XX运营商网络与信息安全管理办法.docx

XX运营商网络与信息安全管理办法中国XXXX公司网络与信息安全管理办法（2006 年 VI0）第一章总则第一章总则第1条 本管理办法适用于XXXXXX公司的所有网络与信息系统（包括但不限于 业务网络、支撑网络）、网络与信息安全相关组织和人员第2条网络与信息安全工作是企业运营与发展的基础和核心;是保证网络品质 的基础；是保障客户利益的基础第3条网络与信息安全工作以国家相关政策法规和条例为依据，以《中国移 动网络与信息安全总纲》为指导，以统一规划，集中控制为原则，以符合网络和业 务发展要求的安全管理组织体系和安全技术支援保障体系为目标.第4条 本管理办法将用于指导XXXXXX公司互联网、各类业务网络、支撑网络 等网络安全和信息管理工作它是各级部门开展网络与信息安全工作的依据第5条 本管理办法由区公司网络部负责解释第二章安全组织及职责第二章安全组织及职责第6条安全工作指导思想安全工作“三分靠技术，七分靠管理〃，建立有效 的组织机构是安全管理的基础.第7条领导机构（一）XXXXXX公司常设网络与信息安全领导小组，全面负责公司的网络与信息 安全工作领导小组组长由公司总经理担任，副组长由公司主管网络的副总经理担 任，小组成员由综合部、发展战略部、人力资，源部、市场经营部、数据部、集团客户部、网络部、计划技术部、网络运营中心、运营支撑中心、工程管理中心、客户服务营销中心等部门、中心负 责人组成。

二）网络与信息安全领导小组为公司的网络与信息安全管理指（二）明清晰的方向，领导小组承担以下责任：1、 审查并批准公司的网络与信息安全策略；2、 分配安全管理总体职责；3、 在网络与信息资产暴露于重大威胁时，监督控制可能发生的重大变化；4、 对网络与信息安全管理相关的重大更改事项进行决策；5、 指挥、协调、督促并审查网络与信息安全重大事件的处理第8条工作组织（一） 网络与信息安全领导小组下设网络与信息安全办公室，负责（一）公司具体的网络与信息安全工作，办公室主任由公司网络与信息安全领导小组 副组长兼任，区公司网络部为牵头部门，网络部的网络与信息安全岗位人员为具体 联络人，综合部、发展战略部、人力资源部、市场经营部、数据部、集团客户部、 网络部、计划技术部、网络运营中心、运营支撑中心、工程管理中心、客户服务营 销中心等部门、中心各确定一名从事网络与信息安全工作相关的人员参与组成办公 室成员二） 网络与信息安全办公室承担以下责任：1、 制定相关的安全岗位及职责；2、 制定并落实相关网络与信息安全管理制度；3、 制定并落实网络与信息安全保护方案；4、 审批新系统、服务规划和设计中的网络与信息安全部分，并监督其实施落 实；5、 审批与网络与信息相关的业务连续性方案；6、 牵头处理网络与信息安全事件；7、 组织网络与信息安全评估和安全审计工作；8、 辅助领导机构进行网络与信息安全方面的决策；9、 完成部门间的协调工作，分派并落实某项具体工作中各部门的职责；10、 获取和发布网络与信息安全信息；11、 组织公司人员的网络与信息安全教育培训。

12、 负责网络与信息安全技术的跟踪及研究工作13、 组织网络与信息安全事件处理演练.14、 完成领导机构下达的各项任务.第9条安全职责（一） 安全责任基本原则是“谁主管，谁负责”.公司拥有的每项网络与信息 资产都按主管权限归属确定的“责任人〃责任人”对资产安全保护负有完全责 任.“责任人〃可以是个人或部门，当“责任人”是部门时，由该部门领导实际负 责二） “责任人”可将具体的执行工作委派给“维护人〃，但必须承担资产安 全的最终责任责任人”要明确规定“维护人”的工作职责，并定期检查“维护 人”是否正确履行了安全职责维护人”可以是个人或部门，也可以是外包服务 提供商当“维护人”是部门时，应由该部门领导实际负责第10条安全工作人员（领导小组及办公室成员）的职责是指导、监督、管 理、考核“责任人”的安全工作，不能替代“责任人”对具体网络与信息资产进行 安全保护在资产的安全保护工作中，应清楚地说明每个独立的网络与信息系统所包含的各种资产和相应的安全保护流程.“责任人”与“维护人”都应明确接受其负责的 安全职责和安全保护流程，并对该职责的详细内容记录在案所有授权的内容和权 限应当被明确规定，并记录在案.第三章网络与信息安全日常管理 第三章网络与信息安全日常管理第一节基本安全管理制度第一节基本安全管理制度第11条网络与信息相关岗位人员的安全管理人员考察对关键岗位人员要进行审查，保证具备较强业务技术能人员考察力，确保可信可靠，胜任本职工作.员工应签署保密协议,保密协议应明确规定 员工承担的安全责任、保密要求和违约责任。

人员考核每年组织一次对从事关键业务的人员的全面考核;对违规人员考核 人员视情节轻重进行批评、教育、调离工作岗位.人员调离关键岗位人员调离，应严格办理调离手续自人员调离决人员调离定通知之日起，应及时更换系统口令.应由相关人员和该员工一起回顾应其签订的保密协议，并使该员工明确所有保密事项，如是离职，应明确在离开 公司后3年内不得披露、使用公司的技术资料的规定人员培训 所有员工必须接受安全教育或培训，一般内容包括:公司人员培训网络与信息安全策略、安全职责、安全管理规章制度和法律法规不同岗位的 员工应接受符合其工作要求的必要的专业技能培训.第12条操作安全管理职责分离任务的管理、执行及职责范围应尽量分散进行，并增加执行和监督 人员，以减少误用或滥用职责带来风险的概率.例如关键数据修改的审批与制作必 须分开在无法实现职责充分分散的情况下,应采取其他补偿控制措施并记录在 案职责履行各类人员必须按规定行事，不得从事超越自己职责以外的任何事务或操作.岗位监督进行系统维护、复原、强行更改数据时，至少有两名操作岗位监督 人员相互监督操作，并进行详细的登记及签名安全稽核安全监察人员和安全管理人员有权对一线操作、管理人员安全稽核 进行监督与核查。

规范操作操作应依据安全策略制订网络与信息处理设施的操作细规范操作则进行操作细则应作为正式文件，履行审批手续，获得管理人员授权后才能修改操作细则应包含操作活动的职责、内容、目的、时间、场所、方法等，并涵 盖以下内容：1、 信息的处理和信息载体的处置；2、 时间进度的要求，包括同其他系统的相关性、最早的开始时间与最晚的结束时间等；3、 操作过程中发生非预期的错误或其他异常情况的指导说明；4、 意外的操作困难或技术难题出现时的支持联系人；5、 特殊输出处置的说明例如：特殊设备的使用，或输出机密内容的管理，包括如何安全处置失败的任务输出的程序；6、 故障情况下系统的重启和恢复程序；7、 系统维护的相应程序例如：计算机启动和关闭、备份、设备维护等规范维护正确规范地维护设备，可以保护设备的可用性和完整性应按以下基本要求进行设备维护：1、 根据设备供应商建议的维护周期和规范进行维护；2、 设备维护人员必须经过授权；3、 设备维护人员必须具备相应的技术技能；4、 必须储备一定数量的备品备件；5、 所有日常维护和故障处理都应记录在案；6、 当设备送到外部场所进行维护时,应当采取有效的控制措施防止信息泄露；7、 系统关键设备应冗余配置；关键部件在达到标称的使用期限时，不管其是否 正常工作，必须予以更换；8、若该设备已投保，则必须遵守相关保险合同的所有规定.变更控制网络与信息系统的任何变更必须受到严格控制，包括:网络结构/局数据/安全策略/系统参数的调整、硬件的增减与更换、软件版本与 补丁的变更、处理流程的改变等。

任何变更必须经过授权，记录在案并接受测试， 操作和应用的变更控制程序应尽可能相互衔接变更控制应至少包含下列措施：1、 识别并记录重大变更；2、 评估此类变更的潜在影响；3、 正式的变更申请批准流程；4、 向所有相关人员传达变更细节；5、 变更失败的恢复措施和责任；6、 变更成功与失败回退后的验证测试；7、 保留所有与变更相关信息的审核日志；8、 变更后的重新评估.迅速响应建立安全事件管理责任和程序，迅速、有效和有序地对安全事件响应.安全事件响应管理应按以下要求进行：1、 建立涵盖所有潜在的安全事件类型的响应程序；2、 除正常的用以尽快恢复系统或服务的应急方案之外，还应包括事件通报、分 析总结、弥补措施、检查审计等内容；3、 明确授权可以进行安全事件处理的人员；4、 严格遵守安全事件处理流程，严禁随意操作，避免更大损失；5、 在必要时，应收集并保护相关记录和证据.设备分离开发、测试与现网设备要分离以有效降低运行系统被破坏或非授权 访问的风险，按下列控制措施执行：1、 前期开发调试工作与现网设备尽可能实现物理分离或逻辑分离，例如：独 立的实验环境、不同的计算机或不同的域、目录等；2、 后期在现网进行测试时，必须做好必要的安全防护措施，并对其进行安全 检查。

第13条物理与环境安全管理场地标准依据《计算机场地安全要求》、《计算机场地技术条件》标准进 行制度制定对IT网络的场地与设施进行安全等级划分，制定安全管制度制定理规定的技术措施和管理办法安全区域保护包括安全边界建立、出入控制、物理保护、安全区安全区域保 护域工作规章制度建立、送货、装卸区与设备的隔离等设备安全 包括设备安置及物理保护、电源保护、线缆安全、工作区设备安全域外设备的安全、设备处置与重用的安全等存储媒介安全包括可移动存储媒介的管理、存储媒介的处置、信息存储媒介 安全处置程序、系统文档的安全管理等第14条设备安全使用管理设备使用管理包括指定专人负责设备的使用、建立详细的运行日设备使用管 理志、设备的维护和定期保养、设备故障处理等设备维修管理包括指定专人负责设备的维修，建立满足正常运行的设备维修 管理最低要求的易损件备件库，记录设备维修对象、故障原因、排除方法、主要维 修过程及其它的有关情况备品备件管理指未被使用或修复后性能正常的各种设备的集中统备品备件管 理指未被使用或修复后性能正常的各种设备的集中统一管理.一管理第15条操作系统和数据库安全管理应从以下几方面对操作系统和数据库进行安全管理：1、 系统要求、运行安全。

2、 运行日志安全管理.3、 备份安全管理、异常情况管理4、 系统安全恢复管理5、 操作系统有关安全方面的补丁和版本升级第16条安全软件版本管理从以下几方面进行安全软件版本管理：1、 所有安全软件（如：安全访问软件、病毒防护软件、入侵检测软件等）尽 可能选择经实践验证稳定运行的版本，不应立即使用厂商发布的最新版本，但病毒 代码库和系统漏洞库例外2、 在风险分析的基础上，厂商发布的安全补丁应进行功能测试，并在规定期限 内投入应用功能测试应确保安全服务、安全机制的完善性和有效性，并符合相关 规定，同时还应确保其变化不会影响其他安全控制措施3、 如果出现确实无法按时完成安全补丁加载的例外情况，资产责任人应向安 全组织汇报不能完成的原因，采取的临时措施，及后续工作计划，并得到安全组织 的批准4、所有安全软件的升级必须由变更控制流程进行控制第17条系统文档安全管理系统文档包含一系列敏感信息，比如应用流程、程序、数据结构、授权流程的 说明应采取下列控制程序，避免系统非法访问1、 安全保存系统文档.2、 将系统文档的访问列表控制在最小范围，并由应用责任人授权.3、 有效的保护保存在公共网络。