非保密本上记录国家及公司秘密。 公司员工保密五不准： 信息安全保密相关规定 保密信息的访问和授权原则 工作相关性原则：依据个人工作相关性给个人分配权限。 最小授权原则：将数据的分发限制在最小范围内；访问列表应控制在最小范围，并由应用责任人授权。 审批、受控原则：只有经上级明确授权后才能获得权限，否则在缺省情况下一律禁止。使用唯一用户标识（用户ID），以确保可审查性 《中国移动网络与信息安全总纲》（NISS）已上载至网络学习平台。请登陆学习。 登陆方法： 通