信息安全管理规范完整篇.doc
(完整word版)中国人民银行信息安全管理规定
中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理,防范计算机信息技术风险,保障人民银行计算机网络与信息系统安全和稳定运行,根据〈〈中华人民共和国计算机信息系统安全保护条例》、〈〈金融机构计算机信息系统安全保护工作暂行规定》等规定,特制定本规定。
第二条本规定所称信息安全管理,是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条人民银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理。
第四条人民银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。
第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
第七条各单位科技部门应设立信息安全管理部门或岗位。
总行机关、分行、营业管理部、省会(首府)城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、B岗制度;地(市)中心支行和县(市)支行设立信息安全管理岗位。
第八条除科技部门外,各单位其他部门均应指定至少一名部门计算机安全员,具体负责本部门的信息安全管理,协同科技部门开展信息安全管理工作。
第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。
第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
信息安全管理规范和保密制度范例(6篇)
信息安全管理规范和保密制度范例信息安全保密管理制度第一条为处理网站信息资源发布过程中涉及的办公____信息和业务____信息,特制定本制度。
第二条网站应建立规范的信息采集、审核和发布机制,实行网站编辑制度。
第三条各部门要设立网站信息员负责向网站编辑报送本部门需要公开发布的信息。
第四条策划部网络信息组负责指导全公司各部门网站信息员的保密技术培训,落实技术防范措施。
第五条凡需要发布上网的信息资源必须遵循“谁发布,谁负责;谁主管,谁管理”的原则。
第六条各部门要有一名领导主管此项工作。
要指定专人负责上网信息的保密检查,落实好保密防范措施,定期对本部门网站信息员进行保密教育和管理。
第七条拟对外公开的信息,必须经本部门分管负责人____同意并对上传的内容进行登记建档后方可发布上网,重要信息还需经公司____管理小组审核确认。
第八条对互动性栏目要加强监管,确保信息的健康和安全。
以下有害信息不得在网上发布1、____宪法所确定的基本原则的;2、危害国家安全、泄露国家____、____、破坏国家统一的;3、损害国家荣誉和利益的;4、煽动民族仇恨、民族歧视、____的;5、破坏国家____政策,宣扬____和封建迷信的;6、散布谣言,扰乱社会秩序,破坏社会稳定的;7、散布____秽、____、____、____、凶杀、____或教唆犯罪的;8、侮辱或者诽谤他人,侵害他人的合法权益的;9、含有法律、行政法规禁止的其他内容的。
第九条网站必须设置不良信息过滤程序对信息进行甄别、筛选、把关,防止虚假、反动、____秽信息发布到网上。
第2页共2页第十条公司____信息一律不得在与国际网络连接的计算机系统中存储、处理和传输。
第十一条网站应当设置网站后台管理及上传的登录口令。
口令的位数不应少于____位,且不应与管理者个人信息、单位信息、设备(系统)信息等相关联。
严禁将各个人登录帐号和____泄露给他人使用。
第十二条网站应当设置合理的管理权限。
ISMS信息安全管理体系文件(全面)2完整篇.doc
ISMS信息安全管理体系文件(全面)4第2页2.2 术语和定义下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。
凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。
ISO/IEC 27001,信息技术-安全技术-信息安全管理体系-概述和词汇2.3引用文件ISO/IEC 27001中的术语和定义适用于本手册。
本公司:上海海湃计算机科技有限公司信息系统:指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
信息安全事件:指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。
相关方:关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。
主要为:政府、上级部门、供方、用户等。
2.3.1组织环境,理解组织及其环境本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。
2.3.2 理解相关方的需求和期望组织应确定:1)与信息安全管理体系有关的相关方2)这些相关方与信息安全有关的要求。
2.3.3 确定信息安全管理体系的范围本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括:1)本公司的认证范围为:防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。
2)与所述信息系统有关的活动3)与所述信息系统有关的部门和所有员工;4)所述活动、系统及支持性系统包含的全部信息资产。
信息安全管理规范
信息安全管理规范一、引言信息安全管理规范是为了保护组织的信息资产,确保其机密性、完整性和可用性,防止信息泄露、篡改和破坏等安全风险而制定的一系列规范和措施。
本文将详细介绍信息安全管理规范的制定目的、适合范围、定义、原则、责任和具体措施等内容。
二、目的本信息安全管理规范的目的是为了确保组织的信息资产得到妥善保护,防止信息泄露、篡改和破坏等安全风险,提高信息系统和网络的安全性和可靠性,保障业务的正常运行。
三、适合范围本信息安全管理规范适合于组织内的所有员工、合作火伴和供应商,涵盖所有的信息系统和网络,包括但不限于计算机、服务器、网络设备、数据库、应用程序等。
四、定义4.1 信息资产:指组织拥有的所有信息,包括但不限于电子文档、数据库、软件、硬件设备等。
4.2 信息安全:指确保信息的机密性、完整性和可用性,防止信息泄露、篡改和破坏等安全风险。
4.3 信息安全管理:指对信息安全进行规划、组织、实施、监控和改进的过程。
4.4 信息安全事件:指可能导致信息资产受到威胁、损失或者破坏的事件,包括但不限于病毒攻击、网络攻击、数据泄露等。
五、原则5.1 领导承诺:组织的领导应对信息安全工作赋予足够的重视,并提供必要的资源和支持。
5.2 风险管理:组织应通过风险评估和风险处理等手段,识别和评估信息安全风险,并采取相应的措施进行管理和控制。
5.3 安全意识培训:组织应定期开展信息安全意识培训,提高员工对信息安全的认识和理解。
5.4 安全控制措施:组织应建立和完善信息安全管理体系,采取合理的安全控制措施,确保信息资产的安全性。
5.5 持续改进:组织应不断改进信息安全管理体系,提高信息安全管理水平。
六、责任6.1 高层管理人员:负责制定信息安全策略和目标,确保信息安全工作的有效实施。
6.2 信息安全管理部门:负责制定、实施和监督信息安全管理措施,协调各部门的信息安全工作。
6.3 部门经理:负责本部门的信息安全工作,确保信息资产得到妥善保护。
企业信息安全管理制度(试行)2完整篇.doc
企业信息安全管理制度(试行)4第2页置,做到信息完整、字迹清晰,并做好防脱落防护工作。
第十七条信息管理部门应对主机进行控制管理,要求如下:一、关键业务生产系统中的主机原则上应采用双机热备份方式或n+m的多主机方式,确保软件运行环境可靠;二、一般业务生产系统中的主机、生产用PC前置机,关键设备可以采用软硬件配置完全相同的设备来实现冷备份;三、各类设备在采购时技术规格中应明确服务响应时间、备品备件、现场服务等方面的要求,核心服务器、存储相应时间一般不高于4小时。
第十八条各相关部门应加强信息设备安装、调试、维护、维修、报废等环节的管理工作,防止因信息设备丢失、损坏、失窃以及资产报废处置不当引起的信息泄露。
第七章信息系统访问控制及操作安全管理第十九条公司将系统运行安全按粒度从粗到细分为四个层次:系统级安全、资源访问安全、功能性安全、数据域安全。
一、系统级安全策略包括:敏感系统的隔离、访问地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。
系统级安全是应用系统的第一道防护大门。
二、资源访问安全策略包括:对程序资源的访问进行安全控制,在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL 程序资源和业务服务类方法的调用进行访问控制。
三、功能性安全策略包括:功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。
四、数据域安全策略包括:一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;二是字段级数据域安全,即用户可以访问业务记录的哪些字段。
第二十条用户管理应建立用户身份识别与验证机制,防止非法用户进入应用系统。
具体要求如下:一、公司按照相关的访问控制策略,对用户注册、访问开通、访问权限分配、权限的调整及撤销、安全登录、口令管理等方面进行访问控制的管理活动。
信息系统安全管理规范范文
信息系统安全管理规范范文为保障信息系统的安全运行,维护组织的利益和客户的合法权益,制定本规范,以规范信息系统的安全管理工作,确保信息系统的机密性、完整性和可用性。
一、总则1.信息系统安全管理规范适用于所有使用、维护和管理信息系统的人员,包括但不限于公司员工、供应商和承包商。
2.所有信息系统用户必须遵守本规范,维护信息系统的安全和稳定运行。
3.信息系统管理员应负责执行和监控本规范的实施情况,并对违规行为进行处理。
二、账户安全1.所有账户必须使用独立、安全的密码,且定期修改密码。
密码应包含至少8位字符,包括大小写字母、数字和特殊符号,并避免使用常见密码。
2.不得将账户、密码等安全信息透露给他人,更不准使用他人账户。
3.账户权限应根据职责和需求进行分配,只赋予必要的权限,避免滥用。
三、网络安全1.所有网络传输必须使用加密协议,禁止明文传输敏感信息。
2.实施防火墙、入侵检测和入侵防御等安全设备和技术,对外部攻击进行有效防护。
3.禁止连接未经授权的外部设备,禁止使用未经批准的无线网络。
四、数据安全1.重要数据必须进行备份,备份数据应存储在安全的地点,定期进行恢复测试,确保备份的完整性和可用性。
2.敏感数据应进行分类和加密存储,对访问权限进行严格控制。
3.禁止在未经授权的设备和网络上传输、存储或处理机密信息。
五、应用安全1.应用系统开发和运维过程中应采用安全设计和编码规范,避免常见的安全漏洞。
2.应用系统必须对用户输入进行有效的过滤和校验,防止注入攻击和跨站脚本攻击。
3.应定期进行安全测试和漏洞扫描,及时修复发现的安全漏洞。
六、监控和审计1.设立监控系统,对信息系统的安全事件和异常行为进行实时监测。
2.建立合理的日志记录和审计机制,确保对关键操作和事件进行记录和追溯。
3.定期进行安全事件和安全事件响应演练,提高安全事件处理的能力和效率。
七、员工教育和培训1.新员工入职时应进行信息安全方面的培训,员工离职时应进行安全知识的交接。
安全信息化管理规范
一、需要隐藏的模块二、安全信息化管理目标目前集团施工规模快速扩张,给安全管理带来很大的压力。
信息化的引入是提高安全管理水平的一次良好机遇,我们的目的是通过信息化管理,实现安全管理信息集团内部共享,充分利用安全管理资源,有效提高安全管理水平。
所有安全管理活动,在信息化中充分体现,实现由单一的项目部管理安全,转变为全集团人员共同参预管理的安全立体网络化安全管理,向本质型安全企业迈进.三、集团安全管理体系目前集团实行三级安全管理体系即项目部、工程处和集团公司。
1、集团公司:制定了集团安全生产管理办法,该制度祥细规定了各单位安全生产管理;安全检查和隐患排查实行集团季季度抽检、工程处月度对所属项目全部检查和项目部每旬必须全面检查一次的规定;安全事故汇报、救援和调查处理规定;安全风险抵押;工伤保险和奖罚规定。
集团二十项管理制度,该制度明确了动态安全管理过程的实施细则,岗位责任的落实,规定了一工程一措施及其审批权限,安全活动、安全检查、隐患排查、安全办公会议的内容和周期,事故调查和处理方法,编制应急救援预案,设备安全管理作了具体规定。
还制定了安全费用管理和提取使用办法,防火安全管理制度,内业资料管理规定,三十条严重三违行为警示,防火管理制度,“一通三防”管理制度,职业病防治管理规定,安全文明工地评分办法。
集团每季度对全集团公司项目进行抽检,编制安全检查通报,召开安全办公会议。
对重要工程进行开工验收,组织特殊工种参加培(复)训,每月对工程处进行安全考核。
2、工程处制定本单位安全管理制度、岗位责任制和操作规程,对本单位项目进行安全考核,编制本单位应急救援预案,每月对所属项目进行至少一次检查,每月召开一次安全办公会,按规定向集团提交各种报表。
3、项目部根据本工程特点制定项目安全管理制度,编制事故应急救援预案,按规定进行安全活动,收集好的安全管理建议和意见,由项目经理组织各专业人员对项目所有活动区域进行安全检查和隐患排查,并根据以上活动召开安全办公会议,解决现场存在的问题,并提出下步改进措施和完善项目安全管理制度。
信息安全管理规范和保密制度范例(5篇)
信息安全管理规范和保密制度范例一、引言信息安全是指确保信息系统及其中所储存、传输、处理的信息免受未经授权的访问、利用、披露、干扰、破坏的状态和措施。
为了保障公司的重要信息安全和防止机密信息外泄,制定本信息安全管理规范和保密制度。
二、信息安全管理规范1.信息安全责任1.1 公司将建立信息安全管理委员会,负责信息安全相关工作的决策和监督。
1.2 公司将指定信息安全管理负责人,负责协调和推动信息安全工作。
1.3 公司全体员工要遵守信息安全管理规定,保护公司的信息资产安全。
1.4 公司将定期组织信息安全教育培训,提高员工的信息安全意识。
1.5 公司将建立信息安全应急响应机制,及时应对和处置信息安全事件。
2.信息资产保护2.1 公司将对重要信息资产进行分类并制定相应的安全防护级别。
2.2 公司将对信息资产进行全面的风险评估和安全审计,及时发现和解决存在的安全问题。
2.3 公司将使用合法、正版的软件和硬件设备,确保信息系统的安全稳定运行。
2.4 公司将建立信息备份和恢复制度,保障关键数据的安全和可靠性。
3.网络安全保护3.1 公司将建立网络安全防护体系,包括网络入侵检测系统、防火墙等安全设备的部署和维护。
3.2 公司将加强对内网和外网的访问控制管理,设置严格的权限控制和身份认证机制。
3.3 公司将定期进行网络安全漏洞扫描和安全测试,及时修复和升级系统漏洞。
3.4 公司将对互联网上的敏感信息进行加密和传输安全保护,防止信息泄露和篡改。
4.应用系统安全4.1 公司将建立应用系统开发和运维的安全标准和流程,确保系统的安全可靠。
4.2 公司将对应用系统进行安全审计,确保系统没有存在潜在的安全漏洞。
4.3 公司将建立合理的访问控制策略,限制用户的操作权限和数据访问权限。
4.4 公司将加强对程序代码的安全审查,防止恶意代码的注入和攻击。
5.员工行为管理5.1 公司将制定员工信息安全管理章程,明确各级员工的信息安全责任和义务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理规范11.0目的为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。
2.0 适用范围本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。
3.0 信息安全组织机构及职责:根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。
3.1.1网络与信息安全工作管理组组长职责:负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。
3.1.2网络与信息安全工作管理组副组长职责:负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。
3.1.3省网络部信息安全职能管理职责:省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。
3.1.4信息安全技术管理职责:各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。
对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
设置信息安全评估审计员,根据有限公司及省公司制定的安全审计技术规范和有关技术要求,制定实施细则。
牵头对各类网络和系统实施安全技术审计工作,根据SOX 要求定期对各类网络和系统帐号、口令设置,操作日志等进行审计及复核,生成审计报告。
3.1.5安全监控人员职责:省网管中心设置安全监控人员,对全网安全设备进行集中监控;及时发现全网信息安全事件,根据故障管理相关规定进行派单和督促处理;进行安全事件上报。
3.1.6各系统维护员职责:各单位分生产系统设置兼职系统安全维护员,负责本系统网络信息安全的技术工作及相关协调工作,贯彻执行集团公司和省/市公司网络部下发的相关信息安全技术规范及文件,根据相关安全技术规范和技术要求,对本系统进行包括安全在内的日常维护。
处理本系统网络安全事件,协助分析、处理复杂和重大安全事件。
提升系统安全级别,降低安全隐患,减少信息安全事件的发生,保障其安全运行。
3.1.7信息安全关键岗位说明:信息安全关键岗位说明:对以下情况的工作岗位,属于信息安全关键岗位1、掌握业务及支撑系统超级用户权限的岗位(各系统超级用户管理员,根据SOX要求,由各单位分管领导进行授权)2、掌握查看客户信息(手机终端客户的HLR信息、位置信息、通话纪录、短信、彩信内容等等)权限的岗位。
3、可能造成严重影响客户感知的岗位(具有进行用户群发,业务定制等权限的岗位)4、掌握各类安全管理系统,如集中账号管理、网络认证接入、日志审计系统情操作行为权限的岗位(安全管理员)为加强信息安全关键岗位的管理,对以上岗位的情况要进行梳理备案,对1-3类岗位,由安全审计评估人员定期进行操作审计和确认。
对第4类人员,由省网络部定期进行审查和考核。
审计要求见《安全审计管理细则》。
4.0 管理规范4.1 管理系统本管理规范适用于四川移动各业务生产、支撑系统,包括OA系统、MIS系统、BOSS 系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃、短信、彩信、WAP、各增值业务平台、中央音乐平台、网管系统等。
4.2网络与信息安全基本要求4.2.1网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则,逐级建立安全保护责任制。
4.2.2各级网络维护部门应加强对系统管理人员安全意识的培养,建立完善的定时定人负责制,有效明确责任,提高维护管理效率。
4.2.3 网络信息安全管理流程网络信息安全管理包含以下主要流程♦用户帐号口令管理♦信息安全监控流程♦设备入网安全管理流程♦终端接入管理流程♦信息安全预警流程♦安全审计流程♦网络安全域管理流程♦网络互联安全管理流程♦远程接入安全管理流程♦网络与信息安全风险评估管理流程♦客户信息保密管理流程♦网络信息安全资源策略维护管理流程♦安全维护作业计划4.2.4 各岗位人员职责对应说明:5.0 安全管理流程5.1用户帐号口令管理为了预防和遏制公司网络各类信息安全事件的发生,及时处理因账号使用上出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本流程。
5.2 信息安全监控密切关注用户投诉情况,对所有短信息进行监控。
杜绝反动、色情等有害信息。
防止发现黑客攻击。
帐号安全管理流程信息安全监控流程信息安全管理规范1第2页5.3 设备安全入网管理流程按照集团公司网络与信息安全“同步规划、同步建设、同步运行”的三同步要求,规范公司各类网络、及系统的入网安全工作,保障网络和系统安全运行,设备入网安全管理办法5.4终端安全及移动存储介质管理流程为了加强公司各系统局域网终端接入认证管理,确保只有通过认证的终端设备才可对公司内部局域网资源进行使用,保障移动通信网络畅通与信息安全,所有接入公司内部局域网终端,需按管理要求接入。
局域网终端接入管理为规范中国移动四川公司移动存储介质管理,防止通过移动存储介质泄露公司秘密,以及传播病毒、蠕虫等恶意软件,对移动存储介质进行加强管理。
移动存储介质安全管理5.5 信息安全预警管理信息安全的预警工作实行预防为主、信息收集发布与及时处理相结合的原则,逐级建立安全预警责任制。
各级网络维护部门应加强对系统管理人员安全意识的培养,明确责任,提高维护管理效果。
信息安全预警制度5.6 安全审计管理为检测非法活动,应该对系统进行审计,检测与访问控制策略不符的情况,将可以监控的事件记录下来,在出现安全事故时作为证据使用。
利用系统审计,可以检查所采用的控制措施是否有效,是否与访问策略相符。
5.7网络安全域管理流程规范安全域建设及安全域日常维护工作,提高全网安全防护水平,按照国家等级保护及有限公司制定下发的《中国移动支撑系统安全域划分及边界整合技术要求》、《中国移动防火墙部署总体技术要求》等相关规范要求,制定本管理办法。
安全域管理5.8 网络互联安全管理流程为加强网络互联安全管理,保障在安全可控的前提下满足不同网络之间的互访需求,根据《中华人民共和国计算机信息系统安全保护条例》、《中国移动网络与信息安全保障体系(NISS)总纲》等国家和公司相关规定,制定本办法。
网络互联安全管理5.9网络与信息安全风险评估管理为在确保网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
网络与信息安全风险评估管理5.10 远程接入安全管理为加强中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)对远程接入的管理,保障在安全可控的前提下实现远程维护、使用业务、获取数据等目的,根据国家要求及《中国移动内控手册(2007版)》、《中国移动网络与信息安全保障体系(NISS)总纲》等公司相关规定,制定本办法。
5.11 客户信息保密管理为保障使用中国移动各项服务的客户隐私权益,保守中国移动客户信息秘密,特制定本办法。
5.12 网络信息安全资源维护管理为规范网络信息安全资源的维护管理,加强端口及服务相关要求,特制定本办法。
5.13 安全维护作业计划参见ISO 文件《维护作业计划管理要求》,根据省网络年初制定维护作业计划进行执行。
6.0审阅更新要求本规定每年由四川移动省公司网络部进行审阅更新,并将已更新的安全规章制度应及时下发各相关部门遵照执行。
各部门和生产中心可根据本程序对不同的生产系统根据具体要求进行细化,形成相关细则。
远程接入安全管理客户信息保密管理网络信息安全资源策略维护管理流程系统服务与端口安全管理办法7.0 相关文件及记录7.1用户账号口令管理相关表格:《XXXX 系统管理员授权表》《XXXX 系统用户账号权限审批表》《系统用户账号登记表》《XXXX 系统用户帐号核查表》《XXXX 系统帐号口令修改记录表》《XXXX 系统帐号口令检查记录表》《XXXX 系统程序帐号列表》《员工变动登陆公司网络系统申请表》员工登陆公司网络系统审批表XXXX系统管理员授权表XXXX系统用户账号权限审批表系统用户账号登记表XXXX系统用户帐号核查表XXXX系统帐号口令修改记录表XXXX系统帐号口令检查记录表XXXX系统程序帐号列表《安全管理员授权表》《账号临时使用申请表》《超级管理员帐号移交单》7.2系统信息安全策略相关表格:《安全分析记录报告》7.3局域网终端接入管理相关表格:《终端接入公司局域网申请表》《终端接入汇总表》7.4系统备份制度相关表格:《系统备份记录》7.5安全审计管理相关表格:《安全审计检查表》终端接入公司局域网申请表接入公司局域网终端汇总表系统备份记录网管中心2006年8月月报.ppt账号临时使用申请表.xls超级管理员帐号移交单.xls信息安全管理规范1第3页安全审计检查表《安全审计报告》安全审计报告《安全审计改进情况报告》安全审计改进情况报告《4A平台月度监控审计报告》4A平台月度监控审《4A平台年度监控审计报告》4A平台年度监控审计报告《安全事件分级分类表》事件分级模板.xls《4A平台安全事件处理记录》4A平台安全事件处理记录7.6安全域管理相关表格:《主机设备信息表》主机设备信息表《网络设备信息表》网络设备信息表《IP 地址规划信息表》IP地址规划信息表《业务系统内部连接信息表》业务系统内部连接《业务系统外部连接信息表》业务系统外部连接信息表《用户远程接入信息表》用户远程接入信息表《重要数据信息表》重要数据信息表《维护模式信息表》7.7远程接入安全管理相关表格:《远程维护接入申请和情况记录表》远程维护接入申请和情况记录表.xls维护模式信息表7.8网络信息安全资源维护管理相关表格:《资源上线申请表》资源上线申请表.doc《资源变更申请表》资源变更申请表.doc《资源下线注销申请表》资源下线注销申请表《4A资源管理汇总表》网络信息安全模板.xls。