3.4")
机密性（Confidentiality）
信息不能被未授权的个人，实体或者过程
利用或知悉的特性 (ISO 27001"3 术语和定义-
3.3")
••
完整性（Integrity）
Байду номын сангаас
保护资产的准确和完整的特性(ISO
27001"3 术语和定义-3.8").确保信息在存储、
使用、传输过程中不会被非授权用户篡改，同
Requirements 要求
5
• 什么是管理体系？
建立方针和目标并实现这些目 标的相互关联或相互作用的一 组要素。
管理体系包括组织结构，策略 ，规划，角色，职责，流程， 程序和资源等。(ISO 27001"3 术语和定义-3.7")
管理的方方面面以及公司的所 有雇员，均囊括在管理体系范 围内。
企业应当建立必要的技术手段，加强对重要电信 资源（如电信码号、网络带宽、IP地址、域名等 ）的管理。
企业应当认真落实接入责任，建全信息安全管理 和公共信息服务内容日常核查手段。
21
企业信息安全责任-- （配合监管）
企业应当认真配合电信监管机构开展信息安全监 督管理工作，保证相关工作顺利实施。 – 企业应当依法记录并妥善保存用户使用电信 网络的有关信息，相关信息应当至少保存60 日。 – 对存在的信息安全问题和隐患，企业应当严 格按照电信监管机构的处理意见进行整改。 – 因涉及国家安全或处置紧急事件的需要，电 信监管机构根据国家的有关规定和要求组织 实施通信管制，企业应当配合执行。
22
企业信息安全责任-- （信息报备）
企业应当遵照有关信息安全要求和规定，执行信息安全 信息上报、备案制度，接受并配合电信监管机构的监督 检查。 – 可能引发信息安全隐患的网络调整、扩容、电信基础 资源使用变更等； – 可能引发信息安全隐患的新开展业务； – 企业信息安全责任人或联系人信息变更； – 企业业务网络/系统内发生的各类信息安全事件。
企业在系统规划、建设、升级、改造等环节应认 真落实国家信息安全要求，同步配套相关信息安 全设备和设施。
企业在网络设备选型、采购和使用时，应遵守电 信设备进网要求，满足信息安全管理需要。
15
企业信息安全责任-- （开办业务）
企业应履行信息安全承诺，按照电信业务经营许可的信 息安全要求开展和经营相关电信业务。
Information technology- Security techniques-Information
security management systems-Requirements
信息技术-安全技术-信息安全管理体系-要求
ISMS 信息安全管理体系
- 管理体系 - 信息安全相关 - ISO 27001 的"3 术语和定义-3.7"
•IT Service Management System •(ISO 20000)
•Information security management system •(ISO 27001)
6
• 什么是信息安全？
•保护信息的保密性、完整性和可用性(CIA);另 外也可包括诸如真实性，可核查性，不可否认 性和可靠性等特性 (ISO 27001"3 术语和定义-
信息安全管理体系及重点制 度介绍
2
•目 录
•1 •信息安全管理体系介绍 •2• 基础电信企业信息安全责任管理办法 •3 •基础信息安全要求 •4 •客户信息保护管理规定 •5 •信息安全三同步管理办法 •6 •业务安全风险评估标准
3
• 安全管理体系标准的发展历史
国际标准
•ISO17799:2000
监督管理
24
基础电信企业信息安全责任管理办法—通报整改制度
对因自身管理原因造成信息安全事件，由电信监管机构追究相关企业责任 。 – （一）企业在一年内，发生1次特大信息安全事件的，或累计发生3次（ 及3次以上）重大信息安全事件的，由电信监管机构予以通报批评，对相 关责任人提出处理意见或建议，通报相关管理部门，并视情况向社会通 告。 – （二）企业在一年内，发生1次重大信息安全事件的，或累计发生5次（ 及5次以上）一般信息安全事件的，由电信监管机构予以通报批评，对相 关责任人提出处理意见或建议，并通报相关管理部门。 – （三）企业在一年内，发生5次以下一般信息安全事件的，由电信监管机 构在电信行业内进行通报。 – （四）企业存在信息安全问题或隐患，未按要求在规定期限内进行相应 整改的，由电信监管机构予以通报批评，对相关责任人提出处理意见或 建议，并视情况通报相关管理部门。构成犯罪的，移送司法机关依法追 究刑事责任。
对于本企业业务网络/系统中保存的有关用户资 料和信息，企业应依法予以保护，不得非法出售 或者提供给其他组织和个人、不得用于与企业业 务无关的用途。
18
企业信息安全责任-- （接入责任）
企业不得向未取得电信业务经营许可证的单位或 个人提供用于经营性电信业务的电信资源、网络 接入和业务接入；不得向未备案非经营性互联网 站提供网络接入。
AInltteergartiitoyn
• Information
•
ADveasitlraubcitlitoyn
7
信息安全管理体 系所涵盖的领域
•安全策略
•信息安全组织
•资产管理
•人力资源安 全
•物理和环境安 全
•访问控制
•通信和操作管 理
•信息系 统获取开 发和维护
•信息安全事件管理
•业务连续性管理
企业应监督接入用户按照约定的用途使用电信资 源或开展业务。发现擅自改变使用用途的，及时 通知整改，涉及违法犯罪的，及时向有关部门报 告。
企业应定期检查接入内容。发现信息安全问题和 隐患及时做出相应处理。
19
企业信息安全责任-- （规范合作经营）
企业在开展业务合作前，要对合作方的经营资质 、业务许可等信息进行审核，并在合同中明确各 方的信息安全责任。
实践案例汇编
– “客户信息安全保护解决方案汇编” – “基础信息安全案例汇编”
计划完善的制度
– 安全应急处置 – 责任追究 – 安全检查管理办法 – ……
10
•目 录
•1 •信息安全管理体系介绍 •2• 基础电信企业信息安全责任管理办法 •3 •基础信息安全要求 •4 •客户信息保护管理规定 •5 •信息安全三同步管理办法 •6 •业务安全风险评估标准
企业应保证相关报备信息的及时、准确、完整。
23
基础电信企业信息安全责任管理办法—通报整改制度
电信监管机构对企业落实信息安全责任情况建立日常监测机制，实 行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企 业，电信监管机构向企业提出书面整改意见，责成企业限期整改， 并视情况在一定范围内予以通报。
监督管理
25
基础电信企业信息安全责任管理办法— 重点（一）
落实基础企业领导人问责制 – 明确和落实企业领导责任。 – 对工作不落实、措施不到位、被电信主管部 门通报批评的，追究企业信息安全责任人的 领导责任。 – 对整改不力、屡改屡犯、故意违规的，通报 批评相应企业信息安全责任人，并函告其上 级主管部门追究企业信息安全责任人的领导 责任。
26
基础电信企业信息安全责任管理办法— （二）
加强业务推广、合作经营的管理 – 对业务推广渠道中业务合作的建立、合作内 容的规范、合作问题的发现和监督、业务推 广模式的实现等相关细节明确制度化、规范 化的要求。 – 监督合作单位相关责任和义务落实情况，确 保实效。 • 对合作中出现的信息安全问题和隐患，企 业应督促合作单位及时整改；发现存在违 规的，立即暂停或终止合作；发现违反法 律的，报送相关部门查处。
•ISO17799:2005 •ISO27001:2005
英国标准
•BS7799:1996 •BS7799-1:1999 •BS7799-1:2000
•BS7799-2:1999
•BS7799-2: 2002
•BS7799-3:2005
4
• ISO/IEC 27001介绍
ISO 27001的标准全称
对本企业通信网络中发现的违法信息，企业应立 即停止传输，保存相关记录，并向国家有关机关 报告。
对有关部门依法通知停止传输的违法信息，企业 应配合执行。
17
企业信息安全责任-- （用户信息保护）
电信用户依法使用电信的自由和通信秘密受法律 保护。企业及其工作人员不得擅自向他人提供电 信用户使用电信网络所传输信息的内容（法律另 有规定的除外）。
11
基础电信企业信息安全责任管理办法
互联网新技术新业务的 广泛，信息安全事件时 有发生
普遍存在“重市场发展 、轻安全管理”的现象, 甚至还有“只顾赚钱， 漠视安全”的情况存在
基础电信企业的信息 安全责任和要求不尽 明确。
企业对自身应承担的 信息安全责任重视不 够、投入不足。
行业监管机构对企业 信息安全责任和义务 缺乏有效监督和管理 的方式方法。
•Quality management system • (ISO 9001)
•Environmental management system •(ISO 14001)
•Safety management system •(OHSAS 18001)
•Human Food Safety management system •(HACCP)
企业要在新产品立项、产品开发和业务上线（包括合作 开办）的各环节： – 建立实施信息安全评估制度， – 同步配套与业务特点和用户规模相适应的信息安全保 障措施， – 明确业务的信息安全负责人， – 建立相应的管理制度和应急处置流程， – 按规定向电信监管机构进行业务信息报备。
16