位置业务用户隐私和信息安全管理
要求
中国移动通信有限公司
2010年1月
目录
第一章总则 (3)
第二章位置类业务描述 (3)
第三章位置类业务类型划分 (4)
第四章位置类业务开展要求 (5)
第五章位置类业务接入流程管理 (6)
第六章位置类业务定位时的逻辑要求 (7)
第七章位置类业务管理制度要求 (11)
第八章位置类业务协议要求 (12)
第一章总则
第1条为了促进位置类业务发展,规范业务流程,保证位置业务隐私安全,规避经营风险,中国移动通信有限公司(以下简称“总部”)特制定本要求。第2条本要求对位置业务的业务描述、业务类型划分、业务开展要求、接入管理等方面进行了规范,作为各省、自治区、直辖市公司开展位置业务的依据。第3条适用范围:本要求适用于全网及各省的所有位置类业务。
第4条本要求由总部数据部负责解释,自印发之日起执行。
第二章位置类业务描述
第5条业务定义
位置类业务是指与用户位置相关,通过调用中国移动的基站或AGPS获得用户的位置信息,并基于此信息向个人用户或者集团客户等提供服务的数据及信息业务。
第6条业务特征
1、位置关联:业务所提供的服务与用户所处的地理位置相关;
2、用户授权许可:在用户授权许可的前提下,才能够获取用户为之信息,并依此开展服务。
第7条码号管理
接入全网位置业务接入管理平台的位置类业务向用户确认授权的短信代码如下:
1、大众产品通过10658016号码向用户进行短信授权确认;
2、集团产品通过10658012号码向用户进行短信授权确认。
各省接入本地LSP开展的省内业务通过10658010号码向用户进行短信确认授权。
第三章位置类业务类型划分
第8条根据业务主体不同,可分为自有业务和合作业务。
1、自有业务:以中国移动品牌面向客户推出,以中国移动为主体开展营销
推广,实现业务计费,提供完全客户服务的位置类业务。如手机地图、
手机导航、车务通。
2、合作业务:以合作伙伴品牌面向客户推出的业务,中国移动负责提供定
位能力、用户鉴权、代计费、收费结算等。
第9条根据服务对象不同可分为个人类、家庭类、集团类、紧急救援类、法律授权类位置业务。
1、个人类:由个人付费,且产品服务对象为个人的产品,如手机地图、手
机导航、飞信位缘。
2、家庭类:面向家庭客户,为满足其关爱家庭成员(如老年人、儿童、宠
物)、监控家庭财产(如汽车)等需求而提供的包含定位功能的产品。如
亲情通、关爱通等关爱系列位置业务。
3、集团类:由集团客户付费,为满足企业或者集团管理其资产、员工,服
务其会员客户等需求而提供的包含定位功能的产品,如车务通等。
4、紧急救援类:指相关部门(如公安、消防、医疗等单位)在用户拨打110、
122、120、119、999等紧急救援电话时,为更有效地提供紧急救援服务,而获取报警用户位置信息的业务。
5、法律授权类:指为配合国家公安、安全部门,在验证接入方身份后,而
获取用户位置信息的业务。
第10条根据业务服务覆盖范围不同可分为全网业务和省内业务。
1、全网业务是指产品服务对象为全网用户的业务。
2、省内业务是指产品服务对象为省内用户的业务。
第11条根据定位技术手段不同,分为:
1、小区定位:通过移动基站小区信息(Cell-ID)获得用户位置的定位。如:
手机地图,生活指南,飞信位缘,亲情通业务。
2、区号定位:通过区号定位平台获得用户所处城市的区号或城市名称的业
务。
3、GPS/AGPS定位:指通过终端GPS/AGPS芯片获得用户精确位置信息的
定位。例如:手机导航,车务通。
第12条根据被定位对象属性的不同,分为:
1、对于用户个人的定位:通过对用户随身携带的手机终端进行定位,从而
获得用户个人位置信息的业务。
2、对于物品的定位:即将插有SIM卡的专用终端放置于汽车、贵重物品中,
从而获得该物品而不是某个人用户位置信息的业务。
第13条根据定位方式的不同,分为:
1、用户自定位:指用户在使用业务的过程中,由用户本人发起的对自己的
定位。
2、用户对他人的定位:指由使用业务的用户发起的对另一用户的定位。
3、企业或业务平台对用户的定位:指经过用户授权,由业务平台发起的对
用户的定位。
第四章位置类业务开展要求
第14条接入要求
1、省内紧急救援类、法律授权类位置业务,可直连各省LSP提供定位能力;
全网紧急救援类业务接入全网位置业务接入管理平台。
2、其他各类位置类业务,必须通过接入全网位置业务接入管理平台
(LBAP/LBMP)开展,各省不允许通过直连LSP方式开展服务。
1)2010年1月1日起,所有新增位置类业务(除紧急救援、法律授权
类业务)必须通过接入全网位置业务接入管理平台(LBAP/LBMP)
开展。
2)2009年12月底之前,在各省LSP上已接入开展的位置类业务,必
须按照总部统一部署,在2010年6月底前完成统一割接到全网位置
业务接入管理平台(LBAP/LBMP)的工作,未按时完成割接的业务
不允许继续开展。
第15条平台要求:各省公司不能自建用于开展个人、家庭、集团位置类业务的GIS平台;
第16条合作方式要求
1、亲情通、关爱通、爱贝通等家庭成员定位类业务,必须以自有业务方式
开展,不能以合作方式开展。
2、个人产品涉及用户对他人进行定位的业务,必须以自有业务方式开展,
不能以合作方式开展。
第17条面向个人服务的合作类位置业务,必须在具备伪码的前提下开展。由于目前只有WAP具备伪码能力,因此只允许开展基于WAP的业务,暂不允许开展基于短信、彩信等其他方式的个人合作类业务。
第五章位置类业务接入流程管理
第18条面向个人、家庭、集团的全网自有业务接入
由总部根据产品规划,向位置基地下发工单进行接入。
第19条面向个人的全网合作类(WAP)业务接入
1、SP根据创新业务流程向中国移动提出申请,并在申请时着重说明需要调
用中国移动的定位能力。由总部根据创新业务评审流程组织评审,对于评审通过的业务,由总部数据部给位置基地下发测试工单,位置基地负责相关业务接入测试的实施。
2、省内SP在满足全网合作业务条件后,可提交申请将省内合作业务升级为
全网合作业务,并需在申请中明确需要调用中国移动的位置能力。对于通过评审可以作为全网合作业务开展的,由总部数据部给位置基地下发测试工单,位置基地负责后续的接入测试等实施工作。
第20条面向集团客户的全网合作类业务接入
1、由合作伙伴(SI)向位置基地(辽宁公司)提出申请;
2、由位置基地根据集团产品的管理规定,进行合作伙伴的综合评估,对于
评估后建议开展的集团产品,每月1日、15日之前由位置基地通过OA 向总部提交申请;
3、总部在收到基地省公司申请5个工作日内完成审核,审核通过后由总部
向省公司下发批复。并由位置基地负责后续的业务测试、合同签订、业务接入和上线等工作。
第21条面向个人、家庭、集团的省内业务
1、省内自有业务,或合作业务,如需调用位置能力,由业务接入省公司通
过OA向总部提交申请;
2、总部根据相关管理规定,在接到省公司申请5个工作日内完成审核,审
核通过后由总部数据部向省公司下发批复,并向位置基地下发工单,由基地负责后续的接入测试、业务接入等工作。
第22条位置基地在收到总部工单后,相关测试、接入和上线流程如下:
1、位置基地在收到总部接入测试工单后在3个工作日内完成相关局数据制
作,并在15个工作日内完成业务接入测试,并在完成业务测试后向总部反馈测试结果。
2、总部在3个工作日内对测试结果进行审批,根据审批结果下发业务上线
工单,位置基地接到上线工单后在5个工作日内完成业务正式上线。
第六章位置类业务定位时的逻辑要求
第23条面向个人和家庭的自有业务定位时的业务逻辑
1、定位自己:
1).用户须已购业务,订购关系必须存在中国移动自建平台(如BOSS、DSMP)中,且用户的订购关系需同步至全网位置业务接入管理平台
(LBAP/LBMP)。
2).用户使用业务时,发起自定位请求后,全网位置业务接入管理平台收到自定位业务请求后首先要进行订购关系鉴权,若该请求用户存在订购关
系,则此定位流程继续;若不存在订购关系,则此定位请求无效。
2、定位他人:
1).用户须已订购业务,订购关系必须存在中国移动自建平台(如BOSS、
DSMP)中,且用户的订购关系需同步至全网位置业务接入管理平台
(LBAP/LBMP)。
2).用户发起定位他人请求后,全网位置业务接入管理平台除对发起该请求的用户进行订购关系鉴权外,还需根据被定位用户的隐私黑白名单进行
判断:
(a)若主叫用户在被定位用户的隐私白名单里(允许主叫用户对被定位用户进行定位),则可对该被定位用户继续定位;
(b)若主叫用户在被定位用户的隐私黑名单里(不允许主叫用户对被定位用户进行定位),则不能对该定位用户继续定位;
(c)若主叫用户和被定位用户尚未建立授权关系,则由全网位置业务接入管理平台向被定位用户下发授权短信请求,在被定位用
户回复同意授权定位的短信后方可继续定位流程,若回复不同
意或超过默认30分钟等待时间未收到确认授权短信,则此次
定位他人请求无效。
3).定位他人成功后,需由全网位置业务接入管理平台向被定位用户发送通知短信。
3、定位物品:
1).用户需定位的物品必须在移动营业厅开通相关定位服务,并已签署了在用户和定位物品之间的授权协议;
2).根据用户签署的授权协议,中国移动自建平台(如BOSS)中建立用户的订购关系和定位隐私白名单,并将订购关系和定位隐私白名单同步到
全网位置业务接入管理平台;
3).用户发起定位物品请求后由全网位置业务接入管理平台进行订购关系鉴权和隐私白名单判断,若主叫用户不在被定位用户隐私白名单中则此
次定位请求无效。
第24条面向个人的合作类位置业务,定位时的业务逻辑
1、面向个人的合作类业务,只允许开展用户的自定位服务;
2、用户必须首先订购了业务,订购关系必须存在DSMP平台中管理,同时
DSMP平台需将订购关系同步到全网位置业务接入管理平台;
3、用户定位自己的请求须使用伪码传输到业务平台,保证业务平台得不到
用户真实手机号码;
4、全网位置业务接入管理平台(LBAP)收到自定位请求后进行订购关系鉴
权,若该请求用户存在订购关系,则此定位流程继续;若不存在订购关系,则此定位请求无效;
5、定位成功后,由全网位置业务接入管理平台向用户下发定位告知短信;
6、各省已经接入本省LSP开展的位置业务要在2010年1月31日之前实现
定位通知短信。
第25条面向集团客户的位置类业务定位时的业务逻辑
1、订购关系同步与鉴权
1)全网合作业务(全网SI业务)
(1)须首先由位置基地与业务提供方签署协议,其次业务提供方与集
团客户、集团客户下属的自有员工签署过关于定位的授权许可协
议之后,才可以在业务平台建立集团客户及下属集团成员的订购
关系,并将订购关系同步到全网位置业务接入管理平台
(LBMP);针对物流等行业可不要求提供集团客户成员签字的
纸质协议,但集团客户需要提供包括相应集团客户成员的纸质协
议;
(2)位置基地在车务通中增加相应的子产品,并调通省BOSS到中央
B-BOSS到LBMP的业务受理流程,并由总部向各省发业务开通
通知;
(3)省公司应集团客户要求通过省BOSS开通车务通子产品,要求客
户提供该集团客户与其自有员工的书面协议。
2)省内业务
(1)须首先由业务归属省公司与业务提供方签署协议,其次业务提供
方与集团客户、集团客户下属的自有员工签署过关于定位的授权
许可协议之后,才可以在业务平台建立集团客户及下属集团成员
的订购关系,并将订购关系同步到全网位置业务接入管理平台
(LBMP);针对物流等行业可不要求提供集团客户成员签字的
纸质协议,但集团客户需要提供包括相应集团客户成员的纸质协
议;
(2)位置基地在车务通中增加相应的子产品,并调通省BOSS到中央
B-BOSS到LBMP的业务受理流程;
(3)省公司应集团客户要求通过省BOSS开通车务通子产品,要求客
户提供该集团客户与其自有员工的书面协议。
2、定位黑白名单设置
1)由全网位置业务接入管理平台(LBMP)根据订购关系,向需要被定
位的集团成员发起授权确认短信,在集团成员回复同意授权定位的
短信后在全网位置业务接入管理平台上生成该集团成员与该集团之
间的白名单。若回复不同意或超过默认48小时等待时间则不能够生
成白名单。
2)平台发起定位人员请求后,全网位置业务接入管理平台(LBMP)首
先要进行订购关系鉴权,若发起定位请求的集团客户和被定位集团
人员有业务订购关系,才可以进行后续的隐私黑白名单鉴权。
3)若发起定位的集团客户,在被定位集团成员的隐私白名单中,则可
以对该被定位用户进行定位;若不在隐私白名单里,则不能对该被
定位用户进行定位。
3、被定位后的短信告知
在被定位用户成功被定位后,须由全网位置业务接入管理平台下发定位成功告知短信。
4、集团客户定位物品的业务逻辑
1).集团客户如需定位的对象为物品,必须首先由中国移动与业务提供方签署协议,其次业务提供方与集团客户就集团客户需定位的物品所对应的手机号码签订书面的授权许可协议;
2).全网业务的上述协议的扫描件报备给位置基地,由位置基地根据协议中所附的手机号码在全网位置业务接入管理平台产生订购关系和所属的隐私白名单;省内业务的上述协议则由省公司自行管理;
3).业务平台发起定位物品请求后,全网位置业务接入管理平台(LBMP)
收到定位物品请求后首先要进行订购关系鉴权和位置隐私白名单判断,
若双方存在订购关系且被定位号码在其集团成员隐私白名单内,则此定
位流程继续;若不符合上述要求则此定位请求无效。
4).在被定位用户成功被定位后,全网位置业务接入管理平台不下发定位成功告知短信。
第26条紧急救援类、法律授权类业务定位时的业务逻辑
1、紧急救援类业务须先要有用户语音呼入指定的紧急呼叫中心号码(如
119、110、122、120、999等),经我公司“语音鉴权平台”鉴权通过后,定位平台方可对呼入号码进行定位;
2、法律授权类业务,必须持有公安局、国安局等单位盖章的介绍信等证明,
才能够对用户进行位置信息查询。
第七章位置类业务管理制度要求
第27条设备安全管理制度要求
1、需要调用中国移动定位能力的位置类业务,其业务平台服务器设备原则
上须放置在中国移动机房内,按照中国移动相关规定要求对硬件设备进
行安全管理,有专人负责系统监控。
2、对业务平台服务器进行远程登陆访问时需单独申请,到时关闭;日常服
务器维护须需向移动机房进行单次申请、审批、授权。
3、进入机房时须有专人陪同、现场监督。
第28条账号安全管理制度要求:
1、各省LSP上的账号,必须由专人负责,且定位操作人员与管理服务器日
志人员不为同一人。
2、位置业务接入的局数据须由负责管理全网位置业务接入管理平台
(LBAP、LBMP)的位置基地人员以及各省负责管理LSP的移动自有人
员进行相关局数据配置。
3、位置业务平台的IP与全网位置业务接入管理平台(LBAP\LBMP)中的
定位账号是唯一对应绑定的关系。
4、合作伙伴内部安全管理流程须报备或定期接受检查。
第29条业务测试管理制度要求
1、业务在正式开通上线前进行的测试工作须对测试号码进行严格限定,测
试号码最多不能超过31个,且参与测试的手机号码须提交对应机主信息(书面证明材料)。
2、在业务测试过程中,位置基地相关人员针对位置隐私安全相关的业务逻
辑进行专项测试,若存在漏洞则不允许业务上线。
第30条日常拨测管理制度要求
1、针对定位对象为物品的业务须在业务上线后由位置基地相关人员每星期
至少进行一次拨测工作,确认被定位对象为专用终端,通过拨测工作防止将被定位对象偷换为手机用户的现象发生。
2、对已上线开通的业务,仍需在业务上线开通后由位置基地相关人员针对
业务逻辑每星期进行至少一次的拨测,检测业务逻辑有无漏洞,若发现应及时通报并更正。
第八章位置类业务协议要求
第31条用户隐私保障等协议条款要求
对于所有需调用定位能力的位置业务合作方,必须针对定位能力的调用所涉及的信息安全保障等,在协议中签署相关条款,或者签订补充协议。协议中须明确关于信息安全的条款以及用户隐私的条款。
第32条集团类位置业务协议要求
1、集团类位置业务必须签署“三方协议”:
1).由中国移动作为业务提供方的,必须由中国移动、集团客户、集团客户下属的自有员工,三方签署授权许可和隐私保护协议;
2).由合作业务提供方提供的集团业务,必须由中国移动与业务提供方签署协议,同时业务提供方与集团客户、集团客户下属的自有员工等三方签
署关于定位的授权许可和隐私保护协议;
3).协议约定了集团客户对其下属成员定位的相关规则,明确了集团成员允许集团客户对其定位的事实。三方协议有效期不得少于1年。
2、对于人员定位类的集团客户位置业务,该三方协议必须在业务平台将被
定位集团成员号码同步给LBMP之后一周内将纸质协议扫描件报备给位置基地(省内业务相关协议由各省公司保管),且报备的协议扫描件与省公司通过BOSS系统同步到LBMP的集团成员号码必须一致,不得有任何出入。业务方必须保证该协议的真实性与有效性。若该协议未在规定期限内同步或者协议与前期同步的被定位集团成员号码有出入或存在协议的真实性问题,经查证后首先从车务通平台、LBMP上删除有出入的被定位号码,其次按相关规定对责任方予以处理。
第33条《中国移动客户信息保密管理规定》的具体内容见附件。
附件:
中国移动客户信息保密管理规定
编号:【网络与信息安全规范】·【第二层:管理办法·信息资产类】·【第2001号】
第一章总则
第1条为保障使用中国移动通信有限公司(以下简称“中国移动”)各项服务的客户隐私权益,保守中国移动客户信息秘密,特
制定本规定。
第2条本规定所指客户信息,是指客户位置信息、客户通话记录、话单信息、短信/(彩信)内容、客户身份信息、客户订购关系
等所有涉及客户隐私的客户信息资料。
第3条客户信息保密管理涵盖客户信息产生、传输、存储、处理、消除等各个环节。客户信息载体包括电子和纸质两种形式。
以电子方式承载客户信息的系统范围包括但不限于:传输以
及利用中国移动客户信息提供业务或者进行业务运营管理的
所有业务系统、支撑系统。纸质方式承载的客户信息保密要
求参照第三、六、七章的相关规定执行。
第二章适用范围
第4条本规定适用于中国移动总部及各省、自治区、直辖市公司(以下简称“各公司”)。
第5条本规定适用于所有存储有客户信息的系统(以下简称“相关系统”)包括:
第6条直接存储某些客户信息的系统,如MSC端局、HLR、VLR、短信系统、MISC、GGSN、业务支撑系统等等;
第7条能间接从其它系统获得客户信息的系统,如网管系统、各类合作运营系统等等。
第8条本规定适用于维护或直接操作使用各相关系统的人员(以下简称“用户”),包括中国移动内部员工。
第三章客户信息管理
第9条相关系统管理员应明确识别各系统中存储、传输的客户有关信息,并具体标注需要保护的客户信息。
第10条各公司应按照本管理规定要求结合本公司的具体情况,制定本规定的实施细则及工作流程。
第11条对于各相关系统中的客户信息,除因工作需要外,未经管理方的授权或许可,任何个人不得通过任何手段进行查询,更
不能用于中国移动合法运营之外的其它商业用途。
第12条对相关系统中的每一类客户信息,应有完整列表,列表应包括但不限于该类客户信息产生、存储、传输、使用等各个环
节的情况,并定期更新。确保所采取的管理和技术措施以及
覆盖范围的完整性。
第四章系统安全功能
第13条各相关系统应在信息获取、处理、存储、消除各环节保护客户信息的完整性、保密性、可用性,具备但不限于如下功能:第14条客户信息存储时应具备相应的安全要求,包括存储位置、存储方式等,对于重要的客户信息,应根据系统实际情况提供
必要的加密手段。
第15条应具备完善的权限管理策略,支持权限最小化原则、合理授权,对不能支持此原则的系统,应减少掌握该权限的人员数
量,并加强人员管理。
第16条具备完整的用户访问、处理、删除客户信息的操作记录能力,以备审计。
第17条在传输客户信息时,经过不安全网络的(例如INTERNET网),
需要对传输的客户信息提供加密和完整性校验。
第18条新建系统必须满足本要求,对于不支持本要求的已建系统,应根据实际情况尽快落实,如系统升级改造。
第五章系统管理
第19条禁止在相关系统中安装、运行与生产无关的程序。
第20条按照最小化原则配置账户权限,保证对客户信息的访问不得超过本身工作范围。
第21条应对相关系统的对外接口(互联网、系统间、第三方系统、合营系统等)定期检查,避免出现不可控访问路径。
第六章授权
第22条各公司应建立客户信息授权查询制度和流程。具体授权审批流程,可由各公司根据实际情况自行制定。
第七章用户管理
第23条维护或使用各相关系统的人员因工作需要而获得的客户信息,未经许可不得告知他人,更不能作为商业用途使用。用
户有严格保守客户信息秘密的义务和责任。
第24条各公司应组织维护或使用各相关系统的人员签订保密协议,明确保密责任。
第25条各公司应与第三方公司签订保密协议,在协议中明确第三方公司及其参与项目的员工的保密责任以及违约罚则。第三方
公司及其员工有泄密行为者,依约追究其违约责任;泄密行
为构成犯罪者,公司将依法移送司法机关处理。
第八章附则
第26条各公司未按本管理规定履行客户信息保密责任者,有限公司将视情节轻重给与相应的处理,并追究相关责任人的管理责
任。
第27条公司内部员工有违反客户信息保密规定之行为者,应按照公司相关规定对其进行处罚。
第28条本规定将随中国移动通信业务的发展、客户信息种类的丰富进行相应修改。本规定解释权和修改权在有限公司。
第29条本规定自发布之日起实行。
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
网络信息安全管理制度 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等. 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
浅谈大数据时代的客户数据安全与隐私保护如何运用好“大数据”这把双刃剑 数据如同一把双刃剑,在带来便利的同时也带来了很多安全隐患。数据对于互联网服务提供者而言具备了更多的商业价值,但数据的分析与应用将愈加复杂,也更难以管理,个人隐私无处遁形。回顾2014年,全球各地用户信息安全事件频出: 2014年3月22日“携程网”出现安全支付日志漏洞,导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV等信息泄露。 2014年5月13日,小米论坛用户数据库泄露,涉及约800万使用小米手机、MIUI系统等小米产品的用户,泄露的数据中带有大量用户资料,可被用来访问“小米云服务”并获取更多的私密信息,甚至可通过同步获得通信录、短信、照片、定位、锁定手机及删除信息等。 2014年12月2日乌云漏洞平台公开了一个导致“智联招聘网”86万用户简历信息泄露的漏洞。黑客可通过该漏洞获取包含用户姓名、婚姻状况、出生日期、出生日期、户籍地址、身份证号、手机号等各种详细的信息。 2014年12月25日,12306网站用户数据信息发生大规模泄露。 2014年8月苹果“iCloud服务”被黑客攻破,造成数百家喻户晓的名人私密照片被盗。 …… 这些信息安全事件让人们开始感受到“数据”原来与我们的生活接触如此紧密,数据泄露可以对个人的生活质量造成极大的威胁。大数据时代,如何构建信
息安全体系,保护用户隐私,是企业未来发展过程中必须面对的问题。安全技术水平的提高、法律法规的完善、以及企业和个人用户正视数据的运用的意识缺一不可。 数据安全技术是保护数据安全的主要措施 在大数据的存储,传输环节对数据进行各种加密技术的处理,是解决信息泄露的主要措施。对关键数据进行加密后,即使数据被泄漏,数据的盗取者也无法从中获得任何有价值的信息。尽管对于大数据的加密动作可能会牺牲一部分系统性能,但是与不加密所面临的风险相比,运算性能的损失是值得的。这实际上是企业管理和风险管理间的协调,重要的是企业要有将信息安全放在第一位的理念。 目前数据加密保护技术主要包括:数据发布匿名保护、社交网络匿名保护、数据水印等几种。此外,除了对数据进行加密处理以外,也有许多可以运用在数据的使用过程,以及发生数据泄露之后的相关保护技术。这些技术可以有效地降低数据安全事故带来的损失。 1、数据发布匿名保护技术 数据发布匿名保护技术是对大数据中结构化数据实现隐私保护的核心关键与基本技术手段。能够很好地解决静态、一次发布的数据隐私保护问题。 2、社交网络匿名保护技术 社交网络匿名保护技术包括两部分:一是用户标识与属性的匿名,在数据发布时隐藏用户的标志与属性信息;二是用户间关系的匿名,在数据发布时隐藏用户之间的关系。 3、数据水印技术
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: ·直接损失:丢失订单,减少直接收入,损失生产率; ·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展 目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1: 表1 ISO27000标准族现行状态
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
等保测评之-信息安全管理制度
信息安全等级保护制度第三级要求 1 第三级基本要求 1.1技术要求 1.1.1 物理安全 1.1.1.1 物理位置的选择(G3) 本项要求包括: a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内; b) 机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁。 1.1.1.2 物理访问控制(G3) 本项要求包括: a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围; c) 应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安 装等过渡区域; d) 重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。 1.1.1.3 防盗窃和防破坏(G3) 本项要求包括: a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 应利用光、电等技术设置机房防盗报警系统; f) 应对机房设置监控报警系统。
1.1.1.4 防雷击(G3) 本项要求包括: a) 机房建筑应设置避雷装置; b) 应设置防雷保安器,防止感应雷; c) 机房应设置交流电源地线。 7.1.1.5 防火(G3) 本项要求包括: a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; b) 机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; c) 机房应采取区域隔离防火措施,将重要设备与其他设备隔离开。 1.1.1.6 防水和防潮(G3) 本项要求包括: a) 水管安装,不得穿过机房屋顶和活动地板下; b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; d) 应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 1.1.1.7 防静电(G3) 本项要求包括: a) 主要设备应采用必要的接地防静电措施; b) 机房应采用防静电地板。 1.1.1.8 温湿度控制(G3) 机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1.1.1.9 电力供应(A3) 本项要求包括:
信息安全管理规公司
版本信息 修订历史
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(级别)规定 (7) 1.6现行级别与原有级别对照表 (8) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (10) 1.10信息资产处理和保护要求对应表 (10) 1.11口令使用策略 (12) 1.12桌面、屏幕清空策略 (13) 1.13远程工作安全策略 (14) 1.14移动办公策略 (14) 1.15介质的申请、使用、挂失、报废要求 (15) 1.16信息安全事件管理流程 (17) 1.17电子安全使用规 (19) 1.18设备报废信息安全要求 (20) 1.19用户注册与权限管理策略 (20) 1.20用户口令管理 (21) 1.21终端网络接入准则 (21) 1.22终端使用安全准则 (22) 1.23出口防火墙的日常管理规定 (23) 1.24局域网的日常管理规定 (23) 1.25集线器、交换机、无线AP的日常管理规定 (23) 1.26网络专线的日常管理规定 (24) 1.27信息安全惩戒 (24) 2. 信息安全知识 (25) 2.1什么是信息? (25) 2.2什么是信息安全? (25) 2.3信息安全的三要素 (25)
2.4什么是信息安全管理体系? (26) 2.5建立信息安全管理体系的目的 (27) 2.6信息安全管理的PDCA模式 (28) 2.7安全管理-风险评估过程 (28) 2.8信息安全管理体系标准(ISO27001标准家族) (29) 2.9信息安全控制目标与控制措施 (30)
大数据时代的客户数据安全与隐私保护
大数据时代的客户数据安全与隐私保护 “大数据”一词来自于未来学家托夫勒于1980年所著的《第三次浪潮》。而最早开始对大数据进行应用探索的是全球知名咨询公司麦肯锡,2011年6月,麦肯锡公司发布了一份关于“大数据”的报告,该报告称:随着互联网的高速发展,全球信息化不断推进,数据将渗透到当今每一行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费盈余浪潮的到来。的确如麦肯锡所说,国际数据公司(IDC)的研究结果表明,2008年全球的数据量为0.49ZB,2009年的数据量为0.8ZB,2010年增长为1.2ZB,2011年数量更是高达1.82ZB,相当于全球每人产生200GB以上的数据。而整个人类文明所获得的全部数据中,有90%是过去几年内产生的。到2020年,全世界所产生的数据规模将达到今天的44倍。 数据如同一把双刃剑,在带来便利的同时也带来了很多安全隐患 数据对于互联网服务提供者而言具备了更多的商业价值,但数据的分析与应用将愈加复杂,也更难以管理。如同一把双刃剑,数据在带来许多便利的同时也带来了很多安全隐患,个人隐私无处遁形。回顾2014年,全球各地用户信息安全事件频出: 2014年3月22日“携程网”出现安全支付日志漏洞,导致大规模用户信息如姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV等信息泄露。 2014年5月13日,小米论坛用户数据库泄露,涉及约800万使用小米手机、MIUI系统等小米产品的用户,泄露的数据中带有大量用户资料,可被用来访问“小米云服务”并获取更多的私密信息,甚至可通过同步获得通信录、短信、照片、定位、锁定手机及删除信息等。 2014年12月2日