第十章信息安全及风险控制要求-中国移动
移动设备安全与防护措施指南
移动设备安全与防护措施指南移动设备的广泛使用已经成为现代人们生活中不可或缺的一部分。
然而,移动设备的安全性一直备受关注。
由于移动设备存储的个人和敏感性数据日益增加,保护这些数据免受未经授权的访问、损失或泄露的风险变得尤为重要。
本指南将深入讨论移动设备安全的主要问题,并提供一些防护措施以帮助用户保护其移动设备的安全性。
第一章:移动设备安全威胁分析移动设备面临各种安全威胁,包括数据泄露、恶意软件、网络攻击和物理安全风险等。
本章将详细介绍这些威胁,并分析其潜在的影响和危害。
第二章:使用强密码和双重认证弱密码是导致移动设备安全漏洞的主要原因之一。
本章将探讨如何创建和使用强密码,并介绍双重认证技术,以提高移动设备的安全性。
第三章:数据加密和备份数据加密可以有效保护存储在移动设备上的个人和敏感性数据。
本章将介绍不同的数据加密技术,并提供一些备份策略,以防止数据丢失。
第四章:安全的应用程序和操作系统更新应用程序和操作系统的漏洞是攻击者入侵移动设备的主要入口之一。
本章将介绍如何安全地选择和使用应用程序,并提供操作系统更新的重要性及其操作方法。
第五章:远程定位和删除设备移动设备的丢失或失窃是一种常见的情况,但通过远程定位和删除设备功能,用户可以迅速采取行动并保护其数据的安全。
本章将详细介绍这些功能,并提供一些建议以应对设备丢失或被盗的情况。
第六章:网络安全和防御措施移动设备经常连接到公共或不安全的无线网络,这使得它们容易受到网络攻击。
本章将介绍一些网络安全威胁,并提供一些防御措施,以帮助用户保护其移动设备的网络安全性。
第七章:远程工作和移动设备安全随着越来越多的人选择在移动设备上进行远程工作,移动设备的安全性变得尤为重要。
本章将探讨远程工作环境中的安全挑战,并提供一些建议,以确保移动设备在远程工作时的安全。
第八章:教育与培训用户的安全意识和培训是保护移动设备安全的关键。
本章将探讨如何提高用户的安全意识,并提供一些教育和培训的资源和建议。
移动信息安全防控预案
一、预案背景随着移动互联网的快速发展,移动设备已成为人们生活中不可或缺的一部分。
然而,移动设备在使用过程中也面临着越来越多的安全风险,如恶意软件攻击、信息泄露、隐私侵犯等。
为保障广大用户的信息安全和合法权益,特制定本移动信息安全防控预案。
二、预案目标1. 提高用户对移动信息安全风险的认知,增强自我保护意识。
2. 建立健全移动信息安全防控体系,降低移动信息安全风险。
3. 及时发现和处置移动信息安全事件,减少损失。
三、防控措施1. 加强宣传教育(1)开展移动信息安全知识普及活动,提高用户对移动信息安全风险的认知。
(2)通过官方网站、社交媒体等渠道,发布移动信息安全提示,提醒用户防范风险。
2. 优化产品和服务(1)加强移动应用商店的安全审核,确保上架应用的安全性。
(2)优化移动设备操作系统,修复已知安全漏洞,提高系统安全性。
(3)提供安全防护工具,如杀毒软件、安全锁等,帮助用户防范恶意软件攻击。
3. 强化安全监管(1)建立健全移动信息安全监管机制,对移动应用、服务提供商进行安全审查。
(2)加强对移动设备生产、销售环节的监管,确保设备符合安全标准。
(3)开展移动信息安全检查,对发现的安全隐患及时整改。
4. 建立应急响应机制(1)成立移动信息安全应急响应小组,负责处理移动信息安全事件。
(2)制定移动信息安全事件应急预案,明确事件处置流程和责任分工。
(3)定期开展应急演练,提高应急处置能力。
5. 加强合作与交流(1)与国内外安全研究机构、企业建立合作关系,共同研究移动信息安全问题。
(2)参加国内外移动信息安全交流活动,分享经验,提升移动信息安全防控水平。
四、事件处置1. 事件报告发现移动信息安全事件后,应及时向移动信息安全应急响应小组报告,并提供相关信息。
2. 事件调查应急响应小组对事件进行调查,分析事件原因,确定事件级别。
3. 事件处置根据事件级别和处置流程,采取相应措施,如隔离、修复、封禁等。
4. 事件总结事件处置完毕后,应急响应小组对事件进行总结,提出改进措施,防止类似事件再次发生。
中国移动客户信息安全保护管理规定
中国移动客户信息安全保护管理规定目录中国移动客户信息安全保护管理规定 (1)第一章总则 (4)第二章客户信息保护原则 (4)第三章组织与职责 (6)第四章客户信息的内容及等级划分 (8)第一节客户信息的内容 (8)第二节客户信息等级划分 (9)第三节存储及处理客户信息的系统 (9)第五章岗位角色与权限 (10)第一节业务部门岗位角色与权限 (10)第二节运维支撑部门岗位角色与权限 (14)第六章帐号与授权管理 (16)第七章客户信息全生命周期管理 (17)第一节客户信息的收集 (17)第二节客户信息的传输 (18)第三节客户信息的存储 (19)第四节客户信息的使用 (20)第五节客户信息的共享 (25)第六节客户信息的销毁 (25)第八章金库模式管控 (26)第一节管控系统范围 (27)第二节场景管理 (27)第三节实现方式 (28)第四节策略管理 (29)第九章第三方管理 (29)第十章客户信息系统的技术管控 (32)第一节系统安全防护 (32)第二节集中4A管控要求 (33)第三节远程接入管控 (34)第四节客户信息泄密防护 (35)第五节系统间接口管理 (36)第六节数据脱敏 (37)第十一章敏感操作日志管理 (37)第一节操作日志记录 (38)第二节操作日志集中化 (38)第三节操作日志审核 (39)第十二章客户信息安全审核 (40)第一节合规性审核 (40)第二节日常例行安全审核与风险评估 (41)第十三章安全事件应急响应 (41)第十四章事后问责 (42)第十五章附则 (43)附录1 (44)客户信息分类表 (44)附录2 (46)客户信息分级及管控原则 (46)附录3 (47)业务部门和支撑部门岗位角色 (47)附录4 (49)客户信息模糊化参考规则 (49)附录5 (52)客户信息开放规则 (52)第一章总则第一条为加强中国移动客户信息安全管理,规范客户信息访问流程、用户访问权限以及承载客户信息的环境,防范客户信息被违法使用和传播的风险,根据国家《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规及制度要求,特制定本规定。
中国移动安全规章制度范本
第一章总则第一条为加强中国移动网络安全管理,保障公司信息系统安全稳定运行,维护公司利益和客户权益,根据国家相关法律法规,结合公司实际情况,制定本规章制度。
第二条本规章制度适用于中国移动所有员工、合作伙伴以及使用公司信息系统的用户。
第三条公司安全管理部门负责组织、协调、监督、检查和指导公司安全工作。
第四条公司各部门应按照本规章制度的要求,建立健全本部门的安全管理制度,落实安全责任。
第二章安全组织与管理第五条公司设立安全委员会,负责公司安全工作的统筹规划、决策和监督。
第六条安全委员会下设安全管理部门,负责具体实施安全管理制度,组织安全培训和应急响应。
第七条各部门应设立安全负责人,负责本部门的安全管理工作,并定期向安全管理部门报告安全工作情况。
第八条公司建立健全安全责任制,明确各级人员的安全职责,确保安全责任落实到人。
第三章信息安全管理制度第九条公司信息系统应遵循国家相关法律法规,采用安全可靠的技术手段,确保信息系统安全。
第十条信息系统建设应遵循安全设计原则,确保信息系统在设计、开发、部署、运行和维护等各个环节符合安全要求。
第十一条公司应建立信息安全风险评估机制,定期对信息系统进行安全风险评估,并采取相应措施。
第十二条公司应建立健全信息安全事件报告、调查、处理和总结制度,确保信息安全事件得到及时、有效处理。
第十三条公司应加强密码管理,确保密码的安全性和保密性。
第十四条公司应加强对员工信息安全意识的教育和培训,提高员工的信息安全素养。
第四章物理安全管理制度第十五条公司应加强办公场所、数据中心等物理场所的安全管理,确保场所安全。
第十六条公司应建立健全门禁、监控、消防等物理安全设施,并定期进行检查和维护。
第十七条公司应加强计算机设备、存储设备等物理设备的安全管理,防止设备丢失、损坏或被盗。
第五章应急管理第十八条公司应建立健全信息安全应急响应机制,确保在发生信息安全事件时,能够迅速、有效地进行处置。
第十九条应急响应机制应包括应急组织、应急预案、应急流程等内容。
中国移动网络与信息安全总纲
中国移动网络与信息安全总纲精品资料网()25万份精华管理资料,2万多集管理视频讲座中国移动网络与信息安全总纲中国移动通信集团公司2006年7月本文档版权由中国移动通信集团公司所有。
未经中国移动通信集团公司书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
中国移动[注]的通信网络和支撑系统是国家基础信息设施,必须加以妥善保护。
随着网络和通信技术的快速发展,网络互联与开放、信息共享带来了日益增长的安全威胁。
为了企业乃至国家的网络与信息安全,为了保障客户利益,加强各方面的安全工作刻不容缓!制订和颁布本标准的目的是为中国移动的网络与信息安全管理工作建立科学的体系,力争通过科学规范的全过程管理,结合成熟和领先的技术,确保安全控制措施落实到位,为各项业务的安全运行提供保障。
本标准主要依据国际规范,参考业界的成熟经验,结合中国移动的实际情况进行补充、修改、完善而来。
本标准目前主要针对互联网、支撑网等IT系统安全。
[注]:本标准所称“中国移动”是指中国移动通信集团公司及由其直接或间接控股的公司。
中国移动通信集团公司,以下简称“集团公司”。
各移动通信有限责任公司,以下简称“各省公司”。
前言 (2)目录 (3)总则 (13)1.网络与信息安全的基本概念 (13)2.网络与信息安全的重要性和普遍性 (13)3.中国移动网络与信息安全体系与安全策略 (14)4.安全需求的来源 (16)5.安全风险的评估 (17)6.安全措施的选择原则 (18)7.安全工作的起点 (18)8.关键性的成功因素 (19)9.安全标准综述 (20)10.适用范围 (24)第一章组织与人员 (26)第一节..................................................... 组织机构261.领导机构 (26)2.工作组织 (27)3.安全职责的分配 (28)4.职责分散与隔离 (29)5.安全信息的获取和发布 (30)6.加强与外部组织之间的协作 (30)7.安全审计的独立性 (31)第二节...................................... 岗位职责与人员考察311.岗位职责中的安全内容 (31)2.人员考察 (32)3.保密协议 (33)4.劳动合同 (33)5.员工培训 (33)第三节.......................... 第三方访问与外包服务的安全341.第三方访问的安全 (34)2.外包服务的安全 (35)第四节...................................... 客户使用业务的安全37第二章网络与信息资产管理 (38)第一节................................ 网络与信息资产责任制度381.资产清单 (38)2.资产责任制度 (39)第二节....................... 资产安全等级及相应的安全要求421.信息的安全等级、标注及处置 (42)2.网络信息系统安全等级 (44)第三章物理及环境安全 (46)第一节..................................................... 安全区域461.安全边界 (46)2.出入控制 (47)3.物理保护 (48)4.安全区域工作规章制度 (49)5.送货、装卸区与设备的隔离 (50)第二节..................................................... 设备安全511.设备安置及物理保护 (51)2.电源保护 (52)3.线缆安全 (53)4.工作区域外设备的安全 (54)5.设备处置与重用的安全 (54)第三节............................................ 存储媒介的安全551.可移动存储媒介的管理 (55)2.存储媒介的处置 (55)3.信息处置程序 (56)4.系统文档的安全 (57)第四节............................................... 通用控制措施581.屏幕与桌面的清理 (58)2.资产的移动控制 (59)第四章通信和运营管理的安全 (60)第一节............................................ 操作流程与职责601.规范操作细则 (60)2.设备维护 (61)3.变更控制 (62)4.安全事件响应程序 (62)5.开发、测试与现网设备的分离 (63)第二节.......................... 系统的规划设计、建设和验收641.系统规划和设计 (64)2.审批制度 (64)3.系统建设和验收 (65)4.设备入网管理 (67)第三节............................................ 恶意软件的防护67第四节...................................... 软件及补丁版本管理69第五节............................................ 时钟和时间同步70第六节..................................................... 日常工作701.维护作业计划管理 (70)2.数据与软件备份 (70)3.操作日志 (72)4.日志审核 (72)5.故障管理 (73)6.测试制度 (74)7.日常安全工作 (74)第七节............................................... 网络安全控制75第八节......................................... 信息与软件的交换761.信息与软件交换协议 (76)2.交接过程中的安全 (76)3.电子商务安全 (77)4.电子邮件的安全 (78)5.电子办公系统的安全 (79)6.信息发布的安全 (80)7.其他形式信息交换的安全 (81)第五章网络与信息系统的访问控制 (82)第一节............................................... 访问控制策略82第二节............................................... 用户访问管理841.用户注册 (84)2.超级权限的管理 (85)3.口令管理 (87)4.用户访问权限核查 (88)第三节..................................................... 用户职责881.口令的使用 (88)2.无人值守的用户设备 (89)第四节............................................... 网络访问控制901.网络服务使用策略 (91)2.逻辑安全区域的划分与隔离 (91)3.访问路径控制 (92)4.外部连接用户的验证 (93)5.网元节点验证 (93)6.端口保护 (94)7.网络互联控制 (94)8.网络路由控制 (95)9.网络服务的安全 (95)第五节...................................... 操作系统的访问控制951.终端自动识别 (96)2.终端登录程序 (96)3.用户识别和验证 (97)4.口令管理系统 (97)5.限制系统工具的使用 (98)6.强制警报 (99)7.终端超时关闭 (99)8.连接时间限制 (100)第六节............................................... 应用访问控制1001.信息访问限制 (100)2.隔离敏感应用 (101)第七节................................... 系统访问与使用的监控1011.事件记录 (102)2.监控系统使用情况 (102)第八节............................................ 移动与远程工作1041.移动办公 (104)2.远程办公 (105)第六章系统开发与软件维护的安全 (107)第一节............................................ 系统的安全需求107第二节............................................ 应用系统的安全1091.输入数据验证 (109)2.内部处理控制 (110)3.消息认证 (111)4.输出数据验证 (112)第三节............................................ 系统文件的安全1121.操作系统软件的控制 (112)2.系统测试数据的保护 (113)3.系统源代码的访问控制 (114)第四节................................ 开发和支持过程中的安全1151.变更控制程序 (115)2.软件包的变更限制 (116)3.后门及特洛伊代码的防范 (117)4.软件开发外包的安全控制 (118)第五节......................................... 加密技术控制措施1181.加密技术使用策略 (119)2.使用加密技术 (119)3.数字签名 (120)4.不可否认服务 (121)5.密钥管理 (121)第七章安全事件响应及业务连续性管理 (124)第一节...................................... 安全事件及安全响应1241.及时发现与报告 (125)2.分析、协调与处理 (125)3.总结与奖惩 (127)第二节............................................ 业务连续性管理1271.建立业务连续性管理程序 (127)2.业务连续性和影响分析 (128)3.制定并实施业务连续性方案 (129)4.业务连续性方案框架 (130)5.维护业务连续性方案 (132)第八章安全审计 (134)第一节......................................... 遵守法律法规要求1341.识别适用的法律法规 (134)2.保护知识产权 (135)3.保护个人信息 (135)4.防止网络与信息处理设施的不当使用 (136)5.加密技术控制规定 (136)6.保护公司记录 (137)7.收集证据 (137)第二节............................................ 安全审计的内容138第三节............................................... 安全审计管理1381.独立审计原则 (139)2.控制安全审计过程 (139)3.保护审计记录和工具 (140)参考文献 (141)术语和专有名词 (142)附录1:安全体系第二层项目清单(列表) (143)总则1.网络与信息安全的基本概念网络与信息安全包括下列三个基本属性:➢机密性(Confidentiality):确保网络设施和信息资源只允许被授权人员访问。
移动公司信息安全政策及措施
移动公司信息安全政策及措施移动公司信息安全政策及措施随着技术的迅猛发展和普及,信息化已逐渐渗透进人们的生活和工作中。
而作为一个信息时代的代表,移动通信技术已成为人们日常生活中不可或缺的一部分。
随之而来的信息泄露、黑客攻击等安全问题也越来越引人关注。
因此,安全保障已成为移动通信行业必须重视的问题。
移动公司信息安全政策及措施主要包括以下几方面。
一、信息安全法制化法制化是信息安全的根本保障。
未来,移动公司将严格按照《网络安全法》《通信行业信息安全管理规定》等法律法规进行信息管理和安全控制,完善公司的安全管理体系,确保用户信息安全。
二、信息加密技术在信息安全领域,密码技术始终是最基本的技术方法之一。
移动公司将采取RSA密码、DES密码、MD5密码、HTTPS加密方法等多种技术手段,对系统网络等进行底层加密,保证数据传输的安全和准确性。
三、用户隐私保护用户隐私保护是移动通信行业最为重要的安全保障工作之一。
公司将通过技术手段对用户隐私数据进行加密、保护和监督,确保用户隐私数据不受非法获取或利用。
四、攻击检测和应急演练攻击检测和应急演练是预防信息安全问题的重要手段。
未来,公司将加强安全检测和应急演练,对黑客攻击和病毒破坏等信息安全突发事件进行全面预警,尽可能减小信息安全问题的损失。
五、信息安全教育安全教育是信息安全人员的重要保障措施。
未来,公司将针对员工、用户等开展信息安全教育和培训,提高他们的信息安全意识和技能水平,保证公司可持续、有序的信息安全管理和维护工作。
综合以上几个方面的安全保障措施,未来移动公司将实现以下目标:一、建立完善的信息安全管理体系公司将全面加强各种信息安全保障措施,建立完善的信息安全管理体系,确保信息安全和风险控制。
二、保障用户隐私安全公司将全面加强用户隐私保护和监督,确保用户隐私数据不被非法获取或利用,保障用户利益。
三、确保信息系统稳定运行公司将对信息系统进行加密、检测和维护,建立安全保障网络,确保系统稳定运行和信息传输的安全。
中国移动网络与信息安全风险评估管理办法V1.0
中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
第二条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
第三条本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
第五条涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求第六条风险评估内容及组织方式1(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
移动客户信息安全管理制度
第一章总则第一条为保障移动客户信息安全,防止信息泄露、篡改、破坏,维护客户合法权益,根据《中华人民共和国网络安全法》等相关法律法规,结合我司实际情况,特制定本制度。
第二条本制度适用于我司所有涉及移动客户信息业务的部门、岗位及人员。
第三条移动客户信息安全工作应遵循以下原则:1. 安全第一,预防为主;2. 依法合规,明确责任;3. 系统管理,分级保护;4. 教育培训,提高意识。
第二章信息安全组织与管理第四条成立移动客户信息安全工作领导小组,负责统筹规划、组织协调、监督实施信息安全工作。
第五条设立信息安全管理部门,负责以下工作:1. 制定和实施移动客户信息安全管理制度;2. 组织开展信息安全培训和宣传教育;3. 监督检查信息安全工作的落实情况;4. 处理信息安全事件。
第六条各部门、岗位应明确信息安全责任人,落实信息安全工作职责。
第三章移动客户信息安全管理第七条移动客户信息包括但不限于以下内容:1. 客户姓名、身份证号码、联系方式等个人基本信息;2. 客户的交易记录、账户信息等敏感信息;3. 客户的通信记录、位置信息等隐私信息。
第八条移动客户信息采集、存储、使用、传输、处理、销毁等环节应遵循以下要求:1. 依法合规采集、使用客户信息;2. 建立客户信息档案,确保信息完整、准确、有效;3. 采取技术措施,确保客户信息存储、传输、处理过程中的安全性;4. 对客户信息进行分类分级保护,根据信息重要性设置不同安全等级;5. 定期对客户信息进行安全检查,及时发现并处理安全隐患。
第九条对移动客户信息进行加密存储和传输,确保信息在传输过程中不被窃取、篡改。
第十条加强移动客户端安全防护,防止病毒、恶意软件等对客户信息造成侵害。
第四章信息安全教育与培训第十一条定期开展信息安全教育和培训,提高员工信息安全意识。
第十二条对新入职员工进行信息安全知识培训,使其了解信息安全的重要性及本制度要求。
第五章信息安全事件处理第十三条发生信息安全事件时,应立即启动应急预案,采取措施控制事态发展。
中国移动通信集团加强信息安全与数据保护
中国移动通信集团加强信息安全与数据保护随着信息技术的快速发展,信息安全与数据保护日益受到人们的关注。
中国移动通信集团作为我国最大的移动通信运营商,承担着呼叫与数据传输的重要任务,必须加强信息安全与数据保护,确保通信网络的安全稳定、用户数据的隐私保护。
本文将针对中国移动通信集团加强信息安全与数据保护的措施与实践进行探讨。
一、加强网络安全建设网络安全是信息安全的重要组成部分,中国移动通信集团针对网络安全问题,制定了一系列的措施与策略。
首先,加强网络设备的防护能力,确保防火墙、入侵检测和防病毒等关键系统的正常运行。
其次,建立完善的安全管理体系,通过加密技术和身份认证策略,保护关键数据的安全。
此外,加强对网络系统的监测和分析,及时发现并解决安全隐患,防止网络攻击的发生。
二、规范用户数据保护用户数据在信息时代中具有重要价值,中国移动通信集团积极采取措施保护用户数据的隐私和安全。
首先,严格遵守个人信息保护相关法律法规,建立健全用户数据保护的制度和政策。
其次,加强对内部员工的培训与管理,提高员工的安全意识和保密能力。
同时,加强对外部合作伙伴的监督与管理,确保用户数据不被非法获取与滥用。
三、加强应急响应能力面对日益复杂的网络安全威胁,中国移动通信集团积极提升应急响应能力,及时有效地应对安全事件。
首先,建立健全的安全事件监测与预警机制,通过网络安全事件的实时监控,迅速发现并响应安全事件。
其次,建立紧急响应机制,对安全事件进行快速处置和恢复,最大程度减少对用户及平台的影响。
同时,加强与政府部门及其他移动通信运营商的合作,共同应对网络安全威胁,形成合力。
四、推动技术创新信息安全与数据保护需要不断创新和技术进步的支持。
中国移动通信集团致力于推动技术创新,在密码学、虚拟化与云安全等方面加强研发与应用,提高信息安全与数据保护的能力。
同时,密切关注国内外安全技术的发展动态,及时引进和采纳先进的安全技术,提高整体安全水平。
总结:中国移动通信集团加强信息安全与数据保护,是对当前信息安全形势的应对之举。
中国移动内容网络安全风险防范自查细则
加固建议
11.2
防护设备缺失
序号
1-3
风险编号
WL-GJFH-1
风险场景
网络安全——防护设备
风险描述
按规范要求的网络防护设备缺失或设备未生效,包括:
1.防火墙;
2.入侵检测;
3.防病毒;
4.防拒绝服务(DDOS攻击防护设备);
5.网页防篡改。
说明:安全设备的具体部署应按规范,对不同的设备进行要求。例如针对OMC等管理设备和DNS、GSLB等关键设备部署,针对服务用户的缓存设备,由于非关键设备,且流量较大,建议作为可选部署。
是 □ 否 □
其它:
3.限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作
是 □ 否 □
其它:
4.对系统账号进行登录限制,确保系统账号仅被守护进程和服务使用,不应直接由该账号登录系统。如果系统没有应用这些守护进程或服务,应删除这些账号
是□ 否 □
其它:
6、防火墙应具备关键字内容过滤功能,可打开该功能,在HTTP,SMTP,POP3等协议中对用户设定的关键字进行过滤
是□ 否 □
其它:
7、如防火墙具备网络病毒防护功能。可打开病毒防护,对蠕虫等病毒传播时的攻击流量进行过滤。如不具备相关模块,需要在安全策略配置中首先关注对常见病毒流量的端口的封堵
是□ 否 □
其它:
安全策略配置
8、所有防火墙在配置访问规则时,最后一条必须是拒绝一切流量
是□ 否 □
其它:
9、在配置访问规则时,源地址和目的地址的范围必须以实际访问需求为前提,尽可能的缩小范围
是□ 否 □
其它:
中国移动信息安全管理体系说明
▪ 事故原因:内部安全管理缺失
缺乏有效的内控措施和定期审计
对信息安全问题产生过程的认识
威胁
通过
方
工具
威胁(破坏或滥用)
•环
境
利用
系统漏洞
管理漏洞
资产
物理漏洞
中移动网络与信息安全体系建立紧迫性
▪ 李跃总的讲话
需制定实施的业务连续性管理体系
信息安全事件回放(三)
▪ 希腊总理手机被窃听,沃达丰总裁遭传唤
– 早在2004年雅典奥运会之前,希腊高官们的手机便 已开始被第三方窃听 ,2006年3月份才被发现。
– 事故原因:沃达丰(希腊)公司的中央服务系统被 安装了间谍软件
制定严格的核心操作系统访问控制流程
信息安全事件(四)
从2005年2月开始,复制出了14000个充值密码。获利380 万。
2005年7月16日才接到用户投诉说购买的充值卡无法充值, 这才发现密码被人盗窃并报警。
无法充值的原因是他最后盗取的那批密码忘记了修改有效日期
反思:目前是否有类似事件等待进一步发现
对第三方的有效安全管理规范缺失
信息安全事件回放(二)
• 竞争对手:法制环境不健全,行业不正当竞争 (如:窃取机密,破坏企业的业务服务)! • 国外政府或机构:法制环境不健全,行业不正当 竞争(如:窃取机密,破坏企业的业务服务)!
企业面临的主要信息安全问题
•人员问题: •信息安全意识薄弱的员工误操作、误设置造成系统宕机、数据丢失,信 息泄漏等问题 •特权人员越权访问,如:系统管理员,应用管理员越权访问、传播敏感 数据 •内部员工和即将离职员工窃取企业秘密,尤其是骨干员工流动、集体流 动等
信息安全及风险控制要求-中国移动
中国移动通信集团福建有限公司互联网电视内容引入管理办法中国移动通信集团福建有限公司2017年9月目录第一章总则 (3)第二章资质要求 (3)第三章引入原则 (5)第四章引入流程 (6)第五章商务模式 (8)第六章合同管理 (8)第七章考核管理 (9)第八章结算管理 (10)第九章退出管理 (12)第十章信息安全及风险控制要求 (12)第十一章附则 (13)附录 (13)第一章总则第一条为规范中国移动通信集团福建有限公司(以下简称福建移动)互联网电视内容引入管理,促进福建移动互联网电视快速、健康、有序发展,根据总部下发的《中国移动数据业务个人及家庭产品管理办法》规定,特制定本管理办法。
第二条本管理办法依据福建移动互联网电视平台内容建设目标,对合作伙伴的资质要求、信息安全、引入流程、商务模式、考核、结算、退出等相关流程进行了规定,更加系统、科学、规范地指导合作伙伴的引入和管理工作。
第三条福建移动互联网电视内容的引入遵循“多家选择、公平竞争、公开公正、诚实信用”的原则。
建立科学的引入流程和评估机制。
业务内容合作伙伴引入结果的决策遵循“高效务实、分级负责、集体决策”的原则。
第四条本制度用于指导省公司开展互联网电视,包含IPTV、OTT平台及相应三屏互动客户端上提供家庭业务内容和应用的合作伙伴的管理。
第五条省公司市场部负责牵头组织互联网电视内容引入工作,市场部、政企分公司、信息技术部、综合部、品质管理部组成专家组负责互联网电视内容申请引入的评审工作。
第二章资质要求第六条福建移动互联网电视内容合作伙伴包括在电视、手机等多屏互动平台上提供视频内容的合作伙伴(以下简称“CP”)以及提供应用的合作伙伴(以下简称“AP”)。
第七条CP/AP需满足以下基本资质要求:(一)必须具有合法有效的企业法人营业执照(或组织机构代码证)、银行开户许可证、税务登记证。
(二)必须为具有独立法人资格的公司。
公司注册成立时间需满一年;公司注册资金不低于50万元人民币;合资公司的中资合作公司注册资金不低于50万元人民币,外资股份比例不得超过50%。
中国移动网络与信息安全风险评估管理办法V1.0
中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司(以下简称“有限公司”)及各省公司(有限公司和各省公司统称“中国移动”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T1730-2008)等国家政策、行业标准和有限公司相关规定,制定本办法。
第二条本办法所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险,有针对性的提出改进措施的活动。
第三条本办法自发布之日起实施,各省公司应制定具体实施细则。
第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求,针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯控制系统、门禁系统等发起的各类风险评估。
第五条涉及的部门包括:总部及各省公司网络与信息安全工作办公室,其它网络安全工作管理职能部门,各级通信网、业务网和各支撑系统维护部门,如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。
第三章评估工作宏观要求第六条风险评估内容及组织方式1(一)风险评估以识别网络和信息系统等信息资产的价值,发现信息资产在技术、管理等方面存在的脆弱性、威胁,评估威胁发生概率、安全事件影响,计算安全风险为主要目标,同时有针对性的提出改进措施、技术方案和管理要求。
(二)有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域,如电信业务流程层面,进行风险评估;(三)风险评估原则上以自评估为主,如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大,可在上报有限公司审批、加强管理的前提下引入第三方评估,并应侧重通过白客渗透测试技术,发现深层次安全问题,如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。
中国移动信息安全的七条禁令2020版
信息安全的“七条禁令”
信息系统运营部下属业务系统支撑部、应用平台支撑部、管理系统支撑部、服务支撑部、帐务支撑部为IT业务支撑的基础部门,承载着公司日常新业务开发上线、系统应用维护等工作,工作中不可避免地能接触到公司营销策略和客户资料等信息安全相关方面。
为保障信息安全,防止公司机密及客户资料外泄,部门制订了关于信息安全的“七条禁令”。
现将有关事项明确如下:
一、“七条禁令”的内容
(一)严禁泄露公司的营销策略、业务模式、经营数据,系统模型等内容;
(二)严禁泄露或交易客户信息;
(三)严禁查询工作不需要的客户敏感信息;
(四)严禁未经客户同意擅自为其开通或变更业务,向其下发短信;
(五)严禁盗用他人账号进行任何操作;
(六)严禁制造和利用应用缺陷盗取客户信息,侵害客户利益;
(七)严禁串通、纵容、包庇他人泄漏客户信息、擅自过户或销号、擅自转移资金积分或其他侵害客户权益的行为。
二、实施时间和处罚办法
上述“七条禁令”自2019年2月1日起在业务系统支撑部、应用平台支撑部、管理系统支撑部、服务支撑部、帐务支撑部实施。
对于违反上述禁令的员工,一旦查证属实,部门将视事态情节轻重进行当季绩效不合格、当年绩效不合格、直至开除等不同等级的处罚;违反禁令涉嫌犯罪的员工将依法移送司法机关。
三、对现场服务的外部合作商要求
在业务系统支撑部、应用平台支撑部、管理系统支撑部、服务支撑部、帐务支撑部管理区域工作的合作方员工也需遵守“七条禁令”,同时接受上述部门的安全管理,如有违规将作为考核依据纳入对合作方的考核。
情节严重者将追究法律责任。
中国移动客户信息安全保护管理规定
中国移动客户信息安全保护管理规定目录中国移动客户信息安全保护管理规定 (1)第一章总则 (4)第二章客户信息保护原则 (4)第三章组织与职责 (6)第四章客户信息的内容及等级划分 (8)第一节客户信息的内容 (8)第二节客户信息等级划分 (9)第三节存储及处理客户信息的系统 (9)第五章岗位角色与权限 (10)第一节业务部门岗位角色与权限 (10)第二节运维支撑部门岗位角色与权限 (14)第六章帐号与授权管理 (16)第七章客户信息全生命周期管理 (17)第一节客户信息的收集 (17)第二节客户信息的传输 (18)第三节客户信息的存储 (19)第四节客户信息的使用 (20)第五节客户信息的共享 (25)第六节客户信息的销毁 (25)第八章金库模式管控 (26)第一节管控系统范围 (27)第二节场景管理 (27)第三节实现方式 (28)第四节策略管理 (29)第九章第三方管理 (29)第十章客户信息系统的技术管控 (32)第一节系统安全防护 (32)第二节集中4A管控要求 (33)第三节远程接入管控 (34)第四节客户信息泄密防护 (35)第五节系统间接口管理 (36)第六节数据脱敏 (37)第十一章敏感操作日志管理 (37)第一节操作日志记录 (38)第二节操作日志集中化 (38)第三节操作日志审核 (39)第十二章客户信息安全审核 (40)第一节合规性审核 (40)第二节日常例行安全审核与风险评估 (41)第十三章安全事件应急响应 (41)第十四章事后问责 (42)第十五章附则 (43)附录1 (44)客户信息分类表 (44)附录2 (46)客户信息分级及管控原则 (46)附录3 (47)业务部门和支撑部门岗位角色 (47)附录4 (49)客户信息模糊化参考规则 (49)附录5 (52)客户信息开放规则 (52)第一章总则第一条为加强中国移动客户信息安全管理,规范客户信息访问流程、用户访问权限以及承载客户信息的环境,防范客户信息被违法使用和传播的风险,根据国家《网络安全法》、《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规及制度要求,特制定本规定。
移动作业应用信息安全风险分析及管控措施
移动作业应用信息安全风险分析及管控措施近年来,安质、运检、营销、物资等专业采用内外网移动作业终端,实现了管理和业务在现场的延伸覆盖,提高了各专业工作质量和现场工作效率。
但是与之相应的关于移动作业的安全风险管控却亟待加强,主要包括移動应用的终端侧风险、网络侧风险和服务端风险。
公司分别针对内外网移动作业制定相应的安全要求,实现移动作业的安全防护。
标签:移动作业、安全风险、管控措施一、背景近年来,安质、运检、营销、物资等专业采用内外网移动作业终端,开展线路巡检、应急抢修、业扩报装、安全监督、工程管理、仓储管理、机房巡视等现场作业,实现了管理和业务在现场的延伸覆盖,提高了各专业工作质量和现场工作效率,减轻了一线员工负担,促进了安全生产和优质服务。
但是与之相应的关于移动作业的安全风险管控却亟待加强,主要包括移动应用的终端侧风险、网络侧风险和服务端风险。
公司分别对内网移动作业应用和外网移动作业应用诸如使用专控移动终端作为载体,通过安全接入网关接入公司信息外网,通过信息网络安全隔离装置与信息内网进行特定数据交互等方式进行安全防护。
二、移动作业应用安全风险移动作业应用在终端侧、网络侧及服务端部署了相应的安全防护措施,但仍存在以下安全风险。
2.1终端侧风险2.1.1设备遗失或被盗风险移动终端体积小、易携带,存在丢失的可能。
一旦设备丢失,设备中存储的数据可能发生泄露,设备可能被非法冒用。
2.1.2终端仿冒风险攻击者通过仿冒公司移动终端,非法接入公司网络,从而获取相关业务及数据的访问权限,非法获取公司敏感数据,甚至攻击主站业务。
2.1.3终端数据窃取风险通过技术手段非法获取移动终端或应用中存储的数据,引发敏感信息泄露风险。
2.1.4终端漏洞被恶意利用风险智能移动终端的操作系统、应用程序、固件存在漏洞,恶意攻击者可利用这些漏洞开展各种形式的攻击,导致终端被非法控制。
2.1.5移动应用程序(App)破解风险恶意攻击者通过反编译破解代码,一方面可分析业务流程及安全机制,进而直接攻击业务主站系统,另一方面可对源程序进行篡改,在其中植入恶意代码并恶意发布。
中国移动基础信息安全管理通用要求
中国移动基础信息安全管理通用要求一、总则为加强中国移动基础信息安全管理,保障移动通信信息系统及相关资源的安全性、可靠性和完整性,依据《中华人民共和国网络安全法》等相关法律法规,制定本通用要求。
二、信息安全管理机构1.设立信息安全管理机构,明确信息安全管理组织机构与管理层之间的职责及权限关系。
2.信息安全管理机构应配备足够的专业人员,负责信息安全管理工作的组织、协调、监督和指导。
3.信息安全管理机构应定期组织信息安全培训,提高全员信息安全意识和技能。
三、信息安全政策1.制定信息安全政策,明确信息安全目标、原则和体系。
2.信息安全政策应体现法律法规要求,保障用户隐私权和信息安全。
3.信息安全政策应经管理层审核、批准并向全员公布。
四、信息资产管理1.建立信息资产清单,对信息资产进行分类、归档和保护。
2.制定信息资产管理规范,明确信息资产的保密、完整性和可用性要求。
3.定期审核信息资产管理规范,保证其有效性和持续改进。
五、风险管理1.建立风险评估和风险处理制度,对关键信息系统和网络进行风险评估。
2.定期开展风险评估,根据评估结果制定风险处理计划和措施。
3.建立应急预案,做好信息安全事件的应急处置工作。
六、系统安全管理1.建立系统安全管理规范,对系统硬件、软件和网络进行安全管理。
2.对系统进行安全加固,保护系统的稳定性和可靠性。
3.建立系统审计机制,对系统操作进行监控和审计。
七、网络安全管理1.建立网络安全管理规范,保护网络的安全性和可靠性。
2.加强边界防护,确保网络的畅通和安全。
3.加密网络通信,防止网络数据泄露和窃听。
八、身份认证和访问控制1.建立用户身份认证机制,确保用户访问的合法性和安全性。
2.细化访问控制策略,根据不同用户权限控制其访问的范围和权限。
3.定期审核用户权限,避免权限滥用和泄露。
九、安全培训和教育1.定期开展信息安全培训,提高员工信息安全意识和技能。
2.加强安全意识教育,防范社会工程和网络攻击。
中国移动网络与信息安全保障体系
中移动网络与信息安全建设总体思路
基于信息安全管理国际标准BS7799/ISO17799 综合顾问的管理和技术经验,结合公司现有的信息安 全管理措施 以公司信息安全现状为基础,充分考虑了公司所存在 的信息安全风险 参考国外业界最佳实践,同时考虑国内的管理和法制 环境
中国移动网络与信息安全保障体系
中国移动网络与信息安全保障体系
信息安全是信息服务提供商的核心保证
▪ 一个不安全的网络,将不可能提供高质量的信 息服务
▪ 信息服务必须让客户可信任 ▪ 解决信息安全问题的关键
– 建立一个完善的信息安全管理体系
中国移动网络与信息安全保障体系
目录
▪ 信息安全:企业面临的巨大挑战 ▪ 中国移动信息安全管理体系介绍 ▪ 中移动网络与信息安全总纲
中移动网络与信息安全的目标
▪ 为中国移动的网络与信息安全管理工作建立科学的体系,确保安 全控制措施落实到位,为各项业务的安全运行提供保障。
▪ 目前公司网络与信息安全工作的重点集中在可用性、保密性和可 审查性。
可用性 保密性
确保被授权用户能够在需要时获取网络与信息资产。
关键信息资产的使用都必须经过授权,只有得到相应授 权的人员才可使用网络和保密信息
网络与信息安 全领导小组
网络安全办 公室
网络部
….
信息系统部
….
网络运营中 …. 心
运营支撑中 心
网络与信息安全办公室负责公司具体的网络与信息安全工作 ,落实公司层面 的各项网络安全政策,牵头部门为网络部。
中国移动网络与信息安全保障体系
信息安全管理框架
总体策略
信息资产分类与控制
职员的安全管理
组
物理环境的安全
中 国移动网络与信息安全保障体系
中国移动网络与信息安全保障体系在当今数字化的时代,中国移动网络已经成为人们生活和工作中不可或缺的一部分。
从日常的通信交流到重要的金融交易,从便捷的在线购物到高效的远程办公,中国移动网络承载着海量的信息和关键的业务。
然而,随着网络的不断发展和应用的日益广泛,信息安全问题也日益凸显。
构建一个强大、有效的中国移动网络与信息安全保障体系,不仅关乎个人的隐私和权益,更关系到国家的安全和社会的稳定。
一、中国移动网络面临的信息安全挑战(一)网络攻击手段多样化如今,网络攻击的手段愈发复杂多样。
黑客可以利用漏洞进行恶意软件植入、拒绝服务攻击(DDoS)、网络钓鱼等,以获取用户的个人信息、破坏网络服务或实施敲诈勒索。
(二)移动设备的安全隐患智能手机、平板电脑等移动设备的普及带来了便捷,但也增加了安全风险。
设备操作系统的漏洞、恶意应用程序的存在以及用户安全意识的薄弱,都可能导致信息泄露。
(三)数据隐私保护问题大量的个人数据在中国移动网络中传输和存储,包括姓名、身份证号、银行卡号等敏感信息。
如何确保这些数据的合法收集、使用和保护,防止数据被滥用或泄露,是一个严峻的挑战。
(四)新兴技术带来的风险5G 网络、物联网、云计算等新兴技术的应用,在推动中国移动网络发展的同时,也引入了新的安全隐患。
例如,物联网设备的安全防护相对薄弱,容易成为攻击者的突破口。
二、中国移动网络与信息安全保障体系的构成要素(一)技术手段1、加密技术通过对数据进行加密,确保在传输和存储过程中的保密性和完整性,即使数据被窃取,也难以被解读。
2、身份认证与访问控制严格的身份认证机制和访问控制策略,确保只有合法用户能够访问相应的网络资源和数据。
3、防火墙与入侵检测系统防火墙用于阻挡外部非法访问,入侵检测系统则实时监测网络中的异常活动,及时发现并阻止潜在的攻击。
4、漏洞管理与修复定期对网络系统进行漏洞扫描,及时发现并修复安全漏洞,降低被攻击的风险。
(二)管理措施1、安全策略与制度制定完善的安全策略和制度,明确安全责任和流程,规范员工的网络行为。
中国移动信息安全管理与实践
中国移动信息安全管理与实践随着信息技术的飞速发展,信息安全问题变得越来越重要。
作为中国最大的移动运营商,中国移动深入研究和实践了信息安全管理,以确保其用户的数据安全和网络安全。
一、信息安全管理体系为了保护用户的个人信息和数据,中国移动建立了一套完善的信息安全管理体系。
该体系包括以下几个方面:1. 信息安全政策制定:制定和更新信息安全政策,确保全体员工都清楚信息安全的重要性和策略。
2. 风险评估和管理:对信息系统进行风险评估,及时发现和处理潜在的安全风险。
3. 安全培训和教育:定期开展信息安全培训和教育,提高员工的安全意识和技能。
4. 安全控制措施:采取各种技术和管理手段,加强对系统和数据的访问控制,确保安全防护。
二、移动网络安全实践中国移动在移动网络安全方面采取了一系列实践措施,保障用户的网络安全。
1. 数据加密传输:在移动网络中,用户的通信数据都会进行加密传输,防止数据被非法窃取或篡改。
2. 网络边界防御:在移动网络边界上设置防火墙和入侵检测系统,过滤恶意流量和攻击,保护网络安全。
3. 网络监控和响应:通过实时监控和日志分析,及时发现异常网络行为,并采取相应措施进行处置。
4. 应急响应机制:建立了紧急事件响应机制,一旦发生网络安全事件,能够迅速响应和处理,减少损失。
5. 安全漏洞管理:定期进行安全漏洞扫描和修复,确保网络设备和应用程序的安全性。
三、用户隐私保护中国移动高度重视用户的隐私保护。
在用户个人信息收集和使用方面,采取了以下措施:1. 信息收集规范:明确定义信息收集的目的和范围,并经用户同意后收集必要的信息。
2. 信息使用限制:对用户个人信息进行严格管理,除非获得用户授权或法律要求,不会将信息用于其他任何目的。
3. 信息安全保护:采取技术和管理手段,确保用户个人信息的安全和机密性。
4. 用户权益保护:用户有权查看、修改和删除个人信息,并提供了便捷的渠道供用户行使这些权益。
总结:中国移动在信息安全管理和实践方面取得了显著成就。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动通信集团福建有限公司VR业务内容合作管理办法中国移动通信集团福建有限公司2018年7月目录第一章总则 (3)第二章资质要求 (3)第三章引入原则 (5)第四章引入流程 (6)第五章商务模式 (7)第六章合同管理 (8)第七章考核管理 (9)第八章结算管理 (11)第九章退出管理 (12)第十章信息安全及风险控制要求 (13)第十一章附则 (13)附录 (14)第一章总则第一条为规范中国移动通信集团福建有限公司(以下简称福建移动)智慧家庭云VR业务内容合作与管理,促进VR业务快速、健康、有序发展,根据总部下发的《中国移动数据业务个人及家庭产品管理办法》规定,特制定本管理办法。
第二条本管理办法依据福建移动智慧家庭云VR业务建设目标,对合作伙伴的资质要求、信息安全、引入流程、商务模式、考核、结算、退出等相关流程进行了规定,更加系统、科学、规范地指导合作伙伴的引入和管理工作。
第三条福建移动智慧家庭云VR业务内容的引入遵循“多家选择、公平竞争、公开公正、诚实信用”的原则。
建立科学的引入流程和评估机制。
业务内容合作伙伴引入结果的决策遵循“高效务实、分级负责、集体决策”的原则。
第四条本制度用于指导为福建移动开展智慧家庭云VR业务提供VR内容的合作伙伴的管理。
第五条福建移动省公司市场部负责牵头组织VR内容引入工作,市场部、政企分公司、信息技术部、综合部、品质管理部组成专家组负责VR内容申请引入的评审工作。
第二章资质要求第六条福建移动VR内容合作伙伴包括为智慧家庭云VR业务平台上提供VR内容的合作伙伴(以下简称“CP”)以及提供VR应用的合作伙伴(以下简称“AP”)。
第七条CP/AP需满足以下基本资质要求:(一)必须具有合法有效的企业法人营业执照(或组织机构代码证)、银行开户许可证、税务登记证。
(二)必须为具有独立法人资格的公司。
公司注册成立时间需满一年;公司注册资金不低于100万元人民币;合资公司的中资合作公司注册资金不低于100万元人民币,外资股份比例不得超过50%。
(三)提供具有竞争力的产品,具备VR业务内容运营经验,技术服务等能力。
(四)合作伙伴主要管理人员(包括但不限于公司的法人代表、总经理、市场、客服、网络技术的主要管理人员)应具有相近行业一年以上的管理经验,能够深入理解中国移动颁布的各项管理办法,并熟悉各项合作伙伴合作流程。
(五)若该合作伙伴与福建移动已有相近业务合作,则在申报当月前连续三个月在省公司的月度考核得分都必须在70分(含)以上,不足三个月则每月月度考核得分均要求在70(含)分以上。
(六)未列入中国移动不良信用记录,在全网或其他省运营过程中没有出现重大违约事件。
第八条CP/AP需满足以下专业资质要求:(一)符合国家相关管理规定,具备国家监管部门(工业和信息化部、文化部、新闻出版总署等)要求的相关资质等资料。
(二)满足VR内容在VR一体机、手机、电视端等多屏互动客户端运营的政策合规性要求。
(三)具备内容运营所需的相关资质以及版权证明,包含但不限于知识产权证明、授权证明、增值业务运营许可证。
第三章引入原则第九条福建移动VR内容的引入必须严格遵守国家的法律法规,维护国家和公司的经济利益;有助于降低公司运营成本,保障公司运营和发展,做到“管理制度化、流程标准化、操作规范化”。
(一)“公开、公平、公正”原则:符合引入基本条件的合作伙伴,均可提交合作申请,以保证机会平等。
(二)专家评估原则:建立科学的引入评估体系,组成评审小组,负责引入评审,量化考评指标,保证合作伙伴引入质量。
优先推荐具有独家、排他等稀缺资源的公司。
(三)“高效务实、分级负责、集体决策”原则:合作伙伴引入结果按照“三重一大”决策制度实施办法等相关规定要求提交总经理办公会或专题会进行集体决策。
(四)信息安全保障原则:建立完备的信息安全保障体系,在内容审核、用户信息保密、信息安全管理制度、系统(业务)安全防护等方面进行保障。
第四章引入流程第十条为了做到“规范与效率”并举,引入类型分为主动引入和申请引入两种。
第十一条主动引入(一)定义:我司根据内容运营创新规划和竞争需要,通过主动寻找合作伙伴,引入独创性、稀缺性、竞争性内容资源的方式。
(二)原则:在同类VR合作伙伴中具有绝对的领导力和影响力,在已上线的VR平台上订购收入靠前的伙伴及其所提供的产品包。
(三)流程:由于该类合作伙伴已具备运营资质,其提供的产品包在市场上已取得了较高的认可度的产品内容。
为加速成熟内容的快速上线,通过“三重一大”决策流程,及时按需召开,提交总经理办公会进行集体决策。
第十二条申请引入(一)定义:内容合作伙伴主动提交合作申请,我司根据内容运营规划进行相关评审,按照规范流程及商务模式,常态化开展引入内容资源的方式。
(二)流程:分为启动、评审、决策、签约4个环节。
1、启动:CP/AP提交申请表和申请材料。
申请材料包含公司介绍和产品介绍。
其中,产品介绍包含但不仅限于产品优势,产品形态,内容数量、更新频度、免费内容占比、合作案例和对应订购情况。
申请表详见附件一。
合作伙伴管理人员负责汇总申请表信息。
2、评审:省公司市场部负责组织评审工作,由市场部、政企分公司(行业视频)、信息技术部、综合部(法律)、品质管理部(客服)组成专家组,进行评审。
专家组先对合作伙伴资质进行现场审核,审核通过后对产品包进行打分评审。
评审从内容、体验、创新、资费、运营支撑、信息安全六个方面综合评估,原则上只推荐评审得分达到70分以上的产品包。
评审评分表详见附件二。
3、决策:对于新增合作伙伴及其所提供的产品名称、产品包和商务模式,资源是否独家、排他,由市场部合作伙伴管理人员汇总拟引入的合作伙伴清单及其提供的内容产品包,按月提交分管领导的专题办公会决策。
4、签约:决策通过后,由市场部牵头负责与合作伙伴签订合同。
原则上合同期限不超过2年。
评估引入过程中的相关记录和决策结果的记录,需要至少留存3年。
第五章商务模式第十三条根据《中国移动数据业务个人及家庭产品管理办法》(中移有限市[2015] 31 号)中明确:“与CP合作时,如采用信息费分成的模式,原则上按照我公司部分不低于40%的比例进行分成;与AP合作时,如采用我公司部分信息费分成的模式,原则上按照不低于30%的比例进行分成。
”以此作为VR业务内容合作商务模式总体原则。
第十四条参照现网牌照合同规定,按照VR业务不同分类,制定分成比例如下:对于弱交互VR业务(纯观看类视频业务),按照5(移动):4(CP/AP):1(牌照)进行订购基础分成。
对于强交互类VR业务分两种(交互类游戏、互动教学、社交等业务):1、需要云渲染的大型交互类VR业务,按照5(移动):4(CP/AP):1(云渲染)进行订购基础分成;2、无需云渲染的简单交互类VR业务,按照6(移动):4(CP/AP)进行订购基础分成。
第十五条为达到更好的激励效果,确保及时激励,同时依据业务发展情况优化激励模式。
具体比例调整需提交总经理办公会进行集体决策。
第六章合同管理第十六条VR内容引入合同的签署由业务需求部门牵头完成。
第十七条合同签约模式:移动与CP/AP签订商务合同,具有考核和管理权。
协商CP/AP与牌照签订政策备书合同。
第十八条合同内容要求:福建移动智慧家庭云VR业务内容引入合同需明确合作伙伴服务内容、合作双方权利及义务、商务模式、考核及处罚办法、稽核规则、结算方式、违约责任及违约处罚、退出方式。
对于合作伙伴的合作要有明确的知识产权归属、信息安全条款、保密条款等内容。
不允许对方随意泄露涉及知识产权的合作内容,避免竞争对手轻易复制。
相关合同文本需通过综合部法务审核。
第十九条合同附件要求:与福建移动家庭业务内容合作伙伴签订合同时,合作伙伴还必须签订《保密协议》、《信息安全责任承诺保证书》和《廉洁合作协议》。
第七章考核管理第二十条省公司市场部每月对合作伙伴实施考核管理,重点从内容呈现及时性和准确性,内容品质,日常支撑,业务故障,违规等维度制定考核细则。
加分项原则上不超过5分。
月度考核表详见附件三。
第二十一条出现一次一类违约,则在当月考核中直接扣除100分,并终止合作。
二类至五类违约每出现一例,按对应扣分标准进行扣分。
第二十二条合作期内每半年由福建移动市场部对合作伙伴进行一次半年评估,连续三个月考核分低于70分(不含)的,半年评估不达标。
第二十三条半年评估不达标或信用度不符合管理要求的合作伙伴应及时终止合作或调整商务模式。
因考核不达标被退出的合作伙伴,原则上一年内不得重新申报。
第八章结算管理第二十四条市场部按季度对合作伙伴实施结算管理,结算数据以用户订购关系为依据。
第二十五条CP/AP分成所得总额中80%为固定分成,剩余20%分成与考核相挂钩。
提供CP/AP内容审核服务的牌照方分成总额全部与考核相挂钩。
(一)CP/AP结算当月结算金额=当月CP/AP合作分成所得总额的80%+当月合作分成所得总额的20%*当月考核得分/100。
月度考核表详见附件三。
(二)提供CP/AP内容审核服务的牌照方结算当月结算金额=当月牌照合作分成所得总额*当月考核得分/100。
内容审核牌照月度考核表详见附件四。
(三)合作伙伴结算金额根据确定的商务模式和与合作伙伴签订的合同进行计算。
不与合作伙伴结算的项目包括:1、客户优惠账户消费金额:客户使用优惠账户内费用对其业务使用消费金额进行抵充或消费的;2、状态不正常客户费用(含预销号):账期内处于欠费、停机、销号和预销号状态的号码产生的所有费用;3、退费费用:同一账期内已经确认的退费费用总和;4、对于合作方因违约或非正常业务行为造成的业务收入。
第二十六条针对多个CP/AP提供内容组合而成的混编产品包,围绕各家成功订购后的点击量或各家成功提供片源数量占比等维度进行分成结算。
针对单个CP/AP提供内容的独立产品包,按该独立产品包对应分成比例结算。
第九章退出管理第二十七条合同期内,合作伙伴的退出分为主动退出、违约退出、考核退出、资质变更退出等。
(一)主动退出:合作伙伴因自身原因可以主动要求终止合作。
必须至少提前三个月向福建移动市场部提出书面申请,经审查批准后,再执行相关退出流程。
(二)违约退出:合作伙伴因业务违约,达到处罚标准的,福建移动市场部有权提出终止合作。
(三)考核退出:合作伙伴半年评估不达标,福建移动市场部有权提出终止合作。
(四)资格变更退出:合作伙伴发生资格变更,如公司注册资金、管理团队、业务开展资质等,不满足合作基本资质的,福建移动市场部有权提出终止合作。
第二十八条对退出的合作伙伴,需执行福建移动市场部提出的具体退出保障措施,配合福建移动解决因退出带来的客户服务、业务延续等问题。
对于恶意不配合的合作伙伴,福建移动有权视情况扣减未结款项。