文档介绍：通信网络信息安全保障体系
工作总结
商务报告
商务展示
工作计划
信息安全事件回放（二）
北京ADSL断网事件
2006年7月12日14:35左右，北京地区互联网大面积断网。
事故原因：路由器软件设置发生故障
建立垂直组织
明确岗位职责
贯彻分权制衡原则
提高任职资格
建立关键岗位人员选拔制度
加强安全绩效考核
中移动网络与信息安全组织体系
集团公司网络
信息安全领导小组
集团公司网络
信息安全办公室
集团网络信息
安全小组
各省公司网络
信息安全领导小组
各省公司网络
信息安全办公室
各省网络信息
安全小组
决策层
管理层
执行层
集团公司
省公司
在总部和省公司建立了三层网络安全管理组织；
集团副总裁为集团领导小组组长，各部门总经理为小组成员；
集团公司网络信息安全办公室设在网络部。
集团公司组织架构
网络与信息安全领导小组
网络部
业务支撑系统部
管理信息系统部
网络安全办公室
网络部
业务支撑系统部
管理信息系统部
集团
省公司
为了进一步加强公司的网络安全工作，在网络部设立了网络安全处，负责推动公司层面的各项网络安全工作落实。
公司的安全管理，跨部门工作协调，组织落实公司范围的各项安全工作。
….
….
广西公司组织架构
网络与信息安全领导小组
网络部
信息系统部
运营支撑中心
网络安全办公室
网络与信息安全办公室负责公司具体的网络与信息安全工作 ，落实公司层面的各项网络安全政策，牵头部门为网络部。
公司的安全管理，跨部门工作协调，组织落实公司范围的各项安全工作。
….
….
….
网络运营中心
信息安全管理框架
信息安全目标
组
织
信息资产分类与控制
职员的安全管理
物理环境的安全
业务连续性管理
通信和操作安全
访问控制
系统开发与维护
检 查
总体策略
监控与审计
中移动网络与信息安全体系总纲
物理及环境安全
网络与信息资产管理
通信和运营管理的安全
网络与信息系统
的访问控制
系统开发
与软件维护的安全
安全事件响应
及业务连续性管理
安全审计
组织与人员
国家政策要求
企业发展战略
国内外标准
安全评估结果
技术规范
管理规范
操作手册
和具体系统相结合
流程、细则
和具体系统相结合
第一层
第二层
第三层
安全域划分技术规范、IP专网接入安全要求、安全产品测试规范……
帐号口令安全管理办法、终端安全管理办法……
网络与信息安全体系总纲
从宏观方针到微观操作, 建立了包含三个层面的安全制度体系
目录
信息安全：企业面临的巨大挑战
***信息安全管理体系介绍
中移动网络与信息安全总纲
组织与人员
集团公司和各省公司应建立公司级别的网络与信息安全常设领导机构。
设立专职安全队伍，建立安全事件响应流程。
所有岗位职责中必须包含安全内容，并实现职责分隔。
所有员工及使用***网络与信息资产的其他组织人员都应当签署保密协议。
所有员工都应当接受网络与信息安全培训。
对第三方访问需求应严格审核，进行风险分析，并采取相应控制措施。
应与客户签署相关协议，明确双方在网络与信息安全方面的权利、义务及违约责任，保障客户与公司双方的利益。
网络与信息资产管理
网络和信息资产包括实物资产、信息资产和软件资产 。
实物资产：计算机设备、数据网络通信设备（路由器、交换机等）；磁性媒介（磁带和磁盘等）、其他技术设备（电源以及空调装置等）等；
信息资产：技术文档、配置数据、拓扑图等；
软件资产：应用软件、系统软件以及开发工具等；
要求：
对所有网络与信息资产进行登记，形成资产清单。
明确责任人及安全保护级别，建立严格资产责任制度。
“谁主管，谁负责”。
物理及其环境安全体系架构
物理及环境安全
介质安全
设备安全
场地安全
场地安全保障
区域划分
出入控制
工作区办公
物流
人流
设备维护
电源
线缆
设备选址
销毁
使用
存放
介质申请
系统运作管理体系架构
权限管理
转产安全管理
变更管理
问题管理
监控
系统维护管理
系统
人员
设备
系统开发
安全事件响应及业务连续性管理
安全事件响应：建立安全事件报告流程，制定安全预警信息的授权审批发布流程。确保及时、准确地报告安全事件。
业务连续性管理
制定并实施业务连续性管理体系，将风险降至可以接受的水平。
根据业务影响分