【正文】 :36:3203:36Apr231Apr23 ? 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 。 ? 網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)、操作、使用和管理不僅要遵從公司本身的安全方針，而且要符合國(guó)家法律法規(guī)、管理?xiàng)l例及合同的要求，以及符合美國(guó)薩班斯法案的要求。 ? 所有員工及使用中國(guó)移動(dòng)網(wǎng)絡(luò)與信息資產(chǎn)的其他組織人員都應(yīng)當(dāng)簽署保密協(xié)議。 – 從全球及我們自身看，網(wǎng)絡(luò)安全的形式非常嚴(yán)峻 – 進(jìn)入網(wǎng)管中心或者通過網(wǎng)管中心進(jìn)入各生產(chǎn)網(wǎng)元，一定要實(shí)行有效的多次密碼認(rèn)證的管理，嚴(yán)格管理每一次進(jìn)入。 網(wǎng)絡(luò)與信息安全保障體系 中國(guó)移動(dòng)網(wǎng)絡(luò)與信息安全保障體系 技術(shù)及防 護(hù)支撐手段 安全 運(yùn)行 管理規(guī)定 和技術(shù)指南 安全 組織架構(gòu) 制定 執(zhí)行 支撐 基于 運(yùn)用 建立 目錄 ? 信息安全：企業(yè)面臨的巨大挑戰(zhàn) ? 中國(guó)移動(dòng)信息安全管理體系介紹 ? 中移動(dòng)網(wǎng)絡(luò)與信息安全總綱 安全事件分布 安全事件的損失 安全威脅方的分布 ? 獨(dú)立黑客：黑客攻擊越來(lái)越頻繁，直接 影響企業(yè)正常的業(yè)務(wù)運(yùn)作！ ? 內(nèi)部員工： ?信息安全意識(shí)薄弱的員工誤用、濫用等； ?越權(quán)訪問，如：系統(tǒng)管理員，應(yīng)用管理員越權(quán)訪問數(shù)據(jù)； ?政治言論發(fā)表、非法站點(diǎn)的訪問等； ?內(nèi)部不穩(wěn)定、情緒不滿的員工。 信息安全是信息服務(wù)提供商的核心保證 ? 一個(gè)不安全的網(wǎng)絡(luò)，將不可能提供高質(zhì)量的信息服務(wù) ? 信息服務(wù)必須讓客戶可信任 ? 解決信息安全問題的關(guān)鍵 – 建立一個(gè)完善的信息安全管理體系 目錄 ? 信息安全：企業(yè)面臨的巨大挑戰(zhàn) ? 中國(guó)移動(dòng)信息安全管理體系介紹 ? 中移動(dòng)網(wǎng)絡(luò)與信息安全總綱 中移動(dòng)網(wǎng)絡(luò)與信息安全建設(shè)總體思路 ? 基于信息安全管理國(guó)際標(biāo)準(zhǔn) BS7799/ISO17799 ? 綜合顧問的管理和技術(shù)經(jīng)驗(yàn)，結(jié)合公司現(xiàn)有的信息安全管理措施 ? 以公司信息安全現(xiàn)狀為基礎(chǔ)，充分考慮了公司所存在的信息安全風(fēng)險(xiǎn) ? 參考國(guó)外業(yè)界最佳實(shí)踐，同時(shí)考慮國(guó)內(nèi)的管理和法制環(huán)境 中移動(dòng)網(wǎng)絡(luò)與信息安全的目標(biāo) ? 為中國(guó)移動(dòng)的網(wǎng)絡(luò)與信息安全管理工作建立科學(xué)的體系，確保安全控制措施落實(shí)到位，為各項(xiàng)業(yè)務(wù)的安全運(yùn)行提供保障。 – 實(shí)物資產(chǎn)：計(jì)算機(jī)設(shè)備、數(shù)據(jù)網(wǎng)絡(luò)通信設(shè)備（路由器、交換機(jī)等）；磁性媒介（磁帶和磁盤等）、其他技術(shù)設(shè)備（電源以及空調(diào)裝置等）等； – 信息資產(chǎn)：技術(shù)文檔、配置數(shù)據(jù)、拓?fù)鋱D等； – 軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件以及開發(fā)工具等； 要求： 對(duì)所有網(wǎng)絡(luò)與信息資產(chǎn)進(jìn)行登記，形成資產(chǎn)清單。 – 帳號(hào)口令安全管理辦法 – 終端安全管理辦法 – 病毒防制相關(guān)規(guī)定 – 信息安全保密相關(guān)規(guī)定 – …… 管理者的責(zé)任 ? 責(zé)任清晰 – 各級(jí)部門的一把手是本部門信息安全的第一責(zé)任人 – 負(fù)責(zé)信息安全管理規(guī)定在本部門的推行和落實(shí) – 對(duì)本部門人員的違規(guī)事件承擔(dān)領(lǐng)導(dǎo)責(zé)任和連帶處罰 ? 如何管理 – 各部門主管首先需要以身作則，帶頭遵守公司各項(xiàng)信息安全規(guī)定 – 要在部門的各種場(chǎng)合向部門強(qiáng)調(diào)和灌輸信息安全保密意識(shí) – 在本部門指定專門的人員負(fù)責(zé)信息安全工作 – 在部門內(nèi)持續(xù)不斷的進(jìn)行信息安全宣傳、檢查 – 對(duì)本部門人員的違規(guī)行為應(yīng)嚴(yán)肅對(duì)待，不姑息，不袒護(hù) 普通員工的責(zé)任 ? 嚴(yán)格遵守和執(zhí)行公司各類信息安全管理規(guī)定和流程制度以及安全方面的有關(guān)措施 ? 有義務(wù)制止他人違規(guī)行為或及時(shí)向信息安全部反饋可能造成泄密、竊密或其他安全隱患 如何避免信息安全違規(guī) ?首先需要每個(gè)員工有強(qiáng)烈的安全意識(shí) ?積極學(xué)習(xí)公司的各類信息安全管理規(guī)定和安全措施，將遵守安全規(guī)定融入自己的日常工作行為中 員