文档介绍：密级:
文档编号:
项目代号:
中国移动企业信息化系统
安全加固方案及实施计划
Version
中国移动通信有限公司
二零零四年十二月
拟制:
审核:
批准:
会签:
标准化:
版本控制
版本号
日期
参与人员
更新说明
分发控制
编号
读者
文档权限
与文档的主要关系
1
创建、修改、读取
负责编制、修改、审核
2
批准
负责本文档的批准程序
3
标准化审核
作为本项目的标准化负责人,负责对本文档进行标准化审核
4
读取
5
读取
目录
第1章. 概述 - 6 -
. 目的 - 6 -
. 适用范围 - 6 -
. 实施 - 6 -
. 检查和评估 - 7 -
第2章. 信息化系统安全体系结构 - 8 -
. 第一层:中国移动企业信息化系统安全策略 - 11 -
. 第二层:中国移动企业信息化系统安全规范和标准 - 11 -
. 第一个子层:企业信息化系统安全规范总则 - 12 -
. 第二个子层:企业信息化系统安全规范 - 12 -
. 第三层:中国移动企业信息化系统安全操作手册、流程和细则 - 13 -
. 第一个子层:各具体产品平台的安全配置手册 - 14 -
. 第二个子层:日常运行维护过程中的安全操作流程和步骤 - 15 -
第3章. 信息化系统安全加固方案 - 17 -
. 安全体系完善计划 - 17 -
. 风险管理规范 - 19 -
. 系统安全自测规范 - 19 -
. 信息资产管理规范 - 20 -
. 系统生命周期安全管理规范 - 20 -
. 系统安全许可证规范 - 21 -
. 人力资源安全管理规范 - 22 -
. 内部审计规范 - 22 -
. 业务连续性计划规范 - 23 -
. 安全事件检测和响应规范 - 23 -
. 个人安全规范 - 24 -
. 数据备份和恢复规范 - 25 -
. 加密规范 - 25 -
. 远程访问规范 - 26 -
. 用户身份识别和认证规范 - 27 -
. 日志管理规范 - 27 -
. 文档管理规范 - 28 -
. 补丁管理规范 - 28 -
. 物理安全规范 - 29 -
. 介质安全管理规范 - 30 -
. 安全体系部署/实施计划 - 31 -
. 信息安全体系建设生命周期 - 31 -
. 信息安全体系部署/实施关键成功因素 - 32 -
. 信息安全体系部署/实施策略及指导原则 - 33 -
. 信息安全体系部署/实施计划建议 - 34 -
. 安全体系部署 - 35 -
. 试点 - 36 -
. 推广 - 37 -
. 总部安全技术体系加固方案和建设计划 - 39 -
. 审计响应 - 40 -
. 安全总控中心 - 40 -
. 网络安全审计系统 - 43 -
. 主机入侵检测系统 - 46 -
. 安全扫描、安全政策检查 - 47 -
. 冗余恢复 - 48 -
. 业务连续性计划/灾难恢复计划 - 48 -
. 内容安全 - 51 -
. 内容过滤 - 51 -
. 访问控制 - 53 -
. 网络安全体系建设 - 53 -
. 鉴别认证 - 55 -
. 各信息系统的统一单点登录 - 55 -
. 安全管理 - 65 -
. 个人信息及桌面安全管理 - 65 -
. 员工安全意识普及教育 - 67 -
. 信息安全风险评估 - 68 -
概述
目的
中国移动企业信息化系统安全加固方案和实施计划是移动集团总部信息化办公室和各省公司信息化办公室对其所负责的平台(统一信息平台、OA等)的安全指南。
集团公司信息化办公室针对信息系统安全制定了一系列由概括到具体的政策,规范和操作手册。这些文件组成了信息化系统安全体系。本文件是针对该体系的全面描述。本文件可以作为体系中所有文件的索引和入口,以帮助相关人员全面地了解信息化系统安全体系的组成。
为了