下载文档原格式
ISO/IEC27001知识体系ISO/IEC27001知识体系 (1)1.ISMS概述231.1什么是ISMS23信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。
近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。
ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
(23)在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下: (23)ISMS(信息安全管理体系):是整个管理体系的一部分。
它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
(23)这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。
(23)ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。
(23)单纯从定义理解,可能无法立即掌握ISMS的实质,我们可以把ISMS理解为一台“机器”,这台机器的功能就是制造“信息安全”,它由许多“部件”(要素)构成,这些“部件”包括ISMS 管理机构、ISMS文件以及资源等,ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。
中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号:1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求,是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。
本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准,涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。
本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。
1.0 目的为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。
2.0 适用范围本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。
3.0 信息安全组织机构及职责:根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。
3.1.1网络与信息安全工作管理组组长职责:负责公司与相关领导之间的联系,跟踪重大网络信息安全事件的处理过程,并负责与政府相关应急部门联络,汇报情况。
3.1.2网络与信息安全工作管理组副组长职责:负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。
3.1.3省网络部信息安全职能管理职责:省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。
3.1.4信息安全技术管理职责:各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。
中国移动客户信息安全保护管理规定目录中国移动客户信息安全保护管理规定 (1)第一章总则 (4)第二章客户信息保护原则 (4)第三章组织与职责 (6)第四章客户信息的内容及等级划分 (8)第一节客户信息的内容 (8)第二节客户信息等级划分 (9)第三节存储及处理客户信息的系统 (9)第五章岗位角色与权限 (10)第一节业务部门岗位角色与权限 (10)第二节运维支撑部门岗位角色与权限 (14)第六章帐号与授权管理 (16)第七章客户信息全生命周期管理 (17)第一节客户信息的收集 (17)第二节客户信息的传输 (18)第三节客户信息的存储 (19)第四节客户信息的使用 (20)第五节客户信息的共享 (25)第六节客户信息的销毁 (25)第八章金库模式管控 (26)第一节管控系统范围 (27)第二节场景管理 (27)第三节实现方式 (28)第四节策略管理 (29)第九章第三方管理 (29)第十章客户信息系统的技术管控 (32)第一节系统安全防护 (32)第二节集中4A管控要求 (33)第三节远程接入管控 (34)第四节客户信息泄密防护 (35)第五节系统间接口管理 (36)第六节数据脱敏 (37)第十一章敏感操作日志管理 (37)第一节操作日志记录 (38)第二节操作日志集中化 (38)第三节操作日志审核 (39)第十二章客户信息安全审核 (40)第一节合规性审核 (40)第二节日常例行安全审核与风险评估 (41)第十三章安全事件应急响应 (41)第十四章事后问责 (42)第十五章附则 (43)附录1 (44)客户信息分类表 (44)附录2 (46)客户信息分级及管控原则 (46)附录3 (47)业务部门和支撑部门岗位角色 (47)附录4 (49)客户信息模糊化参考规则 (49)附录5 (52)客户信息开放规则 (52)第一章总则第一条为加强中国移动客户信息安全管理,规范客户信息访问流程、用户访问权限以及承载客户信息的环境,防范客户信息被违法使用和传播的风险,根据国家《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规及制度要求,特制定本规定。
