第十章信息安全及风险控制要求-中国移动

中国移动网络与信息安全责任条款
中国移动通用网络与信息安全责任条款
本条款所指的乙方，如无特别说明，专指承担中国移动工程建设项目的集成商或者提供维保服务的厂商
本条款所包含的安全责任如无特别说明，分别适用于设备到货、入场施工、项目验收以及系统运行维护整个过程的各个环节，集成商需要严格执行
向甲方提供维保服务的乙方在服务期间需要遵循条款2规定，如更换设备、升级软件或调整配置，需要遵循条款1、31
1、乙方应保证本工程新增设备符合中国移动《中国移动设备通用安全功能和配置规范》规定的安全配置要求
2、乙方应遵守中国移动相关安全管理规定要求，具体规定如下：
a) 《中国移动安全域管理办法》； b) 《中国移动帐号口令管理办法》；
c) 《中国移动远程接入安全管理办法》； d) 《中国移动网络互联安全管理办法》
3、乙方应保证本工程新增的设备安装操作系统、应用软件已经发布的所有安全补丁，关闭与业务无关端口，无关进程和服务，按照最小化的原则进行授权，并无重大安全漏洞、后门或者感染病毒
4、乙方提供的应用软件中账号所使用的口令应便于在维护中定期修改并已加密方式保存，不可固化在软件里
5、乙方在设备上线前，应参照《中国移动系统安全相关基础信息列表》格式，详细提供本工程新增设备和应用的进程、端口、账号等方面的情况
6、在工程实施期间，甲方有权通过安全扫描软件或者人工评估等手段，对本期工程新增设备和应用软件进行检查，并给出评估结果一旦发现有重大安全漏洞、后门或者病毒感染，由乙方进行立即修补、清除或者采用其他手段消除安全问题对于违反本规定导致的一切问题，由乙方负全部责任
1。

中国移动网络与信息安全总纲精品资料网（）25万份精华管理资料，2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。

未经中国移动通信集团公司书面许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。

随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。

为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。

本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。

本标准目前主要针对互联网、支撑网等IT系统安全。

[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司，以下简称“集团公司”。

各移动通信有限责任公司，以下简称“各省公司”。

前言 (2)目录 (3)总则 (13)1．网络与信息安全的基本概念 (13)2．网络与信息安全的重要性和普遍性 (13)3．中国移动网络与信息安全体系与安全策略 (14)4．安全需求的来源 (16)5．安全风险的评估 (17)6．安全措施的选择原则 (18)7．安全工作的起点 (18)8．关键性的成功因素 (19)9．安全标准综述 (20)10．适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261．领导机构 (26)2．工作组织 (27)3．安全职责的分配 (28)4．职责分散与隔离 (29)5．安全信息的获取和发布 (30)6．加强与外部组织之间的协作 (30)7．安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311．岗位职责中的安全内容 (31)2．人员考察 (32)3．保密协议 (33)4．劳动合同 (33)5．员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341．第三方访问的安全 (34)2．外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381．资产清单 (38)2．资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421．信息的安全等级、标注及处置 (42)2．网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461．安全边界 (46)2．出入控制 (47)3．物理保护 (48)4．安全区域工作规章制度 (49)5．送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511．设备安置及物理保护 (51)2．电源保护 (52)3．线缆安全 (53)4．工作区域外设备的安全 (54)5．设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551．可移动存储媒介的管理 (55)2．存储媒介的处置 (55)3．信息处置程序 (56)4．系统文档的安全 (57)第四节............................................... 通用控制措施581．屏幕与桌面的清理 (58)2．资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601．规范操作细则 (60)2．设备维护 (61)3．变更控制 (62)4．安全事件响应程序 (62)5．开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641．系统规划和设计 (64)2．审批制度 (64)3．系统建设和验收 (65)4．设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701．维护作业计划管理 (70)2．数据与软件备份 (70)3．操作日志 (72)4．日志审核 (72)5．故障管理 (73)6．测试制度 (74)7．日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761．信息与软件交换协议 (76)2．交接过程中的安全 (76)3．电子商务安全 (77)4．电子邮件的安全 (78)5．电子办公系统的安全 (79)6．信息发布的安全 (80)7．其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841．用户注册 (84)2．超级权限的管理 (85)3．口令管理 (87)4．用户访问权限核查 (88)第三节..................................................... 用户职责881．口令的使用 (88)2．无人值守的用户设备 (89)第四节............................................... 网络访问控制901．网络服务使用策略 (91)2．逻辑安全区域的划分与隔离 (91)3．访问路径控制 (92)4．外部连接用户的验证 (93)5．网元节点验证 (93)6．端口保护 (94)7．网络互联控制 (94)8．网络路由控制 (95)9．网络服务的安全 (95)第五节...................................... 操作系统的访问控制951．终端自动识别 (96)2．终端登录程序 (96)3．用户识别和验证 (97)4．口令管理系统 (97)5．限制系统工具的使用 (98)6．强制警报 (99)7．终端超时关闭 (99)8．连接时间限制 (100)第六节............................................... 应用访问控制1001．信息访问限制 (100)2．隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011．事件记录 (102)2．监控系统使用情况 (102)第八节............................................ 移动与远程工作1041．移动办公 (104)2．远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091．输入数据验证 (109)2．内部处理控制 (110)3．消息认证 (111)4．输出数据验证 (112)第三节............................................ 系统文件的安全1121．操作系统软件的控制 (112)2．系统测试数据的保护 (113)3．系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151．变更控制程序 (115)2．软件包的变更限制 (116)3．后门及特洛伊代码的防范 (117)4．软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181．加密技术使用策略 (119)2．使用加密技术 (119)3．数字签名 (120)4．不可否认服务 (121)5．密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241．及时发现与报告 (125)2．分析、协调与处理 (125)3．总结与奖惩 (127)第二节............................................ 业务连续性管理1271．建立业务连续性管理程序 (127)2．业务连续性和影响分析 (128)3．制定并实施业务连续性方案 (129)4．业务连续性方案框架 (130)5．维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341．识别适用的法律法规 (134)2．保护知识产权 (135)3．保护个人信息 (135)4．防止网络与信息处理设施的不当使用 (136)5．加密技术控制规定 (136)6．保护公司记录 (137)7．收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381．独立审计原则 (139)2．控制安全审计过程 (139)3．保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1：安全体系第二层项目清单（列表） (143)总则1．网络与信息安全的基本概念网络与信息安全包括下列三个基本属性：➢机密性（Confidentiality）：确保网络设施和信息资源只允许被授权人员访问。

中国移动营业员培训教材目录第一章学习说明第二章日清月结、保密制度第三章营业员要紧工作内容第四章业务受理实施细那么第五章空中充值业务第六章服务规范第七章品牌与资费一.全球通品牌与资费二.动感地带品牌与资费三.神州行品牌与资费第八章BOSS操作流程及菜单位置第九章专门号码等级标准第十章营业厅检查标准第十一章新业务说明口径第十二章练习题附件：全球通、动感地带和神州行品牌资费明细第一章学习说明一．本培训教材适用于所有合作厅和收费专区新进营业员。

二．第七章品牌与资费中的全球通品牌与资费作为了解部分。

动带地带品牌与神州行品牌需营业员把握。

三．第十一章练习题必须把握，营业员测试部分自练习题中抽选。

四．本培训教材随公司政策和业务的变更随时更换。

第二章日清月结、保密制度〔熟练把握〕一．日清月结制度：（一）日清月结的项目包括资金、各类卡等。

（二）每日各柜台营业涉及的SIM卡、有价卡、备用金、发票、各类统计报表、等，要求班后准确核点，正确填报。

核对无误后方可离岗。

（三）要求建立各类卡的出库、入库帐簿，逐日核对，每月定时进行盘点，做到进、销、存相符。

（四）SIM卡与促销物品应安全治理并做到帐〔卡〕物相符，依据出库单据认真准确填写出入库台帐，及时准确填写月报表；促销物品每日录入物流网站，确保当月出库物品录入的及时准确；专门号码严格按照«专门号码治理规定»执行。

（五）每月使用的发票、各类统计报表等资料月底必须进行盘点，正确统计发票使用情形，各类报表填报要求准确属实。

显现差错由厅主任与相关职员负责。

（六）营业厅营收款必须每天送交银行，银行交款单与每日的营业厅报表相符，营业厅日报表每天于次日统计后打印。

（七）发票一箱3000份，要整箱领取，整箱交回，箱体侧面帖作废章。

按序号放，不能缺页，空白发票。

对已作废发票一二联订一块，要加盖作废章并注明缘故，整箱发票用完后要及时将发票存根连同票据使用情形表完整返回营业厅稽核处；不得乱开、私开发票；关于发票要妥善保管，并视同现金治理。

【最新资料，WORD文档，可编辑修改】第一章总则为在确保中国移动通信有限公司（以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络安全前提下，高效、可控地推动网络与信息系统风险评估工作，依据《电信网和互联网安全防护管理指南》（YD/T 1728-2008）、《电信网和互联网安全风险评估实施指南》（YD/T 1730-2008）等国家政策、行业标准和有限公司相关规定，制定本办法。

本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

本办法自发布之日起实施，各省公司应制定具体实施细则。

第二章适用范围本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求，针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统，如电梯控制系统、门禁系统等发起的各类风险评估。

涉及的部门包括：总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。

第三章评估工作宏观要求风险评估内容及组织方式（一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、管理等方面存在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时有针对性的提出改进措施、技术方案和管理要求。

（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域，如电信业务流程层面，进行风险评估；（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大，可在上报有限公司审批、加强管理的前提下引入第三方评估，并应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。

第一章总则第一条为加强移动公司信息安全管理工作，保障公司信息系统安全稳定运行，维护公司合法权益，根据国家有关法律法规，结合公司实际情况，特制定本制度。

第二条本制度适用于移动公司所有信息系统、网络、数据、设备以及相关人员。

第三条移动公司信息安全管理工作遵循以下原则：1. 预防为主、防治结合；2. 安全可靠、持续改进；3. 责任明确、分工协作；4. 技术与行政相结合。

第二章职责第四条信息安全管理部门职责：1. 负责公司信息安全工作的统筹规划、组织协调和监督实施；2. 制定信息安全管理制度、规范和标准；3. 负责信息安全事件的调查处理和应急响应；4. 组织信息安全培训和宣传。

第五条 IT部门职责：1. 负责公司信息系统的建设、运行和维护；2. 配合信息安全管理部门进行信息安全风险评估和整改；3. 负责信息系统的安全防护措施，确保系统安全稳定运行；4. 定期对信息系统进行安全检查和漏洞修复。

第六条业务部门职责：1. 负责本部门信息系统、数据、设备的安全管理；2. 配合信息安全管理部门进行信息安全培训和宣传；3. 及时报告信息安全事件。

第七条员工职责：1. 遵守国家法律法规和公司信息安全管理制度；2. 保守公司秘密，不泄露公司信息；3. 加强信息安全意识，自觉维护公司信息安全。

第三章信息安全管理制度第八条信息安全风险评估制度1. 定期对公司信息系统进行安全风险评估，发现潜在安全风险；2. 根据风险评估结果，制定相应的安全防护措施。

第九条信息安全事件报告制度1. 员工发现信息安全事件时，应立即报告给信息安全管理部门；2. 信息安全管理部门接到报告后，应立即启动应急预案，进行调查处理。

第十条信息安全培训制度1. 定期组织员工进行信息安全培训，提高员工信息安全意识；2. 员工应积极参加信息安全培训，提高自身信息安全防护能力。

第十一条信息安全保密制度1. 严格保密公司信息，不得泄露给无关人员；2. 对涉及公司商业秘密的信息，实行分级管理，确保信息安全。

中国移动四川公司网络代维管理办法（20XX年版）中国移动通信集团四川有限公司网络部20XX年6月目录第一章总则 (1)第二章代维管理组织机构和职责 (1)第三章代维工作范围及内容 (4)第四章对代维公司的管理 (4)4.1资质管理 (5)4.2合同管理 (5)4.3考核管理 (6)4.4代维公司退出管理 (6)第五章双方职责分工 (7)第六章代维基础管理 (8)第七章代维质量管理 (9)第八章代维服务管理 (10)第九章代维安全生产管理 (10)第十章代维信息保密管理 (11)第十一章代维管理信息化手段建设 (11)第十二章代维工作标杆管理 (12)附件1 代维管理规章架构 (13)附件2 代维项目相关定义 (14)附件3 代维全生命周期管理流程 (16)附件3.1 代维公司退出流程 (17)附件4 代维工作流程-总体流程 (18)附件4.1 故障处理流程 (19)附件4.2 按需工作流程 (20)附件4.3 巡检工作流程 (21)附件4.4 随工工作流程 (22)附件4.5 整改工作流程 (23)附件4.6 异常情况上报处理流程 (24)附件5 网络代维管理标杆分组表 (25)附件6 代维公司退出办法及应急预案 (25)附件7中国移动通信集团四川有限公司网络维修物料管理办法 (27)附件8中国移动通信集团四川有限公司网络代维资料管理办法 (28)附件9中国移动通信集团四川有限公司网络代维费用管理办 (28)第一章总则第一条为适应四川移动网络代维管理工作发展需要，规范网络代维管理，确保中国移动卓越网络品质，依据《中国移动网络代维管理办法》，特制定《中国移动通信集团四川有限公司网络代维管理办法》（以下简称管理办法）。

第二条四川移动网络代维的总体原则是指必须在满足公司对核心运维能力自主掌控，确保高质量、高效率网络运维工作的前提下，遵从“两不三可”原则，即管理不代维、监控不代维，技术含量低的、末端的、需现场维护的工作可代维。

中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司（以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络安全前提下，高效、可控地推动网络与信息系统风险评估工作，依据《电信网和互联网安全防护管理指南》（YD/T 1728-2008）、《电信网和互联网安全风险评估实施指南》（YD/T1730-2008）等国家政策、行业标准和有限公司相关规定，制定本办法。

第二条本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

第三条本办法自发布之日起实施，各省公司应制定具体实施细则。

第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求，针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统，如电梯控制系统、门禁系统等发起的各类风险评估。

第五条涉及的部门包括：总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。

第三章评估工作宏观要求第六条风险评估内容及组织方式1（一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、管理等方面存在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时有针对性的提出改进措施、技术方案和管理要求。

（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域，如电信业务流程层面，进行风险评估；（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大，可在上报有限公司审批、加强管理的前提下引入第三方评估，并应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。

第一章总则第一条为保障移动客户信息安全，防止信息泄露、篡改、破坏，维护客户合法权益，根据《中华人民共和国网络安全法》等相关法律法规，结合我司实际情况，特制定本制度。

第二条本制度适用于我司所有涉及移动客户信息业务的部门、岗位及人员。

第三条移动客户信息安全工作应遵循以下原则：1. 安全第一，预防为主；2. 依法合规，明确责任；3. 系统管理，分级保护；4. 教育培训，提高意识。

第二章信息安全组织与管理第四条成立移动客户信息安全工作领导小组，负责统筹规划、组织协调、监督实施信息安全工作。

第五条设立信息安全管理部门，负责以下工作：1. 制定和实施移动客户信息安全管理制度；2. 组织开展信息安全培训和宣传教育；3. 监督检查信息安全工作的落实情况；4. 处理信息安全事件。

第六条各部门、岗位应明确信息安全责任人，落实信息安全工作职责。

第三章移动客户信息安全管理第七条移动客户信息包括但不限于以下内容：1. 客户姓名、身份证号码、联系方式等个人基本信息；2. 客户的交易记录、账户信息等敏感信息；3. 客户的通信记录、位置信息等隐私信息。

第八条移动客户信息采集、存储、使用、传输、处理、销毁等环节应遵循以下要求：1. 依法合规采集、使用客户信息；2. 建立客户信息档案，确保信息完整、准确、有效；3. 采取技术措施，确保客户信息存储、传输、处理过程中的安全性；4. 对客户信息进行分类分级保护，根据信息重要性设置不同安全等级；5. 定期对客户信息进行安全检查，及时发现并处理安全隐患。

第九条对移动客户信息进行加密存储和传输，确保信息在传输过程中不被窃取、篡改。

第十条加强移动客户端安全防护，防止病毒、恶意软件等对客户信息造成侵害。

第四章信息安全教育与培训第十一条定期开展信息安全教育和培训，提高员工信息安全意识。

第十二条对新入职员工进行信息安全知识培训，使其了解信息安全的重要性及本制度要求。

第五章信息安全事件处理第十三条发生信息安全事件时，应立即启动应急预案，采取措施控制事态发展。