欢迎来到课桌文档! | 帮助中心 课桌文档-建筑工程资料库
课桌文档
全部分类
  • 党建之窗>
  • 感悟体会>
  • 百家争鸣>
  • 教育整顿>
  • 文笔提升>
  • 热门分类>
  • 计划总结>
  • 致辞演讲>
  • 在线阅读>
  • ImageVerifierCode 换一换
    首页 课桌文档 > 资源分类 > DOCX文档下载  

    3.关于进一步开展电信网络安全防护工作的实施意见.docx

    • 资源ID:1674137       资源大小:18.85KB        全文页数:9页
    • 资源格式: DOCX        下载积分:5金币
    快捷下载 游客一键下载
    会员登录下载
    三方登录下载: 微信开放平台登录 QQ登录  
    下载资源需要5金币
    邮箱/手机:
    温馨提示:
    用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)
    支付方式: 支付宝    微信支付   
    验证码:   换一换

    加入VIP免费专享
     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    3.关于进一步开展电信网络安全防护工作的实施意见.docx

    关于进一步开展电信网络安全防护工作的实施意见【发布时间:2007年10月16日】【来双:通/保师应】1一知大中小各省、自治区、出辖市通信管理局,中国电信集团公司、中国网络通信篥团公司、中国移动通信集团公司、中国联合通信有限公司、中国卫星通信集团公司、中国铁通集团有限公司.信息产业部电信研究院、国家计算机网络应急技术处理协谓中心:为进一步贯彻落实£国家信息化额导小组关于加强信息安全保障匚作的意见3(中办发200327号)精神,加快推进电信网络的等级保护、风险评估、灾难备份等安全防护工作.结合国务院信息化工作办公室、公安部等关于风险评估、等级保护、灾难备份的有关工作要求,保证电信网络安全防护工作整体、规范、科学、有序地开展,在总结电信网络安全防护标准化和相关试点工作的基础上,就电伯行业进一步全面开展电信网络安全防护工作,提出以下意见。一、电信网络安全防护工作的总体思路和基本原则(一)总体思路1.电信网络安全防护工作的主要内容电伯网络安全防护工作包括等级保护、风险评估、灾难备份等以事前防护和准备为主的相关工作内容,总体目标是要从管理和技术等多个方面,落实和改进与电信网络的充要性及面临的威胁相适应的安全保护措修.以提高电信网络的安全保护能力和水平,有效诚少严重网络安全事件的发牛.等级保护是根据被保护对象一旦遭受破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法利益的危杏程度大小,确定被保护时象的安全保护等级并落实与安全保护等级相适的的基本安全保护措随.风险评估是通过系统地认识和分析被保护对象的利关资产、存在的腌弱性、面临的威胁以及已有保护措施的有效性科学推断出安全事件发生的可能性和可能造成的危害程度,并提出和落实有针对性的整诙措施,将残余风P降低到可以接受的程度。灾难茁份是对Hi要线路、设备、业务系统和数据等进行冗余备份,保证当主HI线路、设备、业务系统和数据发生故障或遭到破坏后,有条件迅速切换使用相应的需用资源,提高网络和业务的抗毁性和可持续限务能力.2、将等级保护、风险评估、灾难备份等有机结合等级保护、风险评估、灾难备份等工作相互之间密切相关、互相法透、互为补充.电信N络安全防护应将等级保护、风险评估、灾琲备份等工作有机结合.加强相关工作之间的整合和衔接,保证电信网络安全防护工作的整体性、统,性和协调性,电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想.通过风险评倡的方法正确认识被保护对象存在的脆弱性和面临的威胁,进而制定、落实和改进与安全保护等级和风段大小相适应的一-系列管理、技术、灾难备份等安全保护措施,胶终达到提离电信网络安全保护Ife力和水平的目的,在开展等级保护工作时,要充分应用风险评估的方法,认识、分析不同类鞭的网络和业芬存在的脆弱性和面临的威胁.进而制定和落实与被保护对象的类型、腌弱性和成胁相适应的基本安全保护措施要求,提制等级保护工作的针耐性和适用性。在开展风险评估工作时,在分析被保妒对象综合风险和制定改进方案的过程中,要始终与被保护对象的安全保护等级相结合,合理确定被评估对象的可接受风险和制定确实必要的整改措施.避免无限度的改进提高.在开展灾雄备份工作时,要结合被备份时象的安全保护等娘和面钻的或胁,制定.相适应的热份措施,并将有关备份的要求体现在等级保护相关标准的措能要求中进行落实.3、运营单位自主防护与行业主管部门监督被管相结合按照“谁主管、谁负而,谁运营、徙负成”的原则,电信网络安全防护工作实行电信运营企业自主防护与电估行业主管部门监密检查相结合的工作机制.电信运营企业应当按照电信监管部门的要求,结合企业自身实际情况,认真出彻落实电信网络安全防护的相关规定和标准.并接受电信监管部门的监督检查.电伯监管部门负说组织制定和推广科学、有效、适用的电信网络安全防护实能方法和保护措施,指导电信业务经营界现范开展电信网络安全防妒工作,并赛咨检杏电信网络安全防妒工作的落实情况,不断健全科学、规范、有收的电信网络安全防护管理体系.(二)基本原则电信网络安全防护工作战遵循以下基本原则:k整体性原则.电信掰络由各种设备、线路和相应的支撑、管理单元互联组成,具有全程全网的特点,对电信网络某一部分的御整城改动(包括实施各项保护措施,可能影响整个电伯网络的安全可靠运行.因此,电伯网络安全防妒工作应坚持对整个同络统筹兼顾,由信息产业部会同各电信运营企业集团公司.结合电信网络的实际特点统一研究和组织部潜.2,规范性原则.电信网络种类繁多、结构复杂,安全防护工作涵盖线路、设备、网络、业务系统等多种对象,涉及管理、技术等多个方面,包括安全评测、风险评估等多项环节是一项复杂的系统工程.为保证电信惮络安全防护工作的有效性和规范性相关工作应当按照国家和信息产业部祖织制定的有关标准实施,3、适度性原则,电信网络安全防护工作追求的是适反安全的目标,要始终运用等级保护的思想.制定和落实与电信网络的理要性相适应的安全保护措施要求:要坚持运用风险评估的方法,提出和落实与电信府络的风险大小相适应的改进措施,对于正要性高、风险大的电信网络,要采取较高程度的安全保护措施.反之,对于重要性低、风险小的电信网络,可以采取较低程度的保护措施。4、同步性原则,电信网络自身存在的脆弱性是朴致安全事件发生的内在原因,在电信网络新建、改建、犷建时,应当在规划和设计工作中同步考虑在源头上有效减少电信网络的脆弱性.对于难以何底消除的脆弱性,应当同步规划、设计和实施电信网络安全保护措脩.并做到安全保妒措施与安全保护等级的要求相一致.:、电信网络安全防护工作的主要任务(一)电信网络的定级定级是等级保护的基础和前提.,电信运普企业拥有和运行的电信网络由不同的专业网络和业务单元共同组成,各类专业网络和业务单元具有不同的技术特点,存在不同的脆弱性和面梏不同的城胁,旦所承载的电信业务具有不同的重要性,按照等组保护的思想,针对电信网络不同郃分存在不同风险的实际情况,电佰网络安全防护工作应当按照将电信网络进行合理、清晰的划分,对不同的部分分别落实相应保护措施的方法进行.即:在对电伯网络实施安全保妒时,电信运营企业首先要合理划分电信网络中的各个定级对象.并在科学分析定级对象重要性的基础上.合理确定定级对象的安全保护等级。(二)电信网络的安全评测安全评测是保证等皴保护、灾雄得份得以落实的手段.电信网络定级对象及其所属安全保护等级确定后,电信运营企业应当对各个定级时象落实与其安全保护等级相适应的基本安全保护措施.信息产业部已组织专家通过总结分析各类专业网络和业务单元的脆弱性和成胁,制定出针时各类专业网络和业务单元的不同安全保护等娘的基本安全保护措俺标准,包括管埋、技术、灾碓备份等多方面基本要求.电信运营企业应当依据国家和信息产业部制定的相关标准,对定娘对象落实相应荔本安全保护措施标准的情况进行评测.对于经评测发现未按照相关标准落实基本安全保护措施的.要及时进行相应的将改,确保基本安全保护措施落实到位。在按照相关标准落实基本安全保护措施的基础上,电信运营企业可以根据企业发展情况、技术和经济实力等,提岛对定欲对望的安全保护程度.(电信网络的风除评估风险评估是完善和提高等级保护、灾玳备份的方法。在通过安全评测确保落实等级保护、灾难备份基本安全保护措施的基础上.为提高对风险变化的适陶能力,进一步提高安全保护的时效性和保护水平,电信运甘企业应当建立对各个定级对象进行动态风险评估的机制.应当根据安全形势的发展变化(例如发现新的脆弱性、出现新的威胁、面临更高的安全要求等),定期或不定期殂织对电信网络或其中加成部分进行风险评估。通过风险评估,对新的威胁和脱烟性进行深入分析,对已有安全保护措施的落实情况和有效性进行确认,对已有安全保护措施与变化的风险或新的要求不相适应的,应研究提出并落实进一步的安全保护措施.信息产业部结合风险评估的结果,适时时整或偿改各类定级对象的不同等级的基本安全保护措施标准,以提商基本安全保护措施的有效性和适用性.(四)电信网络安全防护工作的监督检杳电信监管部门对电信运营企业开展上述电信网络安全防护工作进行指导、监督和检查.各级电信运营企业应当招电信网络各个定级对象的费任主体、结构、功能、服务愆用、所属安全保护等级等基本情况向信息产业部或通信管理局需案电信监忏部门负或对电伯运营企业的电伯网络安全评测工作开展监督检查,确保定级对孰落实基本安全保护措施。电信监管部门负责时电信运营企业的电信网络风险评估工作进行监珞检杳,科促进一步提而定级时象的安全保护水平,电信监管部门对于不同安全保护等徼的定级对象,应实施不同程度的监督检查。公安机关对电信行业信思系统等级保护工作的监督检查.由公安机关会同电信监管部门共同组织实描.三、电信网络定级与备案的实施(一)定级的范阳电信阀络安全防护工作的范困包括她础电信运昔企业运营的传输、承我各类电信业务的公共电信网(含公共互联网及其组成部分,支撵和营理公共电信网及电信业务的业务单元和控制单元,互联网数据中心,以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元。此外,电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息限芬单位、互联网接入服务单位、互联府数据中心、互联网域名服务机构等单位运营的网络或信息系统。(二)定级的步骡1 .电信网络的划分电信运昔企业应因参照国家和信息产业部制定的相关标准和实施指前,统筹英颐各自电信网络的网络类型、业务类型、服务地域.企业内部管理,I物等.将本企业的电信网络划分成不I可的定级时象,并分别确定各自的安全保护等级.为保证电信网络划分结果的合埋性和各部分的定级结果的协西一致性,电伯运营企业应本若先全国、后地方,先骨干、后分支,从上(集团公司)至下(行级公司、地市皴公司)的原则统筹对本企业的电信网络进行划分和定级.2 .安全等徼的划分电信运苜企业应当根据定级对象遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民或者法人的合法权益的危害程度等因素,按照国家和信息产业部制定的相关标准和实施指南,将定级时象的安全保护等线划分为1到5级,其中第5级为地高安全保护等级.电信运营企业对各个定级对象分别形成定级报告,定级报告中应包括定线对象的架构、边界、设备部表、服务范围等祭本情况,以及所采用的定级方法、定级结果等信息.3、安全等徼的确定对于安全保护等级拟定为第3欲及以上破别的定级对象,应由电信运营企业集团公司招定级报告报送信息产业部成立的电信网络安全防护专家组评审,由专家组和电信运营企业共同商议确定定级时象的安全保护等线,当专家组评审意见与电信运营企业的意见达不成一致时,应选择双方建议级别中较高的级别作为最终确定的级别。对于安全保护等级拟定为第2级及以下级别的定级对软,无需报信息产业部电信网络安全防护专家组评审.(三定级结果的备案对于确定为第2级及以上级别的定徼对望.电伯运营企业应向电信监管部门办理备案。由电信运计企业集团公司鱼货管理的定级对象,应向信息产业部符案;由电信运营企业省级、地市级公司负击管理的定级对四应向我所在辖区的通信管理局备案.备案时应埴写备案信息登记表,并提交定段报告。信息产业部和通信管理局对在案材料进行审核,并按照公安部、国务院信息化工作办公室等四部门的有关规定,分别向公安部说省级公安机关提交有关备案情况.基础电信运营企业已正式投入运行的电信惬络或相关单元及系统,应当在2008年3月31日之甫完成定徼并向电信监管部门备案.堤础电信运首企业新隹的电信网络或招关单元及系统,应当在正式投入运行后1个月内完成定级并向电信监管部门备案(四)定级结果的调用在电信网络运行过程中,当定欲对象因为改建、犷建而影响其安全保护等级时,或因为定级对象的合并或拆分而改变定娘对象的涵盖范明时,电信运营企业应按照上述定级步骤里新确定相美定级时象的安全保护等级.并向电伯监管部门办理备案信息变更,四、电信网络安全评测的实施及监督检杳(-安全评测的实施电信网络中各个定缎时象的安全评测由电信运苜企业按照国家和信息产业部制定的相关标准或实诙指南F1.行组织实施.对于第3级及以上级别的定级对象.必须进行安全评测电信运营企业可依托本企业技术力吊:进行安全评测,也可委托符合本意见第六条的安全服分机构进行安全评测.在以下情况下应当组织开展定徼对以的安全评测:1、定级对象的安全保护等级初次确定后;2、定级时象的安全保护等级调整且安全保护等级变高后;3、定级时象重大改、扩建工程完成后:4、定级时象发生合并或拆分后:5、电信运营企业的内部管理体系或组织机构发生重大变更后:6、电信网络相关基本安全保护措施要求标准经信息产业部修订后.(二)安全评测工作的监脩检查电信运营企业自行组织实施完成定缴对望的安全评测之后,应当构定级对思的安全评测报告报送电信监管部门,电信雅管部门基于安全评机报告,结合现场调研,对电信运苕企业相关工作的实施开展情况进行赛督检衽,必要时由电信监管部门委任专业机的按照相关标准实施现场安全评测,监咨检ff内容上要包括:1、安全评测实施方法是否符合国家和信息产业部制定的相关标准或实施指南:2、对定级时象宾施的技术、管理、灾就备份等安全保护措施是否符合国家和信息产业部制定的相关标准:3、定级时收的备案信息是否与实际情况相符:4、第三方安全评冽服务机内的选择是否符合有关规定:5、其它应当进行S1.i替检链的力项。对于经检也不符合上述要求的,电信运甘企业应制定整改方案并进行整改,整改完成后应将整改报告报送电信监管部门.电信监管部门对整改情况进行歌督检查.五、电信网络风险评估的实施及瓶督检查(-风险评估的实施电信府络的风险评估可以由电信运营企业自行发起并实施,也可以由电信监管部门视需要提出开展风险评估的要求.并由电信运苜企业自行组织实施.风险评估既可以对整个电信网络全面开展,也可以针对若干定级对象实施。时于第3级及以上级别的定级对望.应当每年进行一次风险评估.电信冏格的风险评估应当按照国家和信息产业部制定的招美标准和实施指南诳行.电信运营企业可依托本企业技术力业进行风险评估,也可委托符合本意见第六条的安全极务机构进行风险评估.爆则上在以下情况时应当组织开展风险评估:1、出现新的笊大威胁:2、发现新的严击安全防患:3、国家召开我要会议或举办重:大活动之前,(;风嗓评估工作的监督松查电信运营企业自行发起或按照电信M管部门的要求实施完成风险评估之后,应当将风险评估报告报送电伯监管部门,电估赛管部门基于风险评估报告,结合现场阿研定期或不定期对电信运营企业相关工作的实施开展情况进行监督检奄,监咨检ff内容上要包括:1、风哙评估实施方法是否符合国家和信息产业部殂银制定的相关标准或实施指沟;2、是否根据风险评估结果提出并落实进一步的安全保护措施:3、第三方风险评估服务机构的选择是否符合有关规定;4、其它应当进行雅督检查的事项.六、安全服务机构的管理(-安全服务机构的选择电信运营企业应当选择符合下列条件的安全限务机构进行电信网络的安全评测和风险评估:1、在中华人民共和国境内注册成立(港澳台地区除外):2、由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外):3 .从事电信网络安全保障服务工作一年以.上,无违法记录:4、相关工作人员仅限于中国公民:5、法人及主要业务、技术人员无犯罪记录:6、具有完备的保密管理、项目管理、质属管理、人员管理和培训教育等安全管理制度.(-安全服务机构的义务为电伯网络提供安全评测、风险评估眼芬的安全服务机构应当履行以下义务:I、遵守国家和信息产业部有关法律法规和技术标准,提供安全、客观、公正的安全评测、风险评估服务,保证安全评测、风险评估的质加和效果:2.保守在安全评测、风险评估活动中知悉的国家秘密、企业秘客和公民隐私,防范相关工作带来的风险:3、对相关工作人处进行安全保诙教6,与其彩订安全保玄所任书,规定应当履行的安全保密义芬和承担的法律员任.并负说检直落实.七、电信网络安全防护工作的总体要求(-提高认识,加强领导,各地通信管理局和电信运营企业集团公司要结合国宓信息化发展和电信行业发展的要求,进一步提高对电信网络安全防护工作重要性、紧迫性的认识,加演对本地区、本企业电信网络安全防护工作的组积领导,按照信息产业部的统一部署加快推进电信网络安全防护体系建设.佰息产业郃成立电估网络安全防护工作领导小组,负责相关工作的总体部署和仍i队领导小组由信息产业部奚国华副部长担任组长,信息产业部电信管理局疗金生同匕担任副组长,成员包括信息产业部科技司、规划司、石地通信管理局以及基础电信运甘企业的主管领导,领导小姐办公室设在信息产业部电信管埋局,由电信管理局赵志国副司仁担任办公室主任.各地通信管埋局和各圾电信运甘企业要成立本单位电信网络安全防护领导小组及工作加,明确和落实相关部门的职也,加强对相关工作的保障,确保电信网络安全防护工作顺利开展.(二)明确员任,加强协调。电信网络安全防护工作由信息产业部、各地通信管理局组织部*.信息产业部负责组织制定相关规定和标准,对各地通信管理局和电信运营企业集团公司的相关工作is行指导、SKi督和检杳,对评测评估服务机构进行监督管理,与国家其他相关部门进行协调.各地通信管理局负贲对本地区内电信运营企业的相关工作进行指'#、监悌和检杳,与当地其他相关部门进行协调,各电信运营企业集团公司负说按照信息产业部的要求,组织、监督、检查本集团电信网络安全防护工作.(£)加强研究,规范管理.信息产业部组织成立电伯网络安全防护专家组,加强对标准制定、定级、安全服务机构管理等相关工作的研究和指导:尽快制定或完善相关标准和实能指南.制定电信网络安全保的监督管埋力法,研究评测评估服务机构管理办法,进一步提高相关工作的规范性和公正性:组织研究科学、高效的评测评估方法和相关工具,不断提高评测评估工作的客观性:加强电伯网络安全防护工作行政管埋支探手段建设提高行政管理工作效率。(四)及时总结.提出建议.各相关单位应结合开展电信N络安全防护工作的实际.认出总结羟验和不足,提出迸一步完湃电信网络安全防护相关标准和管理工作的意见和建议.为股利开展电信网络安全防护工作提供有益经验.各单位在相关工作中如有意见、建议和问题,请及时向信息产业部电信管理局报告,中华人民共和国信息产业部二OO七年卜一月卜二日

    注意事项

    本文(3.关于进一步开展电信网络安全防护工作的实施意见.docx)为本站会员(夺命阿水)主动上传,课桌文档仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知课桌文档(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    备案号:宁ICP备20000045号-1

    经营许可证:宁B2-20210002

    宁公网安备 64010402000986号

    课桌文档
    收起
    展开