信息安全管理规移动.docVIP

目的 为了预防和遏制公司网络各类信息安全事件的发生，及时处理网络出现的各类信息安全事件，减轻和消除突发事件造成的经济损失和社会影响，确保移动通信网络畅通与信息安全，营造良好的网络竞争环境，有效进行公司内部网络信息技术安全整体控制，特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责： 根据集团公司关于信息安全组织的指导意见，为保证信息安全工作的有效组织与指挥，四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组，由公司分管网络的副总经理任组长，网络部分管信息安全副总经理任副组长，由省公司网络部归口进行职能管理，省公司各网络生产维护部门设置信息安全管理及技术人员，负责信息安全管理工作，省监控中心设置安全监控人员，各市州分公司及生产中心设置专职或兼职信息安全管理员，各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责： 负责公司与相关领导之间的联系，跟踪重大网络信息安全事件的处理过程，并负责与政府相关应急部门联络，汇报情况。 3.1.2网络与信息安全工作管理组副组长职责： 负责牵头制定网络信息安全相关管理规范，负责网络信息安全工作的安排与落实，协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责： 省公司网络部设置信息安全管理员，负责组织贯彻和落实各项安全管理要求，制定安全工作计划；制订和审核网络与信息安全管理制度、相关工作流程及技术方案；组织检查和考核网络及信息安全工作的实施情况；定期组织对安全管理工作进行审计和评估；组织制定安全应急预案和应急演练，针对重大安全事件，组织实施应急处理工作及后续的整改工作；汇总和分析安全事件情况和相关安全状况信息；组织安全教育和培训。 3.1.4信息安全技术管理职责： 各分公司、省网络部、省生产中心设置信息安全技术管理员，根据有限公司及省公司制定的技术规范和有关技术要求，制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求，牵头对各类网络和系统实施安全技术评估和工作；发布安全漏洞和安全威胁预警信息，并细化制定相应的技术解决方案；协助制定网络与信息安全的应急预案，参与应急演练；针对重大安全事件，组织实施应急处理，并定期对各类安全事件进行技术分析。 设置信息安全评估审计员，根据有限公司及省公司制定的安全审计技术规范和有关技术要求，制定实施细则。牵头对各类网络和系统实施安全技术审计工作，根据SOX要求定期对各类网络和系统帐号、口令设置，操作日志等进行审计及复核，生成审计报告。 3.1.5安全监控人员职责： 省网管中心设置安全监控人员，对全网安全设备进行集中监控；及时发现全网信息安全事件，根据故障管理相关规定进行派单和督促处理；进行安全事件上报。 3.1.6各系统维护员职责： 各单位分生产系统设置兼职系统安全维护员，负责本系统网络信息安全的技术工作及相关协调工作，贯彻执行集团公司和省/市公司网络部下发的相关信息安全技术规范及文件，根据相关安全技术规范和技术要求，对本系统进行包括安全在内的日常维护。处理本系统网络安全事件，协助分析、处理复杂和重大安全事件。提升系统安全级别，降低安全隐患，减少信息安全事件的发生，保障其安全运行。 3.1.7信息安全关键岗位说明： 信息安全关键岗位说明：对以下情况的工作岗位，属于信息安全关键岗位 掌握业务及支撑系统超级用户权限的岗位（各系统超级用户管理员，根据SOX要求，由各单位分管领导进行授权） 掌握查看客户信息（手机终端客户的HLR信息、位置信息、通话纪录、短信、彩信内容等等）权限的岗位。 可能造成严重影响客户感知的岗位（具有进行用户群发，业务定制等权限的岗位） 掌握各类安全管理系统，如集中账号管理、网络认证接入、日志审计系统情操作行为权限的岗位（安全管理员） 为加强信息安全关键岗位的管理，对以上岗位的情况要进行梳理备案，对1-3类岗位，由安全审计评估人员定期进行操作审计和确认。对第4类人员，由省网络部定期进行审查和考核。审计要求见《安全审计管理细则》。 4.0 管理规范 4.1 管理系统 本管理规范适用于四川移动各业务生产、支撑系统，包括OA系统、MIS系统、BOSS系统及其子系统、经营分析系统、客户服务系统、MISC系统、交换机系统、智能网系统、彩铃、短信、彩信、WAP、各增值业务平台、中央音乐平台、网管系统等。 4.2网络与信息安全基本要求 4.2.1网络与信息的安全工作实行谁主管、谁负责、预防为主、综合诊治、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。 4.2.2各级网络维护部门应加强对系统管理人员安全意识的培养，建立完善的定时定人负责制，有效明