(电信网和互联网安全等级保护实施指南v4.docVIP

目 次 目 次 I 前 言 III 电信网和互联网安全等级保护实施指南 1 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 安全等级保护概述 3 4.1 安全等级保护对象 3 4.2 安全等级保护目标 3 5 安全等级保护的实施过程 4 5.1 基本原则 4 5.2 相关角色和职责 4 5.3 基本过程 5 5.4 安全等级保护工作与电信网和互联网及相关系统生命周期的关系 7 6 电信网和互联网及相关系统定级 8 6.1 定级方法 8 6.2 定级的主要活动 10 6.3 电信网和互联网的识别和描述 11 6.4 电信网和互联网相关系统的划分 12 6.5 安全等级确定 12 7 安全规划设计 13 7.1 主要活动 13 7.2 安全需求分析 13 7.3 安全总体设计 15 7.4 安全建设规划 15 8 安全实施 15 8.1 主要活动 15 8.2 安全方案详细设计 17 8.3 安全详细设计方案实施 17 8.4 安全等级保护检测 18 9 安全运维 18 9.1 主要活动 18 9.2 运行管理和控制 19 9.3 变更管理和控制 20 9.4 安全状态监控 20 9.5 安全事件处置和应急预案 21 9.6 安全检查和持续改进 22 9.7 安全等级保护检测 23 10 电信网和互联网及相关系统终止 23 10.1 主要活动 23 10.2 信息转移、暂存或清除 24 10.3 设备迁移或废弃 25 10.4 存储介质的清除或销毁 25 10.5 安全等级保护检测 26 附　录　A （规范性附录） 安全等级的计算方法 26 A.1对数法 26 A.2矩阵法 27 附　录　B （资料性附录） 定级实例 27 前 言 本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下： 《电信网和互联网安全防护管理指南》 《电信网和互联网安全等级保护实施指南》 《电信网和互联网安全风险评估实施指南》 《电信网和互联网灾难备份及恢复实施指南》 《固定网安全防护要求》 《移动网安全防护要求》 《互联网安全防护要求》 《增值业务网（消息网）安全防护要求》 《增值业务网（智能网）安全防护要求》 《接入网安全防护要求》 《传送网安全防护要求》 《IP承载网安全防护要求》 《核心网安全防护要求》 《信令网安全防护要求》 《同步网安全防护要求》 《支撑网安全防护要求》 《网络终端安全防护要求》 《固定网安全防护检测要求》 《移动网安全防护检测要求》 《互联网安全防护检测要求》 《增值业务网（消息网）安全防护检测要求》 《增值业务网（智能网）安全防护检测要求》 《接入网安全防护检测要求》 《传送网安全防护检测要求》 《IP承载网安全防护检测要求》 《核心网安全防护检测要求》 《信令网安全防护检测要求》 《同步网安全防护检测要求》 《支撑网安全防护检测要求》 《网络终端安全防护检测要求》 随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。 本标准由中国通信标准化协会提出并归口。 本标准起草单位：信息产业部电信研究院。 本标准主要起草人： 电信网和互联网安全等级保护实施指南 范围 本标准规定了电信网和互联网安全等级保护的概念、对象、目标，安全等级划分原则，并结合电信网和互联网的生命周期定义了电信网和互联网安全等级保护实施过程中的主要阶段及主要活动。 本标准适用于电信网和互联网的安全等级保护工作。 本标准是电信网和互联网安全等级保护的总体指导性文件，针对具体网络的安全等级保护可参考具体网络的安全防护要求和安全防护检测要求。 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 5271.8-2001 信息技术 词汇 第8部分：安全 GB/T xxxx-xxxx 信息系统安全保护等级定级指南 GB/T xxxx-xxxx 信息系统安全等级保护实施指南 GB/T xxxx-xxxx 信息安全风险评估实施规范 GB/T xxxx-xxxx 信息安全风险管理指南 GB/T xxxx-xxxx 信息系统灾难恢复规划指南 术语和定义 GB/T 5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。 3.1 电信网 telecom network 利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定网、移动网等。 3.2 电信网和互联网安全防护体系 secur