信息产业部关于进一步开展电信网络安全防护工作的实施意见

合集下载

行业规范中国电信通信网络安全防护管理办法

中国电信通信网络安全防护管理办法第一章总则第一条为加强中国电信通信网络安全管理工作，提高通信网络安全防护能力，保障通信网络安全畅通，根据《通信网络安全防护管理办法》（中华人民共和国工业和信息化部第11号令），制定本办法。

第二条第二条中国电信管理和运行的公用通信网和互联网（以下统称“通信网络”）的网络安全防护工作，适用本办法。

第三条第三条本办法所称网络安全防护工作，是指为防止通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。

第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。

第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期；注重安全防护的标准制定与落实，注重督促工程设计和建设阶段的安全规范实施情况，注重监管运行维护工作制度规章的执行情况；建立按照电信管理机构的要求，结合中国电信自身的安全管理需求，以年度为周期开展计划、实施、总结考评等工作制度；整体工作将按照规范化、制度化、常态化方向发展。

第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则，进一步落实贯彻本办法。

第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查，组织建立健全通信网络安全防护体系，制定相关标准，按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作，对全网的通信网络安全负责，对各省的网络安全管理工作进行统一监督管理。

第八条各省级公司依据本办法的规定和相关要求，对本省公司的通信网络安全防护工作进行指导、协调和检查，按照工业和信息化部及各省、自治区、直辖市通信管理局（以下统称“电信管理机构”）的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作，对所管理的通信网络安全负责。

第九条网络安全防护工作覆盖多部门、多专业，包括网络发展部门（以下简称网络发展部）、企业信息化部门（以下简称企业信息化部）、公众客户管理部门（以下简称公众客户部）、网络运行部门（以下简称网络运行部）等。

《电信网和互联网网络安全防护定级备案实施指南》-20190220

《电信网和互联网网络安全防护定级备案实施指南》-20190220电信网和互联网网络安全防护定级备案实施指南网络安全在当今社会中变得越来越重要，无论是个人还是企业，都需要保护自己的信息和数据免受黑客和其他恶意攻击的侵害。

为了加强网络安全管理，提高网络防护能力，特制定此《电信网和互联网网络安全防护定级备案实施指南》。

一、引言网络安全是电信网和互联网发展的重要支撑，也是国家安全的重要方面。

为了防范网络安全威胁，保护网络基础设施和个人信息安全，各相关部门制定了一系列的政策法规。

本指南的目的是为了协助企业和个人对网络安全进行定级备案并采取相应的安全防护措施。

二、背景网络安全定级备案是指根据现有的网络安全标准和相关指引，对企事业单位、互联网接入服务提供商和其他网络利用者进行网络安全定级和备案。

通过定级备案，能够使相关单位清楚了解自身的网络安全现状，并针对性地采取相应的安全保护措施。

三、网络安全定级备案的流程1. 定级备案的准备工作在进行网络安全定级备案之前，需要搜集企业或个人与网络安全相关的信息，包括网络拓扑图、硬件设备清单、网络终端设备清单等。

同时，需要对网络主要服务进行分类，如网络访问、数据库服务、应用程序服务等。

2. 定级备案的申请将准备工作中搜集到的信息填写至定级备案申请表中，并按相关部门要求进行提交。

申请表中应包含以下内容：- 申请单位或个人的基本信息；- 网络拓扑图和网络设备清单；- 网络服务分类和服务清单；- 定级备案的级别和所需防护措施。

3. 定级备案的审核与评估相关部门会对提交的定级备案申请进行审核与评估。

审核的主要目的是确保申请单位或个人的信息完整准确，并对其所提出的网络安全等级予以评估。

评估的依据包括现有的网络安全标准和指南，以及对申请单位或个人网络基础设施的实际情况进行评估。

4. 防护措施的制定与落实根据定级备案的结果，申请单位或个人需要制定相应的网络安全防护措施，并确保其落实到位。

工业和信息化部办公厅关于印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》的通知

工业和信息化部办公厅关于印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》的通知文章属性•【制定机关】工业和信息化部•【公布日期】2019.06.28•【文号】工信厅网安〔2019〕42号•【施行日期】2019.06.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】电子信息正文工业和信息化部办公厅关于印发《电信和互联网行业提升网络数据安全保护能力专项行动方案》的通知工信厅网安〔2019〕42号各省、自治区、直辖市通信管理局，中国信息通信研究院、中国电子信息产业发展研究院、国家工业信息安全发展研究中心、中国电子技术标准化研究院、人民邮电报社、中国工业互联网研究院、中国互联网协会、中国通信标准化协会，中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司，有关互联网企业：现将《电信和互联网行业提升网络数据安全保护能力专项行动方案》（工信厅网安﹝2019﹞42号）印发给你们，请认真抓好贯彻执行。

联系人及电话：苗琳************/66069561（传真）电子邮箱：****************.cn工业和信息化部办公厅2019年6月28日电信和互联网行业提升网络数据安全保护能力专项行动方案近年来，随着国家大数据发展战略加快实施，大数据技术创新与应用日趋活跃，产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据，成为数字经济发展的关键生产要素。

与此同时，数据过度采集滥用、非法交易及用户数据泄露等数据安全问题日益凸显，做好电信和互联网行业（以下简称行业）网络数据安全管理尤为迫切。

为积极应对新形势新情况新问题，切实做好新中国成立70周年网络数据安全保障工作，全面提升行业网络数据安全保护能力，制定本方案。

一、总体要求以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中全会精神，严格落实《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《互联网信息服务管理办法》等法律法规，坚持维护数据安全与促进数据开发利用并重，坚持数据分类分级保护，坚持充分发挥政府引导作用、企业主体作用和社会监督作用，立足我部行业网络数据安全监管职责，开展为期一年的行业提升网络数据安全保护能力专项行动（以下简称专项行动），加快推动构建行业网络数据安全综合保障体系，为建设网络强国、助力数字经济发展提供有力保障和重要支撑。

加强基础信息网络安全防护保障信息化又好又快发展

32008.02保障信息化又好又快发展前不久，信息产业部在前期标准化和试点工作取得成果的基础上，印发了《关于进一步开展电信网络安全防护工作的实施意见》，对电信行业全面开展电信网络安全防护工作做出了具体部署，提出了明确的任务要求。

不久前胜利闭幕的党的十七大提出，要全面认识信息化深入发展的新形势新任务，深刻把握信息化发展面临的新课题新矛盾，更加自觉地走科学发展道路。

回顾过去，信息网络建设取得了飞速发展，为国家信息化快速发展奠定了良好的基础。

截至目前，我国固定电话、移动电话用户总数已达9亿，互联网上网人数超过2亿，其中宽带用户1.3亿。

信息网络技术不断推陈出新，各种技术、业务和网络之间相互融合与渗透，网络信息资源及各种业务、应用日趋丰富，电子政务、电子商务、网络媒体等业务日新月异，人们的信息交流更加高效便捷。

展望未来，新形势下全面建设小康社会的奋斗目标对信息化提出了更高的要求，随之也对信息网络的发展和安全也提出了更高的要求。

信息网络是信息化的重要内容，同时也是信息化的基础和平台。

信息的网络化是信息化的主要特征之一，通过网络可以提高信息的传播效率，通过网络可以加大信息的共享，信息化离不开网络的支持，信息化社会是一个对信息网络高度依赖的社会，信息网络是国家重要的信息基础设施。

首先，信息网络是公共服务的重要内容，人们的工作、学习、生活、娱乐日益离不开信息网络提供的各种服务。

其次，信息网络是文化传播的重要载体，网络的媒体特征十分突出，各种网络媒体已经成为社会主义先进文化传播的重要阵地。

第三，信息网络是社会建设的有力支撑，利用信息网络可以将远程医疗、远程教育等服务送至千家万户，促进民生改善，促进社会和谐。

最后，信息网络是政治经济持续运行的重要保障，政府事务以及金融、交通等国家经济命脉无不高度依赖信息网络，网络一旦中断，后果不堪设想。

总之，信息化使政治、经济、文化和社会生活等方方面面对信息网络的依赖度越来越高，因此信息网络的安全畅通和可持续运行变得非常重要，不仅关系到人民群众的利益，而且关系到国家安全和社会稳定。

电信网络安全等级保护定级研究与分析

害
第4 级
严重损害
特别严重
，
国家安全造成严重损害
2
／
．
。
不管是电信 I硐络还是信息系统的安
、
损害
，
对社会秩序
、
经济建设
公共利
全
，
采取的都是安全等级保护制度
、
，
其
第5 级
特别严
重损害
益的影响
电信网络作为人们日常工作生活
，
、、
整体推进的电信网络安全防护思路，形成了电信网络的安全防护体系。并制定
第４：定级对象受到破坏后，会级对社会秩序、经济运行和公共利益造成
网络划分成接入网、传送网、Ｐ承载网、特别严重损害，或者对国家安全造成严Ｉ信令网、同步网、支撑网等，这些支撑重损害。网络作为电信网络的相关系统。将电信
务生产网络和支撑网络，另一类是非核重损害，或者对社会秩序、经济运行和
心生产单元。
公共利益造成轻微损害，但不损害国家
安全。
业务运营商运营的传输、承载各类电信第３：级进一步划分为两个等级：
重损害特别严３级．较大损害２严重损害重损害
息安全等级保护的信息安全保障工作思
根据电信网全程全网的特点，在开特别严重损害，或者对社会秩序、经济
路。为了将２７号文的精神贯彻落实到展安全等级保护工作时，将电网络根运行和公共利益造成严重损害，或者对信电信行业，结合国家网络与信息安全协据所提供的业务划分成固定通信网、移国家安全造成较大损害。调小组办公室关于开展风险评估、等级动通信网、互联网、增值业务网一消息网、保护和灾难备份及恢复等工作的有关意增值业务网一智能网等，业务网的支撑见，原信息产业部提出了将等级保护、风险评估和灾难备份及恢复有机结合，

工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见全文-国家规范性文件

工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见各省、自治区、直辖市通信管理局，中国电信集团公司、中国移动通信集团公司、中国联合网络通信集团有限公司，国家计算机网络应急技术处理协调中心，工业和信息化部电信研究院、通信行业职业技能鉴定指导中心，中国通信企业协会、中国互联网协会，各互联网域名注册管理机构，有关单位：近年来，各单位认真贯彻落实党中央、国务院决策部署及工业和信息化部的工作要求，在加强网络基础设施建设、促进网络经济快速发展的同时，不断强化网络安全工作，网络安全保障能力明显提高。

但也要看到，当前网络安全形势十分严峻复杂，境内外网络攻击活动日趋频繁，网络攻击的手法更加复杂隐蔽，新技术新业务带来的网络安全问题逐渐凸显。

新形势下电信和互联网行业网络安全工作存在的问题突出表现在：重发展、轻安全思想普遍存在，网络安全工作体制机制不健全，网络安全技术能力和手段不足，关键软硬件安全可控程度低等。

为有效应对日益严峻复杂的网络安全威胁和挑战，切实加强和改进网络安全工作，进一步提高电信和互联网行业网络安全保障能力和水平，提出以下意见。

一、总体要求认真贯彻落实党的十八大、十八届三中全会以及中央网络安全和信息化领导小组第一次会议关于维护网络安全的有关精神，坚持以安全保发展、以发展促安全，坚持安全与发展工作统一谋划、统一部署、统一推进、统一实施，坚持法律法规、行政监管、行业自律、技术保障、公众监督、社会教育相结合，坚持立足行业、服务全局，以提升网络安全保障能力为主线，以完善网络安全保障体系为目标，着力提高网络基础设施和业务系统安全防护水平，增强网络安全技术能力，强化网络数据和用户信息保护，推进安全可控关键软硬件应用，为维护国家安全、促进经济发展、保护人民群众利益和建设网络强国发挥积极作用。

二、工作重点（一）深化网络基础设施和业务系统安全防护。

认真落实《通信网络安全防护管理办法》（工业和信息化部令第11号）和通信网络安全防护系列标准，做好定级备案，严格落实防护措施，定期开展符合性评测和风险评估，及时消除安全隐患。

工业和信息化部关于进一步防范和打击通讯信息诈骗工作的实施意见-工信部网安函﹝2016﹞452号

工业和信息化部关于进一步防范和打击通讯信息诈骗工作的实施意见正文：----------------------------------------------------------------------------------------------------------------------------------------------------工业和信息化部关于进一步防范和打击通讯信息诈骗工作的实施意见工信部网安函﹝2016﹞452号为坚决贯彻党中央、国务院近期系列决策部署，细化落实工业和信息化部等六部门《关于防范和打击电信网络诈骗犯罪的通告》要求，有效防范和打击通讯信息诈骗，切实保障正常通信秩序，保护用户合法权益，维护社会和谐稳定，提出以下实施意见。

一、从严从快全面落实电话用户实名制（一）加快完成未实名电话存量用户身份信息补登记。

各基础电信企业要加快推进未实名老用户补登记，在2016年底前实名率达到100%。

各移动转售企业要对170、171号段全部用户进行回访和身份信息确认，对未登记或登记信息错误的用户进行补登记，2016年底前实名率达到100%。

在规定时间内未完成补登记的，一律予以停机。

（二）从严做好新入网电话用户实名登记。

各基础电信企业和移动转售企业要采取有效的管理和技术措施，确保电话用户登记信息真实、准确、可溯源。

为新用户办理入网手续时，要严格落实用户身份证件核查责任，采取二代身份证识别设备、联网核验等措施验证用户身份信息，并现场拍摄和留存办理用户照片。

通过网络渠道发展新用户时，要采取在线视频实人认证等技术方式核验用户身份信息。

（三）严格限制一证多卡。

2016年底前，各基础电信企业和移动转售企业应全面完成一证多卡用户摸排清理，对在本企业全国范围内已经办理5张（含）以上移动电话卡的存量用户，要对用户身份信息逐一重新核实。

同一用户在同一基础电信企业或同一移动转售企业全国范围内办理使用的移动电话卡达到5张的，按照六部委《关于防范和打击电信网络诈骗犯罪的通告》第四条相关要求处理。

工信两部联合发布《进一步防范和打击通讯信息诈骗工作的实施意见》

⼯信两部联合发布《进⼀步防范和打击通讯信息诈骗⼯作的实施意见》11⽉7⽇，⼯业和信息化部发布了关于进⼀步防范和打击通讯信息诈骗⼯作的实施意见。

《意见》提出从严从快全⾯落实电话⽤户实名制、⼤⼒整顿和规范重点电信业务、坚决整治⽹络改号问题、不断提升技术防范和打击能⼒、加强⾏业⽤户个⼈信息保护、强化社会监督与宣传教育、强化⾏业监管与责任追究、切实强化防范治理的⼯作保障⼋项重点⼯作。

《意见》对加快完成未实名电话存量⽤户⾝份信息补登记提出明确要求：各基础电信企业要加快推进未实名⽼⽤户补登记⼯作，在2016年年底前实名率达到100%。

各移动转售企业要对170、171号段全部⽤户进⾏回访和⾝份信息确认，对未登记或登记信息错误的⽤户进⾏补登记，2016年年底前实名率达到100%。

在规定时间内未完成补登记的，⼀律予以停机。

《意见》提出严格限制⼀证多卡。

2016年年底前，各基础电信企业和移动转售企业应全⾯完成⼀证多卡⽤户的摸排清理，对在本企业全国范围内已经办理5张(含)以上移动电话卡的存量⽤户，要对⽤户⾝份信息逐⼀重新核实。

同⼀⽤户在同⼀基础电信企业或同⼀移动转售企业全国范围内办理使⽤的移动电话卡达到5张的，按照六部委《关于防范和打击电信⽹络诈骗犯罪的通告》第四条相关要求处理。

《意见》提出坚决清理⽹上改号软件。

2016年11⽉底前，相关互联⽹企业要通过关键词屏蔽、软件下架、信息删除和账户封停等⽅式，对⽹站页⾯、搜索引擎、⼿机应⽤软件商城、电商平台、社交平台上的改号软件信息进⾏深⼊清理，切断下载、搜索、传播、兜售改号软件的渠道。

在企业侧技术⼿段建设⽅⾯，《意见》要求在2016年年底前全⾯建成防范打击通讯信息诈骗业务管理系统和⽤户终端侧安全提⽰服务两类技术⼿段，2017年3⽉底前全⾯建成⽹内和⽹间不良呼叫号码监测处置系统，综合运⽤多种技术⼿段持续提升企业侧技术防范打击能⼒。

在严格保护⾏业⽤户个⼈信息⽅⾯，《意见》要求，2016年11⽉底前，各基础电信企业、移动转售企业和互联⽹企业要全⾯完成⽤户个⼈信息保护⾃查，重点检查营业厅、代理点等环节⽤户个⼈信息保护管理和涉及⽤户个⼈信息系统的安全防护，加强内部安全审计，严肃处理⾮法出售、泄露⽤户个⼈信息的问题。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

信息产业部关于进一步开展电信网络安全防护工作的实施意
见
【法规类别】电信
【发布部门】信息产业部(含邮电部)(已撤销)
【发布日期】2007.11.12
【实施日期】2007.11.12
【时效性】现行有效
【效力级别】部门规范性文件
信息产业部关于进一步开展电信网络安全防护工作的实施意见
各省、自治区、直辖市通信管理局，中国电信集团公司、中国网络通信集团公司、中国移动通信集团公司、中国联合通信有限公司、中国卫星通信集团公司、中国铁通集团有限公司，信息产业部电信研究院、国家计算机网络应急技术处理协调中心：
为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）精神，加快推进电信网络的等级保护、风险评估、灾难备份等安全防护工作，结合国务院信息化工作办公室、公安部等关于风险评估、等级保护、灾难备份的有关工作要求，保证电信网络安全防护工作整体、规范、科学、有序地开展，在总结电信网络安全防护标准化和相关试点工作的基础上，就电信行业进一步全面开展电信网络安全防护工作，提出以下意见。

一、电信网络安全防护工作的总体思路和基本原则
（一）总体思路
1、电信网络安全防护工作的主要内容
电信网络安全防护工作包括等级保护、风险评估、灾难备份等以事前防护和准备为主的相关工作内容，总体目标是要从管理和技术等多个方面，落实和改进与电信网络的重要性及面临的威胁相适应的安全保护措施，以提高电信网络的安全保护能力和水平，有效减少严重网络安全事件的发生。

等级保护是根据被保护对象一旦遭受破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法利益的危害程度大小，确定被保护对象的安全保护等级，并落实与安全保护等级相适应的基本安全保护措施。

风险评估是通过系统地认识和分析被保护对象的相关资产、存在的脆弱性、面临的威胁以及已有保护措施的有效性，科学推断出安全事件发生的可能性和可能造成的危害程度，并提出和落实有针对性的整改措施，将残余风险降低到可以接受的程度。

灾难备份是对重要线路、设备、业务系统和数据等进行冗余备份，保证当主用线路、设备、业务系统和数据发生故障或遭到破坏后，有条件迅速切换使用相应的备用资源，提高网络和业务的抗毁性和可持续服务能力。

2、将等级保护、风险评估、灾难备份等有机结合
等级保护、风险评估、灾难备份等工作相互之间密切相关、互相渗透、互为补充。

电信网络安全防护应将等级保护、风险评估、灾难备份等工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性和协调性。

电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想，通过风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全保护措施，最终达到提高电信网络安全保护能力和水平的目的。

在开展等级保护工作时，要充分应用风险评估的方法，认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁，进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求，提高等级保护工作的针对性和适用性。

在开展风险评估工作时，在分析被保护对象综合风险和制定改进方案的过程中，要始终与被保护对象的安全保护等级相结合，合理确定被评估对象的可接受风险和制定确实必要的整改措施，避免无限度的改进提高。

在开展灾难备份工作时，要结合被备份对象的安全保护等级和面临的威胁，制定相适应的备份措施，并将有关备份的要求体现在等级保护相关标准的措施要求中进行落实。

3、运营单位自主防护与行业主管部门监督检查相结合
按照“谁主管、谁负责，谁运营、谁负责”的原则，电信网络安全防护工作实行电信运营企业自主防护与电信行业主管部门监督检查相结合的工作机制。

电信运营企业应当按照电信监管部门的要求，结合企业自身实际情况，认真贯彻落实电信网络安全防护的相关规定和标准，并接受电信监管部门的监督检查。

电信监管部门负责组织制定和推广科学、有效、适用的电信网络安全防护实施方法和保护措施，指导电信业务经营者规范开展电信网络安全防护工作，并监督检查电信网络安全防护工作的落实情况，不断健全科学、规范、有效的电信网络安全防护管理体系。

（二）基本原则
电信网络安全防护工作应遵循以下基本原则：
1、整体性原则。

电信网络由各种设备、线路和相应的支撑、管理单元互联组成，具有全程全网的特点，对电信网络某一部分的调整或改动（包括实施各项保护措施），可能影响整个电信网络的安全可靠运行。

因此，电信网络安全防护工作应坚持对整个网络统筹兼顾，由信息产业部会同各电信运营企业集团公司，结合电信网络的实际特点统一研究和组织部署。

2、规范性原则。

电信网络种类繁多、结构复杂，安全防护工作涵盖线路、设备、网络、业务系统等多种对象，涉及管理、技术等多个方面，包括安全评测、风险评估等多项环节，是一项复杂的系统工程。

为保证电信网络安全防护工作的有效性和规范性，相关工作应当按照国家和信息产业部组织制定的有关标准实施。

3、适度性原则。

电信网络安全防护工作追求的是适度安全的目标。

要始终运用等级保护的思想，制定和落实与电信网络的重要性相适应的安全保护措施要求；要坚持运用风险评估的方法，提出和落实与电信网络的风险大小相适应的改进措施。

对于重要性高、风险大的电信网络，要采取较高程度的安全保护措施，反之，对于重要性低、风险小的电信网络，可以采取较低程度的保护措施。

4、同步性原则。

电信网络自身存在的脆弱性是导致安全事件发生的内在原因，在电信网络新建、改建、扩建时，应当在规划和设计工作中同步考虑在源头上有效减少电信网络的脆弱性。

对于难以彻底消除的脆弱性，应当同步规划、设计和实施电信网络安全保护措施，并做到安全保护措施与安全保护等级的要求相一致。

二、电信网络安全防护工作的主要任务
（一）电信网络的定级
定级是等级保护的基础和前提。