行业规范iso电信通信网络安全防护管理规定
网络安全的国际标准与合规要求
网络安全的国际标准与合规要求网络安全是当今信息社会亟需解决的重要问题之一。
随着全球互联网的不断发展,互联网已成为人们日常生活和经济活动中不可或缺的一部分。
然而,网络安全威胁也随之而来,它对个人、组织和国家的安全与稳定造成了巨大的威胁。
为了保护网络环境的安全性,国际社会制定了一系列网络安全的国际标准与合规要求。
首先,我们来定义什么是网络安全的国际标准与合规要求。
网络安全的国际标准是由国际标准化组织(ISO)和其他相关组织制定的一些规范和标准,以保护网络中的信息和数据安全。
合规要求则是各国针对网络安全领域的法律法规和政策要求。
这些标准和要求旨在规范网络使用行为,维护网络的安全性和可信度。
一、 ISO/IEC 27001:信息安全管理系统(ISMS)国际标准ISO/IEC 27001是国际标准化组织制定的信息安全管理体系国际标准,它为组织提供了一个系统化的方法来管理信息安全。
该标准要求组织制定信息安全政策、评估和处理风险、确定合适的安全控制措施,并建立持续改进的机制。
通过实施ISO/IEC 27001,组织能够保护其信息资产,提高业务的连续性和可信度。
二、 GDPR:欧洲一般数据保护条例GDPR是欧洲一般数据保护条例的简称,是欧盟制定的一项关于个人数据保护的法律法规。
该条例于2018年5月25日正式生效,并适用于欧盟成员国和处理欧盟公民个人数据的全球组织。
GDPR对个人数据保护提出了更加严格的要求,包括数据主体同意、数据保护官员的任命和数据泄露通知等。
任何处理个人数据的组织都必须遵守GDPR的要求,否则可能面临巨额罚款。
三、 NIST框架:美国国家标准与技术研究院网络安全框架NIST框架是美国国家标准与技术研究院制订的一套网络安全管理指南。
该框架包括五个核心要素:识别、保护、检测、应对和恢复。
NIST框架的目标是帮助组织建立一个可持续的、有效的网络安全管理体系,减少网络攻击的风险,并提供快速的威胁响应和灾难恢复能力。
电信行业通信网络运营与维护管理规定
电信行业通信网络运营与维护管理规定随着信息技术的飞速发展,电信行业已经成为现代社会的重要支柱之一。
通信网络作为电信行业的核心基础设施,其稳定、高效的运营与维护对于保障用户服务质量、促进经济发展和社会稳定具有至关重要的意义。
为了规范电信行业通信网络的运营与维护管理,提高网络服务水平,确保网络安全可靠运行,特制定本规定。
一、通信网络运营管理(一)运营规划1、运营商应根据市场需求、技术发展趋势和自身资源状况,制定科学合理的通信网络运营规划。
规划应包括网络建设目标、业务发展策略、资源配置计划等内容,并定期进行评估和调整。
2、在制定运营规划时,应充分考虑网络的容量、覆盖范围、服务质量等因素,以满足用户不断增长的通信需求。
同时,要注重与其他运营商的网络互联互通,促进电信行业的协同发展。
(二)业务开通与受理1、运营商应建立健全业务开通与受理流程,明确各环节的职责和工作时限。
用户申请办理通信业务时,应提供真实、准确的身份信息和业务需求,运营商应按照规定进行审核和办理。
2、业务开通后,运营商应及时向用户提供相关的服务信息和使用说明,确保用户能够正常使用通信业务。
对于用户提出的业务变更、暂停、注销等请求,应按照规定及时处理。
(三)服务质量保障1、运营商应建立服务质量监测体系,对网络性能、业务质量、用户满意度等进行定期监测和评估。
监测指标应包括网络接通率、掉话率、网速、业务办理时长、用户投诉率等。
2、针对监测中发现的服务质量问题,运营商应及时分析原因,采取有效的改进措施,并向用户反馈处理结果。
同时,要加强对服务质量的考核和监督,将服务质量与员工绩效挂钩,确保服务质量的持续提升。
(四)计费与收费管理1、运营商应按照国家有关规定和合同约定,准确、公正地计算用户的通信费用。
计费方式应清晰明确,向用户提供详细的计费清单和发票。
2、对于用户提出的计费争议,运营商应认真核实,及时处理,并向用户解释说明。
严禁未经用户同意擅自更改计费方式、增加收费项目或提高收费标准。
电信网和互联网安全防护管理指南
电信网和互联网安全防护管理指南1 范围本标准对电信网和互联网安全防护的定义、目标、原则进行了描述和规范。
同时,对电信网和互联网安全防护体系、安全防护体系三部分工作及其关系进行了说明。
本标准适用于电信网和互联网的安全防护工作。
本标准涉及的电信网和互联网不包括专用网,仅指公众电信网和公众互联网。
2 规范性引用文件下列文件中的条款通过本标准的引用丽成为指导性技术文件的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。
然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8-2001信息技术词汇第8部分:安全3 术语和定义GB/T 5271.8-2001确立的术语和定义以及下列术语和定义适用于本标准。
3.1电信网Telecom Network利用有线和,或无线的电磁、光电系统,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等.3.2互联网Internet泛报广域网、局域网及终端(包括计算机、手机等)通过交换机、路由器、网络接入设备等基于一定的通信协议连接形成的,功能和逻辑上的大型网络.3.3电信网和互联网安全防护体系 Security Protection Architecture of Telecom Network and Intemet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合.共同构成了电信网和互联网安全防护体系。
3.4刮言网和互联网安全等级Security Classification of Telecom Network and Internet电信网和互联网及相关系统重要程度的表征。
重要程度从电信网和互联网及相关系统受到破坏后,对国家安全、社会秩序、。
经济运行、公共利益、网络和业务运营商造成的损害来衡量。
电信运营商网络安全防护制度
电信运营商网络安全防护制度1. 简介本文档旨在为电信运营商提供一个网络安全防护制度,以保护其网络和用户信息安全。
网络安全在当今数字化时代至关重要,电信运营商作为信息传输的关键角色,必须采取有效的措施来防范各种网络安全威胁。
2. 网络安全威胁网络安全威胁包括但不限于以下几种情况:- 黑客攻击:未经授权的人员试图入侵系统并窃取敏感信息。
- 病毒和恶意软件:恶意软件通过植入病毒、蠕虫或木马来破坏系统功能或窃取信息。
- 数据泄露:未经授权的披露敏感数据,导致用户信息受到威胁。
- Phishing攻击:通过伪装成合法网站或服务,诱使用户泄露个人信息。
- 服务拒绝攻击:攻击者试图使系统无法正常运行,导致服务中断。
3. 网络安全防护措施为了有效应对网络安全威胁,电信运营商应采取以下防护措施:- 安装和更新防火墙:部署防火墙系统以过滤和监控网络流量,及时阻止恶意攻击。
- 加密通信:使用加密技术保护网络通信,防止数据在传输过程中被窃取或篡改。
- 强化身份验证:采用多因素身份验证方式,确保用户身份的真实性和安全性。
- 实施安全审计:定期审查网络安全策略和控制措施的有效性,并进行安全漏洞扫描。
- 建立安全意识培训:为员工提供网络安全培训,提高其对网络安全威胁的认识和应对能力。
- 成立应急响应团队:设立专门的团队以应对网络安全事件,及时响应和处理。
4. 网络安全事件处理当发生网络安全事件时,电信运营商应立即采取以下步骤进行处理:1. 确认事件:通过系统日志和监控工具确定网络安全事件的性质和范围。
2. 切断攻击源:采取措施断开攻击者的连接,以防止进一步入侵和破坏。
3. 收集证据:保存相关日志和数据,以证明安全事件的发生和影响。
4. 通知相关政府机构:按照法律法规的要求,及时向相关政府机构报告网络安全事件。
5. 修复漏洞:修复系统中的安全漏洞,以防止类似事件再次发生。
6. 用户通知:及时向受影响的用户提供信息,并提供相应的保护和支持措施。
电信行业网络安全要求
电信行业网络安全要求随着信息技术的迅猛发展,电信行业在人们生活中扮演着越来越重要的角色。
然而,网络安全问题也逐渐凸显出来。
为了确保电信行业网络的安全,保护用户隐私和信息安全,培养一个可靠的网络环境,电信行业需要严格遵守一系列规范、规程以及标准。
本文将对电信行业网络安全要求进行讨论。
1. 安全策略与管理电信行业网络安全的基础是制定全面的安全策略和管理规定。
这包括明确安全目标、责任与义务,建立有效的组织架构和职责分工,确保安全管理体系的有效运行。
此外,应该建立完善的安全培训和意识教育制度,提高员工的安全意识和知识水平,使其能够及时响应和应对安全威胁。
2. 网络设备与信息系统安全网络设备和信息系统是电信行业网络安全的核心组成部分。
各种通信设备和软硬件系统必须符合一定的安全标准,并经过安全评估和认证。
这包括安全配置、漏洞修复、关键信息加密、访问控制等方面的要求。
此外,还需要建立完善的网络设备日志和事件管理系统,及时检测和响应安全事件。
3. 网络访问与身份认证安全用户身份和访问控制是电信行业网络安全的重要环节。
必须建立安全的用户身份认证体系,采用多因素身份验证,确保用户的合法身份和访问权限。
同时,需要加强网络通信的加密和数据安全防护,防止用户信息泄露、篡改和非法使用等风险。
4. 数据保护与隐私安全电信行业涉及海量的用户数据和个人隐私信息,必须建立健全的数据保护和隐私安全制度。
包括合规的数据收集与使用、备份与存储、传输与共享等方面的规程。
此外,还需要监测和应对数据泄露、滥用和恶意行为,提供安全的数据恢复和紧急响应机制。
5. 网络运营与维护安全电信行业网络安全还依赖于网络运营商和服务提供商的运营与维护安全。
他们应建立健全的安全管理制度,包括安全漏洞管理、事件响应与处置、应急预案与演练等方面的要求。
此外,应加强对供应商和合作伙伴的安全合规审查,确保整个供应链的安全可靠。
综上所述,电信行业网络安全要求十分重要且多样化。
电信行业质量管理体系标准
电信行业质量管理体系标准电信行业质量管理体系标准是指在电信行业中制定的质量管理体系标准,旨在规范和指导电信企业的质量管理活动,提高服务质量、客户满意度和组织绩效。
通过建立和实施质量管理体系标准,电信企业可以有效监控和改进服务质量,满足客户需求,提高市场竞争力,实现可持续发展。
电信行业涉及的服务范围广泛,包括固定电话、移动电话、宽带互联网、数据通信等多种业务。
为了保证这些服务的质量,电信企业需要建立一套科学完善的质量管理体系。
在此背景下,国际标准化组织(ISO)和国际电信联盟(ITU)联合制定了一系列电信行业质量管理体系标准,如ISO 9001质量管理体系标准、ISO 27001信息安全管理体系标准、ITU-T E.800客户服务质量标准等。
ISO 9001是电信企业最常用的质量管理体系标准之一,它为电信企业提供了一套通用的质量管理要求,包括领导承诺、客户导向、过程方法、持续改进等要素。
通过实施ISO 9001,电信企业可以建立一套科学的管理体系,明确质量政策和目标,规范组织运作,确保服务质量和客户满意度。
ISO 27001是针对信息安全管理的国际标准,适用于电信企业保护客户信息和业务数据。
信息安全管理是电信行业的重要任务,因为电信企业需要确保用户通信数据的机密性、完整性和可用性。
通过实施ISO 27001,电信企业可以建立信息安全管理制度,实施风险评估和控制措施,加强信息安全意识,防范信息安全风险。
ITU-T E.800是ITU制定的客户服务质量标准,主要用于衡量电信企业的服务质量。
这一标准包括通信服务的基本质量特性、客户满意度调查、服务质量指标等内容,旨在帮助电信企业评估和改进服务质量,提升客户体验。
电信行业质量管理体系标准的实施不仅有利于电信企业提升服务质量和客户满意度,还可以帮助电信企业有效管理风险、降低成本、提高效率,实现组织绩效的提升。
同时,这些标准的实施也有利于电信企业之间的竞争和合作,促进行业的健康发展。
电信网络安全管理规范
电信网络安全管理规范随着信息技术的快速发展,互联网已经成为人们日常生活中不可或缺的一部分。
然而,网络安全问题也随之而来。
电信网络作为信息传输的重要渠道,其安全管理尤为重要。
本文将阐述电信网络安全管理的规范,并探讨其在不同行业中的实施。
一、基本原则电信网络安全管理需要遵循以下基本原则:1. 积极防御:采取主动的网络安全防御策略,及时检测和阻止潜在的安全威胁。
2. 全面保护:确保电信网络的整体安全,包括硬件设备、软件系统、数据传输等各个层面。
3. 主体责任:各相关行业和组织要明确自身的网络安全责任,并加强自身安全管理能力。
4. 法律依据:电信网络安全管理要遵守法律法规及相关政策,确保合法合规。
二、安全漏洞管理安全漏洞是电信网络安全的致命问题之一。
针对安全漏洞的管理需要采取以下措施:1. 定期漏洞扫描:通过定期扫描系统,发现和修补网络设备中的安全漏洞。
2. 强化入侵检测:建立入侵检测系统,及时发现并应对网络攻击,减少损失。
3. 建立漏洞信息共享机制:建立行业间的漏洞信息共享平台,及时共享修补措施,提高整体安全水平。
三、访问控制管理访问控制是电信网络安全的关键环节。
下面是实施访问控制管理的一些要点:1. 用户身份验证:通过设立强密码和双重认证等方式,确保用户身份的真实性和合法性。
2. 权限分级管理:根据不同用户的角色和需求,设置相应的权限,限制不必要的访问和操作。
3. 数据加密传输:采用加密技术,确保网络数据在传输过程中不被窃取或篡改。
四、应急响应与恢复能力应对网络安全事件的应急响应和及时恢复能力是重要保证。
以下是应急响应与恢复能力的一些建议:1. 定期演练:定期组织网络安全应急演练,并根据演练结果进行相应的改进和完善。
2. 快速响应机制:建立快速响应机制,及时发现和应对网络安全事件,以减少损失。
3. 数据备份与恢复:定期进行数据备份,并建立可靠的数据恢复机制,以防止数据丢失和泄露。
五、网络安全教育与培训网络安全教育与培训是提高员工网络安全意识和技能的重要方式。
电信行业通信网络安全标准
电信行业通信网络安全标准导言:随着信息技术的迅速发展,电信行业的通信网络在整个社会体系中扮演着重要角色。
然而,随之而来的是不断增加的网络安全威胁。
为了确保电信网络的稳定、安全和可靠运行,制定和遵循相关的通信网络安全标准就显得尤为重要。
本文将探讨电信行业通信网络安全标准的意义、目标和主要内容。
一、概述通信网络安全标准是为了规范电信行业中的通信网络建设、运营和维护,保障用户通信和信息的安全性而制定的一系列规范和准则。
这些标准涵盖了通信网络的硬件设备安全、软件系统安全、数据安全和网络运行安全等方面。
二、通信网络硬件设备安全标准1. 设备认证和合规性要求:规定通信网络硬件设备必须符合相关的认证和合规性标准,以确保其安全性和稳定性。
2. 设备生命周期管理:包括设备采购、配置、部署、监控、维护和报废等各个环节的管理规范,以确保设备整个生命周期的安全性。
3. 物理安全要求:包括设备的安装环境、交换机房的防护措施、设备接入控制等,以预防物理攻击和非授权访问。
三、通信软件系统安全标准1. 软件安全设计原则:包括安全性、稳定性、易用性、可控性等原则,规定软件系统设计必须兼顾这些方面的要求。
2. 软件开发和测试规范:要求制定统一的软件开发和测试规范,包括代码审查、漏洞扫描和安全测试等,以确保软件系统的安全性。
3. 操作系统和数据库安全:包括操作系统和数据库的安全配置、访问控制、漏洞修补等要求,以降低操作系统和数据库的攻击风险。
四、通信数据安全标准1. 数据传输加密:规定通信网络中的数据传输必须采用加密技术,以防止数据被未经授权的人窃取或篡改。
2. 认证和授权机制:要求设立完善的用户认证和授权机制,确保只有经过身份验证的用户才能访问和操作数据。
3. 数据备份和恢复:包括数据备份策略、备份存储介质和备份恢复测试等要求,以保证数据不受意外损坏的影响。
五、通信网络运行安全标准1. 安全策略和管理:规定通信网络运行必须建立和遵循相应的安全策略和管理体系,确保网络运行的稳定性和安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
行业规范i s o电信通信网络安全防护管理规定集团档案编码:[YTTR-YTPT28-YTNTL98-UYTYNN08]中国电信通信网络安全防护管理办法第一章总则第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。
第二条第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度;整体工作将按照规范化、制度化、常态化方向发展。
第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。
第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统一监督管理。
第八条各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。
第九条网络安全防护工作覆盖多部门、多专业,包括网络发展部门(以下简称网络发展部)、企业信息化部门(以下简称企业信息化部)、公众客户管理部门(以下简称公众客户部)、网络运行部门(以下简称网络运行部)等。
集团和省级公司网络运行部既为网络安全防护统筹管理部门(以下简称统筹管理部门),又为网络安全防护专业管理部门(以下简称专业管理部门);各级公司企业信息化部、公众客户部等为专业管理部门;中国电信北京研究院基础网络安全防护支撑和测评中心、上海研究院、广州研究院及各省公司相关科研单位为网络安全防护技术支持部门(以下简称技术支持部门)。
网络安全防护工作以统筹管理部门统筹协调、各专业管理部门分头负责、技术支持部门技术支撑的形式开展。
第十条各级公司相同专业管理部门间以纵向管理关系组织工作,同级专业管理部门的协同工作由本级统筹管理部门统筹协调。
第十一条各省级公司要根据中国电信的岗位体系要求,在省级公司网络安全防护统筹管理部门内设立网络安全管理岗,实现网络安全防护总体统筹管理专人专岗,履行省级公司网络安全防护统筹管理日常工作。
第三章网络安全防护管理的职责第十二条统筹管理部门的主要职责(一)负责制定管理辖区内的网络安全防护统筹管理相关管理办法、工作制度、工作目标、年度工作重点与工作计划,制定考核要求,并组织落实。
(二)牵头接应电信管理机构或上级公司有关网络安全防护工作要求,组织相关专业管理部门对新投入运行或重大变更的网络与系统进行定级或定级调整。
(三)根据网络安全防护的行业标准、企业标准或上级公司要求,结合当期网络防护重点任务,组织同级专业管理部门开展网络安全评测、评估和检查工作。
(四)根据各专业管理部门的网络安全评测、评估和检查结果,督促协调相关整改工作。
(五)负责管理辖区内网络安全恢复预案完整性、规范性和实效性的总体管理。
(六)组织网络安全防护培训工作,组建各级网络安全防护专家团队。
(七)参与网络安全防护行业标准和监管办法等的制定工作,组织各相关专业管理部门制定企业网络安全相关标准。
(八)组织相关专业管理部门完成向电信管理机构报送网络安全基础数据等工作。
(九)将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。
(十)归口管理各专业管理部门提出的网络安全需求,汇总、审核后,统一提交网络发展部。
第十三条专业管理部门的分工和主要职责:(一)专业管理部门的分工:1.企业信息化部主要负责CTG-MBOSS规范框架下的企业信息系统的安全防护工作。
2.公众客户部主要负责网上营业厅、掌上营业厅及其相关系统的安全防护工作。
3.网运部主要负责传统网络(传输网、交换网、同步网、信令网、移动网、短消息网及网络类网管等)、数据网(CHINANET、CN2、IP城域网、DNS、IDC、DCN等)、业务平台(如ISMP等管理平台,多媒体消息、WAP、BREW等能力平台和导航、视讯等产品平台)及物理环境等的安全防护工作。
各专业管理部门为所负责专业的网络安全防护第一责任部门。
如果省级公司的专业管理部门职责划分与上述不同,按照省级公司的部门职责划分分工。
(二)专业管理部门的主要职责:1.负责相关专业的网络安全防护管理办法、工作制度、工作目标、年度工作重点与工作计划的制定,并组织落实。
2.组织对新投入运行或重大变更的相关专业的网络与系统的定级或定级调整。
3.按照政府要求及企业年度工作重点的要求开展相关专业网络安全评测、评估和检查工作。
4.根据相关专业的网络安全评测、评估及和检查结果,从网络规划建设和网络维护管理等方面提出建议,实施整改工作。
5.负责相关专业网络安全恢复预案完整性、规范性和实效性的管理。
6.组织相关专业网络安全防护培训工作。
7.参与网络安全防护行业标准、企业标准、监管办法等的制定、完善及实施推进工作。
8.将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。
第十四条网络发展部的主要职责:(一)负责在网络规划中考虑网络安全运行问题。
在网络规划中统筹考虑统筹管理部门汇总的各专业管理部门提出的网络安全需求。
(二)负责网络建设的安全管理,组织做好施工工作对现网运行安全的评估、施工过程中的安全管控以及重要业务系统上线环节的安全验收工作。
(三)参与网络安全符合性评测、风险评估和安全检查工作。
根据网络安全符合性评测、风险评估和安全检查的结果,对需要投资解决的隐患和问题,根据轻重缓急明确投资,组织工程实施。
第十五条技术支持部门的主要职责:(一)参与网络安全防护企业标准及相关规范的制定。
(二)协助制定网络安全防护定级指导,初审定级结果,负责定级技术支持。
(三)协助制定评测、评估模板,初审评测、评估结果,负责相关的技术支持。
(四)协助开展网络安全检查,制定检查方案。
(五)分析网络安全评测、评估及安全检查中发现的问题,协助提出相关整改建议。
(六)协助开展网络安全恢复预案完整性、规范性和实效性的管理。
第四章网络安全防护定级及定级调整第十六条对本单位已正式投入运行的通信网络应进行定级单元划分,并按照各通信网络单元遭受破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级,分级标准执行国家网络安全防护定级行业标准。
(详见附件)第十七条集团公司统一管理的骨干网络和系统由集团公司统一组织定级和级别调整工作,省内网络(含省内长途和本地网网络)及系统由各省级公司组织定级和级别调整工作。
定级工作由统筹管理部门牵头组织,各专业管理部门分头负责。
第十八条网络安全防护定级工作流程:(一)集团公司统筹管理部门根据工业和信息化部的要求,组织中国电信基础网络安全防护支撑和测评中心按照网络安全防护定级行业标准及企业标准,结合中国电信网络实际情况,制定当期的网络安全防护定级指导,明确定级范围、定级对象划分建议、定级方法等内容。
(二)集团公司统筹管理部门组织集团相关专业管理部门会审网络安全防护定级指导;审核通过后,通知各相关专业管理部门按照网络安全防护定级指导的要求开展网络单元安全防护定级工作。
(三)各相关专业管理部门完成安全防护定级工作后,集团各相关专业管理部门将定级结果报送集团统筹管理部门,省公司各相关专业管理部门将定级结果报送省公司统筹管理部门;中国电信基础网络安全防护支撑和测评中心负责对定级结果进行初审。
(四)初审完成后,集团公司统筹管理部门组织集团相关专业管理部门对初审结果进行审核,审核完成后向国家电信管理机构申请对电信网络的定级情况进行评审。
(五)各级统筹管理部门在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况向电信管理机构备案。
第十九条网络安全防护定级备案要求(一)集团公司统筹管理部门向工业和信息化部办理其管理的通信网络单元的定级备案;各省级公司统筹管理部门向当地通信管理局办理其负责管理的通信网络单元的定级备案。
(二)办理通信网络定级单元备案时,应当提交以下信息:1.通信网络单元的名称、级别、主要功能;2.通信网络单元责任单位的名称、联系方式;3.通信网络单元主要负责人的姓名、联系方式;4.通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位置;5.按照定级要求应提交的涉及通信网络安全的其他信息。
(三)以上备案信息发生变化的,各级专业管理部门应当自信息变化之日起三十日内通知相应统筹管理部门,由统筹管理部门向对应的电信管理机构变更备案,确保信息的及时性、准确性以及完整性。
第二十条网络安全防护定级调整工作要求:(一)各级专业管理部门应当根据实际情况适时调整通信网络定级单元的划分和级别。
(二)网络安全防护定级调整流程与网络安全防护定级流程相同。
第五章网络安全防护符合性评测、风险评估和检查第二十一条各省级公司统筹管理部门应按电信管理机构的要求,结合当期企业网络防护重点和上年度网络安全检查所发现的主要问题,在每年年初组织专业管理部门讨论确定本年度网络安全符合性评测、风险评估和检查计划,按计划组织相关专业管理部门对相关网络单元组织年度符合性评测、风险评估和检查工作。
第二十二条各省级公司应积极配合相关通信网络安全检查工作;主要检查措施如下:(一)查阅通信网络单元的符合性评测报告和风险评估报告。
(二)查阅有关网络安全防护的文档和工作记录。
(三)向相关工作人员询问了解有关情况。
(四)查验通信网络的有关设施。
(五)对通信网络进行技术性分析和测试。
(六)法律、行政法规规定的其他检查措施。
第二十三条通信网络安全检查工作流程(一)各省级统筹管理部门组织技术支持部门按照检查要求,制定检查工作指导,明确检查工作的范围、要求、计划等,制定检查评测表、风险评估报告模板等。