省各電信運營公司:
為認真貫徹落實信息產(chǎn)業(yè)部《關于進一步開展電信網(wǎng)絡安全防護工作的實施意見》(信部電〔2007〕555號)精神,加快推進電信網(wǎng)絡的等級保護�、風險評估、災難備份等安全防護工作�����,結合關于風險評估��、等級保護、災難備份的有關工作要求��,保證電信網(wǎng)絡安全防護工作整體��、規(guī)范�、科學����、有序地開展,我局制定了《河南省通信管理局電信網(wǎng)絡安全防護工作實施意見》���,現(xiàn)印發(fā)給你們�����,請認真遵照執(zhí)行��。
聯(lián)系人:張海峰 0371-65990166 常江 0371-65942200
二○○八年一月三日
河南省通信管理局電信網(wǎng)絡安全防護工作實施意見
一�、電信網(wǎng)絡安全防護工作的總體思路和基本原則
?��。ㄒ唬┛傮w思路
1.電信網(wǎng)絡安全防護工作的主要內容
電信網(wǎng)絡安全防護工作包括等級保護����、風險評估、災難備份等以事前防護和準備為主的相關工作內容���,總體目標是要從管理和技術等多個方面�����,落實和改進與電信網(wǎng)絡的重要性及面臨的威脅相適應的安全保護措施�,以提高電信網(wǎng)絡的安全保護能力和水平��,有效減少嚴重網(wǎng)絡安全事件的發(fā)生��。
等級保護是根據(jù)被保護對象一旦遭受破壞后對國家安全����、社會秩序、經(jīng)濟建設����、公共利益以及公民、法人和其他組織的合法利益的危害程度大小��,確定被保護對象的安全保護等級��,并落實與安全保護等級相適應的基本安全保護措施��。風險評估是通過系統(tǒng)地認識和分析被保護對象的相關資產(chǎn)、存在的脆弱性���、面臨的威脅以及已有保護措施的有效性����,科學推斷出安全事件發(fā)生的可能性和可能造成的危害程度�,并提出和落實有針對性的整改措施,將殘余風險降低到可以接受的程度���。災難備份是對重要線路、設備���、業(yè)務系統(tǒng)和數(shù)據(jù)等進行冗余備份�,保證當主用線路�����、設備���、業(yè)務系統(tǒng)和數(shù)據(jù)發(fā)生故障或遭到破壞后�����,有條件迅速切換使用相應的備用資源�����,提高網(wǎng)絡和業(yè)務的抗毀性和可持續(xù)服務能力���。
2.將等級保護����、風險評估�、災難備份等有機結合
等級保護、風險評估�、災難備份等工作相互之間密切相關、互相滲透��、互為補充�。電信網(wǎng)絡安全防護應將等級保護、風險評估���、災難備份等工作有機結合�����,加強相關工作之間的整合和銜接��,保證電信網(wǎng)絡安全防護工作的整體性�����、統(tǒng)一性和協(xié)調性���。電信網(wǎng)絡安全防護工作應按照根據(jù)被保護對象的重要性進行分等級保護的思想���,通過風險評估的方法正確認識被保護對象存在的脆弱性和面臨的威脅,進而制定���、落實和改進與安全保護等級和風險大小相適應的一系列管理、技術�、災難備份等安全保護措施,最終達到提高電信網(wǎng)絡安全保護能力和水平的目的��。
在開展等級保護工作時����,要充分應用風險評估的方法,認識�、分析不同類型的網(wǎng)絡和業(yè)務存在的脆弱性和面臨的威脅,進而制定和落實與被保護對象的類型、脆弱性和威脅相適應的基本安全保護措施要求�,提高等級保護工作的針對性和適用性。在開展風險評估工作時���,在分析被保護對象綜合風險和制定改進方案的過程中��,要始終與被保護對象的安全保護等級相結合�,合理確定被評估對象的可接受風險和制定確實必要的整改措施����,避免無限度的改進提高。在開展災難備份工作時���,要結合被備份對象的安全保護等級和面臨的威脅�����,制定相適應的備份措施����,并將有關備份的要求體現(xiàn)在等級保護相關標準的措施要求中進行落實��。
3.運營單位自主防護與行業(yè)主管部門監(jiān)督檢查相結合
按照“誰主管����、誰負責,誰運營���、誰負責”的原則,電信網(wǎng)絡安全防護工作實行電信運營企業(yè)自主防護與電信行業(yè)主管部門監(jiān)督檢查相結合的工作機制����。省各電信運營公司應當按照本集團公司和省通信管理局的要求,結合公司自身實際情況�����,認真貫徹落實電信網(wǎng)絡安全防護的相關規(guī)定和標準��,并接受省通信管理局的監(jiān)督檢查��。不斷健全科學�����、規(guī)范����、有效的電信網(wǎng)絡安全防護管理體系���。
?���。ǘ┗驹瓌t
電信網(wǎng)絡安全防護工作應遵循以下基本原則:
1、整體性原則�。電信網(wǎng)絡由各種設備、線路和相應的支撐��、管理單元互聯(lián)組成���,具有全程全網(wǎng)的特點����,對電信網(wǎng)絡某一部分的調整或改動(包括實施各項保護措施)����,可能影響整個電信網(wǎng)絡的安全可靠運行。因此�,電信網(wǎng)絡安全防護工作應堅持對整個網(wǎng)絡統(tǒng)籌兼顧,由信息產(chǎn)業(yè)部會同各電信運營企業(yè)集團公司����,結合電信網(wǎng)絡的實際特點統(tǒng)一研究和組織部署。
2��、規(guī)范性原則。電信網(wǎng)絡種類繁多��、結構復雜,安全防護工作涵蓋線路��、設備���、網(wǎng)絡����、業(yè)務系統(tǒng)等多種對象,涉及管理�、技術等多個方面,包括安全評測�、風險評估等多項環(huán)節(jié),是一項復雜的系統(tǒng)工程��。為保證電信網(wǎng)絡安全防護工作的有效性和規(guī)范性���,相關工作應當按照國家和信息產(chǎn)業(yè)部組織制定的有關標準實施��。
3��、適度性原則。電信網(wǎng)絡安全防護工作追求的是適度安全的目標�。要始終運用等級保護的思想��,制定和落實與電信網(wǎng)絡的重要性相適應的安全保護措施要求;要堅持運用風險評估的方法���,提出和落實與電信網(wǎng)絡的風險大小相適應的改進措施。對于重要性高��、風險大的電信網(wǎng)絡����,要采取較高程度的安全保護措施,反之����,對于重要性低、風險小的電信網(wǎng)絡�����,可以采取較低程度的保護措施����。
4、同步性原則���。電信網(wǎng)絡自身存在的脆弱性是導致安全事件發(fā)生的內在原因���,在電信網(wǎng)絡新建�����、改建����、擴建時���,應當在規(guī)劃和設計工作中同步考慮在源頭上有效減少電信網(wǎng)絡的脆弱性��。對于難以徹底消除的脆弱性����,應當同步規(guī)劃��、設計和實施電信網(wǎng)絡安全保護措施�,并做到安全保護措施與安全保護等級的要求相一致。
二����、電信網(wǎng)絡安全防護工作的主要任務
(一)電信網(wǎng)絡的定級
定級是等級保護的基礎和前提。電信運營企業(yè)擁有和運行的電信網(wǎng)絡由不同的專業(yè)網(wǎng)絡和業(yè)務單元共同組成����,各類專業(yè)網(wǎng)絡和業(yè)務單元具有不同的技術特點�,存在不同的脆弱性和面臨不同的威脅,且所承載的電信業(yè)務具有不同的重要性��。按照等級保護的思想�����,針對電信網(wǎng)絡不同部分存在不同風險的實際情況�����,電信網(wǎng)絡安全防護工作應當按照將電信網(wǎng)絡進行合理�、清晰的劃分,對不同的部分分別落實相應保護措施的方法進行��。即:在對電信網(wǎng)絡實施安全保護時�����,電信運營企業(yè)首先要合理劃分電信網(wǎng)絡中的各個定級對象�,并在科學分析定級對象重要性的基礎上,合理確定定級對象的安全保護等級�����。
(二)電信網(wǎng)絡的安全評測
安全評測是保證等級保護��、災難備份得以落實的手段�。電信網(wǎng)絡定級對象及其所屬安全保護等級確定后,電信運營企業(yè)應當對各個定級對象落實與其安全保護等級相適應的基本安全保護措施�。信息產(chǎn)業(yè)部已組織專家通過總結分析各類專業(yè)網(wǎng)絡和業(yè)務單元的脆弱性和威脅,制定出針對各類專業(yè)網(wǎng)絡和業(yè)務單元的不同安全保護等級的基本安全保護措施標準�����,包括管理����、技術、災難備份等多方面基本要求��。電信運營企業(yè)應當依據(jù)國家和信息產(chǎn)業(yè)部制定的相關標準����,對定級對象落實相應基本安全保護措施標準的情況進行評測。對于經(jīng)評測發(fā)現(xiàn)未按照相關標準落實基本安全保護措施的����,要及時進行相應的整改���,確保基本安全保護措施落實到位��。在按照相關標準落實基本安全保護措施的基礎上��,電信運營企業(yè)可以根據(jù)企業(yè)發(fā)展情況�����、技術和經(jīng)濟實力等�,提高對定級對象的安全保護程度�。
(三)電信網(wǎng)絡的風險評估
風險評估是完善和提高等級保護�、災難備份的方法。在通過安全評測確保落實等級保護�、災難備份基本安全保護措施的基礎上,為提高對風險變化的適應能力�,進一步提高安全保護的時效性和保護水平,電信運營企業(yè)應當建立對各個定級對象進行動態(tài)風險評估的機制�����。應當根據(jù)安全形勢的發(fā)展變化(例如發(fā)現(xiàn)新的脆弱性、出現(xiàn)新的威脅��、面臨更高的安全要求等)�,定期或不定期組織對電信網(wǎng)絡或其中組成部分進行風險評估。通過風險評估��,對新的威脅和脆弱性進行深入分析�,對已有安全保護措施的落實情況和有效性進行確認。對已有安全保護措施與變化的風險或新的要求不相適應的����,應研究提出并落實進一步的安全保護措施。信息產(chǎn)業(yè)部結合風險評估的結果��,適時調整或修改各類定級對象的不同等級的基本安全保護措施標準���,以提高基本安全保護措施的有效性和適用性�����。
?�。ㄋ模╇娦啪W(wǎng)絡安全防護工作的監(jiān)督檢查
電信監(jiān)管部門對電信運營企業(yè)開展上述電信網(wǎng)絡安全防護工作進行指導���、監(jiān)督和檢查�����。省各電信運營公司應當將電信網(wǎng)絡各個定級對象的責任主體��、結構���、功能、服務范圍��、所屬安全保護等級等基本情況向省通信管理局備案���。省通信管理局負責對省各電信運營企業(yè)的電信網(wǎng)絡安全評測工作開展監(jiān)督檢查,確保定級對象落實基本安全保護措施��;同時負責對電信運營企業(yè)的電信網(wǎng)絡風險評估工作進行監(jiān)督檢查����,督促進一步提高定級對象的安全保護水平。省通信管理局對于不同安全保護等級的定級對象���,實施不同程度的監(jiān)督檢查��。省級公安機關對電信行業(yè)信息系統(tǒng)等級保護工作的監(jiān)督檢查�����,由省公安廳會同省通信管理局共同組織實施��。
三��、電信網(wǎng)絡定級與備案的實施
?�。ㄒ唬┒壍姆秶?
電信網(wǎng)絡安全防護工作的范圍包括基礎電信運營企業(yè)運營的傳輸���、承載各類電信業(yè)務的公共電信網(wǎng)(含公共互聯(lián)網(wǎng))及其組成部分����,支撐和管理公共電信網(wǎng)及電信業(yè)務的業(yè)務單元和控制單元�����,互聯(lián)網(wǎng)數(shù)據(jù)中心��,以及企業(yè)辦公系統(tǒng)(含文件管理系統(tǒng)�、員工郵件系統(tǒng)、決策支持系統(tǒng)���、人事管理系統(tǒng)等)�、客服呼叫中心、企業(yè)門戶網(wǎng)站等非核心生產(chǎn)單元��。此外��,電信網(wǎng)絡安全防護工作的范圍還包括經(jīng)營性互聯(lián)網(wǎng)信息服務單位��、移動信息服務單位����、互聯(lián)網(wǎng)接入服務單位、互聯(lián)網(wǎng)數(shù)據(jù)中心�����、互聯(lián)網(wǎng)域名服務機構等單位運營的網(wǎng)絡或信息系統(tǒng)���。
(二)定級的步驟
1.電信網(wǎng)絡的劃分
省各電信運營企業(yè)應當參照國家和信息產(chǎn)業(yè)部制定的相關標準和實施指南�����,按照本集團公司的統(tǒng)一要求�����,統(tǒng)籌兼顧各自電信網(wǎng)絡的網(wǎng)絡類型、業(yè)務類型��、服務地域���、企業(yè)內部管理歸屬等���,將本企業(yè)的電信網(wǎng)絡劃分成不同的定級對象,并分別確定各自的安全保護等級���。為保證電信網(wǎng)絡劃分結果的合理性和各部分的定級結果的協(xié)調一致性�,電信運營企業(yè)應本著先全省�����、后地方��,先骨干�、后分支,從上(省級公司)至下(地市級公司)的原則統(tǒng)籌對本企業(yè)的電信網(wǎng)絡進行劃分和定級��。
2.安全等級的劃分
電信運營企業(yè)應當根據(jù)定級對象遭到破壞后對國家安全��、社會秩序�、經(jīng)濟建設��、公共利益以及公民或者法人的合法權益的危害程度等因素��,按照國家和信息產(chǎn)業(yè)部制定的相關標準和實施指南���,將定級對象的安全保護等級劃分為1到5級,其中第5級為最高安全保護等級��。電信運營企業(yè)對各個定級對象分別形成定級報告����,定級報告中應包括定級對象的架構、邊界��、設備部署�����、服務范圍等基本情況�����,以及所采用的定級方法���、定級結果等信息����。
3.安全等級的確定
對于安全保護等級擬定為第3級及以上級別的定級對象��,應由省各電信運營企業(yè)將定級報告報送本集團公司�����,由集團公司統(tǒng)一報信息產(chǎn)業(yè)部成立的電信網(wǎng)絡安全防護專家組評審���,由專家組和電信運營企業(yè)集團公司共同商議確定定級對象的安全保護等級��。當專家組評審意見與電信運營企業(yè)集團公司的意見達不成一致時���,應選擇雙方建議級別中較高的級別作為最終確定的級別。對于安全保護等級擬定為第2級及以下級別的定級對象���,無需上報信息產(chǎn)業(yè)部電信網(wǎng)絡安全防護專家組評審��,由相關基礎電信運營企業(yè)自主定級���。
(三)定級結果的備案
對于確定為第2級及以上級別的并由省級電信運營企業(yè)負責管理的定級對象,應向省通信管理局辦理備案����。備案時應填寫備案信息登記表,并提交定級報告��。省通信管理局對備案材料進行審核�����,并按照公安部�、國務院信息化工作辦公室等四部門的有關規(guī)定,向省公安廳提交有關備案情況����。
省各電信運營企業(yè)已正式投入運行的電信網(wǎng)絡或相關單元及系統(tǒng),應按照本集團公司的要求��,在2008年3月10日前報送本集團公司�,并在2008年3月31日之前完成定級并向省通信管理局備案。
省各電信運營企業(yè)新建的電信網(wǎng)絡或相關單元及系統(tǒng)���,應當在正式投入運行后1個月內完成定級并向省通信管理局備案�����。
?。ㄋ模┒壗Y果的調整
在電信網(wǎng)絡運行過程中����,當定級對象因為改建、擴建而影響其安全保護等級時�,或因為定級對象的合并或拆分而改變定級對象的涵蓋范圍時,省各電信運營企業(yè)應按照上述定級步驟重新確定相關定級對象的安全保護等級��,并向省通信管理局辦理備案信息變更��。
四����、電信網(wǎng)絡安全評測的實施及監(jiān)督檢查
(一)安全評測的實施
電信網(wǎng)絡中各個定級對象的安全評測由電信運營企業(yè)按照國家和信息產(chǎn)業(yè)部制定的相關標準或實施指南自行組織實施����。對于第3級及以上級別的定級對象,必須進行安全評測�。電信運營企業(yè)可依托本企業(yè)技術力量進行安全評測,也可委托符合本意見第六條的安全服務機構進行安全評測��。
在以下情況下應當組織開展定級對象的安全評測:
1����、定級對象的安全保護等級初次確定后���;
2、定級對象的安全保護等級調整且安全保護等級變高后�����;
3�、定級對象重大改、擴建工程完成后��;
4���、定級對象發(fā)生合并或拆分后���;
5、電信運營企業(yè)的內部管理體系或組織機構發(fā)生重大變更后���;
6�、電信網(wǎng)絡相關基本安全保護措施要求標準經(jīng)信息產(chǎn)業(yè)部修訂后�。
(二)安全評測工作的監(jiān)督檢查
省各電信運營企業(yè)自行組織實施完成定級對象的安全評測之后��,應當將定級對象的安全評測報告報送省通信管理局。省通信管理局基于安全評測報告����,結合現(xiàn)場調研����,對電信運營企業(yè)相關工作的實施開展情況進行監(jiān)督檢查。必要時由省通信管理局委托專業(yè)機構按照相關標準實施現(xiàn)場安全評測�。
監(jiān)督檢查內容主要包括:
1、安全評測實施方法是否符合國家和信息產(chǎn)業(yè)部制定的相關標準或實施指南�;
2、對定級對象實施的技術����、管理、災難備份等安全保護措施是否符合國家和信息產(chǎn)業(yè)部制定的相關標準�;
3、定級對象的備案信息是否與實際情況相符�;
4、第三方安全評測服務機構的選擇是否符合有關規(guī)定��;
5����、其它應當進行監(jiān)督檢查的事項����。
對于經(jīng)檢查不符合上述要求的���,省各電信運營企業(yè)應制定整改方案并進行整改��,整改完成后應將整改報告報送省通信管理局�����。省通信管理局對整改情況進行監(jiān)督檢查���。
五、電信網(wǎng)絡風險評估的實施及監(jiān)督檢查
?���。ㄒ唬╋L險評估的實施
電信網(wǎng)絡的風險評估可以由電信運營企業(yè)自行發(fā)起并實施,也可以由省通信管理局視需要提出開展風險評估的要求�,并由電信運營企業(yè)自行組織實施。風險評估既可以對整個電信網(wǎng)絡全面開展���,也可以針對若干定級對象實施�。對于第3級及以上級別的定級對象�,應當每年進行一次風險評估��。電信網(wǎng)絡的風險評估應當按照國家和信息產(chǎn)業(yè)部制定的相關標準和實施指南進行���。電信運營企業(yè)可依托本企業(yè)技術力量進行風險評估,也可委托符合本意見第六條的安全服務機構進行風險評估�。原則上在以下情況時應當組織開展風險評估:
1、出現(xiàn)新的重大威脅���;
2、發(fā)現(xiàn)新的嚴重安全隱患��;
3�、國家召開重要會議或舉辦重大活動之前。
?。ǘ╋L險評估工作的監(jiān)督檢查
電信運營企業(yè)自行發(fā)起或按照省通信管理局的要求實施完成風險評估之后,應當將風險評估報告報送省通信管理局��。省通信管理局基于風險評估報告��,結合現(xiàn)場調研��,定期或不定期對電信運營企業(yè)相關工作的實施開展情況進行監(jiān)督檢查��。
監(jiān)督檢查內容主要包括:
1�����、風險評估實施方法是否符合國家和信息產(chǎn)業(yè)部組織制定的相關標準或實施指南;
2���、是否根據(jù)風險評估結果提出并落實進一步的安全保護措施��;
3���、第三方風險評估服務機構的選擇是否符合有關規(guī)定;
4�、其它應當進行監(jiān)督檢查的事項。
六�����、安全服務機構的管理
?�。ㄒ唬┌踩諜C構的選擇
省各電信運營企業(yè)應當選擇符合下列條件的安全服務機構進行電信網(wǎng)絡的安全評測和風險評估:
1���、在中華人民共和國境內注冊成立(港澳臺地區(qū)除外)����;
2����、由中國公民投資���、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外);
3��、從事電信網(wǎng)絡安全保障服務工作一年以上����,無違法記錄;
4��、相關工作人員僅限于中國公民��;
5�����、法人及主要業(yè)務�����、技術人員無犯罪記錄����;
6、具有完備的保密管理�����、項目管理����、質量管理、人員管理和培訓教育等安全管理制度�����。
?�。ǘ┌踩諜C構的義務
為電信網(wǎng)絡提供安全評測���、風險評估服務的安全服務機構應當履行以下義務:
1���、遵守國家和信息產(chǎn)業(yè)部有關法律法規(guī)和技術標準,提供安全��、客觀����、公正的安全評測�、風險評估服務�����,保證安全評測��、風險評估的質量和效果���;
2、保守在安全評測��、風險評估活動中知悉的國家秘密��、企業(yè)秘密和公民隱私��,防范相關工作帶來的風險;
3����、對相關工作人員進行安全保密教育��,與其簽訂安全保密責任書,規(guī)定應當履行的安全保密義務和承擔的法律責任��,并負責檢查落實���。
七�、電信網(wǎng)絡安全防護工作的總體要求
?����。ㄒ唬┨岣哒J識����,加強領導��。省各電信運營企業(yè)要結合國家信息化發(fā)展和電信行業(yè)發(fā)展的要求�,進一步提高對電信網(wǎng)絡安全防護工作重要性�����、緊迫性的認識�����,要按照省通信管理局的統(tǒng)一部署,加快推進電信網(wǎng)絡安全防護體系建設��。省通信管理局成立電信網(wǎng)絡安全防護工作領導小組��,負責相關工作的總體部署和協(xié)調�,領導小組由省通信管理局宋靈恩副局長擔任組長�����,省各電信運營企業(yè)副總擔任副組長�,領導小組下設辦公室,負責具體工作���,辦公室工作由省通信管理局網(wǎng)絡信息安全處和網(wǎng)絡管理處承擔。省各電信運營企業(yè)要成立本企業(yè)的電信網(wǎng)絡安全防護領導小組及工作組��,加強領導��,確保電信網(wǎng)絡安全防護工作順利開展��。
請省各電信運營企業(yè)于2008年1月18日前,將本公司負責電信網(wǎng)絡安全防護工作的領導(公司副總)��、部門負責人及聯(lián)系人(具體工作人員)名單、聯(lián)系方式上報我局��。
?����。ǘ┟鞔_責任�����,狠抓落實����。省各電信運營公司要明確責任�,要按照省通信管理局的統(tǒng)一部署和本企業(yè)集團公司的具體要求��,結合本企業(yè)實際�,認真制定本企業(yè)具體工作的實施方案,于2008年1月18日前報省通信管理局審核���,確保我省電信網(wǎng)絡安全防護工作順利���、快速開展�����。
(三)省通信管理局承擔我省電信網(wǎng)絡安全防護工作的組織部署�,并負責與其他相關部門進行協(xié)調。省各電信運營企業(yè)在電信網(wǎng)絡安全防護工作中的實施���、監(jiān)督和檢查等工作要按照省通信管理局的統(tǒng)一要求進行�。
?����。ㄋ模┘皶r總結�����,提出建議�����。在電信網(wǎng)絡安全防護工作開展過程中�����,省各電信運營企業(yè)應結合開展工作的實際,認真總結經(jīng)驗和不足�,提出進一步完善電信網(wǎng)絡安全防護相關標準和管理工作的意見和建議,為我省順利開展電信網(wǎng)絡安全防護工作提供有益經(jīng)驗�。
