信息安全管理体系及重点制度介绍

1信息安全管理体系及重点制度介绍信息系统部2011年5月4日2目录信息安全管理体系介绍1基础电信企业信息安全责任管理办法2基础信息安全要求3客户信息保护管理规定4信息安全三同步管理办法5业务安全风险评估标准63ISO17799:2000国际标准BS7799-1:1999BS7799-2:1999英国标准BS7799-2:2002BS7799-1:2000ISO17799:2005ISO27001:2005BS7799:1996BS7799-3:2005安全管理体系标准的发展历史4ISO27001的标准全称Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技术-安全技术-信息安全管理体系-要求ISMS信息安全管理体系-管理体系-信息安全相关-ISO27001的3术语和定义-3.7Requirements要求ISO/IEC27001介绍5建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。管理体系包括组织结构，策略，规划，角色，职责，流程，程序和资源等。(ISO270013术语和定义-3.7)管理的方方面面以及公司的所有雇员，均囊括在管理体系范围内。什么是管理体系？Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)6什么是信息安全？AlterationDestructionDisclosureInformationIntegrityAvailabilityConfidentialityInformation保护信息的保密性、完整性和可用性(CIA);另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性(ISO270013术语和定义-3.4)机密性（Confidentiality）信息不能被未授权的个人，实体或者过程利用或知悉的特性(ISO270013术语和定义-3.3)完整性（Integrity）保护资产的准确和完整的特性(ISO270013术语和定义-3.8).确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。可用性（Availability）根据授权实体的要求可访问和利用的特性(ISO270013术语和定义-3.2).确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源7信息安全管理体系所涵盖的领域安全策略合规性信息安全组织资产管理信息系统获取开发和维护人力资源安全物理和环境安全通信和操作管理访问控制信息安全事件管理业务连续性管理8湖南移动信息安全管理体系9湖南移动信息安全管理制度已发布制度–《湖南移动信息安全管理办法》和责任矩阵–《湖南移动信息安全三同步管理办法》–《中国移动客户信息安全保护管理规定（试行）》和控制矩阵–《中国移动业务信息安全评估标准》（2011）–《中国移动基础信息安全管理通用要求（试行）》和检查矩阵实践案例汇编–“客户信息安全保护解决方案汇编”–“基础信息安全案例汇编”计划完善的制度–安全应急处置–责任追究–安全检查管理办法–……10目录信息安全管理体系介绍1基础电信企业信息安全责任管理办法2基础信息安全要求3客户信息保护管理规定4信息安全三同步管理办法5业务安全风险评估标准611基础电信企业信息安全责任管理办法互联网新技术新业务的广泛，信息安全事件时有发生普遍存在“重市场发展、轻安全管理”的现象,甚至还有“只顾赚钱，漠视安全”的情况存在基础电信企业的信息安全责任和要求不尽明确。企业对自身应承担的信息安全责任重视不够、投入不足。行业监管机构对企业信息安全责任和义务缺乏有效监督和管理的方式方法。企业信息安全责任保障条件总则监督管理基础电信企业信息安全责任管理办法（工信部保[2009]713号）12基础电信企业信息安全责任管理办法--总则第三条（信息安全）本办法所称信息安全指电信网络（包括固定网、移动网和互联网）上的公共信息内容安全。第四条（企业信息安全责任）企业有义务维护国家安全、社会稳定和用户合法权益；应在网络建设、业务提供、应急处置、信息报备、人员培训等方面建立健全企业信息安全责任制度，同步建设与企业网络、业务和用户发展相适应的信息安全保障体系和技术保障手段；保障必要的人员和资金投入。总则13基础电信企业信息安全责任管理办法—企业信息安全责任企业信息安全责任规范合作经营技术保障措施配合监管信息报备网络建设开办业务日常监测用户信息保护接入责任14企业信息安全责任--（网络建设）企业在电信网络的设计、建设和运行过程中，应做到与国家信息安全的需求同步规划，同步建设，同步运行。企业在系统规划、建设、升级、改造等环节应认真落实国家信息安全要求，同步配套相关信息安全设备和设施。企业在网络设备选型、采购和使用时，应遵守电信设备进网要求，满足信息安全管理需要。15企业信息安全责任--（开办业务）企业应履行信息安全承诺，按照电信业务经营许可的信息安全要求开展和经营相关电信业务。企业要在新产品立项、产品开发和业务上线（包括合作开办）的各环节：–建立实施信息安全评估制度，–同步配套与业务特点和用户规模相适应的信息安全保障措施，–明确业务的信息安全负责人，–建立相应的管理制度和应急处置流程，–按规定向电信监管机构进行业务信息报备。16企业信息安全责任--（日常监测）对本企业通信网络中发现的违法信息，企业应立即停止传输，保存相关记录，并向国家有关机关报告。对有关部门依法通知停止传输的违法信息，企业应配合执行。17企业信息安全责任--（用户信息保护）电信用户依法使用电信的自由和通信秘密受法律保护。企业及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容（法律另有规定的除外）。对于本企业业务网络/系统中保存的有关用户资料和信息，企业应依法予以保护，不得非法出售或者提供给其他组织和个人、不得用于与企业业务无关的用途。18企业信息安全责任--（接入责任）企业不得向未取得电信业务经营许可证的单位或个人提供用于经营性电信业务的电信资源、网络接入和业务接入；不得向未备案非经营性互联网站提供网络接入。企业应监督接入用户按照约定的用途使用电信资源或开展业务。发现擅自改变使用用途的，及时通知整改，涉及违法犯罪的，及时向有关部门报告。企业应定期检查接入内容。发现信息安全问题和隐患及时做出相应处理。19企业信息安全责任--（规范合作经营）企业在开展业务合作前，要对合作方的经营资质、业务许可等信息进行审核，并在合同中明确各方的信息安全责任。企业应当对合作提供的各类业务进行规范和监督，建立违法信息发现、监测和处置制度。对合作中出现的信息安全问题和隐患，企业应督促合作单位及时整改，或者按照合同约定进行处理，对违反法律的，报送相关部门查处。20企业信息安全责任--（技术保障措施）企业应当建立并完善事前防范、事中阻断、事后追溯的信息安全技术保障体系。企业应当建立必要的技术手段，加强对重要电信资源（如电信码号、网络带宽、IP地址、域名等）的管理。企业应当认真落实接入责任，建全信息安全管理和公共信息服务内容日常核查手段。21企业信息安全责任--（配合监管）企业应当认真配合电信监管机构开展信息安全监督管理工作，保证相关工作顺利实施。–企业应当依法记录并妥善保存用户使用电信网络的有关信息，相关信息应当至少保存60日。–对存在的信息安全问题和隐患，企业应当严格按照电信监管机构的处理意见进行整改。–因涉及国家安全或处置紧急事件的需要，电信监管机构根据国家的有关规定和要求组织实施通信管制，企业应当配合执行。22企业信息安全责任--（信息报备）企业应当遵照有关信息安全要求和规定，执行信息安全信息上报、备案制度，接受并配合电信监管机构的监督检查。–可能引发信息安全隐患的网络调整、扩容、电信基础资源使用变更等；–可能引发信息安全隐患的新开展业务；–企业信息安全责任人或联系人信息变更；–企业业务网络/系统内发生的各类信息安全事件。企业应保证相关报备信息的及时、准确、完整。23基础电信企业信息安全责任管理办法—通报整改制度电信监管机构对企业落实信息安全责任情况建立日常监测机制，实行通报整改制度。对存在信息安全隐患或者发生信息安全事故的企业，电信监管机构向企业提出书面整改意见，责成企业限期整改，并视情况在一定范围内予以通报。电信监管机构定期或不定期对企业落实信息安全责任的情况进行专项监督检查。企业应当将每年落实信息安全责任的有关情况形成书面报告报电信监管机构。对在新产品立项、产品开发和业务上线（包括合作开办）各环节未同步开展信息安全评估、未同步配套与该业务相适应的信息安全保障措施、未按规定要求向电信监管机构进行业务信息报备，而造成特（重）大信息安全事件（或被有关部门通报并经电信监管机构组织专家研究认定该业务存在严重信息安全隐患）的，由电信监管机构责令相关企业限期整改，未经整改合格的，不得开展该业务。监督管理24基础电信企业信息安全责任管理办法—通报整改制度对因自身管理原因造成信息安全事件，由电信监管机构追究相关企业责任。–（一）企业在一年内，发生1次特大信息安全事件的，或累计发生3次（及3次以上）重大信息安全事件的，由电信监管机构予以通报批评，对相关责任人提出处理意见或建议，通报相关管理部门，并视情况向社会通告。–（二）企业在一年内，发生1次重大信息安全事件的，或累计发生5次（及5次以上）一般信息安全事件的，由电信监管机构予以通报批评，对相关责任人提出处理意见或建议，并通报相关管理部门。–（三）企业在一年内，发生5次以下一般信息安全事件的，由电信监管机构在电信行业内进行通报。–（四）企业存在信息安全问题或隐患，未按要求在规定期限内进行相应整改的，由电信监管机构予以通报批评，对相关责任人提出处理意见或建议，并视情况通报相关管理部门。构成犯罪的，移送司法机关依法追究刑事责任。监督管理25基础电信企业信息安全责任管理办法—重点（一）落实基础企业领导人问责制–明确和落实企业领导责任。–对工作不落实、措施不到位、被电信主管部门通报批评的，追究企业信息安全责任人的领导责任。–对整改不力、屡改屡犯、故意违规的，通报批评相应企业信息安全责任人，并函告其上级主管部门追究企业信息安全责任人的领导责任。26基础电信企业信息安全责任管理办法—（二）加强业务推广、合作经营的管理–对业务推广渠道中业务合作的建立、合作内容的规范、合作问题的发现和监督、业务推广模式的实现等相关细节明确制度化、规范化的要求。–监督合作单位相关责任和义务落实情况，确保实效。•对合作中出现的信息安全问题和隐患，企业应督促合作单位及时整改；发现存在违规的，立即暂停或终止合作；发现违反法律的，报送相关部门查处。27基础电信企业信息安全责任管理办法—（三）落实接入环节管理责任–为无证服务商提供接入、为未取得经营许可或备案的网站接入的，追究相关人员责任。–与接入服务商、网站签订信息安全管理协议。–监督接入服务商、网站的日常活动，配合相关主管部门对接入服务商、网站接入的查处。•对发现涉及违法犯罪的，应及时停止接入、保存记录，并向有关部门报告。•对无法判定的涉嫌违规内容，应保存记录，并向有关部门报告，配合有关部门的研判和处置。28目录信息安全管理体系介绍1基础电信企业信息安全责任管理办法2基础信息安全要求3客户信息保护管理规定4信息安全三同步管理办法5业务安全风险评估标准629