ctg-mboss安全基線達標管理辦法
(暫行)
中國電信集團公司
2023年 6月
目錄第一章總則 1
第二章安全基線達標標準 1
第三章安全基線達標等級 3
第四章安全基線達標流程 4
第五章安全基線評審組織構成 5
第六章附則 5
第一條為了規範中國電信集團公司ctg-mboss安全基線達標工作的管理,促進各省公司加強ctg-mboss安全體系建設,提公升ctg-mboss安全防護能力,保障ctg-mboss的安全執行,實現集團對各省公司ctg-mboss安全管理能力的動態目標管理,特制定本管理辦法。
第二條本管理辦法中所指的「ctg-mboss」是概括中國電信企業資訊化體系的英文簡稱,其中文含義為「中國電信集團管理、業務、運營支撐系統」。
第三條本管理辦法中ctg-mboss的安全防護範圍包括:管理支撐系統(mss)、業務支撐系統(bss)和運營支撐系統(oss)。其中,管理支撐系統包括:
財務、人力資源、物資採購、辦公自動化等面向企業管理的支撐系統;業務支撐系統包括:crm、計費結算、經營分析等面向電信業務運營的支撐系統;運營支撐系統包括:網路資源管理、服務開通、綜合網管等面向通訊網路運營的支撐系統。
第四條本管理辦法是中國電信各單位ctg-mboss安全基線考評的重要依據,各單位應遵照本辦法結合具體情況,對本單位所轄的ctg-mboss系統進行基準安全管理。
第五條 ctg-mboss安全基線規定了中國電信企業資訊化體系在安全方面所要達到的最基本的、必須的安全要求。
第六條本管理辦法從安全管理與安全技術層面設定並應用ctg-mboss安全基線達標標準。從安全基線可操作性的角度出發,在安全管理層面主要圍繞組織架構管理要求、人員安全管理要求和運維安全管理要求等三部分考評安全基線,在安全技術層面主要圍繞應用安全要求、主機安全要求、網路安全要求和安全審計要求等四部分考評安全基線。
(1) 組織架構管理要求:主要包括組織落實、崗位設定和人員配備等。
(2) 人員安全管理要求:主要包括人員上崗管理、人員離崗管理、管理賬號安全、人員安全意識教育和培訓、第三方人員安全管理等。
(3) 運維安全管理要求:主要包括系統上線安全管理、資產安全管理、物理安全、內網與網際網路連線防護、終端安全管理規範、口令管理規範、系統備份管理、補丁管理、漏洞檢測、安全應急響應和代維人員賬號/許可權管理規範等。
(4) 應用安全要求:主要包括應用埠服務、應用賬號安全和web應用安全加固等。
(5) 主機安全要求:主要包括主機賬號口令、主機埠服務和windows主機防病毒管理等。
(6) 網路安全要求:主要包括網路區域防護、網路裝置賬號口令、網路裝置埠服務、網路裝置安全防護和防火牆安全策略配置等。
(7) 安全審計要求:主要包括物理訪問安全審計、主機訪問許可權審計、應用訪問許可權審計、資料庫訪問許可權審計和應用操作審計等。
第七條附件1《ctg-mboss安全基線達標考評細則》(以下簡稱《考評細則》)和附件2《ctg-mboss安全基線擴充套件加分項》(以下簡稱《擴充套件加分項》)是ctg-mboss安全基線達標評分標準和等級評定依據。
第八條 《考評細則》規定了ctg-mboss在安全方面必須達到的最基本安全要求,因此安全基線等級評定實行「一項否決」制,即只要存在某一項基線要求未達標,則判定為安全性不合格,需要進行整改,並且不允許進入安全基線等級評級。
第九條 ctg-mboss安全基線評級分為三個等級:a級(基線達標級)、aa級、aaa級。a級是集團公司對省公司ctg-mboss安全工作的基本要求。三個等級的定義如下:
(1) a級:在滿足《考評細則》中全部基線要求的基礎上,《擴充套件加分項》中加分項得分在0-20分之間(包括20分);
(2) aa級:在滿足《考評細則》中全部基線要求的基礎上,《擴充套件加分項》中加分項得分在21-35分之間(包括35分);
(3) aaa級:在滿足《考評細則》中全部基線要求的基礎上,《擴充套件加分項》中加分項得分在36-40分之間(包括40分)。
第一十條 ctg-mboss安全基線評級以各省公司作為基本單位進行劃分,組成各省ctg-mboss自評估小組,依據《考評細則》和《擴充套件加分項》開展定期自評估工作(自評估週期不得超過半年),並形成自評分記錄;集團不定期組織抽查,並結合各省公司的自評估情況組織全國範圍內的安全基線達標評級。
第一十一條各省公司ctg-mboss安全基線自評估流程:各省公司成立安全評估小組,由組長負責組織在省公司及有代表性的地市公司定期進行內部自查,對照《考評細則》和《擴充套件加分項》並結合本省實際逐條逐項打分,並定期將評估結果上報至集團公司。
第一十二條集團公司採取兩種方式開展對各省公司ctg-mboss安全基線的達標評級工作:
(1) 不定期抽查。通過不定期抽查,檢查集團公司各省公司ctg-mboss的安全基線達標情況。
(2) 年度定期評級。集團公司結合各省公司的自評情況,組織專家評審各省上報的自評估結果,採取年度定期審查的形式組織全國範圍內的ctg-mboss安全基線評級工作,審查工作包括:
1. 聽取總體情況報告;
2. 聽取自評估工作報告;
3. 集團公司評審專家檢查評分;
4. 對不足之處提出限期整改方案。
(3) 在集團公司組織達標檢查過程中,若發現與自查結果不符的情況降低一檔得分。
第一十三條集團組織年度評級後,需進行成績通報,公布各省公司的分數排名。
第一十四條集團公司成立ctg-mboss安全基線達標評級指導組,由集團公司主管ctg-mboss工作的副總擔任總顧問,由集團公司企業資訊化部總監擔任組長,成員由集團公司相關部門的人員、集團ctg-mboss安全基線評審專家等組成。
第一十五條各省成立ctg-mboss安全基線達標評級小組,組長由省公司企業資訊化部總經理或副總經理擔任,成員由省公司參加安全基線達標檢查工作的有關人員組成,各地市派1-2名對應業務人員參加評級工作。
第一十六條本管理辦法由中國電信集團公司企業資訊化部負責解釋。
第一十七條本管理辦法自公布之日起實施。
附錄:1. 《ctg-mboss安全基線達標考評細則》
2. 《ctg-mboss安全基線擴充套件加分項》
附件1:
ctg-mboss安全基線達標考評細則
(60分制)
補充說明:各單項考評專案扣分,標準分扣完為止,不再另行扣分。
附件2:
ctg-mboss安全基線擴充套件加分項
(40分制)
中國電信實習報告
中國地質大學 武漢 機電學院電子資訊工程系生產 實習報告 學生姓名 馬顯芳 班級 071081 24 學號 20081003702 實習地點 仙桃電信局 一 實習地點 湖北省仙桃市電信局 二 實習時間 2011年7月7日 2011年7月14日 三 實習目的 利用在仙桃電信局實習得機會了解電信局的總體...
中國電信實習總結
我們分公司對我們實習生的暑期實習都是按照輪崗實習的方式進行。輪崗實習這一方式對於我們這些實習生來說是很有好處的,畢竟我們對於電信的具體業務都不了解,在這樣的實習經歷中,不僅鍛鍊了實習生的適應能力,更可以讓我們在不同的工作環境中得到考驗。我的實習崗位經歷按照時間順序大致是社群經理班機線組,社群經理辦公...
中國電信實習報告
時光匆匆,轉眼間乙個多月的實習生活即將畫上了句號。在人生的最後乙個暑假,我有幸到廣東電信揭陽分公司實習,在這乙個多月的實習期裡,我接觸了許多的人和事,初步了解企業的運作方式和日常業務,也在實踐中檢驗自我,提公升自我。讓我 收穫不少。這個實習期間,我被分配到了佔隴營業廳的營銷部實習學習。我們首先熟悉了...