【正文】 描述應(yīng)包括落實安全政策的常規(guī)職責和保護具體資產(chǎn)或執(zhí)行具體安全程序或活動的特定職責。公司擁有的每項網(wǎng)絡(luò)與信息資產(chǎn)，必須根據(jù)資產(chǎn)歸屬確定 “ 責任人 ” 。應(yīng)從管理、財務(wù)等非技術(shù)因素詳細分析待實施的安全措施，綜合比較實施成本與由此減少的潛在損失，非經(jīng)濟因素也應(yīng)考慮在內(nèi)。 ? 可行性。 ? 濫用和誤用等。 ? 可用性（ Availability）：確保被授權(quán)用戶能夠在需要時獲取網(wǎng)絡(luò)與信息資產(chǎn)。 無論對企業(yè)、國家還是個人，保證其安全性是十分重要的。 網(wǎng)絡(luò)與信息安全的三個基本屬性 ? 機密性（ Confidentiality）：確保網(wǎng)絡(luò)設(shè)施和信息資源只允許被授權(quán)人員訪問。 網(wǎng)絡(luò)面臨的典型威脅 ? 未經(jīng)授權(quán)的訪問 。 中國移動網(wǎng)絡(luò)與信息安全體系 國內(nèi)外標準 合作方經(jīng)驗網(wǎng)絡(luò)與信息安全體系（ NISS ）總綱安全評估結(jié) 果技術(shù) 管理具體實施現(xiàn)有規(guī)范檢查考核效果評估安全審計業(yè)務(wù)保障系統(tǒng)開發(fā)訪問控制運營維護物理環(huán)境信息資產(chǎn)組織人員網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用安全設(shè)備安全技術(shù)第一層第二層第三層操作手冊流程、細則中國移動網(wǎng)絡(luò)與信息安全體系 (NISS)由兩部分組成，一部分是一系列安全策略和技術(shù)管理規(guī)范（第一、二層），另一部分是實施層面的工作流程（第三層）。安全措施必須在技術(shù)上是可操作的，可以實現(xiàn)的。 安全工作的八個方面 國內(nèi)外標準 合作方經(jīng)驗網(wǎng)絡(luò)與信息安全體系（ NISS ）總綱安全評估結(jié) 果技術(shù) 管理具體實施現(xiàn)有規(guī)范檢查考核效果評估安全審計業(yè)務(wù)保障系統(tǒng)開發(fā)訪問控制運營維護物理環(huán)境信息資產(chǎn)組織人員網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用安全設(shè)備安全技術(shù)第一層第二層第三層操作手冊流程、細則組織與人員 網(wǎng)絡(luò)與信息資產(chǎn)管理 物理與環(huán)境安全 通信與運營管理安全 訪問控制 開發(fā)與維護 安全事件響應(yīng)與業(yè)務(wù)連續(xù)性 安全審計 組織與人員 安全工作 “ 三分靠技術(shù)，七分靠管理 ” ，建立有效的組織機構(gòu)是安全管理的基礎(chǔ)。 “ 責任人 ” 對資產(chǎn)安全保護負有完全責任。 控制第三方訪問所采取的措施 ? 公司應(yīng)與第三方公司法人簽署保密協(xié)議，并要求其第三方個人簽署保密承諾，此項工作應(yīng)在第三方獲得網(wǎng)絡(luò)與信息資產(chǎn)的訪問權(quán)限之前完成。 人員考察 ? 來自組織和個人的品格鑒定； ? 學歷和履歷的真實性和完整性； ? 學術(shù)及專業(yè)資格； ? 身份查驗。 網(wǎng)絡(luò)與信息資產(chǎn)管理 ? 網(wǎng)絡(luò)與信息資產(chǎn)責任制度 ? 資產(chǎn)清單 ? 資產(chǎn)責任制度：責任人的職責和權(quán)限、維護人的職責和權(quán)限 ? 資產(chǎn)安全等級及相應(yīng)的安全要求 ? 信息的安全等級、標注及處置 ? 網(wǎng)絡(luò)信息系統(tǒng)安全等級 物理與環(huán)境安全 物理與環(huán)境安全是保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)及存儲媒介免受非法的物理訪問、自然災(zāi)害和環(huán)境危害。 日常安全工作 日常安全工作包括安全預(yù)警、安全監(jiān)控、安全設(shè)備維護、安全類統(tǒng)計分析（性能、日志、安全事件）等。 用戶帳戶檢查間隔 用戶賬戶的訪問權(quán)限應(yīng)至少每 6個月檢查一次，特殊功能賬戶應(yīng)至少每 3個月檢查一次，超級賬戶應(yīng)至少每 1個月檢查一次 開發(fā)與維護 網(wǎng)絡(luò)與信息系統(tǒng)的安全控制或安全性是通過系統(tǒng)的開發(fā)設(shè)計予以實現(xiàn)的，在設(shè)計階段采取控制措施遠比在實施過程中或者實施結(jié)束之后落實控制措施更廉價。 ? 采取保護公鑰完整性的安全措施，例如使用公鑰證書； ? 確定簽名算法的類型、屬性以及所用密鑰長度； ? 用于數(shù)字簽名的密鑰應(yīng)不同于用來加密內(nèi)容的密鑰； ? 符合有關(guān)數(shù)字簽名的法律法規(guī)。 安全域是一個邏輯范圍或區(qū)域，同一安全域中的信息資產(chǎn)具有相同或相近的安全屬性 對于中國移動，各個支撐系統(tǒng)本身相當于一個安全域；而對于某一支撐系統(tǒng)，又可劃分為集團公司層面、省公司層面、地市層面的安全子域；各安全子域進而可分為不同的安全區(qū)域。 ? 結(jié)構(gòu)簡化原則：安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護體系。 根據(jù)安全域的劃分原則，結(jié)合目前支撐系統(tǒng)的現(xiàn)狀，需要從廣域網(wǎng)、局域網(wǎng)、終端三個方面進行網(wǎng)絡(luò)調(diào)整，實現(xiàn)支撐系統(tǒng)之間的有效隔離。 （ 2）網(wǎng)管系統(tǒng) 集團直接連接 CMNet骨干網(wǎng)，實現(xiàn) IP綜合網(wǎng)管數(shù)據(jù)采集和對網(wǎng)元進行管理的功能； 在各省網(wǎng)管系統(tǒng)設(shè)置互聯(lián)網(wǎng)出口，實現(xiàn) IP綜合網(wǎng)管功能。 網(wǎng)管系統(tǒng)的邊界整合 主要技術(shù)規(guī)范及標準 ?中國移動 網(wǎng)絡(luò)與信息安全體系總綱（ NISS） ?中國移動 支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求 ?中國移動 互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處理預(yù)案 ?中國移動 帳號口令管理辦法 應(yīng)急處理預(yù)案的目的、原則及編制依據(jù) 目的：建立健全中國移動互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處理工作機制，提高互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急處理能力和水平，保障互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。 網(wǎng)絡(luò)與信息安全領(lǐng)導小組職責 ? 貫徹國家有關(guān)方針政策，審定互聯(lián)網(wǎng)安全事件應(yīng)急響應(yīng)相關(guān)政策及規(guī)定； ? 啟動 /終止預(yù)案，并負責互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作的總體指揮和協(xié)調(diào)； ? 根據(jù)上級部門指示，決策重大互