行业规范iso中国电信通信网络安全防护管理办法.docx

1、行业规范iso中国电信通信网络安全防护管理办法中国电信通信网络安全防护管理办法第一章总则第一条 为加强中国电信通信网络安全管理工作，提高通信网络安全防护能力，保障通信网络安全畅通，根据通信网络安全防护管理办法（中华人民共和国工业和信息化部第11号令），制定本办法。第二条 第二条中国电信管理和运行的公用通信网和互联网（以下统称“通信网络”）的网络安全防护工作，适用本办法。第三条 第三条本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第四条 通信网络安全防护工作坚持积极防御、综合防范、分级

2、保护的原则。第五条 网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期；注重安全防护的标准制定与落实，注重督促工程设计和建设阶段的安全规范实施情况，注重监管运行维护工作制度规章的执行情况；建立按照电信管理机构的要求，结合中国电信自身的安全管理需求，以年度为周期开展计划、实施、总结考评等工作制度；整体工作将按照规范化、制度化、常态化方向发展。第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则，进一步落实贯彻本办法。第二章网络安全防护管理的组织形式第七条 集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制

3、定相关标准，按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作，对全网的通信网络安全负责，对各省的网络安全管理工作进行统一监督管理。第八条 各省级公司依据本办法的规定和相关要求，对本省公司的通信网络安全防护工作进行指导、协调和检查，按照工业和信息化部及各省、自治区、直辖市通信管理局（以下统称“电信管理机构”）的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作，对所管理的通信网络安全负责。第九条 网络安全防护工作覆盖多部门、多专业，包括网络发展部门（以下简称网络发展部）、企业信息化部门（以下简称企业信息化部）、公众客户管理部门（以下简称公众客户部）、

4、网络运行部门（以下简称网络运行部）等。集团和省级公司网络运行部既为网络安全防护统筹管理部门（以下简称统筹管理部门），又为网络安全防护专业管理部门（以下简称专业管理部门）；各级公司企业信息化部、公众客户部等为专业管理部门；中国电信北京研究院基础网络安全防护支撑和测评中心、上海研究院、广州研究院及各省公司相关科研单位为网络安全防护技术支持部门（以下简称技术支持部门）。网络安全防护工作以统筹管理部门统筹协调、各专业管理部门分头负责、技术支持部门技术支撑的形式开展。第十条 各级公司相同专业管理部门间以纵向管理关系组织工作，同级专业管理部门的协同工作由本级统筹管理部门统筹协调。第十一条各省级公司要根据中

5、国电信的岗位体系要求，在省级公司网络安全防护统筹管理部门内设立网络安全管理岗，实现网络安全防护总体统筹管理专人专岗，履行省级公司网络安全防护统筹管理日常工作。第三章网络安全防护管理的职责第十二条统筹管理部门的主要职责（一）负责制定管理辖区内的网络安全防护统筹管理相关管理办法、工作制度、工作目标、年度工作重点与工作计划，制定考核要求，并组织落实。（二）牵头接应电信管理机构或上级公司有关网络安全防护工作要求，组织相关专业管理部门对新投入运行或重大变更的网络与系统进行定级或定级调整。（三）根据网络安全防护的行业标准、企业标准或上级公司要求，结合当期网络防护重点任务，组织同级专业管理部门开展网络安全评

6、测、评估和检查工作。（四）根据各专业管理部门的网络安全评测、评估和检查结果，督促协调相关整改工作。（五）负责管理辖区内网络安全恢复预案完整性、规范性和实效性的总体管理。（六）组织网络安全防护培训工作，组建各级网络安全防护专家团队。（七）参与网络安全防护行业标准和监管办法等的制定工作，组织各相关专业管理部门制定企业网络安全相关标准。（八）组织相关专业管理部门完成向电信管理机构报送网络安全基础数据等工作。（九）将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。（十）归口管理各专业管理部门提出的网络安全需求，汇总、审核后，统一提交网络发展部。第十三条专业

7、管理部门的分工和主要职责：（一）专业管理部门的分工：1.企业信息化部主要负责CTG-MBOSS规范框架下的企业信息系统的安全防护工作。2.公众客户部主要负责网上营业厅、掌上营业厅及其相关系统的安全防护工作。3.网运部主要负责传统网络（传输网、交换网、同步网、信令网、移动网、短消息网及网络类网管等）、数据网（CHINANET、CN2、IP城域网、DNS、IDC、DCN等）、业务平台（如ISMP等管理平台，多媒体消息、WAP、BREW等能力平台和导航、视讯等产品平台）及物理环境等的安全防护工作。各专业管理部门为所负责专业的网络安全防护第一责任部门。如果省级公司的专业管理部门职责划分与上述不同，按照

8、省级公司的部门职责划分分工。（二）专业管理部门的主要职责：1.负责相关专业的网络安全防护管理办法、工作制度、工作目标、年度工作重点与工作计划的制定，并组织落实。2.组织对新投入运行或重大变更的相关专业的网络与系统的定级或定级调整。3.按照政府要求及企业年度工作重点的要求开展相关专业网络安全评测、评估和检查工作。4.根据相关专业的网络安全评测、评估及和检查结果，从网络规划建设和网络维护管理等方面提出建议，实施整改工作。5.负责相关专业网络安全恢复预案完整性、规范性和实效性的管理。6.组织相关专业网络安全防护培训工作。7.参与网络安全防护行业标准、企业标准、监管办法等的制定、完善及实施推进工作。8

9、.将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。第十四条网络发展部的主要职责：（一）负责在网络规划中考虑网络安全运行问题。在网络规划中统筹考虑统筹管理部门汇总的各专业管理部门提出的网络安全需求。（二）负责网络建设的安全管理，组织做好施工工作对现网运行安全的评估、施工过程中的安全管控以及重要业务系统上线环节的安全验收工作。（三）参与网络安全符合性评测、风险评估和安全检查工作。根据网络安全符合性评测、风险评估和安全检查的结果，对需要投资解决的隐患和问题，根据轻重缓急明确投资，组织工程实施。第十五条技术支持部门的主要职责：（一）参与网络安全防护企业标

10、准及相关规范的制定。（二）协助制定网络安全防护定级指导，初审定级结果，负责定级技术支持。（三）协助制定评测、评估模板，初审评测、评估结果，负责相关的技术支持。（四）协助开展网络安全检查，制定检查方案。（五）分析网络安全评测、评估及安全检查中发现的问题，协助提出相关整改建议。（六）协助开展网络安全恢复预案完整性、规范性和实效性的管理。第四章网络安全防护定级及定级调整第十六条 对本单位已正式投入运行的通信网络应进行定级单元划分，并按照各通信网络单元遭受破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度，由低到高分别划分为一级、二级、三级、四级、五级，分级标准执行国家网络安全防护定级行业标

11、准。（详见附件）第十七条 集团公司统一管理的骨干网络和系统由集团公司统一组织定级和级别调整工作，省内网络（含省内长途和本地网网络）及系统由各省级公司组织定级和级别调整工作。定级工作由统筹管理部门牵头组织，各专业管理部门分头负责。第十八条 网络安全防护定级工作流程：（一）集团公司统筹管理部门根据工业和信息化部的要求，组织中国电信基础网络安全防护支撑和测评中心按照网络安全防护定级行业标准及企业标准，结合中国电信网络实际情况，制定当期的网络安全防护定级指导，明确定级范围、定级对象划分建议、定级方法等内容。（二）集团公司统筹管理部门组织集团相关专业管理部门会审网络安全防护定级指导；审核通过后，通知各相

12、关专业管理部门按照网络安全防护定级指导的要求开展网络单元安全防护定级工作。（三）各相关专业管理部门完成安全防护定级工作后，集团各相关专业管理部门将定级结果报送集团统筹管理部门，省公司各相关专业管理部门将定级结果报送省公司统筹管理部门；中国电信基础网络安全防护支撑和测评中心负责对定级结果进行初审。（四）初审完成后，集团公司统筹管理部门组织集团相关专业管理部门对初审结果进行审核，审核完成后向国家电信管理机构申请对电信网络的定级情况进行评审。（五）各级统筹管理部门在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况向电信管理机构备案。第十九条 网络安全防护定级备案要求（一）集团公司统筹管

13、理部门向工业和信息化部办理其管理的通信网络单元的定级备案；各省级公司统筹管理部门向当地通信管理局办理其负责管理的通信网络单元的定级备案。（二）办理通信网络定级单元备案时，应当提交以下信息：1.通信网络单元的名称、级别、主要功能；2.通信网络单元责任单位的名称、联系方式；3.通信网络单元主要负责人的姓名、联系方式；4.通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位置；5.按照定级要求应提交的涉及通信网络安全的其他信息。（三）以上备案信息发生变化的，各级专业管理部门应当自信息变化之日起三十日内通知相应统筹管理部门，由统筹管理部门向对应的电信管理机构变更备案，确保信息的及时性、准确性

14、以及完整性。第二十条 网络安全防护定级调整工作要求：（一）各级专业管理部门应当根据实际情况适时调整通信网络定级单元的划分和级别。（二）网络安全防护定级调整流程与网络安全防护定级流程相同。第五章网络安全防护符合性评测、风险评估和检查第二十一条 各省级公司统筹管理部门应按电信管理机构的要求，结合当期企业网络防护重点和上年度网络安全检查所发现的主要问题，在每年年初组织专业管理部门讨论确定本年度网络安全符合性评测、风险评估和检查计划，按计划组织相关专业管理部门对相关网络单元组织年度符合性评测、风险评估和检查工作。第二十二条 各省级公司应积极配合相关通信网络安全检查工作；主要检查措施如下：（一）查阅通信

15、网络单元的符合性评测报告和风险评估报告。（二）查阅有关网络安全防护的文档和工作记录。（三）向相关工作人员询问了解有关情况。（四）查验通信网络的有关设施。（五）对通信网络进行技术性分析和测试。（六）法律、行政法规规定的其他检查措施。第二十三条通信网络安全检查工作流程（一）各省级统筹管理部门组织技术支持部门按照检查要求，制定检查工作指导，明确检查工作的范围、要求、计划等，制定检查评测表、风险评估报告模板等。（二）各省级统筹管理部门组织相关专业管理部门对检查工作指导进行审核。（三）审核通过后，通知各相关专业管理部门按照检查工作指导要求对所负责的专业开展部署、自查及整改、抽查、总结等各项工作。（四）各

16、专业管理部门根据检查工作指导要求，部署本专业通信网络安全检查工作，制定具体实施工作方案。（五）自查及整改工作1.自查：各专业管理部门对所管辖的网络按照相关要求开展符合性评测与风险评估工作。2.整改：各专业管理部门根据评测中不达标的情况，和（或）风险评估中发现的重大隐患，边查边改，短期内无法整改的，要制定整改计划。（六）抽查工作：由电信管理机构或集团公司组织专家进行网络安全防护抽查，各级专业管理部门协助提供相应检测环境；对检测方案进行讨论和确认；指定配合现场技术检测工作的负责人，全程协助检测工作。（七）总结工作：各级专业管理部门将本专业检查工作开展情况、评测情况、风险评估发现的主要问题和隐患、整

17、改情况和整改计划及相关工作建议，形成检查总结资料提交至同级统筹管理部门，省级公司统筹管理部门将本省检查总结资料提交至集团公司统筹管理部门。（八）集团公司统筹管理部门组织集团相关专业管理部门及中国电信基础网络安全防护支撑和测评中心审核相关的检查总结资料。（九）对于电信管理机构组织的检查，检查总结资料审核通过后，各级公司统筹管理部门负责向相应电信管理机构报送相关检查总结资料。（十）各省级统筹管理部门负责对其负责管理的通信网络单元的符合性评测、安全风险评估结果和安全检查结果进行通报。相关专业管理部门根据所发现的问题，拟定后续整改措施、计划。统筹管理部门按整改计划督促协调相关整改工作。第六章网络安全应

18、急恢复第二十四条各省级公司网络发展部在网络规划、建设时，应当对通信网络单元的重要线路、设备、系统和数据等资源进行必要冗余备份建设。第二十五条各省级专业管理部门应按网络安全运行行业标准和集团相关要求，对通信网络单元的重要线路、设备、系统和数据等制定必要冗余备份方案，保证当主用重要线路、设备、系统和数据遭到破坏后，有条件迅速切换使用相应的备用资源。第二十六条按照中国电信网络应急恢复预案体系架构（中国电信2008523号文）的要求，不断完善网络应急恢复预案的完整性、规范性和实效性的管理。第二十七条建立网络应急恢复演练机制；各级统筹管理部门每年组织专业管理部门制定并落实网络应急恢复演练年度计划，并督促

19、实施。省级公司统筹管理部门将本省预案演练情况于每年11月底前上报集团统筹管理部门，集团统筹管理部门每年年底前对各省预案演练情况进行通报。第七章网络安全防护全生命周期管理第二十八条建立行之有效的安全运行体系，将通信网络安全防护工作要求融入到网络单元规划、设计、采购、建设、入网运行、维护以及下线退网的全生命周期过程，实现网络安全防护工作的流程化、日常化、标准化。第二十九条各级网络发展部在新建、改建、扩建通信网络工程项目时，应同步建设通信网络安全保障设施，同步建设的通信网络安全保障设施应与主体工程同时进行验收和投入运行。第三十条网络发展部负责在新建项目招标文件的技术规范书中编制相关工程安全防护验收规

20、范，要求中标厂商在项目初验前组织有安全资质的安全服务厂商按照安全防护验收规范的要求完成安全评测工作，针对发现的问题负责进行加固和复测，通过后方可组织项目的初验，最终的安全评估报告作为初验文档的附件予以存档。在投标文件中明确安全检查以及加固的费用由中标厂商承担，并将相关要求加入到与厂商签订的采购合同中。第三十一条将安全要求落实到日常维护计划、配置变更管理、版本管理和应急事件处理等运维体系中；网络单元下线退网时应进行必要的技术处置后方可退网报废。第八章附则第三十二条通信网络安全防护工作应纳入各省级公司的通信质量指标考核体系，按照相关考核办法进行考核。对违反国家相关通信网络安全防护法律法规情节严重的

21、，依照有关法律法规处理。第三十三条本管理办法由中国电信集团公司网络运行维护事业部负责解释。第三十四条本办法自发布之日起施行。附件：电信网和互联网安全定级说明电信网和互联网安全定级说明安全防护工作首先以定级工作为基础，根据工信部相关文件关于进一步开展电信网络安全防护工作的实施意见（信部电2007555号）和关于开展通信网络单元安全防护定级备案调整工作的通知（工信保函201014号），按照网络安全防护系列标准的要求，将定级工作的有关要求汇总如下：安全等级划分及含义电信网和互联网及相关系统的安全等级划分如下：一、 第1级定级对象受到破坏后，会对其网络和业务运营商的合法权益造成轻微损害，但不损害国家安

22、全、社会秩序、经济运行和公共利益。本级由网络和业务运营商依据国家和通信行业有关标准进行保护。二、 第2级定级对象受到破坏后，会对网络和业务运营商的合法权益产生严重损害，或者对社会秩序、经济运行和公共利益造成轻微损害，但不损害国家安全。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行指导。三、第3级进一步划分为两个等级：3.1级 定级对象受到破坏后，会对网络和业务运营商的合法权益产生特别严重损害，或者对社会秩序、经济运行和公共利益造成较大损害，或者对国家安全造成轻微损害。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工

23、作进行监督、检查。3.2级 定级对象受到破坏后，会对网络和业务运营商的合法权益产生特别严重损害，或者对社会秩序、经济运行和公共利益造成严重损害，或者对国家安全造成较大损害。本级由网络和业务运营商依据国家和通信行业有关标准进行保护，主管部门对其安全等级保护工作进行重点监督、检查。四、 第4级定级对象受到破坏后，会对社会秩序、经济运行和公共利益造成特别严重损害，或者对国家安全造成严重损害。本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护，主管部门对其安全等级保护工作进行强制监督、检查。五、 第5级定级对象受到破坏后，会对国家安全造成特别严重损害。本级由网络和业务运营商

24、依据国家和通信行业有关标准以及业务的特殊安全需求进行保护，主管部门对其安全等级保护工作进行专门监督、检查。二、安全定级划分及等级建议工信部定级划分要求，制定了定级划分标准，详见下表：网络/系统类型子网络/子系统类型A类定级对象B类定级对象工信部建议安全等级固定通信网-本地网端局2级、3.1级汇接局2级、3.1级、3.2级关口局3.1级、 3.2级省内长途网3.1级、3.2级省际长途网（含国际长途网）3.1级、 3.2级移动通信网-无线接入子系统2级、3.1级数字集群无线接入子系统2级、3.1级核心交换网2级、3.1级、3.2级电路域本地网核心交换网2级、3.1级、3.2级省内长途网3.1级、3

25、.2级省际长途网（含国际长途网）3.1级、3.2级分组域省网部分 核心交换网2级、3.1级、3.2级国际部分3.1级互联网-域名服务系统 域名解析系统2级、3.1级、3.2级、4级数据中心1级、2级、3.1级、3.2级信息服务系统信息浏览服务系统2级、3.1级信息发布服务系统2级、3.1级、3.2级电子邮件服务系统2级、3.1级用户通信服务系统2级、3.1级增值业务网-消息网-短消息网2级、3.1级多媒体消息网2级、3.1级增值业务网-智能网-省内智能网2级、3.1级、3.2级全国智能网2级、3.1级、3.2级接入网-本地网下不同区域2级传送网光传送网本地传送网（含城域传送网）接入网2级、3.

26、1级汇聚层2级、3.1级核心层2级、3.1级、3.2级省内骨干传送网3.1级、 3.2级省际骨干传送网3.1级、3.2级、4级国际骨干传送网3.2级、4级微波接力传送网省内传送网2级、3.1级卫星传送网国内卫星传送网2级、3.1级、3.2级IP承载网-IP城域网汇聚层2级、3.1级、3.2级核心层2级、3.1级、3.2级IP骨干网3.1级、 3.2级信令网-省内信令网2级、3.1级、3.2级省际信令网3.1级、3.2级、4级同步网-省内同步网2级、3.1级省际同步网3.1级、3.2级支撑网业务运营支撑系统省业务运营支撑系统2级、3.1级全国业务运营支撑系统2级、3.1级、3.2级网管系统省网管

27、系统2级、3.1级、3.2级全国网管系统2级、3.1级、3.2级非核心生产单元企业办公系统省公司办公系统1级、2级、3.1级集团公司办公系统2级、3.1级客服呼叫中心省客服呼叫中心1级、2级、3.1级集团客服呼叫中心1级、2级、3.1级企业门户网站省公司门户网站2级、3.1级集团公司门户网站2级、3.1级网上营业厅省公司网上营业厅2级、3.1级、3.2级集团公司网上营业厅2级、3.1级、3.2级随着电信网和互联网的发展，随着安全防护体系的进一步完善，以上定级划分和定级建议将进一步补充完善。三、网络安全定级方法电信行业安全防护定级方法依据定级要素加权计算结果判定得出的。（一）定级要素确定定级对象

28、的安全等级应根据如下三个相互独立的定级要素：1社会影响力定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济建设和公共利益的侵害程度，定级对象的社会影响力赋值原则如下表所示。社会影响力定义赋值定级对象受到破坏后不损害国家安全、社会秩序、经济建设和公共利益1定级对象受到破坏后不损害国家安全，对社会秩序、经济建设和公共利益造成轻微损害2定级对象受到破坏后对国家安全造成较大损害，或者对社会秩序、经济建设和公共利益造成较为严重的损害3定级对象受到破坏后对国家安全造成严重损害，或者对社会秩序、经济建设和公共利益造成特别严重损害4定级对象受到破坏后对国家安全造成特别严重损害5侵害国家安全的事项包

29、括（不限于）如下方面： 影响国家政权稳固和国防实力； 影响国家统一、民族团结和社会安定； 影响国家对外活动中的政治、经济利益； 影响国家重要的安全保卫工作； 影响国家经济竞争力和科技实力等。侵害社会秩序的事项包括（不限于）如下方面： 影响国家机关社会管理和公共服务的工作秩序； 影响各种类型的经济活动秩序； 影响各行业的科研、生产秩序； 影响公众在法律约束和道德规范下的正常生活秩序等。侵害经济建设的事项包括（不限于）如下方面： 直接导致经济损失； 间接导致经济损失。侵害公共利益的事项包括（不限于）如下方面： 影响社会成员使用公共设施； 影响社会成员获取公开信息资源； 影响社会成员接受公共服务等方

30、面。对此定级要素进行赋值时，应先确定对国家安全的侵害程度，再确定对社会秩序、经济建设和公共利益的侵害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济建设和公共利益的侵害程度最严重者。2所提供服务的重要性定级对象所提供服务的重要性表示其提供的服务被破坏后对其所有者的合法利益的影响程度，其重要性赋值如下表所示。所提供服务的重要性定义赋值定级对象所提供服务的重要性较低，被破坏后对其所有者的合法利益造成轻损害1定级对象所提供服务的重要性一般，被破坏后对其所有者的合法利益造成较大损害2定级对象所提供服务的重要性很高，被破坏后对其所有者的合法利益造成很大损害3定级对象所提供服务的重要性非常高，

31、被破坏后对其所有者的合法利益造成非常大的损害4定级对象所提供服务的重要性特别高，被破坏后对其所有者的合法利益造成特别严重的损害5此定级要素可通过定级对象所提供的服务本身的重要性来衡量，如业务的经济价值，业务重要性，对企业自身形象的影响等方面。3规模和服务范围定级对象的规模表示其服务的用户数多少，服务范围表示其服务的地区范围大小，定级对象的规模和服务范围赋值如下表所示。规模和服务范围定义赋值定级对象被破坏后对较少的用户造成影响、或者对较小的地区造成影响1定级对象被破坏后对较多的用户造成影响、或者对较大的地区造成影响2定级对象被破坏后对很多的用户造成影响、或者对很大的地区造成影响3定级对象被破坏后对非常多的用户造成影响、或