信息安全及风险控制要求中国移动
运营商安全承诺书移动版
运营商安全承诺书移动版尊敬的用户:为了确保您在使用移动通信服务过程中的安全和满意度,我们作为中国移动运营商,特向您作出以下安全承诺:一、网络信息安全我们承诺将严格遵守国家相关法律法规,加强网络信息安全管理,采取有效措施保护您的个人信息和隐私权。
我们将使用先进的技术手段,建立健全的安全防护体系,确保网络的安全稳定,防止网络攻击、信息泄露等安全风险。
同时,我们将加强用户身份验证,严格控制用户信息的查询、使用和传输,确保您的信息安全。
二、服务质量保障我们承诺为您提供高质量、高效率的移动通信服务。
我们将不断优化网络覆盖,提升网络速度和稳定性,为您提供顺畅的通话和上网体验。
同时,我们将加强服务质量监控,及时发现和解决服务中存在的问题,确保您的通信需求得到及时满足。
三、诚信经营我们承诺诚信经营,严格遵守行业规范和商业道德,不进行任何虚假宣传和误导消费者的行为。
我们将真实、准确、全面地向您提供服务信息,确保您能够充分了解和选择适合您的通信服务。
同时,我们将加强服务质量管理,提供优质的服务咨询和投诉处理,维护您的合法权益。
四、用户隐私保护我们承诺尊重和保护用户的隐私权。
我们将不会收集、使用、存储、传输您的个人信息,除非获得您的明确授权或者法律法规要求。
我们将加强用户数据的保护,采取有效措施防止用户数据泄露、滥用和侵权行为,确保您的隐私安全。
五、紧急通信服务我们承诺在紧急情况下为您提供及时、可靠的紧急通信服务。
如果您遇到紧急情况,可以通过紧急呼叫功能快速联系紧急救援机构,我们将提供必要的协助和支持。
六、用户教育与培训我们承诺积极开展用户教育与培训,提高用户的安全意识和自我保护能力。
我们将定期向您发送安全提示和提醒,提供安全使用移动通信服务的指导和建议,帮助您识别和防范各种安全风险。
七、持续改进与创新我们承诺不断改进和创新,以满足您日益增长的需求。
我们将密切关注行业发展趋势和用户需求变化,加强技术研发和产品创新,为您提供更加丰富、智能、安全的通信服务。
09X017 中国移动管理信息系统安全防护体系总体技术要求V1.0.0
中国移动通信企业标准 中国移动管理信息系统安全防护体系总体技术要求 G e n e r a l T e c h n i c a l R e q u i r e m e n t s F o r S e c u r i t y P r o t e c t i o n S y s t e m o f C M C C M I S 版本号:1.0.0 中国移动通信集团公司 发布2010-1-15发布 2010-1-15实施QB-X-017-2009目录前言 (II)1.范围 (1)2.规范性引用文件 (1)3.术语、定义和缩略语 (1)4. 综述 (2)4.1背景 (2)4.2本要求的范围和主要内容 (3)5. 目标和原则 (4)6. 安全防护技术体系 (4)6.1整体说明 (4)6.2安全域划分技术要求 (5)6.3安全域防护技术要求 (6)6.4安全加固规范 (6)6.5安全基线规范 (7)6.6信息安全风险评估技术要求 (7)6.7灾难备份与恢复实施技术要求 (7)7.编制历史 (7)前言本标准是中国移动管理信息系统安全防护的整体技术要求,是中国移动开展管理信息系统安全防护和安全运维工作的说明和依据。
本标准是一系列用于加强安全防护、加强系统自身安全的规范和标准,涵盖安全架构、安全评估、系统自身安全加固、安全防护等方面。
本标准是《中国移动管理信息系统安全防护体系技术规范》系列标准之一,该系列标准的结构、名称或预计的名称如下:序号标准编号标准名称[1] QB-X-017-2009 中国移动管理信息系统安全防护体系总体技术要求[2] QB-X-018-2009 中国移动管理信息系统安全域边界防护技术要求[3] QB-X-019-2009 中国移动管理信息系统安全域划分技术要求[4] QB-X-020-2009 中国移动管理信息系统安全基线规范[5] QB-X-021-2009 中国移动管理信息系统安全加固规范[6] QB-X-022-2009 中国移动管理信息系统安全风险评估规范[7] QB-X-023-2009 中国移动管理信息系统集中灾备系统技术规范本标准由中移技〔2010〕17号印发。
中国移动网络与信息安全责任条款
中国移动网络与信息安全责任条款
中国移动通用网络与信息安全责任条款
本条款所指的乙方,如无特别说明,专指承担中国移动工程建设项目的集成商或者提供维保服务的厂商
本条款所包含的安全责任如无特别说明,分别适用于设备到货、入场施工、项目验收以及系统运行维护整个过程的各个环节,集成商需要严格执行
向甲方提供维保服务的乙方在服务期间需要遵循条款2规定,如更换设备、升级软件或调整配置,需要遵循条款1、31
1、乙方应保证本工程新增设备符合中国移动《中国移动设备通用安全功能和配置规范》规定的安全配置要求
2、乙方应遵守中国移动相关安全管理规定要求,具体规定如下:
a) 《中国移动安全域管理办法》; b) 《中国移动帐号口令管理办法》;
c) 《中国移动远程接入安全管理办法》; d) 《中国移动网络互联安全管理办法》
3、乙方应保证本工程新增的设备安装操作系统、应用软件已经发布的所有安全补丁,关闭与业务无关端口,无关进程和服务,按照最小化的原则进行授权,并无重大安全漏洞、后门或者感染病毒
4、乙方提供的应用软件中账号所使用的口令应便于在维护中定期修改并已加密方式保存,不可固化在软件里
5、乙方在设备上线前,应参照《中国移动系统安全相关基础信息列表》格式,详细提供本工程新增设备和应用的进程、端口、账号等方面的情况
6、在工程实施期间,甲方有权通过安全扫描软件或者人工评估等手段,对本期工程新增设备和应用软件进行检查,并给出评估结果一旦发现有重大安全漏洞、后门或者病毒感染,由乙方进行立即修补、清除或者采用其他手段消除安全问题对于违反本规定导致的一切问题,由乙方负全部责任
1。
中国移动网络与信息安全总纲
中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
中国移动 [注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
前言 (22)目录 (33)总则 (99)1.网络与信息安全的基本概念 (99)2.网络与信息安全的重要性和普遍性 (99)3.中国移动网络与信息安全体系与安全策略 (1010)4.安全需求的来源 (1111)5.安全风险的评估 (1212)6.安全措施的选择原则 (1212)7.安全工作的起点 (1212)8.关键性的成功因素 (1313)9.安全标准综述 (1313)10.适用范围 (1616)第一章组织与人员 (1717)第一节组织机构 (1717)1.领导机构 (1717)2.工作组织 (1717)3.安全职责的分配 (1818)4.职责分散与隔离 (1919)5.安全信息的获取和发布 (1919)6.加强与外部组织之间的协作 (2020)7.安全审计的独立性 (2020)第二节岗位职责与人员考察 (2020)1.岗位职责中的安全内容 (2020)2.人员考察 (2020)3.保密协议 (2121)4.劳动合同 (2121)5.员工培训 (2121)第三节第三方访问与外包服务的安全 (2121)1.第三方访问的安全 (2121)2.外包服务的安全 (2222)第四节客户使用业务的安全 (2323)第二章网络与信息资产管理 (2525)第一节网络与信息资产责任制度 (2525)1.资产清单 (2525)2.资产责任制度 (2525)第二节资产安全等级及相应的安全要求 (2727)1.信息的安全等级、标注及处置 (2727)2.网络信息系统安全等级 (2929)第三章物理及环境安全 (3030)第一节安全区域 (3030)1.安全边界 (3030)2.出入控制... 错误!未定义书签。
我国移动支付的发展、风险和管控分析
• 66•移动支付的迅速普及和不断发展给人们的生产与生产带来极大方便,但在享受快捷方便的移动支付的同时也会担忧其安全问题。
那么不管是企业、用户还是政府部门都应了解我国移动支付的发展情况,并想办法加强对其风险的分析和管控,保证安全使用移动支付,推动我国移动支付更快更好地发展。
移动支付属于先进的消费方式、支付手段,发展速度极快,不仅改变人们的支付习惯,还让传统金融业面临巨大变革。
然而当下我国移动支付产业依旧处于较低级的发展阶段,因为互联网的应用越来越普及,各类网络金融犯罪层出不穷,尽管移动支付凭借便捷性受到好评,但风险较多,分析我国移动支付的发展、风险和管控具有重要意义。
一、我国移动支付的发展移动支付又被称作手机支付,是消费者在购买商品时利用移动终端(一般是指手机)完成支付,具有移动性、实时性、便捷性等优点(冯亚娇,互联网金融下移动支付风险分析:时代金融,2017)。
从全球来看,互联网在加速演变,从日韩到欧美、非洲,移动支付在快速发展,成为新的增长点,我国相关机构也在积极推动移动支付的发展。
移动支付产业在我国先后经历业务导入期(2002~2004年,中国移动开展移动支付业务)、地域扩展期(2004~2007年,快速复制若干业务模式,促进移动支付的地域扩展,培养消费者的使用习惯)、规模扩张期(2007~2010年,产业链日益成熟,应用环境也得到改善,发展规模越来越大)、产业成熟期(2010年至今,业务种类丰富多样,渗透率较高,消费者使用移动支付的习惯日益成熟、稳定),每一个时期都有明显的特征,呈现出上升趋势。
我国移动支付从2000年到2018年发生了翻天覆地的改变,用户使用移动支付的意愿越来越强烈。
截至2018年6月,我国网民数量超过8亿,互联网普及率约60%,在全球排名第一;手机网民也接近8亿,在网民群体中占据超过98%的比例,网购人群也超过5亿,在网民群体中占据近70%的比例,几乎达到全民网购的盛况,为我国移动支付的发展奠定坚实基础、提供强大助推力。
保护客户隐私-中国移动
司现网主体系统的
全面覆盖。
措施层面
21
保护客户隐私
加强合作伙伴管理 保护客户信息安全
随着信息技术 的广泛应用和互联网
在管理上,公司制定了合作伙伴管理办法,并与合作伙伴签署《信息安全承诺书》, 明确要求合作伙伴保证发布信息安全、禁止泄露客户信息等。在技术上,公司提高了 信息发布的安全级别,禁止合作伙伴主动向客户发送信息,合作伙伴只能通过业务端 口向包月业务订购客户或主动发起业务请求的客户发送信息。
施其他侵害客户权益的
行为;严禁串通、包
庇、纵容渠道或系统合
作商泄露客户信息、侵
吞客户话费、擅自过户
或销号、倒卖卡号资源
或实施其他侵害客户权
益的行为。
完成《客户信息安全保护管理规定》、《客户信息安全控制矩 阵》等制度的修订,制订下发《“金库模式”优化及扩展实施 要求》、《客户界面信息模糊化展示业务规范》和《中国移动 互联网新技术新业务信息安全评估管理办法》
送商业广告信息;严禁
名、出生日期、身份证件
现对所有敏感操作的严
未经客户确认擅自为客
号码、住址、电话号码、
格控制。
户开通或变更业务;严
账号和密码等能够单独或
禁串通、包庇、纵容增
者与其他信息结合识别客
值服务提供商泄漏客户
户的信息以及客户使用服
信息、擅自为客户开通
务的时间、地点等信息。
数据及信息化业务或实
的不断普及,个人
隐私被非法泄露和 使用的风险日益升 高,社会秩序和公 众利益面临威胁。 中国移动严格实施 客户服务“五条禁 令”,采取多种措 施保护客户信息安 全,帮助客户安心 使用各项服务。面 对严峻的互联网网 络安全形势,2013 年公司未发生重大 客户信息泄露事 件。
中国移动网络与信息安全总纲
中国移动网络与信息安全总纲精品资料网()25万份精华管理资料,2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
中国移动[注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
前言 (2)目录 (3)总则 (13)1.网络与信息安全的基本概念 (13)2.网络与信息安全的重要性和普遍性 (13)3.中国移动网络与信息安全体系与安全策略 (14)4.安全需求的来源 (16)5.安全风险的评估 (17)6.安全措施的选择原则 (18)7.安全工作的起点 (18)8.关键性的成功因素 (19)9.安全标准综述 (20)10.适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261.领导机构 (26)2.工作组织 (27)3.安全职责的分配 (28)4.职责分散与隔离 (29)5.安全信息的获取和发布 (30)6.加强与外部组织之间的协作 (30)7.安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311.岗位职责中的安全内容 (31)2.人员考察 (32)3.保密协议 (33)4.劳动合同 (33)5.员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341.第三方访问的安全 (34)2.外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381.资产清单 (38)2.资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421.信息的安全等级、标注及处置 (42)2.网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461.安全边界 (46)2.出入控制 (47)3.物理保护 (48)4.安全区域工作规章制度 (49)5.送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511.设备安置及物理保护 (51)2.电源保护 (52)3.线缆安全 (53)4.工作区域外设备的安全 (54)5.设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551.可移动存储媒介的管理 (55)2.存储媒介的处置 (55)3.信息处置程序 (56)4.系统文档的安全 (57)第四节............................................... 通用控制措施581.屏幕与桌面的清理 (58)2.资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601.规范操作细则 (60)2.设备维护 (61)3.变更控制 (62)4.安全事件响应程序 (62)5.开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641.系统规划和设计 (64)2.审批制度 (64)3.系统建设和验收 (65)4.设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701.维护作业计划管理 (70)2.数据与软件备份 (70)3.操作日志 (72)4.日志审核 (72)5.故障管理 (73)6.测试制度 (74)7.日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761.信息与软件交换协议 (76)2.交接过程中的安全 (76)3.电子商务安全 (77)4.电子邮件的安全 (78)5.电子办公系统的安全 (79)6.信息发布的安全 (80)7.其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841.用户注册 (84)2.超级权限的管理 (85)3.口令管理 (87)4.用户访问权限核查 (88)第三节..................................................... 用户职责881.口令的使用 (88)2.无人值守的用户设备 (89)第四节............................................... 网络访问控制901.网络服务使用策略 (91)2.逻辑安全区域的划分与隔离 (91)3.访问路径控制 (92)4.外部连接用户的验证 (93)5.网元节点验证 (93)6.端口保护 (94)7.网络互联控制 (94)8.网络路由控制 (95)9.网络服务的安全 (95)第五节...................................... 操作系统的访问控制951.终端自动识别 (96)2.终端登录程序 (96)3.用户识别和验证 (97)4.口令管理系统 (97)5.限制系统工具的使用 (98)6.强制警报 (99)7.终端超时关闭 (99)8.连接时间限制 (100)第六节............................................... 应用访问控制1001.信息访问限制 (100)2.隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011.事件记录 (102)2.监控系统使用情况 (102)第八节............................................ 移动与远程工作1041.移动办公 (104)2.远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091.输入数据验证 (109)2.内部处理控制 (110)3.消息认证 (111)4.输出数据验证 (112)第三节............................................ 系统文件的安全1121.操作系统软件的控制 (112)2.系统测试数据的保护 (113)3.系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151.变更控制程序 (115)2.软件包的变更限制 (116)3.后门及特洛伊代码的防范 (117)4.软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181.加密技术使用策略 (119)2.使用加密技术 (119)3.数字签名 (120)4.不可否认服务 (121)5.密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241.及时发现与报告 (125)2.分析、协调与处理 (125)3.总结与奖惩 (127)第二节............................................ 业务连续性管理1271.建立业务连续性管理程序 (127)2.业务连续性和影响分析 (128)3.制定并实施业务连续性方案 (129)4.业务连续性方案框架 (130)5.维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341.识别适用的法律法规 (134)2.保护知识产权 (135)3.保护个人信息 (135)4.防止网络与信息处理设施的不当使用 (136)5.加密技术控制规定 (136)6.保护公司记录 (137)7.收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381.独立审计原则 (139)2.控制安全审计过程 (139)3.保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1:安全体系第二层项目清单(列表) (143)总则1.网络与信息安全的基本概念网络与信息安全包括下列三个基本属性:➢机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。
国移动网络与信息安全风险评估管理办法
【最新资料,WORD文档,可编辑修改】第一章总则为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求风险评估内容及组织方式(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
中国移动网络与信息安全风险评估管理办法V1.0
中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
第二条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
第三条本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
第五条涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求第六条风险评估内容及组织方式1(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
位置业务用户隐私和信息安全管理要求
位置业务用户隐私和信息安全管理要求中国移动通信有限公司2010年1月目录第一章总则 (3)第二章位置类业务描述 (3)第三章位置类业务类型划分 (4)第四章位置类业务开展要求 (5)第五章位置类业务接入流程管理 (6)第六章位置类业务定位时的逻辑要求 (7)第七章位置类业务管理制度要求 (11)第八章位置类业务协议要求 (12)第一章总则第1条为了促进位置类业务发展,规范业务流程,保证位置业务隐私安全,规避经营风险,中国移动通信有限公司(以下简称“总部”)特制定本要求。
第2条本要求对位置业务的业务描述、业务类型划分、业务开展要求、接入管理等方面进行了规范,作为各省、自治区、直辖市公司开展位置业务的依据。
第3条适用范围:本要求适用于全网及各省的所有位置类业务。
第4条本要求由总部数据部负责解释,自印发之日起执行。
第二章位置类业务描述第5条业务定义位置类业务是指与用户位置相关,通过调用中国移动的基站或AGPS获得用户的位置信息,并基于此信息向个人用户或者集团客户等提供服务的数据及信息业务。
第6条业务特征1、位置关联:业务所提供的服务与用户所处的地理位置相关;2、用户授权许可:在用户授权许可的前提下,才能够获取用户为之信息,并依此开展服务。
第7条码号管理接入全网位置业务接入管理平台的位置类业务向用户确认授权的短信代码如下:1、大众产品通过10658016号码向用户进行短信授权确认;2、集团产品通过10658012号码向用户进行短信授权确认。
各省接入本地LSP开展的省内业务通过10658010号码向用户进行短信确认授权。
第三章位置类业务类型划分第8条根据业务主体不同,可分为自有业务和合作业务。
1、自有业务:以中国移动品牌面向客户推出,以中国移动为主体开展营销推广,实现业务计费,提供完全客户服务的位置类业务。
如手机地图、手机导航、车务通。
2、合作业务:以合作伙伴品牌面向客户推出的业务,中国移动负责提供定位能力、用户鉴权、代计费、收费结算等。
中国移动信息安全管理笔试
中国移动信息安全管理笔试一、引言在信息化发展的今天,信息安全管理变得尤为重要。
中国移动作为我国最大的移动通信运营商,其信息安全管理就显得尤为关键。
本文将从中国移动信息安全的背景、重要性、管理方法和未来发展等方面进行探讨。
二、背景随着互联网的快速发展,信息安全问题日益突出。
移动通信作为人们日常生活中不可或缺的一部分,承载了大量的个人和商业敏感信息。
然而,与此同时,网络攻击、数据泄露等安全威胁也日益猖獗。
因此,中国移动作为移动通信运营商,要保障用户信息的安全成为一项重要任务。
三、重要性1. 保护用户隐私:移动通信中涉及大量的个人信息,如手机号码、通话记录、短信等,这些信息的泄露可能会导致用户的隐私权受到侵犯,给用户带来损失和困扰。
2. 维护商业秘密:企业客户在进行移动通信时,往往会涉及商业机密的传输与保护。
中国移动需要确保这些商业秘密不被泄露,以维护客户的合法权益。
3. 保障通信网络的稳定性:信息安全问题不仅会造成用户个人隐私泄露,还会对整个通信网络的稳定性造成威胁。
恶意攻击者可能通过网络攻击手段,影响通信网络的正常运行,甚至破坏整个系统。
四、信息安全管理方法1. 加密技术:通过对通信内容进行加密,可以有效防止数据在传输过程中被窃取或篡改。
中国移动可以采用各种加密算法,如DES、AES等,保护用户的通信数据安全。
2. 认证与授权:采用身份认证机制,确保通信双方的身份合法且可信。
只有通过身份验证的用户才能访问系统,确保信息的安全性。
3. 安全审计与监控:建立完善的安全审计和监控体系,对通信系统进行全面的安全检测和监控。
一旦发现异常行为,及时采取相应的措施,以保障系统的安全性。
4. 员工教育与培训:加强员工的安全意识教育和培训,使其能够正确使用和管理信息系统,提高信息安全防范意识。
五、未来发展1. 强化技术研发:随着技术的不断发展,网络攻击手段也在不断更新,中国移动需要加强技术研发,及时应对新的安全威胁。
中国移动信息安全管理体系说明
▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁(破坏或滥用)
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
中国移动集团数据分类分级标准
中国移动集团数据分类分级标准中国移动集团数据分类分级标准是根据信息安全管理的需要,对数据进行分类和分级的标准。
该标准旨在确保数据的安全性和保密性,以及合理地管理和使用数据。
根据中国移动集团数据分类分级标准,数据被分为四个级别:公开级、内部级、秘密级和机密级。
公开级数据是指对外公开的信息,不涉及商业秘密和个人隐私等敏感信息。
这些数据可以在公开场合自由传播和使用。
内部级数据是指仅在组织内部使用的信息,包括一些内部文件、内部通信和内部报告等。
这些数据需要在组织内部进行管理和控制,不得外传。
秘密级数据是指包含商业秘密、个人隐私等敏感信息的数据。
这些数据需要严格的访问控制和保密措施,只能在授权的人员之间共享和使用。
机密级数据是指国家秘密和其他重要机密信息。
这些数据的保密性要求最高,只能在特定的安全环境下处理和存储,且需要严格的访问控制和审计。
根据中国移动集团数据分类分级标准,组织需要根据数据的分类和分级制定相应的管理措施和安全策略。
这包括对不同级别数据的访问权限控制、数据传输和存储的加密、数据备份和恢复等。
此外,组织还需要对不同级别数据的安全风险进行评估和管理,定期进行安全审计和漏洞扫描,确保数据的安全性和完整性。
总之,中国移动集团数据分类分级标准是为了保护数据的安全和保密性而制定的标准。
通过对数据进行分类和分级,组织可以更好地管理和保护数据,防止数据泄露和滥用。
同时,组织还需要制定相应的管理措施和安全策略,确保数据的安全性和完整性。
中 国移动网络与信息安全保障体系
中国移动网络与信息安全保障体系在当今数字化的时代,中国移动网络已经成为人们生活、工作和社会运转不可或缺的一部分。
从日常的通信交流到重要的金融交易,从便捷的在线购物到关键的政务服务,几乎所有领域都依赖于稳定、高效且安全的移动网络。
然而,随着网络技术的飞速发展和应用场景的不断拓展,信息安全问题也日益凸显。
构建一个强大而有效的中国移动网络与信息安全保障体系,不仅是保障用户权益和社会稳定的需要,也是推动中国移动通信产业持续健康发展的关键。
中国移动网络面临着多种多样的安全威胁。
其中,网络攻击是最为常见和严重的问题之一。
黑客可能通过各种手段入侵网络系统,窃取用户的个人信息、企业的商业机密,甚至破坏关键的基础设施。
此外,恶意软件的传播也给移动网络带来了巨大的风险,这些软件可能会导致设备故障、数据泄露、通信中断等严重后果。
再者,随着物联网的兴起,大量的智能设备接入移动网络,由于这些设备的安全防护能力相对较弱,容易成为攻击者的突破口,进而威胁整个网络的安全。
为了应对这些威胁,中国移动构建了一套全面的网络与信息安全保障体系。
在技术层面,采用了先进的加密技术来保护通信数据的机密性和完整性。
无论是语音通话还是短信、数据传输,都经过严格的加密处理,确保只有授权的用户能够访问和理解这些信息。
同时,通过建立强大的防火墙和入侵检测系统,实时监控网络流量,及时发现并阻止潜在的攻击行为。
此外,还加强了对移动应用的安全审核和管理,从源头上减少恶意软件的传播和危害。
在管理层面,中国移动制定了完善的安全策略和规章制度。
明确了各级员工在网络与信息安全方面的职责和义务,建立了严格的权限管理制度,确保只有经过授权的人员能够访问和操作敏感信息。
同时,加强了对员工的安全培训和教育,提高他们的安全意识和防范能力。
定期进行安全审计和风险评估,及时发现并整改存在的安全隐患,不断完善安全保障体系。
在应急响应方面,中国移动建立了高效的应急响应机制。
一旦发生网络安全事件,能够迅速启动应急预案,采取有效的措施进行处置,将损失和影响降到最低。
信息安全及风险控制要求-中国移动
中国移动通信集团福建有限公司互联网电视内容引入管理办法中国移动通信集团福建有限公司2017年9月目录第一章总则 (3)第二章资质要求 (3)第三章引入原则 (5)第四章引入流程 (6)第五章商务模式 (8)第六章合同管理 (8)第七章考核管理 (9)第八章结算管理 (10)第九章退出管理 (12)第十章信息安全及风险控制要求 (12)第十一章附则 (13)附录 (13)第一章总则第一条为规范中国移动通信集团福建有限公司(以下简称福建移动)互联网电视内容引入管理,促进福建移动互联网电视快速、健康、有序发展,根据总部下发的《中国移动数据业务个人及家庭产品管理办法》规定,特制定本管理办法。
第二条本管理办法依据福建移动互联网电视平台内容建设目标,对合作伙伴的资质要求、信息安全、引入流程、商务模式、考核、结算、退出等相关流程进行了规定,更加系统、科学、规范地指导合作伙伴的引入和管理工作。
第三条福建移动互联网电视内容的引入遵循“多家选择、公平竞争、公开公正、诚实信用”的原则。
建立科学的引入流程和评估机制。
业务内容合作伙伴引入结果的决策遵循“高效务实、分级负责、集体决策”的原则。
第四条本制度用于指导省公司开展互联网电视,包含IPTV、OTT平台及相应三屏互动客户端上提供家庭业务内容和应用的合作伙伴的管理。
第五条省公司市场部负责牵头组织互联网电视内容引入工作,市场部、政企分公司、信息技术部、综合部、品质管理部组成专家组负责互联网电视内容申请引入的评审工作。
第二章资质要求第六条福建移动互联网电视内容合作伙伴包括在电视、手机等多屏互动平台上提供视频内容的合作伙伴(以下简称“CP”)以及提供应用的合作伙伴(以下简称“AP”)。
第七条CP/AP需满足以下基本资质要求:(一)必须具有合法有效的企业法人营业执照(或组织机构代码证)、银行开户许可证、税务登记证。
(二)必须为具有独立法人资格的公司。
公司注册成立时间需满一年;公司注册资金不低于50万元人民币;合资公司的中资合作公司注册资金不低于50万元人民币,外资股份比例不得超过50%。
中国移动网络与信息安全风险评估管理办法V1.0
中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
第二条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
第三条本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
第五条涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求第六条风险评估内容及组织方式1(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
安全管理中国移动防病毒安全规范
密级:文档编号:项目代号:中国移动防病毒安全规范Version 1.0中国移动通信有限公司二零零四年十二月拟制: 审核: 批准: 会签: 标准化:版本控制分发控制目录第1章目的 (1)第2章范围 (2)第3章名词定义 (3)第4章病毒的发展和危害分析 (4)4.1.目前病毒的发展趋势和特点 (4)4.1.1.病毒技术与系统攻击技术的结合 (4)4.1.2.混合型病毒传播方式多变 (4)4.1.3.电子邮件病毒感染 (4)4.1.4.新病毒爆发时间短 (5)4.2.主要病毒类型和危害分析 (5)4.2.1.引导区病毒 (5)4.2.2.文件型病毒 (5)4.2.3.宏病毒 (5)4.2.4.脚本病毒 (6)4.2.5.网络蠕虫病毒 (6)4.2.6.木马病毒/黑客病毒 (6)4.2.7.病毒的危害分析 (6)4.2.8.病毒的主要传播方式 (8)第5章企业的安全风险和对策 (9)5.1.病毒对企业的威胁 (9)5.1.1.桌面终端面临的威胁 (10)5.1.2.服务器面临的威胁 (10)5.1.3.网络面临的威胁 (10)5.2.安全管理面临的压力 (11)5.3.公司病毒防御对策关键要点 (11)第6章网络防病毒架构体系建设 (15)6.1.企业防病毒的要点 (15)6.2.集团公司在防病毒体系建设中的地位和作用 (16)6.3.集团总部网络防病毒体系架构建议 (17)6.3.1.集团总部中心集中管理层 (18)6.3.2.终端层 (18)6.3.3.边界层 (19)6.4.各省/直辖市网络防病毒体系架构建议 (19)6.4.1.省中心集中管理层 (20)6.4.2.地市分布层 (20)6.4.3.终端层 (21)6.4.4.边界层 (21)6.5.防病毒工具功能要求与部署建议 (21)6.5.1.中心防病毒控制台与管理服务器 (21)功能要求 (21)部署建议 (22)6.5.2.防病毒客户端 (24)功能要求 (24)部署建议 (24)6.5.3.邮件防病毒 (25)集成于邮件服务器的防病毒工具功能要求 (25)部署建议 (26)邮件网关功能要求 (27)部署建议 (28)6.5.4.Web与FTP防病毒网关 (29)功能要求 (29)部署建议 (30)6.6.网络防毒系统实现的功能总结 (32)6.7.防病毒运维组织架构要求建议 (35)第7章防病毒管理机制建设 (37)7.1.防病毒管理策略要求 (37)7.1.1.信息资产分类与控制 (37)7.1.2.人员安全 (38)7.1.3.系统维护管理 (38)7.1.4.远程办公 (39)7.1.5.防病毒法律和规定 (40)7.2.防病毒管理职责定义要求 (40)7.2.1.各级部门管理职责 (40)7.2.2.各级管理员管理职责 (41)7.3.防病毒管理机制 (42)7.3.1.防病毒文档管理 (43)7.3.2.防病毒软件管理 (43)7.3.3.终端用户计算机防病毒 (44)7.3.4.病毒突发事件应急响应机制 (44)7.3.5.病毒预警机制 (46)7.3.6.防病毒意识培养 (47)互联网的高速发展,改变了人们的行为模式甚至思维模式,催生了很多新的产业,带来了前所未有的机遇和效率,企业的日常运作也更加离不开互联网。
中国移动基础信息安全管理通用要求
中国移动基础信息安全管理通用要求一、总则为加强中国移动基础信息安全管理,保障移动通信信息系统及相关资源的安全性、可靠性和完整性,依据《中华人民共和国网络安全法》等相关法律法规,制定本通用要求。
二、信息安全管理机构1.设立信息安全管理机构,明确信息安全管理组织机构与管理层之间的职责及权限关系。
2.信息安全管理机构应配备足够的专业人员,负责信息安全管理工作的组织、协调、监督和指导。
3.信息安全管理机构应定期组织信息安全培训,提高全员信息安全意识和技能。
三、信息安全政策1.制定信息安全政策,明确信息安全目标、原则和体系。
2.信息安全政策应体现法律法规要求,保障用户隐私权和信息安全。
3.信息安全政策应经管理层审核、批准并向全员公布。
四、信息资产管理1.建立信息资产清单,对信息资产进行分类、归档和保护。
2.制定信息资产管理规范,明确信息资产的保密、完整性和可用性要求。
3.定期审核信息资产管理规范,保证其有效性和持续改进。
五、风险管理1.建立风险评估和风险处理制度,对关键信息系统和网络进行风险评估。
2.定期开展风险评估,根据评估结果制定风险处理计划和措施。
3.建立应急预案,做好信息安全事件的应急处置工作。
六、系统安全管理1.建立系统安全管理规范,对系统硬件、软件和网络进行安全管理。
2.对系统进行安全加固,保护系统的稳定性和可靠性。
3.建立系统审计机制,对系统操作进行监控和审计。
七、网络安全管理1.建立网络安全管理规范,保护网络的安全性和可靠性。
2.加强边界防护,确保网络的畅通和安全。
3.加密网络通信,防止网络数据泄露和窃听。
八、身份认证和访问控制1.建立用户身份认证机制,确保用户访问的合法性和安全性。
2.细化访问控制策略,根据不同用户权限控制其访问的范围和权限。
3.定期审核用户权限,避免权限滥用和泄露。
九、安全培训和教育1.定期开展信息安全培训,提高员工信息安全意识和技能。
2.加强安全意识教育,防范社会工程和网络攻击。
中 国移动网络与信息安全保障体系
中国移动网络与信息安全保障体系在当今数字化的时代,中国移动网络已经成为人们生活和工作中不可或缺的一部分。
从日常的通信交流到重要的金融交易,从便捷的在线购物到高效的远程办公,中国移动网络承载着海量的信息和关键的业务。
然而,随着网络的不断发展和应用的日益广泛,信息安全问题也日益凸显。
构建一个强大、有效的中国移动网络与信息安全保障体系,不仅关乎个人的隐私和权益,更关系到国家的安全和社会的稳定。
一、中国移动网络面临的信息安全挑战(一)网络攻击手段多样化如今,网络攻击的手段愈发复杂多样。
黑客可以利用漏洞进行恶意软件植入、拒绝服务攻击(DDoS)、网络钓鱼等,以获取用户的个人信息、破坏网络服务或实施敲诈勒索。
(二)移动设备的安全隐患智能手机、平板电脑等移动设备的普及带来了便捷,但也增加了安全风险。
设备操作系统的漏洞、恶意应用程序的存在以及用户安全意识的薄弱,都可能导致信息泄露。
(三)数据隐私保护问题大量的个人数据在中国移动网络中传输和存储,包括姓名、身份证号、银行卡号等敏感信息。
如何确保这些数据的合法收集、使用和保护,防止数据被滥用或泄露,是一个严峻的挑战。
(四)新兴技术带来的风险5G 网络、物联网、云计算等新兴技术的应用,在推动中国移动网络发展的同时,也引入了新的安全隐患。
例如,物联网设备的安全防护相对薄弱,容易成为攻击者的突破口。
二、中国移动网络与信息安全保障体系的构成要素(一)技术手段1、加密技术通过对数据进行加密,确保在传输和存储过程中的保密性和完整性,即使数据被窃取,也难以被解读。
2、身份认证与访问控制严格的身份认证机制和访问控制策略,确保只有合法用户能够访问相应的网络资源和数据。
3、防火墙与入侵检测系统防火墙用于阻挡外部非法访问,入侵检测系统则实时监测网络中的异常活动,及时发现并阻止潜在的攻击。
4、漏洞管理与修复定期对网络系统进行漏洞扫描,及时发现并修复安全漏洞,降低被攻击的风险。
(二)管理措施1、安全策略与制度制定完善的安全策略和制度,明确安全责任和流程,规范员工的网络行为。
中国移动风险管控信息化的探索与实践
www i o c 59 t m c m n
习 网络安全
l l lj _ ll l l
时 、统 一 ,强 调 的 是 对 业 务 部 门执 行 内 部 控 制 的 过 程 及 其 结 果 的 管 理 : 对
内控测 试的 管理 、缺陷 修补 的管理 ;
对 结 果 的 管 理 即 内控 考 核 、分 析 ;对
风 险 管 控 功 能 框 架 包 括 网 络 基 础
设 施 层 、应 用 支 撑 与 工 具 层 、 业 务 系 统 应 用 层 、 信 息 门 户 与 展 现 层 、安 全 和系统管理 。
() 息 门 户 与展 现 层 4信
信 息 门 户 与 展 现 层 依 据 不 同 的
组 织 单 位 汇 总 统 计 出 各种 内控 内 审 报
表 ,输 出 管 理 层 报 告 ,包 括 业 务 执 行 分 析 、进 度 监 控 、 管理 者 视 图 / 告 、 报
统计结果/ 析报告等。 分
系 ,强 化 和 监 督 内控 实施 , 内控 工 作 已 初 见 成
目 建 设 方案
2. 基 础 设 施 架 构 1 为 了 加 强 管 控 力 度 , 降 低 成 本 ,实 现 内 控 系 统 的集 成 化 、规 范 化 、标 准 化 , 系 统 在 设 计 时 采 用 了 集 中 部 署 的 模 式 , 即在 总 部 集 中 建 设
过 程 本 身的 描 述 即 内 控 手 册 / 阵 的 管 矩 理 、控 制 点 的 管 理 ;对 过 程 的检 查 即
图 内控 管 理平台 需 求 模 型
板 、审 计 方 案 与 通 知 、任 务 分 配 与 监 控 、审 计 底 稿 与 日志 等 ;报 告 ,包 括
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动通信集团福建有限公司互联网电视内容引入管理办法中国移动通信集团福建有限公司2017年9月目录第一章总则 (3)第二章资质要求 (3)第三章引入原则 (5)第四章引入流程 (6)第五章商务模式 (8)第六章合同管理 (8)第七章考核管理 (9)第八章结算管理 (10)第九章退出管理 (12)第十章信息安全及风险控制要求 (12)第十一章附则 (13)附录 (13)第一章总则第一条为规范中国移动通信集团福建有限公司(以下简称福建移动)互联网电视内容引入管理,促进福建移动互联网电视快速、健康、有序发展,根据总部下发的《中国移动数据业务个人及家庭产品管理办法》规定,特制定本管理办法。
第二条本管理办法依据福建移动互联网电视平台内容建设目标,对合作伙伴的资质要求、信息安全、引入流程、商务模式、考核、结算、退出等相关流程进行了规定,更加系统、科学、规范地指导合作伙伴的引入和管理工作。
第三条福建移动互联网电视内容的引入遵循“多家选择、公平竞争、公开公正、诚实信用”的原则。
建立科学的引入流程和评估机制。
业务内容合作伙伴引入结果的决策遵循“高效务实、分级负责、集体决策”的原则。
第四条本制度用于指导省公司开展互联网电视,包含IPTV、OTT平台及相应三屏互动客户端上提供家庭业务内容和应用的合作伙伴的管理。
第五条省公司市场部负责牵头组织互联网电视内容引入工作,市场部、政企分公司、信息技术部、综合部、品质管理部组成专家组负责互联网电视内容申请引入的评审工作。
第二章资质要求第六条福建移动互联网电视内容合作伙伴包括在电视、手机等多屏互动平台上提供视频内容的合作伙伴(以下简称“CP”)以及提供应用的合作伙伴(以下简称“AP”)。
第七条CP/AP需满足以下基本资质要求:(一)必须具有合法有效的企业法人营业执照(或组织机构代码证)、银行开户许可证、税务登记证。
(二)必须为具有独立法人资格的公司。
公司注册成立时间需满一年;公司注册资金不低于50万元人民币;合资公司的中资合作公司注册资金不低于50万元人民币,外资股份比例不得超过50%。
(三)提供具有竞争力的产品,具备互联网电视业务内容运营经验,技术服务等能力。
(四)合作伙伴主要管理人员(包括但不限于公司的法人代表、总经理、市场、客服、网络技术的主要管理人员)应具有相近行业一年以上的管理经验,能够深入理解中国移动颁布的各项管理办法,并熟悉各项合作伙伴合作流程。
(五)若该合作伙伴与福建移动已有相近业务合作,则在申报当月前连续三个月在省公司的月度考核得分都必须在70分(含)以上,不足三个月则每月月度考核得分均要求在70(含)分以上。
(六)未列入中国移动不良信用记录,在全网或其他省运营过程中没有出现重大违约事件。
第八条CP/AP需满足以下专业资质要求:(一)合国家相关管理规定,具备国家监管部门(工业和信息化部、文化部、新闻出版总署等)要求的相关资质等资料。
(二)满足互联网电视内容在电视端、手机端等多屏互动客户端运营的政策合规性要求。
(三)具备内容运营所需的相关资质,包含但不限于知识产权证明、授权证明、增值业务运营许可证。
第三章引入原则第九条福建移动互联网电视内容的引入必须严格遵守国家的法律法规,维护国家和公司的经济利益;有助于降低公司运营成本,保障公司运营和发展,做到“管理制度化、流程标准化、操作规范化”。
(一)“公开、公平、公正”原则:符合引入基本条件的合作伙伴,均可提交合作申请,以保证机会平等。
(二)专家评估原则:建立科学的引入评估体系,组成评审小组,负责引入评审,量化考评指标,保证合作伙伴引入质量。
优先推荐具有独家、排他等稀缺资源的公司。
(三)“高效务实、分级负责、集体决策”原则:合作伙伴引入结果按照“三重一大”决策制度实施办法等相关规定要求提交总经理办公会或专题会进行集体决策。
(四)信息安全保障原则:建立完备的信息安全保障体系,在内容审核、用户信息保密、信息安全管理制度、系统(业务)安全防护等方面进行保障。
第四章引入流程第十条为了做到“规范与效率”并举,引入类型分为主动引入和申请引入两种。
第十一条主动引入(一)定义:我司根据内容运营创新规划和竞争需要,通过主动寻找合作伙伴,引入独创性、稀缺性、竞争性内容资源的方式。
(二)原则:针对本省主要竞争对手或兄弟省份已上线具有核心竞争力的内容,且订购收入排名靠前的合作伙伴及其所提供的产品包。
(三)流程:由于该类合作伙伴已具备运营资质,其提供的产品包在市场上(兄弟公司或竞争对手)取得了较高的认可度的产品内容。
为加速成熟内容的快速上线,通过“三重一大”决策流程,及时按需召开,提交总经理办公会进行集体决策。
第十二条申请引入(一)定义:内容合作伙伴主动提交合作申请,我司根据内容运营规划进行相关评审,按照规范流程及商务模式,常态化开展引入内容资源的方式。
(二)流程:分为启动、评审、定价、决策、签约5个环节。
1、启动:CP/AP提交申请表和申请材料。
申请材料包含公司介绍和产品介绍。
其中,产品介绍包含但不仅限于产品优势,产品形态,内容数量(部数及集数)、更新频度、免费内容占比、合作案例和对应订购情况。
申请表详见附件一。
合作伙伴管理人员负责汇总申请表信息。
2、评审:市场部负责组织评审工作,由市场部、政企分公司(行业视频)、信息技术部、综合部(法律)、品质管理部(客服)组成专家组,进行评审。
专家组先对合作伙伴资质进行现场审核,审核通过后对产品包进行打分评审。
评审从内容、体验、创新、资费、运营支撑、信息安全六个方面综合评估,原则上只推荐评审得分达到70分以上的产品包。
评审评分表详见附件二。
3、定价:市场部依据业务发展需要明确产品包名称、产品包内容。
产品定价以各合作伙伴建议定价为主。
4、决策:对于评审通过后的新增合作伙伴及其所提供的产品名称、产品包和商务模式,资源是否独家、排他,由市场部合作伙伴管理人员汇总拟引入的合作伙伴清单及其提供的内容产品包,按月提交分管领导的专题办公会决策。
5、签约:决策通过后,由市场部牵头负责与合作伙伴签订合同。
原则上合同期限不超过2年。
评估引入过程中的相关记录和决策结果的记录,需要至少留存3年。
第五章商务模式第十三条根据《中国移动数据业务个人及家庭产品管理办法》(中移有限市[2015] 31 号)中明确:“与CP合作时,如采用信息费分成的模式,原则上按照我公司部分不低于40%的比例进行分成;与AP合作时,如采用我公司部分信息费分成的模式,原则上按照不低于30%的比例进行分成。
”以此作为宽带电视增值合作商务模式总体原则。
第十四条参照现网牌照合同规定,按照5(移动):4(CP/AP):1(牌照)进行订购基础分成,如果内容为牌照提供,则内容计费收入按照5(移动):5(牌照)进行订购基础分成。
第十五条为达到更好的激励效果,确保及时激励,同时依据业务发展情况优化激励模式。
具体比例调整需提交总经理办公会进行集体决策。
第六章合同管理第十六条互联网电视内容引入合同的签署由业务需求部门牵头完成。
第十七条合同签约模式:移动与CP/AP签订商务合同,具有考核和管理权。
协商CP/AP与牌照签订政策备书合同。
第十八条合同内容要求:福建移动家庭业务内容引入合同需明确合作伙伴服务内容、合作双方权利及义务、商务模式、考核及处罚办法、稽核规则、结算方式、违约责任及违约处罚、退出方式。
对于合作伙伴的合作要有明确的知识产权归属、信息安全条款、保密条款等内容。
不允许对方随意泄露涉及知识产权的合作内容,避免竞争对手轻易复制。
相关合同文本需通过综合部法务审核。
第十九条合同附件要求:与福建移动家庭业务内容合作伙伴签订合同时,合作伙伴还必须签订《保密协议》、《信息安全责任承诺保证书》和《廉洁合作协议》。
第七章考核管理第二十条市场部每月对合作伙伴实施考核管理,重点从内容呈现及时性和准确性,内容品质,日常支撑,业务故障,违规等维度制定考核细则。
加分项原则上不超过5分。
月度考核表详见附件三。
第二十一条出现一次一类违约,则在当月考核中直接扣除100分,并终止合作。
二类至五类违约每出现一例,按对应扣分标准进行扣分。
第二十二条合作期内每半年由福建移动市场部对合作伙伴进行一次半年评估,连续三个月考核分低于70分(不含)的,半年评估不达标。
第二十三条半年评估不达标或信用度不符合管理要求的合作伙伴应及时终止合作或调整商务模式。
因考核不达标被退出的合作伙伴,原则上一年内不得重新申报。
第八章结算管理第二十四条市场部按季度对合作伙伴实施结算管理,结算数据以用户订购关系为依据。
第二十五条CP/AP分成所得总额中80%为固定分成,剩余20%分成与考核相挂钩。
提供CP/AP内容审核服务的牌照方分成总额全部与考核相挂钩。
(一)CP/AP结算当月结算金额=当月CP/AP合作分成所得总额的80%+当月合作分成所得总额的20%*当月考核得分/100。
月度考核表详见附件三。
(二)提供CP/AP内容审核服务的牌照方结算当月结算金额=当月牌照合作分成所得总额*当月考核得分/100。
内容审核牌照月度考核表详见附件四。
(三)合作伙伴结算金额根据确定的商务模式和与合作伙伴签订的合同进行计算。
不与合作伙伴结算的项目包括:1、客户优惠账户消费金额:客户使用优惠账户内费用对其业务使用消费金额进行抵充或消费的;2、状态不正常客户费用(含预销号):账期内处于欠费、停机、销号和预销号状态的号码产生的所有费用;3、退费费用:同一账期内已经确认的退费费用总和;4、对于合作方因违约或非正常业务行为造成的业务收入。
第二十六条针对多个CP/AP提供内容组合而成的混编产品包,围绕各家成功订购后的点击量或各家成功提供片源数量占比等维度进行分成结算。
针对单个CP/AP提供内容的独立产品包,按该独立产品包对应分成比例结算。
第九章退出管理第二十七条合同期内,合作伙伴的退出分为主动退出、违约退出、考核退出、资质变更退出等。
(一)主动退出:合作伙伴因自身原因可以主动要求终止合作。
必须至少提前三个月向福建移动市场部提出书面申请,经审查批准后,再执行相关退出流程。
(二)违约退出:合作伙伴因业务违约,达到处罚标准的,福建移动市场部有权提出终止合作。
(三)考核退出:合作伙伴半年评估不达标,福建移动市场部有权提出终止合作。
(四)资格变更退出:合作伙伴发生资格变更,如公司注册资金、管理团队、业务开展资质等,不满足合作基本资质的,福建移动市场部有权提出终止合作。
第二十八条对退出的合作伙伴,需执行福建移动市场部提出的具体退出保障措施,配合福建移动解决因退出带来的客户服务、业务延续等问题。
对于恶意不配合的合作伙伴,福建移动有权视情况扣减未结款项。
第十章信息安全及风险控制要求第二十九条合作伙伴应建立完备的信息安全保障机制和风险控制机制。