电信网和互联网管理系统安全系统等级保护地要求.doc

实用标准文案 精彩文档 电信网和互联网管理安全等级保护要求 1? 范围 ??? 本标准规定了公众电信网和互联网的管理安全等级保护要求。 本标准适用于电信网和互联网安全防护体系中的各种网络和系统。 2? 规范性引用文件 ??? 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本．凡是不注日期的引用文件，其最新版本适用于本标准。 3? 术语和定义 ??? 下列术语和定义适用于本标准。 3.1 ??? 电信网 Telecom Network ??? 利用有线和，或无线的电磁、光电网络，进行文字、声音、数据、图像或其他任何媒体的信息传递的网络，包括固定通信网、移动通信网等。 3.2 ??? 互联网 Internet ??? 泛指由多个计算机网络相互连接而形成的网络，它是在功能和逻辑上组成的大型计算机网络。 3.3 ??? 安全等级 Security Classification 安全重要程度的表征．重要程度可从网络受到破坏后，对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。 4? 管理安全等级保护要求 4.1? 第1级要求 ??? 不作要求。 4.2? 第2级要求 4.2.1? 安全管理制度 4.2.1.1? 管理制度 ??? a)? 应制定安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、原则和安全框架等； ??? b)? 应对安全管理活动中重要的管理内容建立安全管理制度； ??? c)? 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。 4.2.1.2? 制定和发布 ??? a)? 应指定或授权专门的部门或人员负责安全管理制度的制定； b)? 应组织相关人员对制定的安全管理制度进行论证和审定； ??? c)? 应将安全管理制度以某种方式发布到相关人员手中。 4.2.1.3? 评审和修订 ??? 应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订。 4.2.2? 安全管理机构 4.2.2.1? 岗位设置 ??? a)? 应设立安全主管、安全管理各个方面的负责人岗位，定义各负责人的职责； ??? b)? 应设立系统管理人员、网络管理人员、安全管理员岗位，定义各个工作岗位的职责。 4.2.2.2? 人员配备 ??? 应配备一定数量的系统管理人员、网络管理人员、安全管理员等。 4.2.2.3? 授权和审批 ??? a)? 应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批； ??? b)? 应针对关键活动建立审批流程，并由批准人签字确认。 4.2.2.4? 沟通和合作 ??? a)? 应加强各类管理人员之间、组织内部机构之间以及网络安全职熊部门内部的合作与沟通； ??? b)? 应加强与相关外部单位的合作与沟通。 4.2.2.5? 审核和检查 ??? 应由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、数据备份等情况。 4.2.3? 人员安全管理 4.2.3.1? 人员录用 ??? a)? 应指定或授权专门的部门或人员负责人员录用； ??? b)? 应规范人员录用过程，对被录用人员的身份、背景和专业资格等进行审查，对其所具有的技术技能进行考核； ??? c)? 应与从事关键岗位的人员签署保密协议。 4.2.3.2? 人员离岗 ??? a)应规范人员离岗过程，及时终止离岗员工的所有访问权限； ??? b)对于离岗人员，应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备； ??? c)对于离岗人员，应办理严格的调离手续。 4.2.3.3? 人员考核 ??? 应定期对各个岗位的人员进行安全技能及安全认知的考核。 4.2.3.4? 安全意识教育和培训 ??? a)? 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训； ??? b)? 应告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员进行惩戒； ??? c)? 应制定安全教育和培训计划，对网络安全基础知识、岗位操作规程等进行培训． 4.2.3.5? 外部人员访问管理 ? ??应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监督，并登记备案。 4.2.4? 安全建设管理 4.2.4.1? 定级 ??? a)? 应明确网络的边界和安全保护等级 ??? b)? 应以书面的形式说明网络确定为某个安全等级的方法和理由； ??? c)? 应确保网络的定级结果经过相关部门的批准。 4.2.4.2? 安全方案设计 ? ??a)? 应根据网络的安全保