中国电信信息〔2013〕4号
中国电信内控实施细则XXXX版中册.doc
中国电信股份有限公司xxxx分公司内部控制实施细则手册中册(2010年修订)目录(中册)1.对程序和数据的访问 (3)1.1 交换类系统 (3)1.2 智能网和业务平台 (12)1.3 MBOSS-A类系统 (24)1.4 MBOSS-B类系统 (35)2.程序变更管理 (45)2.1 交换类系统 (45)2.2 智能网和业务平台 (53)2.3 MBOSS-A类系统 (59)2.4 MBOSS-B类系统 (70)3.程序开发 (75)4.系统运行 (82)4.1 交换类系统 (82)4.2 智能网和业务平台 (89)4.3 MBOSS-A类系统 (96)4.4 MBOSS-B类系统 (104)5.最终用户计算 (109)1.对程序和数据的访问1.1 交换类系统一、业务流程范围1、所涉及的业务范围逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制。
2、所涉及的部门范围前后端相关部门,包括运行维护、计费结算、市场等领域。
二、所涉及的计算机系统负责生成话单的网络运营支持系统(交换机类),包含但不限于交换机、NGN、网关、关口局;以及其他对财务报表的准确性有直接影响的交换类设备,包含但不限于HLR,SHLR等。
三、目标1、对于与财务报告相关的信息,公司应制定相关的信息安全管理政策并使员工意识到公司对信息安全重要性的重视。
2、对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。
3、建立相关流程以确保用户添加、修改、删除都经过管理层授权,及相关操作的准确性和及时性。
4、确保定期对系统中用户的访问权限进行审阅,以减少未经授权或不适当的对系统或数据进行访问而带来的风险。
5、确保在关键流程中存在适当的职权分离。
四、风险1、公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全隐患。
4电信新[2008]103号关于印发《2008版中国电信
![4电信新[2008]103号关于印发《2008版中国电信](https://img.taocdn.com/s3/m/07e996808762caaedd33d462.png)
- 1 - 中电信新〔2008〕103号 关于印发《2008版中国电信新疆公司通信 管道工程建设指导意见》的通知 各地州市分公司、新疆通信规划设计院: 为满足新疆公司“光进铜退”转型战略推进需要,落实集团公司“大力压缩通信管道投资”的工作要求,提高通信管道工程的投资效益,区公司根据实际情况,对《新疆电信有限公司通信管道工程建设指导意见》(新疆电信有限[2007]240号)的部分内容进行了修订,编制了《2008版中国电信新疆公司通信管道工程建设指导意见》。
现将该指导意见印发你们,本文正式生效起发生的新建通信管道工程建设应遵照2008版建设指导意见执行。
各分公司在执行过程中如遇有问题,请及时向区公司计划建设部反馈。
联系人:区公司计划建设部,厉一辉,8910321。
乌鲁木齐电信公司设计所,曹晓梅,8910316 二○○八年四月三日 - 2 - 中国电信新疆公司通信管道工程建设指导意见 (2008修订版) 为满足新疆公司“光进铜退”转型战略推进需要,落实集团公司“大力压缩通信管道投资”的工作要求,提高通信管道工程的投资效益,区公司在征求部分本地网意见的基础上,对《新疆电信有限公司通信管道工程建设指导意见》(新疆电信有限[2007]240号)的部分内容进行了修订,制订了本指导意见。
自本文生效日起,所有新建通信管道工程建设应遵照2008版建设指导意见执行。
一、建设思路 (一)加强通信管道建设与城市发展规划相结合。
经过通信大发展时期的建设,城区道路的通信管道网已大多建成。
新建管道将集中出现在城市巷道、住宅小区和城郊道路。
为避免高额的道路开挖赔补,管道应尽可能安排在新建道路及住宅小区路面硬化前施工。
为此,应加强通信管道建设与城市道路发展规划及新建楼盘建设计划相结合。
根据发展规划,提前追踪并介入新建道路及住宅小区的建设,并根据其建设进度,提早安排管道工程建设计划,确保管道工程建设能够随道路工程建设同步实施。
01.中国电信运维[2013]9号《关于印发2013年网络运行维护考核指标的通知》
![01.中国电信运维[2013]9号《关于印发2013年网络运行维护考核指标的通知》](https://img.taocdn.com/s3/m/379cf45a77232f60dccca105.png)
关于印发 2013 年网络运行维护 考核指标的通知
集团公司各省级分公司,股份公司并转各省级分公司: 为贯彻落实企业持续深化转型的发展战略,全力支撑集团 “以创新和服务双领先推动规模和效益双提升” ,推进和落实 2013 年运维重点工作,集团公司制定了 2013 年网络运行维护考 核指标及考核办法。现将有关事项通知如下: 一、总体思路:2013 年网络运行维护考核指标分为网络运 行质量、产品支撑能力、客户服务水平和运维基础管理与支撑四 个部分,另外结合运维工作特点,针对重大通信安全事故、重要 通信保障以及运维集约化和产品维护经理推进设置了加扣分指 标,考核对象为各省公司运维部门。 二、考核流程 (一)年初根据公司整体战略并结合运维重点工作安排,集 团公司运维部组织制定网络运行维护考核指标与考核办法。 (二)需要各省上报相关原始数据的指标,原则上各省级公 司要在次月 8 日前及时上报指标完成情况及相关说明,遇节假 日可适当顺延。
各项指标以全省参测城市总采样点为基础统一计算。 4.其他说明:各项指标的详细定义和测试方法参见《中国 电信 CDMA 网络 DT/CQT 测试评估技术规范》。 (六)宽带业务测评(8 分) 1.指标定义及计算公式
— 8 —
该指标包括宽带异常掉线率、宽带用户自助测速合格率、重 点网站用户感知测评三部分内容 (1)宽带用户异常掉线用户率:进行测评的宽带用户中, 存在异常掉线的用户数所占的比例。
中国电信运维部 2013 年 2 月 4 日
— 2 —
附件 1
2013 年省公司运维考核指标内容及权重
指标类别 指标名称 1、EVDO 无线掉线率 2、语音掉话率 无线 3、基站断站率 4、AP 可用率 一、 网络 运行质 量 (50%) 数据 传输 交换 5、DT/CQT 测评 6、宽带业务测评 7、零配置业务开通成功率 8、CN2 网络节点可用率 9、干线光缆中断率 10、C 网 DC1 软交换网络接通率 11、短消息时延达标率 权重 5% 5% 3% 2% 7% 8% 3% 2% 8% 5% 2% 5% 5% 5% 5% 6% 5% 4% 6% 5% 4% 负责考核处室 无线处 无线处 无线处 无线处 网优管理处 数据处 数据处 数据处 传输处 交换处 交换处 产品处 客户维护服务 中心 客户维护服务 中心 客户维护服务 中心 传输处 传输处 综合处 资源处、 产品处 综合处 产品处
4G时代
4 G2013年12月4日下午,工业和信息化部向中国联通、中国电信、中国移动正式发放了第四代移动通信业务牌照(即4G牌照),三家运营商均获得TD-LTE牌照,此举标志着中国电信产业正式进入了4G时代。
一、4G的概念1.4G的定义4G是第四代移动通信技术的简称,是由第二代通信技术和第三代通信技术(即2G与3G)发展而来。
4G系统能够以100Mbps 的速度下载,比目前的拨号上网快2000倍,上传的速度也能达到20Mbps,并能够满足几乎所有用户对于无线服务的要求。
2.4G网络的特点(1)多网络融合:多种无线通信技术系统共存(2)全球化网络:从单纯的电路交换向分组交换过渡,并最终演变为基于分组交换的全网络;(3)用户容量更大:预计其容量为3G系统的10倍;(4)无缝的全球覆盖:用户可在任何时间、任何地点使用无线网络;(5)带宽更宽:更高的单位信道带宽和频谱传输效率;(6)智能灵活性:用户的无线网络可以通过其他网络扩展其应用业务,自适应地变换不同信道,提供更高质量和个性化的服务;(7)兼容性:兼容多种制式的通讯协议和终端应用环境,及各种终端硬件设备。
二、4G的技术介绍1.目前4G的技术标准目前提交的4G标准共有6个技术提案,分别来自北美标准化组织IEEE的802.16m、日本(两项分别基于LTE-A和802.16m、3GPP的LTE-A)、韩国(基于802.16m)和中国(TD-LTE-Advanced)、欧洲标准化组织3GPP(LTE-A)。
2.4G网络优劣势分析(1)通信速度更快。
可以达到10Mbps至20Mbps,甚至最高可以达到每秒高达100Mbps速度传输无线信息,相当于目前手机传输速度的1万倍左右。
(2)网络频谱更宽。
据研究每个4G信道将占有100MHz的频谱,相当于3G网路的20倍。
(3)通信更加灵活。
4G通信将使我们不仅可以随时随地通信,更可以双向下载传递资料、图画、影像。
(4)智能性能更高。
三网融合介绍
三网融合基本概念三网融合是一种广义的、社会化的说法,在现阶段它是指在信息传递中,把广播传输中的“点”对“面”,通信传输中的“点”对“点”,计算机中的存储时移融合在一起,更好为人类服务,并不意味着电信网、计算机网和有线电视网三大网络的物理合一,而三网融合主要是指高层业务应用的融合。
其表现为技术上趋向一致,网络层上可以实现互联互通,形成无缝覆盖,业务层上互相渗透和交叉,应用层上趋向使用统一的IP协议,在经营上互相竞争、互相合作,朝着向人类提供多样化、多媒体化、个性化服务的同一目标逐渐交汇在一起,行业管制和政策方面也逐渐趋向统一。
所谓“三网融合”,就是指电信网、广播电视网和计算机通信网的相互渗透、互相兼容、并逐步整合成为全世界统一的信息通信网络。
“三网融合”是为了实现网络资源的共享,避免低水平的重复建设,形成适应性广、容易维护、费用低的高速宽带的多媒体基础平台。
“三网融合”后,民众可用电视遥控器打电话,在手机上看电视剧,随需选择网络和终端,只要拉一条线、或无线接入即完成通信、电视、上网等。
“三网融合”后,可以更好的实现网络监控,防止和打击网络犯罪。
可以更好的引导网络舆论,控制网络接入商和内容提供商的质量,进一步提高和净化网络环境。
将会为创建和谐社会做出重大的贡献。
三网融合实现方式三网合一光纤交换机是一种三网合一光线路终端(OLT),它是一款集成了CATV光信号分配功能的高性能管理型二层三网合一光纤以太网交换机。
它提供一个理想的低成本FTTH或FTTB三网合一(数据、语音和CATV)接入解决方案。
三网合一光纤交换机提供下联光端口和CATV光信号输出端口,与放置在用户家里的家庭光网络单元(ONU)相联,三网合一光纤交换机为新兴的基于以太网的三网合一FTTx而设计。
他功能丰富、全面,应用灵活,特别适合应用于中小电信运营商FTTx网络。
系统采用双电源冗余设计,提高应用可靠性。
三网合一光纤交换机提供多种网络管理方式,采用标准RS-232接口、Web 浏览器、命令行界面(CLI)和基于简单网络管理协议(SNMP)的网络管理平台。
电信简介(百度百科)
天翼4G“天翼4G”也称为“电信4G”,是中国电信的4G品牌名称,延续3G时代“天翼”品牌,适应4G时代需求的同时,突出4G“更快更好”的概念。
2014年2月3日,电信4G正式在全国开放运行。
中国电信4G移动业务品牌曝光:取名天翼4G怎么爱你都不嫌多——电信个人定制套餐闪亮登场中国电信首批全网通手机出炉:三网通用以上信息由企业官方提供品牌推广收藏247918879中国电信集团公司编辑中国电信一般指中国电信集团公司中国电信集团公司(简称“中国电信”)成立于2000年5月17日,是我国特大型国有通信企业。
中国电信作为中国主体电信企业和最大的基础网络运营商,拥有世界第一大固定电话网络,覆盖全国城乡,通达世界各地,成员单位包括遍布全国的31个省级企业,在全国范围内经营电信业务。
2011年3月31日,中国电信天翼移动用户破亿成为全球最大CDMA网络运营商。
中国电信集团公司旗下有两大上市公司—中国电信股份有限公司和中国通信服务股份有限公司。
2011年中国电信全面启动“宽带中国·光网城市”工程。
[1]公司名称中国电信集团公司外文名称China Telecom总部地点北京市西城区金融街31号成立时间2000年9月经营范围固定通信业务,移动通信业务公司性质国有独资公司口号世界触手可及年营业额62046.8百万美元(2014年)员工数414673人(2014年)注册资本1580亿元人民币净利1555.8百万美元(2014年)世界500强第154位(2014年)董事长王晓初总经理杨杰服务电话10000目录1成立背景2企业标识3服务品牌? 天翼? 天翼飞Young? 天翼e家? 天翼领航? 天翼WIFI4服务号段5业务发展6管理层7子公司? 事业单位? 业务概览? 电信产品? 综合信息应用? 应急通信业务8公司历史9其他概述? 企业文化? 研发体系? 人力资源? 海外拓展? 网络合作? 多边合作? 参与国际组织10荣誉? 2003年? 2004年? 2005年? 2006年? 2007年? 2008年? 2009年? 2011年? 2012年? 2013年11光网城市? 简介? 应用案例? 宽带发展12企业发展? 创新孵化? 降低漫游费? 云服务? 八大基地将独立? 天翼3G? 天翼4G? 三沙分公司? 公司成立? 181新号段上市? 177新号段上市? iPhone5? CDMA网络资产? 与教育部合作13企业新闻1成立背景编辑中国电信集团公司成立于2000年,是我国特大型国有通信企业、上海世博会、广州亚运会全球合作伙伴,连续多年入选“世界500 强企业”,注册资本1580亿元人民币。
中国电信〔2013〕452号(转发关于印发中国电信集团通信工程建设安全生产管理办法的通知)
— 1 —中国电信〔2013〕452号关于印发中国电信集团通信工程建设安全生产管理办法的通知集团公司各省级分公司、各专业公司,集团公司各部门,股份公司并转各省级分公司、各专业公司、国际公司、技术创新中心、中国电信学院,中国通信服务股份有限公司,号百控股股份有限公司:为规范集团通信工程建设的安全生产管理工作,保障工程建设期间的人身安全和网络安全,集团公司根据国家安全生产法律、法规和集团相关管理制度,制订了《中国电信集团通信工程建设安全生产管理办法》,现印发各单位,请遵照执行。
对于执行中发现的问题,请及时反馈至集团公司网络发展部。
为配合该办法的实施,随文印发《开工报告模版》(见附件),供各单位参考。
中国电信集团《通信工程安全管理规定》(中国电信〔2007〕731 号)自即日起废止。
附件:开工报告模版中国电信集团公司2013年8月19日 — 2 —中国电信集团通信工程建设安全生产管理办法第一章 总则第一条 为加强中国电信通信工程建设安全生产管理,规范工程建设管理单位的安全生产管理行为,保障工程建设期间的人身安全和网络安全,根据国家《中华人民共和国安全生产法》、《建设工程安全生产管理条例》(国务院令393号)、工业和信息化部《通信建设工程安全生产管理规定》(工信部规〔2008〕111号)等法律法规和《中国电信集团工程建设管理办法》(中国电信〔2011〕833号)等企业管理制度,制订本办法。
第二条 参与工程建设的各相关单位必须遵守安全生产法律法规和工程建设强制性标准,建立、健全并落实通信工程建设安全生产规章制度,承担工程建设安全生产责任。
第三条 工程建设的安全生产管理应遵循“安全第一、预防为主、综合治理”的指导方针,坚持安全生产“三同时”的基本原则,在工程建设全过程加强管理,防范工程建设安全风险,建立和完善生产安全事故应急处理体系,确保工程建设中的人员安全和网络运行安全。
第四条 集团公司鼓励工程建设安全生产的技术创新,推进工程建设安全生产的科学管理。
2013年 中国互联网发展大事记
2013年中国互联网发展大事记1、1月4日,国家广播电影电视总局下发了2013年1号文《广电总局关于促进主流媒体发展网络广播电视台的意见》,要求将网络广播电视台提升到与电台电视台发展同等重要地位,鼓励电台电视台与宽带互联网、移动通信网等新兴媒体结合,发展新形态广播电视播出机构——网络广播电视台,经过三至五年的努力,确立网络广播电视台在新媒体传播格局中的主流地位。
2、1月25日,国家税务总局第1次局务会议审议通过《网络发票管理办法》,自2013年4月1日起施行。
这将对保障国家税收、规范网络发票的开具和使用产生重要作用。
3、2013年我国个人信息安全保护问题受到重视。
2月1日,我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》实施,标志着我国个人信息保护工作进入法制阶段。
7月16日,工信部公布《电信和互联网用户个人信息保护规定》,保护电信和互联网行业用户信息,维护网络信息安全。
4、2月17日,国务院公布《关于推进物联网有序健康发展的指导意见》,提出到2015年,打造物联网产业链,形成物联网产业体系。
按照《意见》要求,国家发展改革委等联合印发了《物联网发展专项行动计划(2013~2015)》,制定了10个物联网发展专项行动计划,对2015年物联网行业将要达到的总体目标做出了规定。
5、6月25日,在公安部指导下,阿里巴巴、腾讯、百度、新浪、盛大、网易、亚马逊中国等21家互联网企业,成立了“互联网反欺诈委员会”,以推进全网联合,打击网络诈骗,共建交易安全生态圈。
6、2013年6月,美国“棱镜门”事件中美国政府对本国公民以及海外公民数据信息隐私权侵犯行为,引起我国对信息安全保障的重视。
我国将加快自主可控的信息安全建设,以此提升防护能力。
7、中美两国确定在中美战略安全对话框架下设立网络安全工作组。
7月8日,第一次网络安全工作组会议在华盛顿举行,双方就网络工作组机制建设、两国网络关系、网络空间国际规则、双边对话合作措施以及其他共同关心的问题进行交流。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
各单位要高度重视IT系统信息安全保护工作,积极宣传教 育,提高员工安全意识,结合自身实际,集中精力开展IT系统信 息安全保护工作。指定专人负责,对照附件一要求组织一次安全 隐患排查与整改,梳理违规行为,及时整改消除隐患,并形成相 应记录于4月30日前通过邮件报集团公司IT安全工作小组。
二、完善 IT 系统安全运营保障工作机制,组建 IT 安全检测 与防护团队,加强 IT 系统的风险预警、风险识别监测、风险评 估和加固、配置合规性检查、系统上线前检查、应急响应等工作, 保障全网 IT 系统可持续运行与信息安全。
三、完善 IT 安全事件管理流程,根据《IT 安全保障体系建 设规范》IT 安全事件管理指南要求,完善 IT 安全事件分级、处 置、应急预案以及事件总结备案等事件管理流程。严格执行 IT 安全事件上报要求,按保障体系建设规范要求报告集团公司,重 大事件和特别重大事件发生后,在 30 分钟内上报。上报内容包 括《IT 安全事件报告》和《安全事件处置总结报告》。具体参考 附件二:《IT 安全事件分类与上报报告表格》
—4—
4.系统开发与测试需测试数据应避免使用用户真实数据, 测试数据如果确实需要选择真实数据,使用前要做脱敏处理,应 限定测试的人员,并在测试完成后全部删除。
5.运维、开发人员因统计取数、批量业务操作必须提交操 作申请,按照要求进行操作,不得扩大操作范围。
6.数据管理人员统一归口、一点对外提供,严禁不经审批 擅自提供数据的行为。
□业务中断 □系统破坏 □数据丢失 □其他
□ 台主机 □整个业务系统 □整个区域网络 □ 整个业务网络 □其他
□较大事件 □重大事件 □特别重大事件
传真:
邮件地址:
—9—
表二:中国电信 IT 安全事件处置总结报告
报告时间: 主题 呈报 抄送
年月日时分
报告单位
一、事件发生时间、现象、影响及恢复总结: 事件发生时
间
事件现象
报告时间 事件级别
事件恢复
事件影响
二、事件处理过程: 1、 事件恢复前处理 2、恢复确认: 3、事件恢复后数据处理: 4、事件升级与汇告: 5、事件事后的性能分析: 三、事件原因分析:
四、改善和改进工作:
报告人:
— 10 —
联系电话:
电子邮件
一、将存储和处理用户信息和企业经营敏感数据的IT系统列 为重点对象。对照附件一《加强IT系统信息专项安全保护工作要 求》,做好信息敏感度分级分类管理、帐号与权限管理、第三方 管理、信息存储与备份管理,规范数据操作与统一提供;进一步 提高网络、准入、边界、审计等安全防护能力;积极做好移动智 能终端信息安全保护。
联系人: 华汪明 01058501467 18910119008 , huawm@
附件:1. 加强IT系统信息专项安全保护工作要求
—2—
2. IT安全事件分类分级与报告表格 中国电信信息化部 2013 年 3 月 28 日
—3—
附件1
加强IT系统信息专: 保障体系规范中的分类: 网络中断;业务应用系统服务中断;业务应用系统数据丢失, 或遭恶意篡改;支撑 IT 网络和业务应用系统的 IT 设备软硬件故 障;信息发布和服务网站遭受攻击和破坏,页面信息遭受篡改; 大面积病毒、蠕虫、木马等恶意程序爆发;敏感信息通过 IT 网 络或系统泄露;大面积有害信息内容通过 IT 网络或系统传播; 机房电源、空调等物理环境设备故障;其他 IT 网络或系统事故 或灾难紧急事件。 二、IT安全事件分级: 保障体系规范中定义四级:特别重大事件(Ⅰ级);重大事 件(Ⅱ级);较大事件(Ⅲ级);一般事件(Ⅳ级) 三、IT安全事件响应: 1.发生特别重大或重大 IT 安全事件须在 10 分钟内向本单 位 IT 安全领导小组报告,响应执行每天两次定点零报告制度。 2.发生较大、一般 IT 安全事件和预警事件须在 30 分钟内 向安全管理员报告,响应执行每天定点零报告制度。
一、明确重点保护范围,做好信息敏感度分级分类管理。 1.将存储和处理用户信息或企业经营敏感数据的IT系统(以 下简称“相关系统”)列为重点保护对象,特别是CRM、计费、网 厅、EDA、财务、人力等系统。 2.在2012年用户信息分类分级基础上优化用户信息敏感度 和经营敏感数据分类分级管理(具体参考集团用户信息安全管理 办法),根据敏感度分级分类细化岗位角色与权限匹配,制定岗 位角色和权限对应的矩阵列表,在相关系统中固化岗位角色与权 限。 3.涉及国秘、军秘做到“涉密不上网,上网不涉密”,IT 系统和上网终端不得存储涉密资料。 二、严格帐号与权限管理,规范数据操作与统一提供。 1.定期对帐号使用情况、权限、口令等进行检查稽核,确 认帐号、权限的有效性,梳理管理账号、权限,清除或禁用长期 未使用账号和缺省账号。 2.业务人员因业务受理、投诉处理需要查询或获取用户信 息时,应通过授权和身份鉴权。 3.涉及对敏感数据的批量操作,需要在指定地点、指定设 备上进行操作,相关设备必须进行严格管控,对于该设备的打印、 拷贝、邮件、文档共享、通讯工具等均需进行严格管控。
中国电信信息〔2013〕4 号
关于加强 IT 系统信息安全保护工作的通知
集团公司各省级分公司,集团公司各专业公司,股份公司并转各 省级分公司,股份公司各专业公司,国际公司,各研究院:
2012年12月28日,十一届全国人大常委会第三十次会议审议 通过了《关于加强网络信息保护的决定》,从法律上要求重点加 强网络信息保护工作。近期集团公司已部署网络信息保护相关工 作,为落实相关要求,加强中国电信全网IT系统信息安全保护, 请各单位根据《中国电信用户信息安全管理办法》、《中国电信IT 安全保障体系建设规范V2.0》等管理规定,从完善IT系统信息安 全管理措施、规范操作和使用流程、提升安全防护技术手段三个 方面防范IT系统上数据与信息的泄露,保护信息的完整性和保密 性。具体通知如下:
—6—
台权限控制、UIM卡绑定认证等方式加强智能终端接入管理;数 据传输链路采用加密的方式;
3.企业重要数据不得存储在移动办公终端之中,有条件可 对重要岗位移动终端开启远程销毁功能。
—7—
附件2
IT安全事件分类分级与报告表格
根据中国电信IT安全保障体系规范V2.0-管理分册-IT安全 事件管理指南_V1.0.doc IT安全事件 分类分级如下:
7.公检法等司法机关为满足司法取证等需要而查询用户信 息时,应提交正式介绍信并进行留存,由相关主管领导批准后, 方可提交系统运维查询取数。
三、严 格 第 三 方 公 司 、 系 统 、 人 员 管 理 1.与第三方公司应签订保密协议和安全承诺书,明确第三 方公司保密责任与违约罚则。 2.第三方系统接入访问中国电信的系统时应申请备案,第 三方系统不能保存用户敏感资料,若确实需要,则应经业务主管 部门审批;第三方系统退出服务时,业务主管部门应及时通知支 撑部门关闭相应接口;定期对第三方系统进行安全检查,督促整 改。 3.对第三方人员(开发和运维)实施工作区域划分,加强 第三方人员办公设备的接入管理;对第三方帐号申请、回收、授 权、有效期等环节进行严格管理,严格执行账号与系统权限审批 流程;第三方人员转岗或离岗前,及时做好帐号回收、审计稽核、 网络调整等工作。 四、加强信息存储与备份管理 1.相关系统信息存储介质(磁阵、硬盘和磁带等)的维护、
—8—
表一:中国电信 IT 安全事件报告
报告时间: 单位名称 联系电话 传真
影响网络、 信息系统名
称与用途
负责部门
年月日时分
报告人 通讯地址 电子邮件
负责人
重大信息 安全事件 简要描述
初步判定事 故原因
已采取应对 措施及效果
事件发展趋 势
本次重大信 息安全事件 的初步影响 状况
事件后果 影响范围
严重程度 联系方式:值班电话:
—5—
更换、升级和报废等操作,必须有严格的管理制度和完备操作记 录,同时应记录移动介质输出用户信息和文件的详细信息,并定 期审计。
2.梳理数据备份计划和备份策略,在备份策略中说明备份 方法, 备份频率, 以及备份数据保存时间等内容。能够及时正确 对备份异常(失败、受损)进行告警。
3.周期性对数据备份进行恢复性测试并记录测试结果。 4.数据备份介质至少每月执行一次异地存放,并保持一定 的物理距离,本地备份介质和异地备份介质保存在专用库房或保 管箱中。 五、进一步提高网络、准入、边界、审计等安全防护能力。 1.对现有网络出口设备的端口、服务配置及安全边界策略 进行审阅,及时调整加固网络边界防护,全面开启网络安全设备 并达到有效使用状况;定期对网络和安全设备进行安全检查,及 时修补漏洞,杜绝弱口令。 2.梳理 WIFI 网络访问策略,禁止外部终端通过无线网络接 入内部系统。 3.部署相关系统主机访问与数据库操作审计,做到可查、 可控、可追溯,禁止非授权访问和权限滥用行为。 4.重点对网厅、电子渠道等互联网开放系统的进行安全漏 洞检查,及时修补 SQL 注入、跨站脚本、暴力破解等漏洞。 六、积极探索移动智能终端信息安全保护。 1.落实移动办公终端(笔记本电脑、手机、平板等)的入 网、信息访问以及数据传输、存储管理; 2.执行接入审核流程,细化访问策略与访问资源,通过后