《3.关于进一步开展电信网络安全防护工作的实施意见.docx》由会员分享,可在线阅读,更多相关《3.关于进一步开展电信网络安全防护工作的实施意见.docx(9页珍藏版)》请在优知文库上搜索。
1、关于进一步开展电信网络安全防护工作的实施意见【发布时间:2007年10月16日】【来双:通/保师应】1一知大中小各省、自治区、出辖市通信管理局,中国电信集团公司、中国网络通信篥团公司、中国移动通信集团公司、中国联合通信有限公司、中国卫星通信集团公司、中国铁通集团有限公司.信息产业部电信研究院、国家计算机网络应急技术处理协谓中心:为进一步贯彻落实国家信息化额导小组关于加强信息安全保障匚作的意见3(中办发200327号)精神,加快推进电信网络的等级保护、风险评估、灾难备份等安全防护工作.结合国务院信息化工作办公室、公安部等关于风险评估、等级保护、灾难备份的有关工作要求,保证电信网络安全防护工作整体
2、、规范、科学、有序地开展,在总结电信网络安全防护标准化和相关试点工作的基础上,就电伯行业进一步全面开展电信网络安全防护工作,提出以下意见。一、电信网络安全防护工作的总体思路和基本原则(一)总体思路1.电信网络安全防护工作的主要内容电伯网络安全防护工作包括等级保护、风险评估、灾难备份等以事前防护和准备为主的相关工作内容,总体目标是要从管理和技术等多个方面,落实和改进与电信网络的充要性及面临的威胁相适应的安全保护措修.以提高电信网络的安全保护能力和水平,有效诚少严重网络安全事件的发牛.等级保护是根据被保护对象一旦遭受破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法利益的
3、危杏程度大小,确定被保护时象的安全保护等级并落实与安全保护等级相适的的基本安全保护措随.风险评估是通过系统地认识和分析被保护对象的利关资产、存在的腌弱性、面临的威胁以及已有保护措施的有效性科学推断出安全事件发生的可能性和可能造成的危害程度,并提出和落实有针对性的整诙措施,将残余风P降低到可以接受的程度。灾难茁份是对Hi要线路、设备、业务系统和数据等进行冗余备份,保证当主HI线路、设备、业务系统和数据发生故障或遭到破坏后,有条件迅速切换使用相应的需用资源,提高网络和业务的抗毁性和可持续限务能力.2、将等级保护、风险评估、灾难备份等有机结合等级保护、风险评估、灾难备份等工作相互之间密切相关、互相法
4、透、互为补充.电信N络安全防护应将等级保护、风险评估、灾琲备份等工作有机结合.加强相关工作之间的整合和衔接,保证电信网络安全防护工作的整体性、统,性和协调性,电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想.通过风险评倡的方法正确认识被保护对象存在的脆弱性和面临的威胁,进而制定、落实和改进与安全保护等级和风段大小相适应的一-系列管理、技术、灾难备份等安全保护措施,胶终达到提离电信网络安全保护Ife力和水平的目的,在开展等级保护工作时,要充分应用风险评估的方法,认识、分析不同类鞭的网络和业芬存在的脆弱性和面临的威胁.进而制定和落实与被保护对象的类型、腌弱性和成胁相适应的基本安
5、全保护措施要求,提制等级保护工作的针耐性和适用性。在开展风险评估工作时,在分析被保妒对象综合风险和制定改进方案的过程中,要始终与被保护对象的安全保护等级相结合,合理确定被评估对象的可接受风险和制定确实必要的整改措施.避免无限度的改进提高.在开展灾雄备份工作时,要结合被备份时象的安全保护等娘和面钻的或胁,制定.相适应的热份措施,并将有关备份的要求体现在等级保护相关标准的措能要求中进行落实.3、运营单位自主防护与行业主管部门监督被管相结合按照“谁主管、谁负而,谁运营、徙负成”的原则,电信网络安全防护工作实行电信运营企业自主防护与电估行业主管部门监密检查相结合的工作机制.电信运营企业应当按照电信监管
6、部门的要求,结合企业自身实际情况,认真出彻落实电信网络安全防护的相关规定和标准.并接受电信监管部门的监督检查.电伯监管部门负说组织制定和推广科学、有效、适用的电信网络安全防护实能方法和保护措施,指导电信业务经营界现范开展电信网络安全防妒工作,并赛咨检杏电信网络安全防妒工作的落实情况,不断健全科学、规范、有收的电信网络安全防护管理体系.(二)基本原则电信网络安全防护工作战遵循以下基本原则:k整体性原则.电信掰络由各种设备、线路和相应的支撑、管理单元互联组成,具有全程全网的特点,对电信网络某一部分的御整城改动(包括实施各项保护措施,可能影响整个电伯网络的安全可靠运行.因此,电伯网络安全防妒工作应坚
7、持对整个同络统筹兼顾,由信息产业部会同各电信运营企业集团公司.结合电信网络的实际特点统一研究和组织部潜.2,规范性原则.电信网络种类繁多、结构复杂,安全防护工作涵盖线路、设备、网络、业务系统等多种对象,涉及管理、技术等多个方面,包括安全评测、风险评估等多项环节是一项复杂的系统工程.为保证电信惮络安全防护工作的有效性和规范性相关工作应当按照国家和信息产业部祖织制定的有关标准实施,3、适度性原则,电信网络安全防护工作追求的是适反安全的目标,要始终运用等级保护的思想.制定和落实与电信网络的理要性相适应的安全保护措施要求:要坚持运用风险评估的方法,提出和落实与电信府络的风险大小相适应的改进措施,对于正
8、要性高、风险大的电信网络,要采取较高程度的安全保护措施.反之,对于重要性低、风险小的电信网络,可以采取较低程度的保护措施。4、同步性原则,电信网络自身存在的脆弱性是朴致安全事件发生的内在原因,在电信网络新建、改建、犷建时,应当在规划和设计工作中同步考虑在源头上有效减少电信网络的脆弱性.对于难以何底消除的脆弱性,应当同步规划、设计和实施电信网络安全保护措脩.并做到安全保妒措施与安全保护等级的要求相一致.:、电信网络安全防护工作的主要任务(一)电信网络的定级定级是等级保护的基础和前提.,电信运普企业拥有和运行的电信网络由不同的专业网络和业务单元共同组成,各类专业网络和业务单元具有不同的技术特点,存
9、在不同的脆弱性和面梏不同的城胁,旦所承载的电信业务具有不同的重要性,按照等组保护的思想,针对电信网络不同郃分存在不同风险的实际情况,电佰网络安全防护工作应当按照将电信网络进行合理、清晰的划分,对不同的部分分别落实相应保护措施的方法进行.即:在对电伯网络实施安全保妒时,电信运营企业首先要合理划分电信网络中的各个定级对象.并在科学分析定级对象重要性的基础上.合理确定定级对象的安全保护等级。(二)电信网络的安全评测安全评测是保证等皴保护、灾雄得份得以落实的手段.电信网络定级对象及其所属安全保护等级确定后,电信运营企业应当对各个定级时象落实与其安全保护等级相适应的基本安全保护措施.信息产业部已组织专家
10、通过总结分析各类专业网络和业务单元的脆弱性和成胁,制定出针时各类专业网络和业务单元的不同安全保护等娘的基本安全保护措俺标准,包括管埋、技术、灾碓备份等多方面基本要求.电信运营企业应当依据国家和信息产业部制定的相关标准,对定娘对象落实相应荔本安全保护措施标准的情况进行评测.对于经评测发现未按照相关标准落实基本安全保护措施的.要及时进行相应的将改,确保基本安全保护措施落实到位。在按照相关标准落实基本安全保护措施的基础上,电信运营企业可以根据企业发展情况、技术和经济实力等,提岛对定欲对望的安全保护程度.(电信网络的风除评估风险评估是完善和提高等级保护、灾玳备份的方法。在通过安全评测确保落实等级保护、
11、灾难备份基本安全保护措施的基础上.为提高对风险变化的适陶能力,进一步提高安全保护的时效性和保护水平,电信运甘企业应当建立对各个定级对象进行动态风险评估的机制.应当根据安全形势的发展变化(例如发现新的脆弱性、出现新的威胁、面临更高的安全要求等),定期或不定期殂织对电信网络或其中加成部分进行风险评估。通过风险评估,对新的威胁和脱烟性进行深入分析,对已有安全保护措施的落实情况和有效性进行确认,对已有安全保护措施与变化的风险或新的要求不相适应的,应研究提出并落实进一步的安全保护措施.信息产业部结合风险评估的结果,适时时整或偿改各类定级对象的不同等级的基本安全保护措施标准,以提商基本安全保护措施的有效性
12、和适用性.(四)电信网络安全防护工作的监督检杳电信监管部门对电信运营企业开展上述电信网络安全防护工作进行指导、监督和检查.各级电信运营企业应当招电信网络各个定级对象的费任主体、结构、功能、服务愆用、所属安全保护等级等基本情况向信息产业部或通信管理局需案电信监忏部门负或对电伯运营企业的电伯网络安全评测工作开展监督检查,确保定级对孰落实基本安全保护措施。电信监管部门负责时电信运营企业的电信网络风险评估工作进行监珞检杳,科促进一步提而定级时象的安全保护水平,电信监管部门对于不同安全保护等徼的定级对象,应实施不同程度的监督检查。公安机关对电信行业信思系统等级保护工作的监督检查.由公安机关会同电信监管部
13、门共同组织实描.三、电信网络定级与备案的实施(一)定级的范阳电信阀络安全防护工作的范困包括她础电信运昔企业运营的传输、承我各类电信业务的公共电信网(含公共互联网及其组成部分,支撵和营理公共电信网及电信业务的业务单元和控制单元,互联网数据中心,以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元。此外,电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息限芬单位、互联网接入服务单位、互联府数据中心、互联网域名服务机构等单位运营的网络或信息系统。(二)定级的步骡1 .电信网络的划分电信运昔企业应因参照国家和信息产业
14、部制定的相关标准和实施指前,统筹英颐各自电信网络的网络类型、业务类型、服务地域.企业内部管理,I物等.将本企业的电信网络划分成不I可的定级时象,并分别确定各自的安全保护等级.为保证电信网络划分结果的合埋性和各部分的定级结果的协西一致性,电伯运营企业应本若先全国、后地方,先骨干、后分支,从上(集团公司)至下(行级公司、地市皴公司)的原则统筹对本企业的电信网络进行划分和定级.2 .安全等徼的划分电信运苜企业应当根据定级对象遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民或者法人的合法权益的危害程度等因素,按照国家和信息产业部制定的相关标准和实施指南,将定级时象的安全保护等线划分为1到5级
15、,其中第5级为地高安全保护等级.电信运营企业对各个定级对象分别形成定级报告,定级报告中应包括定线对象的架构、边界、设备部表、服务范围等祭本情况,以及所采用的定级方法、定级结果等信息.3、安全等徼的确定对于安全保护等级拟定为第3欲及以上破别的定级对象,应由电信运营企业集团公司招定级报告报送信息产业部成立的电信网络安全防护专家组评审,由专家组和电信运营企业共同商议确定定级时象的安全保护等线,当专家组评审意见与电信运营企业的意见达不成一致时,应选择双方建议级别中较高的级别作为最终确定的级别。对于安全保护等级拟定为第2级及以下级别的定级对软,无需报信息产业部电信网络安全防护专家组评审.(三定级结果的备
16、案对于确定为第2级及以上级别的定徼对望.电伯运营企业应向电信监管部门办理备案。由电信运计企业集团公司鱼货管理的定级对象,应向信息产业部符案;由电信运营企业省级、地市级公司负击管理的定级对四应向我所在辖区的通信管理局备案.备案时应埴写备案信息登记表,并提交定段报告。信息产业部和通信管理局对在案材料进行审核,并按照公安部、国务院信息化工作办公室等四部门的有关规定,分别向公安部说省级公安机关提交有关备案情况.基础电信运营企业已正式投入运行的电信惬络或相关单元及系统,应当在2008年3月31日之甫完成定徼并向电信监管部门备案.堤础电信运首企业新隹的电信网络或招关单元及系统,应当在正式投入运行后1个月内完成定级并向电信监管部门备案(四)定级结果的调用在电信网络运行过程中,当定欲对象因为改建、犷建而影响其安全保护等级时,或因为定级对象的合并或拆分而改变定娘对象的涵盖范明时,电信运
免费区 