文档介绍:目标:对涉及公司运营的所有信息资产(对通信网业务系统、 各支撑系统网络、以及市场、财务、研发、人力的各类重要信息)进行保护,保障公司“新跨越战略”实施,保护公司的核心竞争力。
指导思想:以风险管理为核心,
预防为主,技术手段为支撑,
围信任
解决信息安全问题的关键
建立一个完善的信息安全管理体系
整理ppt
目录
信息安全:企业面临的巨大挑战
***信息安全管理体系介绍
中移动网络与信息安全总纲
整理ppt
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799
综合顾问的管理和技术经验,结合公司现有的信息安全管理措施
以公司信息安全现状为基础,充分考虑了公司所存在的信息安全风险
参考国外业界最佳实践,同时考虑国内的管理和法制环境
整理ppt
中移动网络与信息安全的目标
为***的网络与信息安全管理工作建立科学的体系,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
目前公司网络与信息安全工作的重点集中在可用性、保密性和可审查性。
可用性
保密性
可审查性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授权的人员才可使用网络和保密信息
任何对公司业务运作的威胁和破坏行为都得到记录,并能跟踪和追查
整理ppt
中移动信息安全建设原则与总体策略
安全管理流程、制度和安全控制措施的设计应基于风险分析,而不应基于信任管理
权限制衡和监督原则:安全管理人员和网络管理人员、主机管理人员相互制约
作为国家基础设施提供商,其网络与信息安全工作目前必须围绕公司业务目标开展;
网络与信息安全管理工作应以风险管理为基础,在安全、效率和成本之间均衡考虑;
全面防范,突出重点
高层牵头
领导负责
全员参与
专人管理
整理ppt
中移动网络与信息安全策略架构
国家政策要求
企业发展战略
国内外标准
安全评估结果
技术规范
管理规范
操作手册
和具体系统相结合
流程、细则
和具体系统相结合
第一层
第二层
第三层
安全域划分技术规范、IP专网接入安全要求、安全产品测试规范……
帐号口令安全管理办法、终端安全管理办法……
网络与信息安全体系总纲
从宏观方针到微观操作, 建立了包含三个层面的安全制度体系
整理ppt
信息安全管理组织体系模型
信息安全决策层
决策、规划、保证机制
信息安全管理层
安全管理、工程、保证管理
信息安全操作层
运行、实施、保证
建立垂直组织
明确岗位职责
贯彻分权制衡原则
提高任职资格
建立关键岗位人员选拔制度
加强安全绩效考核
整理ppt
中移动网络与信息安全组织体系
集团公司网络
信息安全领导小组
集团公司网络
信息安全办公室
集团网络信息
安全小组
各省公司网络
信息安全领导小组
各省公司网络
信息安全办公室
各省网络信息
安全小组
决策层
管理层
执行层
集团公司
省公司
在总部和省公司建立了三层网络安全管理组织;
集团副总裁为集团领导小组组长,各部门总经理为小组成员;
集团公司网络信息安全办公室设在网络部。
整理ppt
集团公司组织架构
网络与信息安全领导小组
网络部
业务支撑系统部
管理信息系统部
网络安全办公室
网络部
业务支撑系统部
管理信息系统部
集团
省公司
为了进一步加强公司的网络安全工作,在网络部设立了网络安全处,负责推动公司层面的各项网络安全工作落实。
公司的安全管理,跨部门工作协调,组织落实公司范围的各项安全工作。
….
….
整理ppt
广西公司组织架构
网络与信息安全领导小组
网络部
信息系统部
运营支撑中心
网络安全办公室
网络与信息安全办公室负责公司具体的网络与信息安全工作 ,落实公司层面的各项网络安全政策,牵头部门为网络部。
公司的安全管理,跨部门工作协调,组织落实公司范围的各项安全工作。
….
….
….
网络运营中心
整理ppt
信息安全管理框架
信息安全目标
组
织
信息资产分类与控制
职员的安全管理
物理环境的安全
业务连续性管理
通信和操作安全
访问控制
系统开发