《行业规范-iso9000-中国电信通信网络安全防护管理办法43525.docx》由会员分享,可在线阅读,更多相关《行业规范-iso9000-中国电信通信网络安全防护管理办法43525.docx(20页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国电信通信网络安全防护管理办法第一章总则第一条 为加强中国国电信通通信网络络安全管管理工作作,提高高通信网网络安全全防护能能力,保保障通信信网络安安全畅通通,根据据通信信网络安安全防护护管理办办法(中中华人民民共和国国工业和和信息化化部第111号令令),制制定本办办法。第二条 第二条中国国电信管管理和运运行的公公用通信信网和互互联网(以以下统称称“通信网网络”)的网网络安全全防护工工作,适适用本办办法。第三条 第三条本办办法所称称网络安安全防护护工作,是是指为防防止通信信网络阻阻塞、中中断、瘫瘫痪或者者被非法法控制,以以及为防防止通信信网络中中传输、存存储、处处理的数数据信息息丢失、泄泄露或
2、者者被篡改改而开展展的工作作。第四条 通信网络安安全防护护工作坚坚持积极极防御、综综合防范范、分级级保护的的原则。第五条 网网络安全全防护工工作贯穿穿网络规规划、设设计、采采购、建建设、入入网运行行、维护护以及下下线退网网整个生生命周期期;注重重安全防防护的标标准制定定与落实实,注重重督促工工程设计计和建设设阶段的的安全规规范实施施情况,注注重监管管运行维维护工作作制度规规章的执执行情况况;建立立按照电电信管理理机构的的要求,结结合中国国电信自自身的安安全管理理需求,以以年度为为周期开开展计划划、实施施、总结结考评等等工作制制度;整整体工作作将按照照规范化化、制度度化、常常态化方方向发展展。第
3、六条集团团公司相相关部门门和各省省级公司司可根据据实际情情况制定定相关细细则,进进一步落落实贯彻彻本办法法。第二章网络络安全防防护管理理的组织织形式第七条 集集团公司司负责全全集团通通信网络络安全防防护工作作的统一一指导、协协调和检检查,组组织建立立健全通通信网络络安全防防护体系系,制定定相关标标准,按按照工业业和信息息化部的的规定、通通信行业业标准及及企业标标准开展展通信网网络安全全防护工工作,对对全网的的通信网网络安全全负责,对对各省的的网络安安全管理理工作进进行统一一监督管管理。第八条 各各省级公公司依据据本办法法的规定定和相关关要求,对对本省公公司的通通信网络络安全防防护工作作进行指指
4、导、协协调和检检查,按按照工业业和信息息化部及及各省、自自治区、直直辖市通通信管理理局(以以下统称称“电信管管理机构构”)的规规定和通通信行业业标准、集集团公司司的相关关要求、企企业标准准开展通通信网络络安全防防护工作作,对所所管理的的通信网网络安全全负责。第九条 网网络安全全防护工工作覆盖盖多部门门、多专专业,包包括网络络发展部部门(以以下简称称网络发发展部)、企企业信息息化部门门(以下下简称企企业信息息化部)、公公众客户户管理部部门(以以下简称称公众客客户部)、网网络运行行部门(以以下简称称网络运运行部)等等。集团团和省级级公司网网络运行行部既为为网络安安全防护护统筹管管理部门门(以下下简
5、称统统筹管理理部门),又又为网络络安全防防护专业业管理部部门(以以下简称称专业管管理部门门);各各级公司司企业信信息化部部、公众众客户部部等为专专业管理理部门;中国电电信北京京研究院院基础网网络安全全防护支支撑和测测评中心心、上海海研究院院、广州州研究院院及各省省公司相相关科研研单位为为网络安安全防护护技术支支持部门门(以下下简称技技术支持持部门)。网网络安全全防护工工作以统统筹管理理部门统统筹协调调、各专专业管理理部门分分头负责责、技术术支持部部门技术术支撑的的形式开开展。第十条 各各级公司司相同专专业管理理部门间间以纵向向管理关关系组织织工作,同同级专业业管理部部门的协协同工作作由本级级统
6、筹管管理部门门统筹协协调。第十一条各各省级公公司要根根据中国国电信的的岗位体体系要求求,在省省级公司司网络安安全防护护统筹管管理部门门内设立立网络安安全管理理岗,实实现网络络安全防防护总体体统筹管管理专人人专岗,履履行省级级公司网网络安全全防护统统筹管理理日常工工作。第三章网络络安全防防护管理理的职责责第十二条统统筹管理理部门的的主要职职责(一)负责责制定管管理辖区区内的网网络安全全防护统统筹管理理相关管管理办法法、工作作制度、工工作目标标、年度度工作重重点与工工作计划划,制定定考核要要求,并并组织落落实。(二)牵头头接应电电信管理理机构或或上级公公司有关关网络安安全防护护工作要要求,组组织相
7、关关专业管管理部门门对新投投入运行行或重大大变更的的网络与与系统进进行定级级或定级级调整。(三)根据据网络安安全防护护的行业业标准、企企业标准准或上级级公司要要求,结结合当期期网络防防护重点点任务,组组织同级级专业管管理部门门开展网网络安全全评测、评评估和检检查工作作。(四)根据据各专业业管理部部门的网网络安全全评测、评评估和检检查结果果,督促促协调相相关整改改工作。(五)负责责管理辖辖区内网网络安全全恢复预预案完整整性、规规范性和和实效性性的总体体管理。(六)组织织网络安安全防护护培训工工作,组组建各级级网络安安全防护护专家团团队。(七)参与与网络安安全防护护行业标标准和监监管办法法等的制制
8、定工作作,组织织各相关关专业管管理部门门制定企企业网络络安全相相关标准准。(八)组织织相关专专业管理理部门完完成向电电信管理理机构报报送网络络安全基基础数据据等工作作。(九)将网网络安全全评测、评评估中所所需的专专业工具具、支撑撑服务、网网络/系统加加固等相相关成本本费用纳纳入本部部门当年年预算。(十)归口口管理各各专业管管理部门门提出的的网络安安全需求求,汇总总、审核核后,统统一提交交网络发发展部。第十三条专专业管理理部门的的分工和和主要职职责:(一)专业业管理部部门的分分工:11.企业业信息化化部主要要负责CCTG-MBOOSS规规范框架架下的企企业信息息系统的的安全防防护工作作。2.公众
9、客客户部主主要负责责网上营营业厅、掌掌上营业业厅及其其相关系系统的安安全防护护工作。3.网运部主要负责传统网络(传输网、交换网、同步网、信令网、移动网、短消息网及网络类网管等)、数据网(CHINANET、CN2、IP城域网、DNS、IDC、DCN等)、业务平台(如ISMP等管理平台,多媒体消息、WAP、BREW等能力平台和导航、视讯等产品平台)及物理环境等的安全防护工作。各专业管理部门为所负责专业的网络安全防护第一责任部门。如果省级公司的专业管理部门职责划分与上述不同,按照省级公司的部门职责划分分工。(二)专业业管理部部门的主主要职责责:1.负责相相关专业业的网络络安全防防护管理理办法、工工作
10、制度度、工作作目标、年年度工作作重点与与工作计计划的制制定,并并组织落落实。22.组织织对新投投入运行行或重大大变更的的相关专专业的网网络与系系统的定定级或定定级调整整。3.按照政政府要求求及企业业年度工工作重点点的要求求开展相相关专业业网络安安全评测测、评估估和检查查工作。4.根据相关专业的网络安全评测、评估及和检查结果,从网络规划建设和网络维护管理等方面提出建议,实施整改工作。5.负责相关专业网络安全恢复预案完整性、规范性和实效性的管理。6.组织相关专业网络安全防护培训工作。7.参与网络安全防护行业标准、企业标准、监管办法等的制定、完善及实施推进工作。8.将网络安全评测、评估中所需的专业工
11、具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。第十四条网网络发展展部的主主要职责责:(一一)负责责在网络络规划中中考虑网网络安全全运行问问题。在在网络规规划中统统筹考虑虑统筹管管理部门门汇总的的各专业业管理部部门提出出的网络络安全需需求。(二二)负责责网络建建设的安安全管理理,组织织做好施施工工作作对现网网运行安安全的评评估、施施工过程程中的安安全管控控以及重重要业务务系统上上线环节节的安全全验收工工作。(三三)参与与网络安安全符合合性评测测、风险险评估和和安全检检查工作作。根据据网络安安全符合合性评测测、风险险评估和和安全检检查的结结果,对对需要投投资解决决的隐患患和问题题,
12、根据据轻重缓缓急明确确投资,组组织工程程实施。第十五条技技术支持持部门的的主要职职责:(一)参与与网络安安全防护护企业标标准及相相关规范范的制定定。(二)协助助制定网网络安全全防护定定级指导导,初审审定级结结果,负负责定级级技术支支持。(三)协助助制定评评测、评评估模板板,初审审评测、评评估结果果,负责责相关的的技术支支持。(四)协助助开展网网络安全全检查,制制定检查查方案。(五)分析析网络安安全评测测、评估估及安全全检查中中发现的的问题,协协助提出出相关整整改建议议。(六)协助助开展网网络安全全恢复预预案完整整性、规规范性和和实效性性的管理理。第四章网络络安全防防护定级级及定级级调整第十六条
13、 对本单单位已正正式投入入运行的的通信网网络应进进行定级级单元划划分,并并按照各各通信网网络单元元遭受破破坏后可可能对国国家安全全、经济济运行、社社会秩序序、公众众利益的的危害程程度,由由低到高高分别划划分为一一级、二二级、三三级、四四级、五五级,分分级标准准执行国国家网络络安全防防护定级级行业标标准。(详详见附件件)第十七条 集团公公司统一一管理的的骨干网网络和系系统由集集团公司司统一组组织定级级和级别别调整工工作,省省内网络络(含省省内长途途和本地地网网络络)及系系统由各各省级公公司组织织定级和和级别调调整工作作。定级级工作由由统筹管管理部门门牵头组组织,各各专业管管理部门门分头负负责。第
14、十八条 网络安安全防护护定级工工作流程程:(一)集团团公司统统筹管理理部门根根据工业业和信息息化部的的要求,组组织中国国电信基基础网络络安全防防护支撑撑和测评评中心按按照网络络安全防防护定级级行业标标准及企企业标准准,结合合中国电电信网络络实际情情况,制制定当期期的网络络安全防防护定级级指导,明明确定级级范围、定定级对象象划分建建议、定定级方法法等内容容。(二)集团团公司统统筹管理理部门组组织集团团相关专专业管理理部门会会审网络络安全防防护定级级指导;审核通通过后,通通知各相相关专业业管理部部门按照照网络安安全防护护定级指指导的要要求开展展网络单单元安全全防护定定级工作作。(三)各相相关专业业
15、管理部部门完成成安全防防护定级级工作后后,集团团各相关关专业管管理部门门将定级级结果报报送集团团统筹管管理部门门,省公公司各相相关专业业管理部部门将定定级结果果报送省省公司统统筹管理理部门;中国电电信基础础网络安安全防护护支撑和和测评中中心负责责对定级级结果进进行初审审。(四)初审审完成后后,集团团公司统统筹管理理部门组组织集团团相关专专业管理理部门对对初审结结果进行行审核,审审核完成成后向国国家电信信管理机机构申请请对电信信网络的的定级情情况进行行评审。(五)各级级统筹管管理部门门在通信信网络定定级评审审通过后后三十日日内,将将通信网网络单元元的划分分和定级级情况向向电信管管理机构构备案。第
16、十九条 网络安安全防护护定级备备案要求求(一)集团团公司统统筹管理理部门向向工业和和信息化化部办理理其管理理的通信信网络单单元的定定级备案案;各省省级公司司统筹管管理部门门向当地地通信管管理局办办理其负负责管理理的通信信网络单单元的定定级备案案。(二)办理理通信网网络定级级单元备备案时,应应当提交交以下信信息:11.通信信网络单单元的名名称、级级别、主主要功能能;2.通信网网络单元元责任单单位的名名称、联联系方式式;3.通信网网络单元元主要负负责人的的姓名、联联系方式式;4.通信网网络单元元的拓扑扑架构、网网络边界界、主要要软硬件件及型号号、关键键设施位位置;55.按照照定级要要求应提提交的涉
17、涉及通信信网络安安全的其其他信息息。(三)以上上备案信信息发生生变化的的,各级级专业管管理部门门应当自自信息变变化之日日起三十十日内通通知相应应统筹管管理部门门,由统统筹管理理部门向向对应的的电信管管理机构构变更备备案,确确保信息息的及时时性、准准确性以以及完整整性。第二十条 网络安安全防护护定级调调整工作作要求:(一)各级级专业管管理部门门应当根根据实际际情况适适时调整整通信网网络定级级单元的的划分和和级别。(二)网络络安全防防护定级级调整流流程与网网络安全全防护定定级流程程相同。第五章网络络安全防防护符合合性评测测、风险险评估和和检查第二十一条条 各省级级公司统统筹管理理部门应应按电信信管
18、理机机构的要要求,结结合当期期企业网网络防护护重点和和上年度度网络安安全检查查所发现现的主要要问题,在在每年年年初组织织专业管管理部门门讨论确确定本年年度网络络安全符符合性评评测、风风险评估估和检查查计划,按按计划组组织相关关专业管管理部门门对相关关网络单单元组织织年度符符合性评评测、风风险评估估和检查查工作。第二十二条条 各省级级公司应应积极配配合相关关通信网网络安全全检查工工作;主主要检查查措施如如下:(一)查阅阅通信网网络单元元的符合合性评测测报告和和风险评评估报告告。(二)查阅阅有关网网络安全全防护的的文档和和工作记记录。(三)向相相关工作作人员询询问了解解有关情情况。(四)查验验通信
19、网网络的有有关设施施。(五)对通通信网络络进行技技术性分分析和测测试。(六)法律律、行政政法规规规定的其其他检查查措施。第二十三条条通信网网络安全全检查工工作流程程(一)各省省级统筹筹管理部部门组织织技术支支持部门门按照检检查要求求,制定定检查工工作指导导,明确确检查工工作的范范围、要要求、计计划等,制制定检查查评测表表、风险险评估报报告模板板等。(二)各省省级统筹筹管理部部门组织织相关专专业管理理部门对对检查工工作指导导进行审审核。(三)审核核通过后后,通知知各相关关专业管管理部门门按照检检查工作作指导要要求对所所负责的的专业开开展部署署、自查查及整改改、抽查查、总结结等各项项工作。(四)各
20、专专业管理理部门根根据检查查工作指指导要求求,部署署本专业业通信网网络安全全检查工工作,制制定具体体实施工工作方案案。(五)自查查及整改改工作11.自查查:各专专业管理理部门对对所管辖辖的网络络按照相相关要求求开展符符合性评评测与风风险评估估工作。2.整改:各专业管理部门根据评测中不达标的情况,和(或)风险评估中发现的重大隐患,边查边改,短期内无法整改的,要制定整改计划。(六)抽查查工作:由电信信管理机机构或集集团公司司组织专专家进行行网络安安全防护护抽查,各各级专业业管理部部门协助助提供相相应检测测环境;对检测测方案进进行讨论论和确认认;指定定配合现现场技术术检测工工作的负负责人,全全程协助
21、助检测工工作。(七)总结结工作:各级专专业管理理部门将将本专业业检查工工作开展展情况、评评测情况况、风险险评估发发现的主主要问题题和隐患患、整改改情况和和整改计计划及相相关工作作建议,形形成检查查总结资资料提交交至同级级统筹管管理部门门,省级级公司统统筹管理理部门将将本省检检查总结结资料提提交至集集团公司司统筹管管理部门门。(八)集团团公司统统筹管理理部门组组织集团团相关专专业管理理部门及及中国电电信基础础网络安安全防护护支撑和和测评中中心审核核相关的的检查总总结资料料。(九)对于于电信管管理机构构组织的的检查,检检查总结结资料审审核通过过后,各各级公司司统筹管管理部门门负责向向相应电电信管理
22、理机构报报送相关关检查总总结资料料。(十)各省省级统筹筹管理部部门负责责对其负负责管理理的通信信网络单单元的符符合性评评测、安安全风险险评估结结果和安安全检查查结果进进行通报报。相关关专业管管理部门门根据所所发现的的问题,拟拟定后续续整改措措施、计计划。统统筹管理理部门按按整改计计划督促促协调相相关整改改工作。第六章网络络安全应应急恢复复第二十四条条各省级级公司网网络发展展部在网网络规划划、建设设时,应应当对通通信网络络单元的的重要线线路、设设备、系系统和数数据等资资源进行行必要冗冗余备份份建设。第二十五条条各省级级专业管管理部门门应按网网络安全全运行行行业标准准和集团团相关要要求,对对通信网
23、网络单元元的重要要线路、设设备、系系统和数数据等制制定必要要冗余备备份方案案,保证证当主用用重要线线路、设设备、系系统和数数据遭到到破坏后后,有条条件迅速速切换使使用相应应的备用用资源。第二十六条条按照中中国电信信网络应应急恢复复预案体体系架构构(中中国电信信200085233号文)的的要求,不不断完善善网络应应急恢复复预案的的完整性性、规范范性和实实效性的的管理。第二十七条条建立网网络应急急恢复演演练机制制;各级级统筹管管理部门门每年组组织专业业管理部部门制定定并落实实网络应应急恢复复演练年年度计划划,并督督促实施施。省级级公司统统筹管理理部门将将本省预预案演练练情况于于每年111月底底前上
24、报报集团统统筹管理理部门,集集团统筹筹管理部部门每年年年底前前对各省省预案演演练情况况进行通通报。第七章网络络安全防防护全生生命周期期管理第二十八条条建立行行之有效效的安全全运行体体系,将将通信网网络安全全防护工工作要求求融入到到网络单单元规划划、设计计、采购购、建设设、入网网运行、维维护以及及下线退退网的全全生命周周期过程程,实现现网络安安全防护护工作的的流程化化、日常常化、标标准化。第二十九条条各级网网络发展展部在新新建、改改建、扩扩建通信信网络工工程项目目时,应应同步建建设通信信网络安安全保障障设施,同同步建设设的通信信网络安安全保障障设施应应与主体体工程同同时进行行验收和和投入运运行。
25、第三十条网网络发展展部负责责在新建建项目招招标文件件的技术术规范书书中编制制相关工工程安全全防护验验收规范范,要求求中标厂厂商在项项目初验验前组织织有安全全资质的的安全服服务厂商商按照安安全防护护验收规规范的要要求完成成安全评评测工作作,针对对发现的的问题负负责进行行加固和和复测,通通过后方方可组织织项目的的初验,最最终的安安全评估估报告作作为初验验文档的的附件予予以存档档。在投投标文件件中明确确安全检检查以及及加固的的费用由由中标厂厂商承担担,并将将相关要要求加入入到与厂厂商签订订的采购购合同中中。第三十一条条将安全全要求落落实到日日常维护护计划、配配置变更更管理、版版本管理理和应急急事件处
26、处理等运运维体系系中;网网络单元元下线退退网时应应进行必必要的技技术处置置后方可可退网报报废。第八章附则则第三十二条条通信网网络安全全防护工工作应纳纳入各省省级公司司的通信信质量指指标考核核体系,按按照相关关考核办办法进行行考核。对对违反国国家相关关通信网网络安全全防护法法律法规规情节严严重的,依依照有关关法律法法规处理理。第三十三条条本管理理办法由由中国电电信集团团公司网网络运行行维护事事业部负负责解释释。第三十四条条本办法法自发布布之日起起施行。附件:电信信网和互互联网安安全定级级说明电信网和互互联网安安全定级级说明安安全防护护工作首首先以定定级工作作为基础础,根据据工信部部相关文文件关关
27、于进一一步开展展电信网网络安全全防护工工作的实实施意见见(信信部电2007555号)和关于开展通信网络单元安全防护定级备案调整工作的通知(工信保函201014号),按照网络安全防护系列标准的要求,将定级工作的有关要求汇总如下:安全等级划划分及含含义电信信网和互互联网及及相关系系统的安安全等级级划分如如下:一、 第1级定级级对象受受到破坏坏后,会会对其网网络和业业务运营营商的合合法权益益造成轻轻微损害害,但不不损害国国家安全全、社会会秩序、经经济运行行和公共共利益。本本级由网网络和业业务运营营商依据据国家和和通信行行业有关关标准进进行保护护。二、 第2级定级级对象受受到破坏坏后,会会对网络络和业
28、务务运营商商的合法法权益产产生严重重损害,或或者对社社会秩序序、经济济运行和和公共利利益造成成轻微损损害,但但不损害害国家安安全。本本级由网网络和业业务运营营商依据据国家和和通信行行业有关关标准进进行保护护,主管管部门对对其安全全等级保保护工作作进行指指导。三、第3级级进一步步划分为为两个等等级:3.1级 定级级对象受受到破坏坏后,会会对网络络和业务务运营商商的合法法权益产产生特别别严重损损害,或或者对社社会秩序序、经济济运行和和公共利利益造成成较大损损害,或或者对国国家安全全造成轻轻微损害害。本级级由网络络和业务务运营商商依据国国家和通通信行业业有关标标准进行行保护,主主管部门门对其安安全等
29、级级保护工工作进行行监督、检检查。3.2级 定级级对象受受到破坏坏后,会会对网络络和业务务运营商商的合法法权益产产生特别别严重损损害,或或者对社社会秩序序、经济济运行和和公共利利益造成成严重损损害,或或者对国国家安全全造成较较大损害害。本级级由网络络和业务务运营商商依据国国家和通通信行业业有关标标准进行行保护,主主管部门门对其安安全等级级保护工工作进行行重点监监督、检检查。四、 第4级级定级对对象受到到破坏后后,会对对社会秩秩序、经经济运行行和公共共利益造造成特别别严重损损害,或或者对国国家安全全造成严严重损害害。本级级由网络络和业务务运营商商依据国国家和通通信行业业有关标标准以及及业务的的特
30、殊安安全要求求进行保保护,主主管部门门对其安安全等级级保护工工作进行行强制监监督、检检查。五、 第5级定级级对象受受到破坏坏后,会会对国家家安全造造成特别别严重损损害。本级由网络络和业务务运营商商依据国国家和通通信行业业有关标标准以及及业务的的特殊安安全需求求进行保保护,主主管部门门对其安安全等级级保护工工作进行行专门监监督、检检查。二二、安全全定级划划分及等等级建议议工信部部定级划划分要求求,制定定了定级级划分标标准,详详见下表表:网络/系统统类型子网络/子子系统类类型A类定级对对象B类定级对对象工信部建议议安全等等级固定通信网网-本地网端局2级、3.1级汇接局2级、3.1级、3.2级关口局
31、3.1级、3.22级省内长途网网3.1级、3.2级省际长途网网(含国国际长途途网)3.1级、3.22级移动通信网网-无线接入子子系统2级、3.1级数字集群无线接入子子系统2级、3.1级核心交换网网2级、3.1级、3.2级电路域本地网核心交换网网2级、3.1级、3.2级省内长途网网3.1级、3.2级省际长途网网(含国国际长途途网)3.1级、3.2级分组域省网部分核心交交换网2级、3.1级、3.2级国际部分3.1级互联网-域名服务系系统域名解解析系统统2级、3.1级、3.2级、4级数据中心1级、2级级、3.1级、3.2级信息服务系系统信息浏览服服务系统统2级、3.1级信息发布服服务系统统2级、3.
32、1级、3.2级电子邮件服服务系统统2级、3.1级用户通信服服务系统统2级、3.1级增值业务网网-消息网-短消息网2级、3.1级多媒体消息息网2级、3.1级增值业务网网-智能网-省内智能网网2级、3.1级、3.2级全国智能网网2级、3.1级、3.2级接入网-本地网下不不同区域域2级传送网光传送网本地传送网网(含城城域传送送网)接入网2级、3.1级汇聚层2级、3.1级核心层2级、3.1级、3.2级省内骨干传传送网3.1级、3.22级省际骨干传传送网3.1级、3.2级、4级国际骨干传传送网3.2级、4级微波接力传传送网省内传送网网2级、3.1级卫星传送网网国内卫星传传送网2级、3.1级、3.2级IP
33、承载网网-IP城域网网汇聚层2级、3.1级、3.2级核心层2级、3.1级、3.2级IP骨干网网3.1级、3.22级信令网-省内信令网网2级、3.1级、3.2级省际信令网网3.1级、3.2级、4级同步网-省内同步网网2级、3.1级省际同步网网3.1级、3.2级支撑网业务运营支支撑系统统省业务运营营支撑系系统2级、3.1级全国业务运运营支撑撑系统2级、3.1级、3.2级网管系统省网管系统统2级、3.1级、3.2级全国网管系系统2级、3.1级、3.2级非核心生产产单元企业办公系系统省公司办公公系统1级、2级级、3.1级集团公司办办公系统统2级、3.1级客服呼叫中中心省客服呼叫叫中心1级、2级级、3.
34、1级集团客服呼呼叫中心心1级、2级级、3.1级企业门户网网站省公司门户户网站2级、3.1级集团公司门门户网站站2级、3.1级网上营业厅厅省公司网上上营业厅厅2级、3.1级、3.2级集团公司网网上营业业厅2级、3.1级、3.2级随着电信网网和互联联网的发发展,随随着安全全防护体体系的进进一步完完善,以以上定级级划分和和定级建建议将进进一步补补充完善善。三、网络安安全定级级方法电电信行业业安全防防护定级级方法依依据定级级要素加加权计算算结果判判定得出出的。(一)定级级要素确确定定级级对象的的安全等等级应根根据如下下三个相相互独立立的定级级要素:1社会影影响力定定级对象象的社会会影响力力表示其其受到
35、破破坏后对对国家安安全、社社会秩序序、经济济建设和和公共利利益的侵侵害程度度,定级级对象的的社会影影响力赋赋值原则则如下表表所示。社会影响力力定义赋值定级对象受受到破坏坏后不损损害国家家安全、社社会秩序序、经济济建设和和公共利利益1定级对象受受到破坏坏后不损损害国家家安全,对对社会秩秩序、经经济建设设和公共共利益造造成轻微微损害2定级对象受受到破坏坏后对国国家安全全造成较较大损害害,或者者对社会会秩序、经经济建设设和公共共利益造成较为为严重的的损害3定级对象受受到破坏坏后对国国家安全全造成严严重损害害,或者者对社会会秩序、经经济建设设和公共共利益造成特别别严重损损害4定级对象受受到破坏坏后对国
36、国家安全全造成特特别严重重损害5侵害国家安安全的事事项包括括(不限限于)如如下方面面:l 影响国家政政权稳固固和国防防实力;l 影响国家统统一、民民族团结结和社会会安定;l 影响国家对对外活动动中的政政治、经经济利益益;l 影响国家重重要的安安全保卫卫工作;l 影响国家经经济竞争争力和科科技实力力等。侵害社会秩秩序的事事项包括括(不限限于)如如下方面面:l 影响国家机机关社会会管理和和公共服服务的工工作秩序序;l 影响各种类类型的经经济活动动秩序;l 影响各行业业的科研研、生产产秩序;l 影响公众在在法律约约束和道道德规范范下的正正常生活活秩序等等。侵害经济建建设的事事项包括括(不限限于)如如
37、下方面面:l 直接导致经经济损失失;l 间接导致经经济损失失。侵害公共利利益的事事项包括括(不限限于)如如下方面面:l 影响社会成成员使用用公共设设施;l 影响社会成成员获取取公开信信息资源源;l 影响社会成成员接受受公共服服务等方方面。对此定级要要素进行行赋值时时,应先先确定对对国家安安全的侵侵害程度度,再确确定对社社会秩序序、经济济建设和和公共利利益的侵侵害程度度。定级级对象的的社会影影响力赋赋值应是是对国家家安全、社社会秩序序、经济济建设和和公共利利益的侵侵害程度度最严重重者。2所提供供服务的的重要性性定级对对象所提提供服务务的重要要性表示示其提供供的服务务被破坏坏后对其其所有者者的合法
38、法利益的的影响程程度,其其重要性性赋值如如下表所所示。所提供服务务的重要要性定义义赋值定级对象所所提供服服务的重重要性较较低,被被破坏后后对其所所有者的的合法利利益造成成轻损害害1定级对象所所提供服服务的重重要性一一般,被被破坏后后对其所所有者的的合法利利益造成成较大损害2定级对象所所提供服服务的重重要性很很高,被被破坏后后对其所所有者的的合法利利益造成成很大损损害3定级对象所所提供服服务的重重要性非非常高,被被破坏后后对其所所有者的的合法利利益造成成非常大大的损害害4定级对象所所提供服服务的重重要性特特别高,被被破坏后后对其所所有者的的合法利利益造成成特别严严重的损损害5此定级要素素可通过过
39、定级对对象所提提供的服服务本身身的重要要性来衡衡量,如如业务的的经济价价值,业业务重要要性,对对企业自自身形象象的影响响等方面面。3规模模和服务务范围定定级对象象的规模模表示其其服务的的用户数数多少,服服务范围围表示其其服务的的地区范范围大小小,定级级对象的的规模和和服务范范围赋值值如下表表所示。规模和服务务范围定定义赋值定级对象被被破坏后后对较少少的用户户造成影影响、或或者对较较小的地地区造成成影响1定级对象被被破坏后后对较多多的用户户造成影影响、或或者对较较大的地地区造成成影响2定级对象被被破坏后后对很多多的用户户造成影影响、或或者对很很大的地地区造成成影响3定级对象被被破坏后后对非常常多
40、的用用户造成成影响、或或者对非非常大的的地区造造成影响响4定级对象被被破坏后后对特别别多的用用户造成成影响、或或者对特特别大的的地区造造成影响响5在确定好定定级对象象的社会会影响力力、所提提供服务务的重要要性、规规模和服服务范围围三个定定级要素素的赋值值后,可可采用附附录A中的安安全等级级计算方方法确定定定级对对象的安安全等级级。在确确定某一一个定级级要素的的赋值时时,无需需考虑其其他两个个定级要要素。安安全等级级确定可可能不是是一个过过程就可可以完成成的,而而是需要要经过定定级要素素赋值、定定级、定定级结果果调整的的循环过过程,最最终才能能确定出出较为科科学、准准确的安安全等级级。(二二)计
41、算算方法与与判定可可使用下下面的公公式来计计算定级级对象的的安全等等级值:k=RRounnd1Logg222I+11322V+2RR其中,k代代表安全全等级值值,I代表社社会影响响力赋值值、V代表所所提供服服务的重重要性赋赋值、RR代表规规模和服服务范围围赋值,Round1表示四舍五入处理,保留1位小数;Log2表示取以2为底的对数,a、13、分别表示定级对象的社会影响力、所提供服务的重要性、规模和服务范围赋值所占的权重,a0,130,0,且a+13+=1。网络和业务运营商可根据具体网络的情况确定的a、13、取值,一般情况下,取a=13=1/3。计算所得定级对象的安全等级值与安全等级的映射关系
42、如下表所示。安全等级值值k安全等级1k11.5第1级1.5kk2.5第2级2.5kk3.3第3.1级级3.3kk4第3.2级级4k44.5第4级4.5kk5第5级四、各级别别安全检检测和风风险评估估要求:安全评测(一)3级级及3级以上上通信网网络单元元,应当当每年进进行一次次符合性性评测;(二)2级级通信网网络单元元,应当当每两年年进行一一次符合合性评测测;(三)结合合当期企企业网络络防护重重点任务务,对特特定网络络单元进进行符合合性评测测。风险评估(一)3级级及3级以上上通信网网络单元元,应当当每年进进行一次次安全风风险评估估;(二)2级级通信网网络单元元,应当当每两年年进行一一次安全全风险评评估;(三)国家家重大活活动举办办前,按按照电信信管理机机构的要要求或当当期网络络实际情情况进行行安全风风险评估估;(四)结合合当期企企业网络络防护重重点任务务,对特特定网络络单元进进行安全全风险评评估。拟文部门:网络运运行维护护事业部部会签部部门:人人力资源源部、网网络发展展部、企企业信息息化部、采采购部、公公众客户户事业部部。中国电信集集团公司司综合部部2010年年7月2日印发发