中国移动第三方安全管理办法.doc
《中国移动第三方安全管理办法.doc》由会员分享,可在线阅读,更多相关《中国移动第三方安全管理办法.doc(15页珍藏版)》请在三一办公上搜索。
1、中国移动第三方管理办法(试行)中国移动通信集团公司二一一年七月目 录第一章 总则3第二章 组织与职责3第三章 第三方公司及人员管理4第四章 第三方安全域及防护要求6第五章 第三方接入管理7第六章 第三方帐号及权限管理8第七章 第三方系统安全管理9第九章 第三方信息安全审核、监督与检查11第十章 附则13第一章 总则第一条 为了加强对第三方合作伙伴、人员、系统的安全管理,防止引入第三方给公司带来的安全风险,特制定本管理办法。第二条 本办法适用于中国移动通信集团公司各部门,铁通公司,国际信息港建设中心、研究院、设计院、管理学院及各省、自治区、直辖市公司(以下简称:各省公司)。第三条 本办法所指第三
2、方包括第三方公司、第三方系统、第三方人员:(一) 第三方公司是指向中国移动提供服务的外部公司。(二) 第三方系统是指为中国移动服务或与中国移动合作运营的系统。这些系统可能不在中国移动机房内,但能通过接口与中国移动的系统发生数据交互。(三) 第三方人员是指为中国移动提供开发、测试、运维等服务或参与合作运营系统管理的非中国移动人员。第四条 对第三方公司的信息安全管理应遵循如下原则: “谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则。第二章 组织与职责第五条 中国移动第三方安全管理责任部门为对口合作(包括代维、开发、测试、增值业务合作)的主管部门(以下简称 “对口主管部门”),并应按
3、照本办法严格落实对第三方的信息安全管理。第六条 对于与我公司开展合作运营的第三方公司,对口主管部门应要求其设立专职安全管理机构或人员,按照中国移动的网络与信息安全的管理规定,严格落实信息安全责任,建立日常安全运维、检查制度,确保不发生信息泄密、重大安全漏洞。第七条 对口主管部门应要求在我公司开展现场长期服务的第三方公司,在派驻现场设立专职信息安全管理人员,其主要职责包括:负责按照国家及中国移动的信息安全管理要求,开展派驻现场的安全管理,指导和监督派驻现场人员的信息安全,确保不发生违规行为;接受我公司的监督和考核等。信息安全管理人员发生变更时,应在变更前1周将有关变更信息报送中国移动对口主管部门
4、。第八条 对口主管部门要督促指导第三方公司及人员遵循中国移动的安全管理制度和规范,将安全要求作为考核内容,纳入双方合作协议,定期组织对第三方安全检查。第三章 第三方公司及人员管理第九条 第三方公司必须与中国移动签订保密协议,在协议中明确第三方公司的保密责任以及违约罚则;第三方公司应与其员工签订保密协议,在协议中明确第三方公司员工的保密责任以及违约罚则。第十条 第三方公司必须严格遵守中国移动客户服务“五条禁令”的要求和规定。第十一条 第三方公司在合作过程中,如能接触到中国移动客户资料、经营信息等各类敏感信息及商业秘密(下面简称敏感信息),应保证不损害敏感信息的保密性、完整性、可用性、真实性、可核
5、查性、可靠性、防抵赖性。第十二条 第三方人员管理的范畴包括临时人员和长期人员:临时人员指因业务洽谈、技术交流、提供短期和不频繁技术支持服务的人员;长期人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务的人员。第十三条 第三方公司应定期对其员工进行信息安全意识教育和安全培训,严格遵守中国移动相关信息安全管理制度和规范。第十四条 长期派驻中国移动的第三方人员在转岗或离岗前,第三方公司需提交第三方人员转岗或离岗申请,对口主管部门应牵头完成第三方人员的帐号回收、变更、审核等工作,在签署转岗或离岗审批意见后,第三方人员方可正式转岗或离岗。第十五条 由第三方公司参与开发并提供代维服务的业务系统或软
6、件程序,如果系统或程序能接触到客户敏感信息,如客户通信详单、通信内容、位置信息等,原则上,应要求将第三方系统开发文档应提交对口主管部门留档,文档应注明分发范围,并要求开发人员、测试人员、项目管理人员严格遵守分发控制要求。第十六条 第三方公司参与或独立开发的业务系统或软件程序,应落实版本管理工作,并主动在上线入网验收前向对口主管部门提交其源代码或代码审计报告,对口主管部门进行备案存档。第十七条 第三方公司应对其参与或独立开发的业务系统或软件程序源代码进行妥善保管,严格控制第三方人员访问权限,避免代码泄漏。第四章 第三方安全域及防护要求第十八条 根据中国移动各支撑网的安全域划分技术要求,与第三方公
7、司信息安全管理相关联的安全域应设置为:数据核心安全区、第三方合作伙伴互联区、第三方用户接入区(系统开发接入区、系统维护接入区)。第十九条 数据核心安全区安全级别最高,放置重要的设备和系统,包含但不限于提供关键应用的应用服务器、保存机密信息的数据库服务器,以及具有管理权限的管理控制台和服务。第二十条 第三方合作伙伴互联区是供第三方公司接入或访问的区域,可能存放中国移动的敏感信息。该区域位于中国移动的网络安全边界内。如需访问该区域中的系统,需要有严格的认证。认证过程需应避免信息泄漏或认证过程的重放。第二十一条 第三方合作伙伴互联区和数据核心安全区之间敏感信息的数据交换需采取严格的管控措施。包括:需
8、在防火墙上实施点对点访问控制策略,源IP和目的IP均要限制在最小范围内,仅开放相应的业务端口,交互的数据采用加密方式保护。第三方合作伙伴互联区域的系统需定期进行安全扫描和加固。第二十二条 第三方用户接入区是第三方人员(包含但不限于第三方维护人员、第三方开发人员等)终端接入的区域。第三方接入区不能直接访问数据核心安全区,需通过第三方合作伙伴互联区才能访问。第三方接入区访问其它安全区域时应经4A、堡垒主机严格控制。原则上涉及中国移动敏感信息的第三方系统纳入第三方合作伙伴互联区。第五章 第三方接入管理第二十三条 第三方人员进入中国移动生产区域或者登录中国移动各业务系统操作时,应严格遵守中国移动的各项
9、安全管理制度和规范。第二十四条 第三方人员工作区域应与中国移动的生产、内部办公、维护区域分离,即在安全域中划分独立的第三方用户接入区,如系统开发接入区、系统维护接入区等,并应采用更严格的访问控制策略和管控手段。第二十五条 第三方用户接入区部署的常驻终端,应有严格的接入认证,并满足中国移动相关终端安全合规性检查标准。第二十六条 第三方用户接入区内的非常驻终端,需按照相应申请审批流程向对口主管部门申请,并按照中国移动终端相关安全合规性标准进行检查,获得授权后方可接入,对口主管部门应将申请审批记录备案。第二十七条 原则上第三方用户接入区内应统一部署第三方人员专用终端,禁止外部移动终端和移动存储介质的
10、直接接入。第二十八条 对口主管部门应定期组织对现场服务的第三方人员终端进行安全审核、检查,不定期抽查。第二十九条 禁止第三方人员在未授权的情况下通过远程方式接入第三方用户接入区,如第三方人员因特殊情况需要通过远程登录,须经过对口主管部门审批授权后,临时开通远程登录功能,用毕及时撤销。远程登录必须通过4A系统等进行集中认证、授权和审计,应遵循权限最小化原则,控制用户访问的系统及权限。第六章 第三方帐号及权限管理第三十条 第三方人员需与所属公司签订保密协议,报备对口主管部门后,方可申请相关系统帐号(不含超级帐号和系统帐号管理员帐号)、接入或访问中国移动内部的生产系统。第三十一条 对口主管部门应严格
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国移动 第三 安全管理 办法

链接地址:https://www.31ppt.com/p-3775227.html