2022年2022年关于进一步开展电信网络安全防护工作的实施意见 .pdf
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《2022年2022年关于进一步开展电信网络安全防护工作的实施意见 .pdf》由会员分享,可在线阅读,更多相关《2022年2022年关于进一步开展电信网络安全防护工作的实施意见 .pdf(7页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、关于进一步开展电信网络安全防护工作的实施意见中华人民共和国信息产业部 各省、自治区、直辖市通信管理局, 中国电信集团公司、 中国网络通信集团公司、中国移动通信集团公司、 中国联合通信有限公司、 中国卫星通信集团公司、 中国铁通集团有限公司, 信息产业部电信研究院、 国家计算机网络应急技术处理协调中心: 为进一步贯彻落实国家信息化领导小组关于加强信息安全保障工作的意见 (中办发200327号)精神,加快推进电信网络的等级保护、风险评估、灾难备份等安全防护工作, 结合国务院信息化工作办公室、 公安部等关于风险评估、等级保护、灾难备份的有关工作要求,保证电信网络安全防护工作整体、规范、科学、有序地开
2、展,在总结电信网络安全防护标准化和相关试点工作的基础上,就电信行业进一步全面开展电信网络安全防护工作,提出以下意见。 一、电信网络安全防护工作的总体思路和基本原则 (一)总体思路 1、电信网络安全防护工作的主要内容 电信网络安全防护工作包括等级保护、风险评估、灾难备份等以事前防护和准备为主的相关工作内容, 总体目标是要从管理和技术等多个方面,落实和改进与电信网络的重要性及面临的威胁相适应的安全保护措施,以提高电信网络的安全保护能力和水平,有效减少严重网络安全事件的发生。 等级保护是根据被保护对象一旦遭受破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、 法人和其他组织的合法利益的危害程度
3、大小,确定被保护对象的安全保护等级, 并落实与安全保护等级相适应的基本安全保护措施。风险评估是通过系统地认识和分析被保护对象的相关资产、存在的脆弱性、 面临的威胁以及已有保护措施的有效性, 科学推断出安全事件发生的可能性和可能造成的危害程度, 并提出和落实有针对性的整改措施,将残余风险降低到可以接受的程度。灾难备份是对重要线路、设备、业务系统和数据等进行冗余备份,保证当主用线路、 设备、业务系统和数据发生故障或遭到破坏后,有条件迅速切换使用相应的备用资源,提高网络和业务的抗毁性和可持续服务能力。 2、将等级保护、风险评估、灾难备份等有机结合 等级保护、风险评估、灾难备份等工作相互之间密切相关、
4、互相渗透、互为补充。电信网络安全防护应将等级保护、风险评估、灾难备份等工作有机结合,加强相关工作之间的整合和衔接,保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想,通过风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁,进而制定、 落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全保护措施, 最终达到提高电信网络安全保护能力和水平的目名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1
5、页,共 7 页 - - - - - - - - - 的。 在开展等级保护工作时, 要充分应用风险评估的方法,认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁,进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求,提高等级保护工作的针对性和适用性。在开展风险评估工作时, 在分析被保护对象综合风险和制定改进方案的过程中,要始终与被保护对象的安全保护等级相结合,合理确定被评估对象的可接受风险和制定确实必要的整改措施,避免无限度的改进提高。 在开展灾难备份工作时,要结合被备份对象的安全保护等级和面临的威胁,制定相适应的备份措施,并将有关备份的要求体现在等级保护相关标准的措施
6、要求中进行落实。 3、运营单位自主防护与行业主管部门监督检查相结合 按照“谁主管、谁负责,谁运营、谁负责”的原则,电信网络安全防护工作实行电信运营企业自主防护与电信行业主管部门监督检查相结合的工作机制。电信运营企业应当按照电信监管部门的要求,结合企业自身实际情况, 认真贯彻落实电信网络安全防护的相关规定和标准,并接受电信监管部门的监督检查。电信监管部门负责组织制定和推广科学、有效、适用的电信网络安全防护实施方法和保护措施,指导电信业务经营者规范开展电信网络安全防护工作,并监督检查电信网络安全防护工作的落实情况,不断健全科学、 规范、有效的电信网络安全防护管理体系。 (二)基本原则 电信网络安全
7、防护工作应遵循以下基本原则: 1、整体性原则。电信网络由各种设备、线路和相应的支撑、管理单元互联组成,具有全程全网的特点, 对电信网络某一部分的调整或改动(包括实施各项保护措施),可能影响整个电信网络的安全可靠运行。因此,电信网络安全防护工作应坚持对整个网络统筹兼顾,由信息产业部会同各电信运营企业集团公司,结合电信网络的实际特点统一研究和组织部署。 2、规范性原则。电信网络种类繁多、结构复杂,安全防护工作涵盖线路、设备、网络、业务系统等多种对象, 涉及管理、技术等多个方面, 包括安全评测、风险评估等多项环节, 是一项复杂的系统工程。 为保证电信网络安全防护工作的有效性和规范性,相关工作应当按照
8、国家和信息产业部组织制定的有关标准实施。 3、适度性原则。电信网络安全防护工作追求的是适度安全的目标。要始终运用等级保护的思想, 制定和落实与电信网络的重要性相适应的安全保护措施要求;要坚持运用风险评估的方法, 提出和落实与电信网络的风险大小相适应的改进措施。对于重要性高、风险大的电信网络,要采取较高程度的安全保护措施,反之,对于重要性低、风险小的电信网络,可以采取较低程度的保护措施。 4、同步性原则。电信网络自身存在的脆弱性是导致安全事件发生的内在原因,在电信网络新建、改建、扩建时,应当在规划和设计工作中同步考虑在源头上有效减少电信网络的脆弱性。对于难以彻底消除的脆弱性,应当同步规划、 设计
9、和实施电信网络安全保护措施, 并做到安全保护措施与安全保护等级的要求相一致。 二、电信网络安全防护工作的主要任务 (一)电信网络的定级 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 7 页 - - - - - - - - - 定级是等级保护的基础和前提。 电信运营企业拥有和运行的电信网络由不同的专业网络和业务单元共同组成,各类专业网络和业务单元具有不同的技术特点,存在不同的脆弱性和面临不同的威胁,且所承载的电信业务具有不同的重要性。按照等级保护的思想, 针对电信网络不同
10、部分存在不同风险的实际情况,电信网络安全防护工作应当按照将电信网络进行合理、清晰的划分, 对不同的部分分别落实相应保护措施的方法进行。即:在对电信网络实施安全保护时,电信运营企业首先要合理划分电信网络中的各个定级对象,并在科学分析定级对象重要性的基础上,合理确定定级对象的安全保护等级。 (二)电信网络的安全评测 安全评测是保证等级保护、 灾难备份得以落实的手段。 电信网络定级对象及其所属安全保护等级确定后, 电信运营企业应当对各个定级对象落实与其安全保护等级相适应的基本安全保护措施。 信息产业部已组织专家通过总结分析各类专业网络和业务单元的脆弱性和威胁, 制定出针对各类专业网络和业务单元的不同
11、安全保护等级的基本安全保护措施标准,包括管理、 技术、灾难备份等多方面基本要求。电信运营企业应当依据国家和信息产业部制定的相关标准,对定级对象落实相应基本安全保护措施标准的情况进行评测。对于经评测发现未按照相关标准落实基本安全保护措施的, 要及时进行相应的整改, 确保基本安全保护措施落实到位。在按照相关标准落实基本安全保护措施的基础上,电信运营企业可以根据企业发展情况、技术和经济实力等,提高对定级对象的安全保护程度。 (三)电信网络的风险评估 风险评估是完善和提高等级保护、灾难备份的方法。 在通过安全评测确保落实等级保护、 灾难备份基本安全保护措施的基础上,为提高对风险变化的适应能力,进一步提
12、高安全保护的时效性和保护水平,电信运营企业应当建立对各个定级对象进行动态风险评估的机制。应当根据安全形势的发展变化 (例如发现新的脆弱性、出现新的威胁、面临更高的安全要求等),定期或不定期组织对电信网络或其中组成部分进行风险评估。通过风险评估, 对新的威胁和脆弱性进行深入分析,对已有安全保护措施的落实情况和有效性进行确认。对已有安全保护措施与变化的风险或新的要求不相适应的,应研究提出并落实进一步的安全保护措施。信息产业部结合风险评估的结果,适时调整或修改各类定级对象的不同等级的基本安全保护措施标准,以提高基本安全保护措施的有效性和适用性。 (四)电信网络安全防护工作的监督检查 电信监管部门对电
13、信运营企业开展上述电信网络安全防护工作进行指导、监督和检查。各级电信运营企业应当将电信网络各个定级对象的责任主体、结构、功能、 服务范围、所属安全保护等级等基本情况向信息产业部或通信管理局备案。电信监管部门负责对电信运营企业的电信网络安全评测工作开展监督检查,确保定级对象落实基本安全保护措施。 电信监管部门负责对电信运营企业的电信网络风险评估工作进行监督检查, 督促进一步提高定级对象的安全保护水平。电信监管部门对于不同安全保护等级的定级对象,应实施不同程度的监督检查。 公安机关对电信行业信息系统等级保护工作的监督检查,由公安机关会同电信监管部门共同组织实施。 三、电信网络定级与备案的实施 (一
14、)定级的范围 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 7 页 - - - - - - - - - 电信网络安全防护工作的范围包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网 (含公共互联网) 及其组成部分, 支撑和管理公共电信网及电信业务的业务单元和控制单元,互联网数据中心, 以及企业办公系统 (含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元。此外,电信网络安全防护工作的范围还包括经营性互联网信
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年2022年关于进一步开展电信网络安全防护工作的实施意见 2022 年关 进一步 开展 电信 网络安全 防护 工作 实施 意见
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内