行业规范iso电信通信网络安全防护管理规定
电信行业网络安全管理规定
电信行业网络安全管理规定1. 绪论随着互联网技术的迅猛发展,电信行业网络安全问题日益突出。
为了维护网络安全,保障用户信息的安全和隐私,电信行业制定了一系列网络安全管理规定。
本文将对这些规定进行详细介绍和解读。
2. 信息安全管理体系为确保电信行业网络的安全,企业应建立健全信息安全管理体系。
这涉及到以下几个方面的工作:2.1 安全政策和目标企业应制定明确的信息安全政策和目标,确保各级管理人员和员工都有清晰的安全意识,并将其纳入日常工作中。
2.2 组织架构和职责建立相应的组织架构,明确各个岗位的职责和权限,确保网络安全事务能够得到及时有效地管理和处理。
2.3 资产管理企业应对网络资产进行有效的管理和监控,包括网络设备、服务器、软件以及重要数据等,确保其安全可靠。
2.4 风险评估与管理通过风险评估工作,及时分析识别网络安全威胁和风险,并采取相应的防护和应对措施,确保网络的安全稳定运行。
3. 安全运维管理为了保障电信行业网络的安全和可靠性,企业应采取一系列安全运维管理措施。
3.1 安全漏洞管理及时跟踪各类软件和系统的安全漏洞消息,对可能存在的漏洞进行管理和修补,以防止其被黑客利用。
3.2 安全事件响应建立完善的安全事件响应机制,对网络安全事件进行及时处理和处置,并积极采取措施防止类似事件的再次发生。
3.3 安全监测与审计建立安全监测和审计机制,对网络流量进行实时监测,及时发现和拦截异常行为和攻击,确保网络的安全稳定。
4. 用户信息保护用户的信息安全是电信行业网络安全管理的重要一环。
4.1 用户隐私保护企业应制定相关政策,保护用户的隐私信息,严禁未经用户同意将其个人信息泄露给第三方。
4.2 安全培训与教育为用户提供关于网络安全的培训和教育,提高其网络安全意识和保护能力,避免因个人操作不当而导致的安全问题。
5. 合作与监管电信行业网络安全管理需要与相关部门和企业进行合作与监管。
5.1 合作机制建立与公安机关、安全厂商等的合作机制,加强信息共享和协同作战,共同应对网络安全威胁。
电信行业通信网络安全规范
电信行业通信网络安全规范为了确保电信行业中的通信网络安全,保护用户信息和网络基础设施的安全性,需要制定一系列规范和标准。
本文将从电信行业的角度出发,探讨通信网络安全规范的相关内容。
一、网络架构安全规范网络架构是一个通信网络的基础,其安全性对整个网络的运行起着重要的作用。
在网络架构的设计和搭建中,需要遵循以下安全规范:1. 网络隔离原则:不同安全等级的网络应该进行隔离,确保一旦某个网络出现安全问题,不会影响到其他网络。
2. 防火墙设置:在网络架构中需要设置防火墙来监控和过滤网络流量,防止未经授权的访问和攻击。
3. 数据加密传输:敏感数据在网络传输过程中应进行加密,防止数据泄露和篡改。
4. 网络设备安全:所有网络设备的默认密码应予以修改,不得使用弱密码,确保设备的可靠性和安全性。
二、网络访问控制规范为了保护网络免受未经授权的访问,需要制定网络访问控制规范,以保障系统安全和用户隐私。
以下是一些常见的网络访问控制规范:1. 用户身份验证:用户在登录网络系统时需进行身份验证,确保只有合法用户能够访问网络资源。
2. 强密码规范:制定密码复杂度规范,鼓励用户使用包含字母、数字和特殊字符的强密码,并定期更新密码。
3. 权限管理:分配用户权限时,应根据用户职责和需要,将权限进行细分,确保用户只能访问其所需的网络资源。
4. 网络访问日志管理:记录网络访问日志,定期检查和分析日志,及时发现和应对异常访问行为。
三、网络通信加密规范在电信行业中,通信数据的安全性至关重要。
通过制定通信加密规范,可以确保网络通信的机密性和完整性。
以下是一些网络通信加密的规范:1. 传输加密:在通信过程中采用安全传输协议(如HTTPS),对通信数据进行加密传输,防止数据被窃取或篡改。
2. 数据加密存储:对敏感数据在存储过程中进行加密,确保数据在存储介质上的安全性。
3. 用户身份认证:在通信过程中,对用户身份进行认证和验证,确保通信双方的合法性。
电信行业安全操作规程通信网络安全与用户数据保护的标准要求
电信行业安全操作规程通信网络安全与用户数据保护的标准要求一、引言随着互联网的快速发展和普及,电信行业在信息传输和通信领域扮演着至关重要的角色。
然而,与此同时,通信网络安全和用户数据保护也面临着严重的挑战。
为了确保电信行业的安全运营,制定并严格执行安全操作规程是必要的。
本文旨在介绍电信行业安全操作规程的标准要求,以确保通信网络的安全以及用户数据的完整保护。
二、通信网络安全的标准要求(一)网络设备安全要求1. 硬件设备安全:所有网络设备必须经过严格的安全审查,确保其具备稳定可靠的性能,并具备防护措施以防止未授权访问。
2. 软件系统安全:网络设备的软件系统应具备高度的安全性,包括但不限于安全更新、漏洞修补和强密码策略等。
3. 访问控制:应建立严格的权限控制机制,只允许经过授权的人员使用和管理网络设备。
(二)网络传输安全要求1. 数据加密:对于通过网络传输的用户数据,应采用可靠的加密机制,确保信息在传输过程中的机密性和完整性。
2. 漏洞扫描与修复:定期对通信网络进行漏洞扫描,并及时修复所发现的安全漏洞,以避免潜在的安全威胁。
3. 流量监测与分析:建立流量监测系统,及时发现和应对异常网络流量,防止恶意攻击和数据泄露。
(三)应急响应与恢复要求1. 应急响应计划:建立健全的应急响应计划,明确应对各类安全事件的流程和责任分工,以迅速应对安全威胁事件。
2. 数据备份与恢复:定期对用户数据进行备份,并确保备份数据的安全存储,以便在发生数据丢失或破坏时进行恢复。
3. 安全培训和意识教育:开展相关的安全培训和意识教育活动,提高员工的安全意识和应急处理能力。
三、用户数据保护的标准要求(一)个人隐私保护要求1. 个人信息收集原则:在收集用户个人信息时,应事先取得用户的明示同意,并明确告知收集目的、范围和使用方式。
2. 信息安全保护:建立健全的个人信息保护制度,采取技术手段确保用户信息的安全存储,防止泄露和滥用。
3. 信息使用限制:用户的个人信息只能在法律允许的范围内使用,禁止将个人信息用于任何未经授权的商业用途。
电信行业通信网络安全标准
电信行业通信网络安全标准导言:随着信息技术的迅速发展,电信行业的通信网络在整个社会体系中扮演着重要角色。
然而,随之而来的是不断增加的网络安全威胁。
为了确保电信网络的稳定、安全和可靠运行,制定和遵循相关的通信网络安全标准就显得尤为重要。
本文将探讨电信行业通信网络安全标准的意义、目标和主要内容。
一、概述通信网络安全标准是为了规范电信行业中的通信网络建设、运营和维护,保障用户通信和信息的安全性而制定的一系列规范和准则。
这些标准涵盖了通信网络的硬件设备安全、软件系统安全、数据安全和网络运行安全等方面。
二、通信网络硬件设备安全标准1. 设备认证和合规性要求:规定通信网络硬件设备必须符合相关的认证和合规性标准,以确保其安全性和稳定性。
2. 设备生命周期管理:包括设备采购、配置、部署、监控、维护和报废等各个环节的管理规范,以确保设备整个生命周期的安全性。
3. 物理安全要求:包括设备的安装环境、交换机房的防护措施、设备接入控制等,以预防物理攻击和非授权访问。
三、通信软件系统安全标准1. 软件安全设计原则:包括安全性、稳定性、易用性、可控性等原则,规定软件系统设计必须兼顾这些方面的要求。
2. 软件开发和测试规范:要求制定统一的软件开发和测试规范,包括代码审查、漏洞扫描和安全测试等,以确保软件系统的安全性。
3. 操作系统和数据库安全:包括操作系统和数据库的安全配置、访问控制、漏洞修补等要求,以降低操作系统和数据库的攻击风险。
四、通信数据安全标准1. 数据传输加密:规定通信网络中的数据传输必须采用加密技术,以防止数据被未经授权的人窃取或篡改。
2. 认证和授权机制:要求设立完善的用户认证和授权机制,确保只有经过身份验证的用户才能访问和操作数据。
3. 数据备份和恢复:包括数据备份策略、备份存储介质和备份恢复测试等要求,以保证数据不受意外损坏的影响。
五、通信网络运行安全标准1. 安全策略和管理:规定通信网络运行必须建立和遵循相应的安全策略和管理体系,确保网络运行的稳定性和安全性。
行业规范iso电信通信网络安全防护管理规定
行业规范i s o电信通信网络安全防护管理规定集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]中国电信通信网络安全防护管理办法第一章总则第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。
第二条第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度;整体工作将按照规范化、制度化、常态化方向发展。
第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。
第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统一监督管理。
第八条各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。
电信行业网络安全管理制度
电信行业网络安全管理制度一、背景介绍随着互联网的迅猛发展,电信行业的网络安全问题日益突出。
为了保护用户的信息安全,维护网络运行秩序,电信行业制定了一套网络安全管理制度。
二、目标与原则1. 目标:- 保障网络系统的安全稳定运行;- 防范网络攻击、病毒传播等安全威胁;- 保护用户个人信息的隐私安全;- 加强网络安全意识和技能培训。
2. 原则:- 法律合规原则:遵守国家法律法规,确保合法合规运营;- 综合防护原则:采取多层次、多维度的安全防护措施;- 风险管理原则:建立完善的风险评估和应急处理机制;- 客户隐私保护原则:严格保护客户个人隐私信息。
三、组织结构与责任1. 电信行业网络安全管理委员会:- 负责制定和完善网络安全管理制度; - 协调各部门间的网络安全工作;- 审核网络安全事件的处理结果。
2. 网络安全管理员:- 负责网络安全事件监测和处置工作; - 提供网络安全技术支持和建议;- 定期组织网络安全培训与演练。
四、网络安全管理措施1. 网络设备安全:- 定期更新设备安全补丁;- 出台设备密码管理规范;- 强化对设备的物理防护措施。
2. 网络数据安全:- 建立数据分类和权限控制机制;- 加密重要数据传输和存储;- 配置防火墙、入侵检测和防病毒系统。
3. 访问控制与认证:- 采用多因素身份验证措施;- 设立访问权限控制策略;- 监控和审核员工的访问行为。
4. 安全事件管理:- 建立网络安全事件处置流程;- 健全安全事件的记录和报告制度; - 定期开展安全演练和应急预案测试。
五、安全意识教育与培训1. 员工安全培训:- 定期组织网络安全知识培训;- 增强员工对网络安全的风险认识; - 提升员工网络安全问题处理能力。
2. 用户安全教育:- 向用户提供网络安全教育宣传材料; - 发布网络安全预警和防护提示;- 定期开展用户网络安全知识培训。
六、监督与评估1. 内部监督:- 建立网络安全自查机制;- 定期开展网络安全检查;- 对违反网络安全规定的人员进行处理。
电信网络安全管理规范
电信网络安全管理规范随着互联网的迅猛发展,电信网络已经成为我们生活和工作中不可或缺的一部分。
电信网络的安全管理是确保通信网络安全和信息安全的关键,它涉及到各个方面的技术和管理措施。
本文旨在介绍电信网络安全管理的规范,并提供一些有效的措施来保障网络安全。
一、概述电信网络安全管理规范是指电信运营商和相关企业为保障网络安全而制定的管理规定和技术标准。
它的目的是确保通信网络的正常运行,防止网络威胁和攻击,维护客户的隐私和数据安全。
二、网络安全管理制度1.责任分工:建立明确的网络安全管理责任制度,明确各部门和个人在网络安全管理中的职责和权限。
2.保密管理:制定相关保密规定,对涉密信息和数据进行保护,并建立严格的访问控制机制。
3.人员培训:组织网络安全培训和演练,提高员工的安全意识和应急处理能力。
4.风险评估与处理:进行网络风险评估和漏洞扫描,并及时采取相应的措施来解决问题。
5.事件响应:建立网络安全事件响应机制,及时发现和处置安全事件,最大程度减少安全漏洞的影响。
三、网络安全技术标准1.入侵检测系统:部署入侵检测系统(IDS)和入侵防御系统(IPS),及时发现并防范网络入侵行为。
2.防火墙设置:配置防火墙,限制非授权访问和恶意攻击,确保网络安全。
3.数据加密:对重要数据进行加密传输,保护数据的机密性和完整性。
4.访问控制:建立严格的网络访问控制策略,限制非授权人员的访问权限。
5.身份认证与授权:采用多因素身份认证机制,确保用户的身份真实可信,并给予相应的访问授权。
6.安全审计:建立安全审计机制,记录网络安全相关事件和操作日志,便于事后溯源和分析。
四、网络安全风险管理1.风险评估:定期对网络安全风险进行评估和分析,及时发现和应对潜在风险。
2.漏洞修复:及时修复网络设备和系统的漏洞,减少被攻击的可能性。
3.备份与恢复:定期对重要数据进行备份,并建立完善的数据恢复机制,防止数据丢失。
4.应急响应:建立网络安全应急响应机制,对网络安全事件进行及时处理和应对。
电信行业通信网络安全管理制度
电信行业通信网络安全管理制度正文:一、引言随着信息化的快速发展,电信行业通信网络的安全问题日益引起人们的关注。
为了保障通信网络的安全性和稳定性,电信行业需要建立一套完善的通信网络安全管理制度。
二、管理目标通信网络安全管理制度的目标是保证电信行业通信网络的正常运行,保护用户信息的安全,防止恶意攻击和非法入侵,维护国家和个人的信息安全。
三、管理原则1.权责明确:明确各级单位和个人在通信网络安全管理中的责任和权力,并建立相应的管理和协调机制。
2.保密原则:对于用户信息和业务数据,采取严格的保密措施,确保其不被泄露或滥用。
3.风险评估:定期进行通信网络安全风险评估,发现潜在的安全隐患,及时采取措施进行修复和防范。
4.预防为主:通过技术手段和管理措施,提前预防和减少通信网络安全事件的发生。
5.合规管理:遵守法律法规和相关规章制度,确保通信网络安全工作符合法律要求。
6.持续改进:根据技术和环境变化,持续完善和改进通信网络安全管理制度,提高防护水平。
四、管理要求1.用户认证与授权对于使用通信网络的用户,需进行身份认证和授权管理,确保只有授权的用户能够进行网络访问。
2.访问控制建立有效的访问控制机制,限制用户的网络访问权限,防止未经授权的用户进行非法操作。
3.信息传输安全采用加密技术保障通信网络中的信息传输安全,防止信息在传输过程中被窃听、篡改或伪造。
4.漏洞管理建立漏洞管理机制,及时修复发现的漏洞,以减少系统和网络的安全风险。
5.事件响应与处置建立完善的通信网络安全事件响应和处置机制,对意外事件和安全漏洞进行快速响应和处置,减少损失。
6.安全审计定期进行通信网络安全审计,发现问题和隐患,及时采取措施进行改进和强化安全防护。
7.培训和教育组织相关人员进行通信网络安全培训和教育,提高他们的安全意识和应对能力。
五、责任分工1.政府主管部门:负责制定相关的通信网络安全管理制度和政策法规,并监督和检查各企事业单位的执行情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
行业规范i s o电信通信网络安全防护管理规定The document was finally revised on 2021中国电信通信网络安全防护管理办法第一章总则第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。
第二条第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度;整体工作将按照规范化、制度化、常态化方向发展。
第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。
第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统一监督管理。
第八条各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。
第九条网络安全防护工作覆盖多部门、多专业,包括网络发展部门(以下简称网络发展部)、企业信息化部门(以下简称企业信息化部)、公众客户管理部门(以下简称公众客户部)、网络运行部门(以下简称网络运行部)等。
集团和省级公司网络运行部既为网络安全防护统筹管理部门(以下简称统筹管理部门),又为网络安全防护专业管理部门(以下简称专业管理部门);各级公司企业信息化部、公众客户部等为专业管理部门;中国电信北京研究院基础网络安全防护支撑和测评中心、上海研究院、广州研究院及各省公司相关科研单位为网络安全防护技术支持部门(以下简称技术支持部门)。
网络安全防护工作以统筹管理部门统筹协调、各专业管理部门分头负责、技术支持部门技术支撑的形式开展。
第十条各级公司相同专业管理部门间以纵向管理关系组织工作,同级专业管理部门的协同工作由本级统筹管理部门统筹协调。
第十一条各省级公司要根据中国电信的岗位体系要求,在省级公司网络安全防护统筹管理部门内设立网络安全管理岗,实现网络安全防护总体统筹管理专人专岗,履行省级公司网络安全防护统筹管理日常工作。
第三章网络安全防护管理的职责第十二条统筹管理部门的主要职责(一)负责制定管理辖区内的网络安全防护统筹管理相关管理办法、工作制度、工作目标、年度工作重点与工作计划,制定考核要求,并组织落实。
(二)牵头接应电信管理机构或上级公司有关网络安全防护工作要求,组织相关专业管理部门对新投入运行或重大变更的网络与系统进行定级或定级调整。
(三)根据网络安全防护的行业标准、企业标准或上级公司要求,结合当期网络防护重点任务,组织同级专业管理部门开展网络安全评测、评估和检查工作。
(四)根据各专业管理部门的网络安全评测、评估和检查结果,督促协调相关整改工作。
(五)负责管理辖区内网络安全恢复预案完整性、规范性和实效性的总体管理。
(六)组织网络安全防护培训工作,组建各级网络安全防护专家团队。
(七)参与网络安全防护行业标准和监管办法等的制定工作,组织各相关专业管理部门制定企业网络安全相关标准。
(八)组织相关专业管理部门完成向电信管理机构报送网络安全基础数据等工作。
(九)将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。
(十)归口管理各专业管理部门提出的网络安全需求,汇总、审核后,统一提交网络发展部。
第十三条专业管理部门的分工和主要职责:(一)专业管理部门的分工:1.企业信息化部主要负责CTG-MBOSS规范框架下的企业信息系统的安全防护工作。
2.公众客户部主要负责网上营业厅、掌上营业厅及其相关系统的安全防护工作。
3.网运部主要负责传统网络(传输网、交换网、同步网、信令网、移动网、短消息网及网络类网管等)、数据网(CHINANET、CN2、IP城域网、DNS、IDC、DCN等)、业务平台(如ISMP等管理平台,多媒体消息、WAP、BREW等能力平台和导航、视讯等产品平台)及物理环境等的安全防护工作。
各专业管理部门为所负责专业的网络安全防护第一责任部门。
如果省级公司的专业管理部门职责划分与上述不同,按照省级公司的部门职责划分分工。
(二)专业管理部门的主要职责:1.负责相关专业的网络安全防护管理办法、工作制度、工作目标、年度工作重点与工作计划的制定,并组织落实。
2.组织对新投入运行或重大变更的相关专业的网络与系统的定级或定级调整。
3.按照政府要求及企业年度工作重点的要求开展相关专业网络安全评测、评估和检查工作。
4.根据相关专业的网络安全评测、评估及和检查结果,从网络规划建设和网络维护管理等方面提出建议,实施整改工作。
5.负责相关专业网络安全恢复预案完整性、规范性和实效性的管理。
6.组织相关专业网络安全防护培训工作。
7.参与网络安全防护行业标准、企业标准、监管办法等的制定、完善及实施推进工作。
8.将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。
第十四条网络发展部的主要职责:(一)负责在网络规划中考虑网络安全运行问题。
在网络规划中统筹考虑统筹管理部门汇总的各专业管理部门提出的网络安全需求。
(二)负责网络建设的安全管理,组织做好施工工作对现网运行安全的评估、施工过程中的安全管控以及重要业务系统上线环节的安全验收工作。
(三)参与网络安全符合性评测、风险评估和安全检查工作。
根据网络安全符合性评测、风险评估和安全检查的结果,对需要投资解决的隐患和问题,根据轻重缓急明确投资,组织工程实施。
第十五条技术支持部门的主要职责:(一)参与网络安全防护企业标准及相关规范的制定。
(二)协助制定网络安全防护定级指导,初审定级结果,负责定级技术支持。
(三)协助制定评测、评估模板,初审评测、评估结果,负责相关的技术支持。
(四)协助开展网络安全检查,制定检查方案。
(五)分析网络安全评测、评估及安全检查中发现的问题,协助提出相关整改建议。
(六)协助开展网络安全恢复预案完整性、规范性和实效性的管理。
第四章网络安全防护定级及定级调整第十六条对本单位已正式投入运行的通信网络应进行定级单元划分,并按照各通信网络单元遭受破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级,分级标准执行国家网络安全防护定级行业标准。
(详见附件)第十七条集团公司统一管理的骨干网络和系统由集团公司统一组织定级和级别调整工作,省内网络(含省内长途和本地网网络)及系统由各省级公司组织定级和级别调整工作。
定级工作由统筹管理部门牵头组织,各专业管理部门分头负责。
第十八条网络安全防护定级工作流程:(一)集团公司统筹管理部门根据工业和信息化部的要求,组织中国电信基础网络安全防护支撑和测评中心按照网络安全防护定级行业标准及企业标准,结合中国电信网络实际情况,制定当期的网络安全防护定级指导,明确定级范围、定级对象划分建议、定级方法等内容。
(二)集团公司统筹管理部门组织集团相关专业管理部门会审网络安全防护定级指导;审核通过后,通知各相关专业管理部门按照网络安全防护定级指导的要求开展网络单元安全防护定级工作。
(三)各相关专业管理部门完成安全防护定级工作后,集团各相关专业管理部门将定级结果报送集团统筹管理部门,省公司各相关专业管理部门将定级结果报送省公司统筹管理部门;中国电信基础网络安全防护支撑和测评中心负责对定级结果进行初审。
(四)初审完成后,集团公司统筹管理部门组织集团相关专业管理部门对初审结果进行审核,审核完成后向国家电信管理机构申请对电信网络的定级情况进行评审。
(五)各级统筹管理部门在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况向电信管理机构备案。
第十九条网络安全防护定级备案要求(一)集团公司统筹管理部门向工业和信息化部办理其管理的通信网络单元的定级备案;各省级公司统筹管理部门向当地通信管理局办理其负责管理的通信网络单元的定级备案。
(二)办理通信网络定级单元备案时,应当提交以下信息:1.通信网络单元的名称、级别、主要功能;2.通信网络单元责任单位的名称、联系方式;3.通信网络单元主要负责人的姓名、联系方式;4.通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位置;5.按照定级要求应提交的涉及通信网络安全的其他信息。
(三)以上备案信息发生变化的,各级专业管理部门应当自信息变化之日起三十日内通知相应统筹管理部门,由统筹管理部门向对应的电信管理机构变更备案,确保信息的及时性、准确性以及完整性。
第二十条网络安全防护定级调整工作要求:(一)各级专业管理部门应当根据实际情况适时调整通信网络定级单元的划分和级别。
(二)网络安全防护定级调整流程与网络安全防护定级流程相同。
第五章网络安全防护符合性评测、风险评估和检查第二十一条各省级公司统筹管理部门应按电信管理机构的要求,结合当期企业网络防护重点和上年度网络安全检查所发现的主要问题,在每年年初组织专业管理部门讨论确定本年度网络安全符合性评测、风险评估和检查计划,按计划组织相关专业管理部门对相关网络单元组织年度符合性评测、风险评估和检查工作。
第二十二条各省级公司应积极配合相关通信网络安全检查工作;主要检查措施如下:(一)查阅通信网络单元的符合性评测报告和风险评估报告。
(二)查阅有关网络安全防护的文档和工作记录。
(三)向相关工作人员询问了解有关情况。
(四)查验通信网络的有关设施。
(五)对通信网络进行技术性分析和测试。
(六)法律、行政法规规定的其他检查措施。
第二十三条通信网络安全检查工作流程(一)各省级统筹管理部门组织技术支持部门按照检查要求,制定检查工作指导,明确检查工作的范围、要求、计划等,制定检查评测表、风险评估报告模板等。