当前位置:
文档之家› 中国移动信息安全管理体系说明(ppt 40页)
中国移动信息安全管理体系说明(ppt 40页)
安全威胁方的分布
• 独立黑客:黑客攻击越来越频繁,直接 影响企 业正常的业务运作! • 内部员工:
•1、信息安全意识薄弱的员工误用、滥用等; •2、越权访问,如:系统管理员,应用管理 员越权访问数据; •3、政治言论发表、非法站点的访问等; •4、内部不稳定、情绪不满的员工。如:员 工离职带走企业秘密,尤其是企业内部高层 流动、集体流动等!
兼容; ▪ 组织,政策、支援。
NISS的执行
▪ 基于中移动网络与信息安全体系总纲,将形成 一系列二层的信息安全管理规定。
– 帐号口令安全管理办法 – 终端安全管理办法 – 病毒防制相关规定 – 信息安全保密相关规定 – ……
管理者的责任
▪ 责任清晰
– 各级部门的一把手是本部门信息安全的第一责任人 – 负责信息安全管理规定在本部门的推行和落实 – 对本部门人员的违规事件承担领导责任和连带处罚
国家政策要求 企业发展战略 国内外标准 安全评估结果
从宏 观方 针到 微观 操作, 建立 了包 含三 个层 面的 安全 制度 体系
网络与信息安全体系总纲
技术规范
安全域划分技术规范、 IP专网接入安全要 求、安全产品测试规 范……
管理规范
帐号口令安全管理办 法、终端安全管理办 法……
操作手册
和具体系统相结合
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
流程、细则
和具体系统相结合
第一层 第二层 第三层
信息安全管理组织体系模型
信息安全决策层 决策、规划、保证机制
信息安全管理层 安全管理、工程、保证管理
信息安全操作层 运行、实施、保证
•建立垂直组织 •明确岗位职责 •贯彻分权制衡原则 •提高任职资格 •建立关键岗位人员选拔制度 •加强安全绩效考核
中移动网络与信息安全组织体系
▪ 安全事件响应:建立安全事件报告流程,制定安全预警信息的 授权审批发布流程。确保及时、准确地报告安全事件。
▪ 业务连续性管理 制定并实施业务连续性管理体系,将风险降至可以接受的水平。 根据业务影响分析和风险评估的结果,制定业务连续性计划与 策略。 根据业务连续性计划与策略,制定相应业务连续性方案及框架。 应定期测试、评审和更新业务连续性方案,保障方案的时效性。 定期进行紧急事件响应演练。
安全审计
▪ 从管理和技术两个方面定期检查安全策略、控 制措施的执行情况,发现安全隐患。
▪ 网络与信息系统的设计、操作、使用和管理不 仅要遵从公司本身的安全方针,而且要符合国 家法律法规、管理条例及合同的要求,以及符 合美国萨班斯法案的要求。
▪ 安全审计管理:独立审计、最大程度降低对正 常运营的影响、审计记录完好保存。
人员都应当签署保密协议。 ▪ 所有员工都应当接受网络与信息安全培训。 ▪ 对第三方访问需求应严格审核,进行风险分析,并采
取相应控制措施。 ▪ 应与客户签署相关协议,明确双方在网络与信息安全
方面的权利、义务及违约责任,保障客户与公司双方 的利益。
网络与信息资产管理
▪ 网络和信息资产包括实物资产、信息资产和软件资 产。
▪ 北京ADSL断网事件
– 2006年7月12日14:35左右,北京地区互联网大面 积断网。
– 事故原因:路由器软件设置发生故障,直接导致了 这次大面积断网现象。
– 事故分析:操作设备的过程中操作失误或软件不完 善属于“天灾”,但问题出现后不及时恢复和弥补, 这就涉及人为的因素了,实际上这也是可以控制的。
– 实物资产:计算机设备、数据网络通信设备(路由器、交换 机等);磁性媒介(磁带和磁盘等)、其他技术设备(电源 以及空调装置等)等;
– 信息资产:技术文档、配置数据、拓扑图等; – 软件资产:应用软件、系统软件以及开发工具等;
要求:
对所有网络与信息资产进行登记,形成资产清单。 明确责任人及安全保护级别,建立严格资产责任制度。 “谁主管,谁负责”。
支撑
和技术指南 制定
基于
构成的具有自主创新能力和拓展能 力的安全体系,保障公司“做世界一
建立 安全 组织架构
执行
流企业”新跨越战略的实施。
技术及防
安全
护支撑手段
运行
运用
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
安全事件分布
安全事件的损失
总体策略
信息资产分类与控制
职员的安全管理
组
物理环境的安全
织
业务连续性管理
通信和操作 访问控制 系统开发与
安全
维护
信息安全目标
中移动网络与信息安全体系总纲
国家政策要求
企业发展战略
国内外标准
安全评估结果
从
宏
观 方
网络与信息安全体系总纲
针
到
微
观
技术规范
管理规范
操
作,
建
立
安全域划分技术规范、
帐号口令安全管理办
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安
物理及其环境安全体系架构
物理及环境安全
场 地 安 全
设
介
备
质
安
安
全
全
工 区 出 障场
作
域
入
地
区 办
划 分
控 制
安
公
全
保
设 电 线 设 介使 存 销
备 源 缆 备 质用 放 毁
选
维申
址
护请
物人 流流
系统运作管理体系架构
权限管理
问题管理
系统
人员
转产安全管理 设备
变更管理
系统维护管理
监控
系统开发
安全事件响应及业务连续性管理
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲 ▪ 角色责任与执行
关键成功因素
▪ 网络与信息安全工作必须是高层牵头,领导负 责,全员参与,专人管理;
▪ 必须全员参与。 ▪ 建立全面、均衡、可行的评估、考核体系,以
衡量网络与信息安全管理工作的水平; ▪ 安全工作的具体实施必须同公司的企业文化相
全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在
的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制
环境
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
安全审计
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
组织与人员
▪ 集团公司和各省公司应建立公司级别的网络与信息安 全常设领导机构。
▪ 设立专职安全队伍,建立安全事件响应流程。 ▪ 所有岗位职责中必须包含安全内容,并实现职责分隔。 ▪ 所有员工及使用中国移动网络与信息资产的其他组织
• 权限制衡和监督原则:安全管 理人员和网络管理人员、主机 管理人员相互制约
▪ 作为国家基础设施提供商,其 网络与信息安全工作目前必须 围绕公司业务目标开展;
▪ 网络与信息安全管理工作应以 风险管理为基础,在安全、效 率和成本之间均衡考虑;
• 全面防范,突出重点
高层牵头 领导负责 全员参与
专人管理
中移动网络与信息安全策略架构
广西公司组织架构
公司的安全管理,跨部门 工作协调,组织落实公司 范围的各项安全工作。
网络与信息安 全领导小组
网络安全办 公室
网络部
….
信息系统部
….
网络运营中 …. 心
运营支撑中 心
网络与信息安全办公室负责公司具体的网络与信息安全工作 ,落实公司层面 的各项网络安全政策,牵头部门为网络部。
信息安全管理框架
可用性 保密性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
可审查性 任何对公司业务运作的威胁和破坏行为都得到记录,并
