政策中心 » 国家 » 工信部 » 正文

关于进一步开展电信网络安全防护工作的实施意见

发布日期:2011-04-29    浏览次数:3


各省、自治区、直辖市通信管理局,中国电信集团公司、中国网络通信集团公司、中国移动通信集团公司、中国联合通信有限公司、中国卫星通信集团公司、中国铁通集团有限公司,信息产业部电信研究院、国家计算机网络应急技术处理协调中心:

  为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)精神,加快推进电信网络的等级保护、风险评估、灾难备份等安全防护工作,结合国务院信息化工作办公室、公安部等关于风险评估、等级保护、灾难备份的有关工作要求,保证电信网络安全防护工作整体、规范、科学、有序地开展,在总结电信网络安全防护标准化和相关试点工作的基础上,就电信行业进一步全面开展电信网络安全防护工作,提出以下意见。

  一、电信网络安全防护工作的总体思路和基本原则

  (一)总体思路

  1、电信网络安全防护工作的主要内容

  电信网络安全防护工作包括等级保护、风险评估、灾难备份等以事前防护和准备为主的相关工作内容,总体目标是要从管理和技术等多个方面,落实和改进与电信网络的重要性及面临的威胁相适应的安全保护措施,以提高电信网络的安全保护能力和水平,有效减少严重网络安全事件的发生。

  等级保护是根据被保护对象一旦遭受破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法利益的危害程度大小,确定被保护对象的安全保护等级,并落实与安全保护等级相适应的基本安全保护措施。风险评估是通过系统地认识和分析被保护对象的相关资产、存在的脆弱性、面临的威胁以及已有保护措施的有效性,科学推断出安全事件发生的可能性和可能造成的危害程度,并提出和落实有针对性的整改措施,将残余风险降低到可以接受的程度。灾难备份是对重要线路、设备、业务系统和数据等进行冗余备份,保证当主用线路、设备、业务系统和数据发生故障或遭到破坏后,有条件迅速切换使用相应的备用资源,提高网络和业务的抗毁性和可持续服务能力。

  2、将等级保护、风险评估、灾难备份等有机结合

  等级保护、风险评估、灾难备份等工作相互之间密切相关、互相渗透、互为补充。电信网络安全防护应将等级保护、风险评估、灾难备份等工作有机结合,加强相关工作之间的整合和衔接,保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想,通过风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁,进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全保护措施,最终达到提高电信网络安全保护能力和水平的目的。

  在开展等级保护工作时,要充分应用风险评估的方法,认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁,进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求,提高等级保护工作的针对性和适用性。在开展风险评估工作时,在分析被保护对象综合风险和制定改进方案的过程中,要始终与被保护对象的安全保护等级相结合,合理确定被评估对象的可接受风险和制定确实必要的整改措施,避免无限度的改进提高。在开展灾难备份工作时,要结合被备份对象的安全保护等级和面临的威胁,制定相适应的备份措施,并将有关备份的要求体现在等级保护相关标准的措施要求中进行落实。

  3、运营单位自主防护与行业主管部门监督检查相结合

  按照“谁主管、谁负责,谁运营、谁负责”的原则,电信网络安全防护工作实行电信运营企业自主防护与电信行业主管部门监督检查相结合的工作机制。电信运营企业应当按照电信监管部门的要求,结合企业自身实际情况,认真贯彻落实电信网络安全防护的相关规定和标准,并接受电信监管部门的监督检查。电信监管部门负责组织制定和推广科学、有效、适用的电信网络安全防护实施方法和保护措施,指导电信业务经营者规范开展电信网络安全防护工作,并监督检查电信网络安全防护工作的落实情况,不断健全科学、规范、有效的电信网络安全防护管理体系。

  (二)基本原则

  电信网络安全防护工作应遵循以下基本原则:

  1、整体性原则。电信网络由各种设备、线路和相应的支撑、管理单元互联组成,具有全程全网的特点,对电信网络某一部分的调整或改动(包括实施各项保护措施),可能影响整个电信网络的安全可靠运行。因此,电信网络安全防护工作应坚持对整个网络统筹兼顾,由信息产业部会同各电信运营企业集团公司,结合电信网络的实际特点统一研究和组织部署。

  2、规范性原则。电信网络种类繁多、结构复杂,安全防护工作涵盖线路、设备、网络、业务系统等多种对象,涉及管理、技术等多个方面,包括安全评测、风险评估等多项环节,是一项复杂的系统工程。为保证电信网络安全防护工作的有效性和规范性,相关工作应当按照国家和信息产业部组织制定的有关标准实施。

  3、适度性原则。电信网络安全防护工作追求的是适度安全的目标。要始终运用等级保护的思想,制定和落实与电信网络的重要性相适应的安全保护措施要求;要坚持运用风险评估的方法,提出和落实与电信网络的风险大小相适应的改进措施。对于重要性高、风险大的电信网络,要采取较高程度的安全保护措施,反之,对于重要性低、风险小的电信网络,可以采取较低程度的保护措施。

  4、同步性原则。电信网络自身存在的脆弱性是导致安全事件发生的内在原因,在电信网络新建、改建、扩建时,应当在规划和设计工作中同步考虑在源头上有效减少电信网络的脆弱性。对于难以彻底消除的脆弱性,应当同步规划、设计和实施电信网络安全保护措施,并做到安全保护措施与安全保护等级的要求相一致。

  二、电信网络安全防护工作的主要任务

  (一)电信网络的定级

  定级是等级保护的基础和前提。电信运营企业拥有和运行的电信网络由不同的专业网络和业务单元共同组成,各类专业网络和业务单元具有不同的技术特点,存在不同的脆弱性和面临不同的威胁,且所承载的电信业务具有不同的重要性。按照等级保护的思想,针对电信网络不同部分存在不同风险的实际情况,电信网络安全防护工作应当按照将电信网络进行合理、清晰的划分,对不同的部分分别落实相应保护措施的方法进行。即:在对电信网络实施安全保护时,电信运营企业首先要合理划分电信网络中的各个定级对象,并在科学分析定级对象重要性的基础上,合理确定定级对象的安全保护等级。

  (二)电信网络的安全评测

  安全评测是保证等级保护、灾难备份得以落实的手段。电信网络定级对象及其所属安全保护等级确定后,电信运营企业应当对各个定级对象落实与其安全保护等级相适应的基本安全保护措施。信息产业部已组织专家通过总结分析各类专业网络和业务单元的脆弱性和威胁,制定出针对各类专业网络和业务单元的不同安全保护等级的基本安全保护措施标准,包括管理、技术、灾难备份等多方面基本要求。电信运营企业应当依据国家和信息产业部制定的相关标准,对定级对象落实相应基本安全保护措施标准的情况进行评测。对于经评测发现未按照相关标准落实基本安全保护措施的,要及时进行相应的整改,确保基本安全保护措施落实到位。在按照相关标准落实基本安全保护措施的基础上,电信运营企业可以根据企业发展情况、技术和经济实力等,提高对定级对象的安全保护程度。

  (三)电信网络的风险评估

  风险评估是完善和提高等级保护、灾难备份的方法。在通过安全评测确保落实等级保护、灾难备份基本安全保护措施的基础上,为提高对风险变化的适应能力,进一步提高安全保护的时效性和保护水平,电信运营企业应当建立对各个定级对象进行动态风险评估的机制。应当根据安全形势的发展变化(例如发现新的脆弱性、出现新的威胁、面临更高的安全要求等),定期或不定期组织对电信网络或其中组成部分进行风险评估。通过风险评估,对新的威胁和脆弱性进行深入分析,对已有安全保护措施的落实情况和有效性进行确认。对已有安全保护措施与变化的风险或新的要求不相适应的,应研究提出并落实进一步的安全保护措施。信息产业部结合风险评估的结果,适时调整或修改各类定级对象的不同等级的基本安全保护措施标准,以提高基本安全保护措施的有效性和适用性。

  (四)电信网络安全防护工作的监督检查

  电信监管部门对电信运营企业开展上述电信网络安全防护工作进行指导、监督和检查。各级电信运营企业应当将电信网络各个定级对象的责任主体、结构、功能、服务范围、所属安全保护等级等基本情况向信息产业部或通信管理局备案。电信监管部门负责对电信运营企业的电信网络安全评测工作开展监督检查,确保定级对象落实基本安全保护措施。电信监管部门负责对电信运营企业的电信网络风险评估工作进行监督检查,督促进一步提高定级对象的安全保护水平。电信监管部门对于不同安全保护等级的定级对象,应实施不同程度的监督检查。公安机关对电信行业信息系统等级保护工作的监督检查,由公安机关会同电信监管部门共同组织实施。

  三、电信网络定级与备案的实施

  (一)定级的范围

  电信网络安全防护工作的范围包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网(含公共互联网)及其组成部分,支撑和管理公共电信网及电信业务的业务单元和控制单元,互联网数据中心,以及企业办公系统(含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等)、客服呼叫中心、企业门户网站等非核心生产单元。此外,电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。

  (二)定级的步骤

  1.电信网络的划分

  电信运营企业应当参照国家和信息产业部制定的相关标准和实施指南,统筹兼顾各自电信网络的网络类型、业务类型、服务地域、企业内部管理归属等,将本企业的电信网络划分成不同的定级对象,并分别确定各自的安全保护等级。为保证电信网络划分结果的合理性和各部分的定级结果的协调一致性,电信运营企业应本着先全国、后地方,先骨干、后分支,从上(集团公司)至下(省级公司、地市级公司)的原则统筹对本企业的电信网络进行划分和定级。

  2.安全等级的划分

  电信运营企业应当根据定级对象遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民或者法人的合法权益的危害程度等因素,按照国家和信息产业部制定的相关标准和实施指南,将定级对象的安全保护等级划分为1到5级,其中第5级为最高安全保护等级。电信运营企业对各个定级对象分别形成定级报告,定级报告中应包括定级对象的架构、边界、设备部署、服务范围等基本情况,以及所采用的定级方法、定级结果等信息。

  3、安全等级的确定

  对于安全保护等级拟定为第3级及以上级别的定级对象,应由电信运营企业集团公司将定级报告报送信息产业部成立的电信网络安全防护专家组评审,由专家组和电信运营企业共同商议确定定级对象的安全保护等级。当专家组评审意见与电信运营企业的意见达不成一致时,应选择双方建议级别中较高的级别作为最终确定的级别。对于安全保护等级拟定为第2级及以下级别的定级对象,无需报信息产业部电信网络安全防护专家组评审。

  (三)定级结果的备案

  对于确定为第2级及以上级别的定级对象,电信运营企业应向电信监管部门办理备案。由电信运营企业集团公司负责管理的定级对象,应向信息产业部备案;由电信运营企业省级、地市级公司负责管理的定级对象,应向其所在辖区的通信管理局备案。备案时应填写备案信息登记表,并提交定级报告。信息产业部和通信管理局对备案材料进行审核,并按照公安部、国务院信息化工作办公室等四部门的有关规定,分别向公安部或省级公安机关提交有关备案情况。

  基础电信运营企业已正式投入运行的电信网络或相关单元及系统,应当在2008年3月31日之前完成定级并向电信监管部门备案。

  基础电信运营企业新建的电信网络或相关单元及系统,应当在正式投入运行后1个月内完成定级并向电信监管部门备案。

  (四)定级结果的调整

  在电信网络运行过程中,当定级对象因为改建、扩建而影响其安全保护等级时,或因为定级对象的合并或拆分而改变定级对象的涵盖范围时,电信运营企业应按照上述定级步骤重新确定相关定级对象的安全保护等级,并向电信监管部门办理备案信息变更。

  四、电信网络安全评测的实施及监督检查

  (一)安全评测的实施

  电信网络中各个定级对象的安全评测由电信运营企业按照国家和信息产业部制定的相关标准或实施指南自行组织实施。对于第3级及以上级别的定级对象,必须进行安全评测。电信运营企业可依托本企业技术力量进行安全评测,也可委托符合本意见第六条的安全服务机构进行安全评测。

  在以下情况下应当组织开展定级对象的安全评测:

  1、定级对象的安全保护等级初次确定后;

  2、定级对象的安全保护等级调整且安全保护等级变高后;

  3、定级对象重大改、扩建工程完成后;

  4、定级对象发生合并或拆分后;

  5、电信运营企业的内部管理体系或组织机构发生重大变更后;

  6、电信网络相关基本安全保护措施要求标准经信息产业部修订后。

  (二)安全评测工作的监督检查

  电信运营企业自行组织实施完成定级对象的安全评测之后,应当将定级对象的安全评测报告报送电信监管部门。电信监管部门基于安全评测报告,结合现场调研,对电信运营企业相关工作的实施开展情况进行监督检查。必要时由电信监管部门委托专业机构按照相关标准实施现场安全评测。

  监督检查内容主要包括:

  1、安全评测实施方法是否符合国家和信息产业部制定的相关标准或实施指南;

  2、对定级对象实施的技术、管理、灾难备份等安全保护措施是否符合国家和信息产业部制定的相关标准;

  3、定级对象的备案信息是否与实际情况相符;

  4、第三方安全评测服务机构的选择是否符合有关规定;

  5、其它应当进行监督检查的事项。

  对于经检查不符合上述要求的,电信运营企业应制定整改方案并进行整改,整改完成后应将整改报告报送电信监管部门。电信监管部门对整改情况进行监督检查。

  五、电信网络风险评估的实施及监督检查

  (一)风险评估的实施

  电信网络的风险评估可以由电信运营企业自行发起并实施,也可以由电信监管部门视需要提出开展风险评估的要求,并由电信运营企业自行组织实施。风险评估既可以对整个电信网络全面开展,也可以针对若干定级对象实施。对于第3级及以上级别的定级对象,应当每年进行一次风险评估。电信网络的风险评估应当按照国家和信息产业部制定的相关标准和实施指南进行。电信运营企业可依托本企业技术力量进行风险评估,也可委托符合本意见第六条的安全服务机构进行风险评估。

  原则上在以下情况时应当组织开展风险评估:

  1、出现新的重大威胁;

  2、发现新的严重安全隐患;

  3、国家召开重要会议或举办重大活动之前。

  (二)风险评估工作的监督检查

  电信运营企业自行发起或按照电信监管部门的要求实施完成风险评估之后,应当将风险评估报告报送电信监管部门。电信监管部门基于风险评估报告,结合现场调研,定期或不定期对电信运营企业相关工作的实施开展情况进行监督检查。

  监督检查内容主要包括:

  1、风险评估实施方法是否符合国家和信息产业部组织制定的相关标准或实施指南;

  2、是否根据风险评估结果提出并落实进一步的安全保护措施;

  3、第三方风险评估服务机构的选择是否符合有关规定;

  4、其它应当进行监督检查的事项。

  六、安全服务机构的管理

  (一)安全服务机构的选择

  电信运营企业应当选择符合下列条件的安全服务机构进行电信网络的安全评测和风险评估:

  1、在中华人民共和国境内注册成立(港澳台地区除外);

  2、由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);

  3、从事电信网络安全保障服务工作一年以上,无违法记录;

  4、相关工作人员仅限于中国公民;

  5、法人及主要业务、技术人员无犯罪记录;

  6、具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度。

  (二)安全服务机构的义务

  为电信网络提供安全评测、风险评估服务的安全服务机构应当履行以下义务:

  1、遵守国家和信息产业部有关法律法规和技术标准,提供安全、客观、公正的安全评测、风险评估服务,保证安全评测、风险评估的质量和效果;

  2、保守在安全评测、风险评估活动中知悉的国家秘密、企业秘密和公民隐私,防范相关工作带来的风险;

  3、对相关工作人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。

  七、电信网络安全防护工作的总体要求

  (一)提高认识,加强领导。各地通信管理局和电信运营企业集团公司要结合国家信息化发展和电信行业发展的要求,进一步提高对电信网络安全防护工作重要性、紧迫性的认识,加强对本地区、本企业电信网络安全防护工作的组织领导,按照信息产业部的统一部署,加快推进电信网络安全防护体系建设。信息产业部成立电信网络安全防护工作领导小组,负责相关工作的总体部署和协调,领导小组由信息产业部奚国华副部长担任组长,信息产业部电信管理局苏金生局长担任副组长,成员包括信息产业部科技司、规划司、各地通信管理局以及基础电信运营企业的主管领导。领导小组办公室设在信息产业部电信管理局,由电信管理局赵志国副局长担任办公室主任。各地通信管理局和各级电信运营企业要成立本单位电信网络安全防护领导小组及工作组,明确和落实相关部门的职责,加强对相关工作的保障,确保电信网络安全防护工作顺利开展。

  (二)明确责任,加强协调。电信网络安全防护工作由信息产业部、各地通信管理局组织部署。信息产业部负责组织制定相关规定和标准,对各地通信管理局和电信运营企业集团公司的相关工作进行指导、监督和检查,对评测评估服务机构进行监督管理,与国家其他相关部门进行协调。各地通信管理局负责对本地区内电信运营企业的相关工作进行指导、监督和检查,与当地其他相关部门进行协调。各电信运营企业集团公司负责按照信息产业部的要求,组织、监督、检查本集团电信网络安全防护工作。

  (三)加强研究,规范管理。信息产业部组织成立电信网络安全防护专家组,加强对标准制定、定级、安全服务机构管理等相关工作的研究和指导;尽快制定或完善相关标准和实施指南,制定电信网络安全保障监督管理办法,研究评测评估服务机构管理办法,进一步提高相关工作的规范性和公正性;组织研究科学、高效的评测评估方法和相关工具,不断提高评测评估工作的客观性;加强电信网络安全防护工作行政管理支撑手段建设,提高行政管理工作效率。

  (四)及时总结,提出建议。各相关单位应结合开展电信网络安全防护工作的实际,认真总结经验和不足,提出进一步完善电信网络安全防护相关标准和管理工作的意见和建议,为顺利开展电信网络安全防护工作提供有益经验。各单位在相关工作中如有意见、建议和问题,请及时向信息产业部电信管理局报告。
  
  中华人民共和国信息产业部

  二○○七年十一月十二日
  

分享到: 收藏本文