中国移动网络与信息安全总纲

中国移动网络与信息安全总纲

精品资料网（）

25万份精华管理资料，2万多集管理视频讲座

中国移动网络与信息安全总纲

中国移动通信集团公司

2006年7月

本文档版权由中国移动通信集团公司所有。未经中国移动通信集团公司书面许可，任何单位和个

人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。

中国移动[注]的通信网络和支撑系统是国家基础信息设施，必须加以妥善保护。随着网络和通信技术的快速发展，网络互联与开放、信息共享带来了日益增长的安全威胁。为了企业乃至国家的网络与信息安全，为了保障客户利益，加强各方面的安全工作刻不容缓！

制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系，力争通过科学规范的全过程管理，结合成熟和领先的技术，确保安全控制措施落实到位，为各项业务的安全运行提供保障。

本标准主要依据国际规范，参考业界的成熟经验，结合中国移动的实际情况进行补充、修改、完善而来。本标准目前主要针对互联网、支撑网等IT系统安全。

[注]：本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。

中国移动通信集团公司，以下简称“集团公司”。

各移动通信有限责任公司，以下简称“各省公司”。

前言 (2)

目录 (3)

总则 (13)

1．网络与信息安全的基本概念 (13)

2．网络与信息安全的重要性和普遍性 (13)

3．中国移动网络与信息安全体系与安全策略 (14)

4．安全需求的来源 (16)

5．安全风险的评估 (17)

6．安全措施的选择原则 (18)

7．安全工作的起点 (18)

8．关键性的成功因素 (19)

9．安全标准综述 (20)

10．适用范围 (24)

第一章组织与人员 (26)

第一节..................................................... 组织机构26

1．领导机构 (26)

2．工作组织 (27)

3．安全职责的分配 (28)

4．职责分散与隔离 (29)

5．安全信息的获取和发布 (30)

6．加强与外部组织之间的协作 (30)

7．安全审计的独立性 (31)

第二节...................................... 岗位职责与人员考察31

1．岗位职责中的安全内容 (31)

2．人员考察 (32)

3．保密协议 (33)

4．劳动合同 (33)

5．员工培训 (33)

第三节.......................... 第三方访问与外包服务的安全34

1．第三方访问的安全 (34)

2．外包服务的安全 (35)

第四节...................................... 客户使用业务的安全37

第二章网络与信息资产管理 (38)

第一节................................ 网络与信息资产责任制度38

1．资产清单 (38)

2．资产责任制度 (39)

第二节....................... 资产安全等级及相应的安全要求42

1．信息的安全等级、标注及处置 (42)

2．网络信息系统安全等级 (44)

第三章物理及环境安全 (46)

第一节..................................................... 安全区域46

1．安全边界 (46)

2．出入控制 (47)

3．物理保护 (48)

4．安全区域工作规章制度 (49)

5．送货、装卸区与设备的隔离 (50)

第二节..................................................... 设备安全51

1．设备安置及物理保护 (51)

2．电源保护 (52)

3．线缆安全 (53)

4．工作区域外设备的安全 (54)

5．设备处置与重用的安全 (54)

第三节............................................ 存储媒介的安全55

1．可移动存储媒介的管理 (55)

2．存储媒介的处置 (55)

3．信息处置程序 (56)

4．系统文档的安全 (57)

第四节............................................... 通用控制措施58

1．屏幕与桌面的清理 (58)

2．资产的移动控制 (59)

第四章通信和运营管理的安全 (60)

第一节............................................ 操作流程与职责60

1．规范操作细则 (60)

2．设备维护 (61)

3．变更控制 (62)

4．安全事件响应程序 (62)

5．开发、测试与现网设备的分离 (63)

第二节.......................... 系统的规划设计、建设和验收64

1．系统规划和设计 (64)

2．审批制度 (64)

3．系统建设和验收 (65)

4．设备入网管理 (67)