中移动网络与信息安全体系教材.pptVIP

业务连续性计划 根据业务重要程度、优先级制订灾难恢复计划 建立安全事故处理流程 对关键的业务系统要建立异地数据备份 对关键业务系统建立热备份 定期检查备份系统和设备 进行紧急事故响应演练 审计监控体系 监控 信息流 人流、物流 审计 安全策略和控制措施中技术层面的落实情况 对制度、流程合理性和执行情况审计 信息监控 将信息流的出口及关键节点设立为监控点 把监控点上的信息访问、信息流动等记录集中上报到信息安全监控中心 信息安全监控中心集中分析，区分不同性质的行为，分别启动预警、紧急处理、事后追踪处理等程序 由人工“前台”检查转为后台自动监控 人工的审计监控作为集中自动监控的补充 目录 信息安全：企业面临的巨大挑战 中国移动信息安全管理体系介绍 中移动网络与信息安全总纲 角色责任与执行 NISS的执行 基于中移动网络与信息安全体系总纲，将形成一系列二层的信息安全管理规定。 帐号口令安全管理办法 终端安全管理办法 病毒防制相关规定 信息安全保密相关规定 …… 管理者的责任 责任清晰 各级部门的一把手是本部门信息安全的第一责任人 负责信息安全管理规定在本部门的推行和落实 对本部门人员的违规事件承担领导责任和连带处罚 如何管理 各部门主管首先需要以身作则，带头遵守公司各项信息安全规定 要在部门的各种场合向部门强调和灌输信息安全保密意识 在本部门指定专门的人员负责信息安全工作 在部门内持续不断的进行信息安全宣传、检查 对本部门人员的违规行为应严肃对待，不姑息，不袒护 普通员工的责任 严格遵守和执行公司各类信息安全管理规定和流程制度以及安全方面的有关措施 有义务制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患 如何避免信息安全违规 首先需要每个员工有强烈的安全意识 积极学习公司的各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中 信息安全违规的处理原则 根据违规行为的后果、性质以及违规人的主观意愿对违规行为和处罚分级 对违反信息安全管理规定者，如其主管明显管理和指导不力须承担连带责任 对在信息安全管理制度和措施上贯彻、监控不力、权限审核不当，造成安全制度和措施难以落实、部门安全管理工作混乱的部门主管，须承担领导责任 常用信息安全管理规定举例（一） 签署保密协议 进入公司 个人计算机安全管理 网络连接 信息系统使用 外部人员安全管理规定 对外接待管理规定 xx ...... ...... 办公环境安全管理 信息安全保密管理规定 病毒防治管理 离职协议 会议信息安全管理规定 中的帐号和口令标准 病毒防制相关规定 普通用户要求 必须安装公司规定的防毒软件 实时运行，定期查杀 不得安装标准之外的防毒软件 任何个人不得私自发布计算机病毒疫情 收到来历不明的邮件处理方法 EMAIL EMAIL EMAIL EMAIL 这邮件是谁发的？不知是什么东东？管他的，先打开看看。 不要打开，可能有病毒！ 来历不 明邮件 立刻报告 网络安全处 时间 联系方式 经过 损失 地点 安全工作组来统一 处理 报告时请注意以下几方面： 常用信息安全管理规定举例（二） 签署保密协议 进入公司 个人计算机安全管理 网络连接 信息系统使用 外部人员安全管理规定 对外接待管理规定 xx ...... ...... 办公环境安全管理 信息安全保密管理规定 病毒防治管理 离职协议 会议信息安全管理规定 中的帐号和口令标准 信息资产分类与控制 保密信息密级 保密信息根据其内容、价值、敏感程度不同，划分为绝密、机密、秘密、内部公开四个级别 “绝密”信息：是指包含公司最重要和最敏感的信息，关系公司未来发展的前途命运，对公司根本利益有着决定性影响的信息 “机密”信息：是指包含公司的重要秘密，其泄露会使公司的安全和利益遭受严重损害的保密信息 “秘密”信息：是指包含公司一般性信息，其泄露会使公司的安全和利益受到损害的保密信息 “内部公开”信息：是指仅在公司内部或在公司某一部门内部公开，向外扩散有可能对公司的利益造成损害的保密信息 什么样的文件是绝密、机密、秘密和内部公开? 信息安全保密相关规定 保密信息的访问和授权原则 工作相关性原则 最小授权原则 审批、受控原则 关键成功因素 网络与信息安全工作必须是高层牵头，领导负责，全员参与，专人管理； 必须全员参与。 建立全面、均衡、可行的评估、考核体系，以衡量网络与信息安全管理工作的水平； * * 病毒 便携机 内部网络资源滥用 非法 目标：对涉及公司运营的所有信息资产（对通信网业务系统、 各支撑系统网络、以及市场、财务、研发、人力的各类重要信息）进行保护，保障公司“新跨越战略”实施，保护公司的核心竞争力。 指导思想：以风险管理为核心， 预防为主，技术手段为支撑，