关于进一步开展电信网络安全防护工作的实施意见

关于进一步开展电信网络安全防护工作的实施意见中华人民共和国信息产业部各省、自治区、直辖市通信管理局，中国电信集团公司、中国网络通信集团公司、中国移动通信集团公司、中国联合通信有限公司、中国卫星通信集团公司、中国铁通集团有限公司，信息产业部电信研究院、国家计算机网络应急技术处理协调中心：为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）精神，加快推进电信网络的等级保护、风险评估、灾难备份等安全防护工作，结合国务院信息化工作办公室、公安部等关于风险评估、等级保护、灾难备份的有关工作要求，保证电信网络安全防护工作整体、规范、科学、有序地开展，在总结电信网络安全防护标准化和相关试点工作的基础上，就电信行业进一步全面开展电信网络安全防护工作，提出以下意见。一、电信网络安全防护工作的总体思路和基本原则（一）总体思路1、电信网络安全防护工作的主要内容电信网络安全防护工作包括等级保护、风险评估、灾难备份等以事前防护和准备为主的相关工作内容，总体目标是要从管理和技术等多个方面，落实和改进与电信网络的重要性及面临的威胁相适应的安全保护措施，以提高电信网络的安全保护能力和水平，有效减少严重网络安全事件的发生。等级保护是根据被保护对象一旦遭受破坏后对国家安全、社会秩序、经济建设、公共利益以及公民、法人和其他组织的合法利益的危害程度大小，确定被保护对象的安全保护等级，并落实与安全保护等级相适应的基本安全保护措施。风险评估是通过系统地认识和分析被保护对象的相关资产、存在的脆弱性、面临的威胁以及已有保护措施的有效性，科学推断出安全事件发生的可能性和可能造成的危害程度，并提出和落实有针对性的整改措施，将残余风险降低到可以接受的程度。灾难备份是对重要线路、设备、业务系统和数据等进行冗余备份，保证当主用线路、设备、业务系统和数据发生故障或遭到破坏后，有条件迅速切换使用相应的备用资源，提高网络和业务的抗毁性和可持续服务能力。2、将等级保护、风险评估、灾难备份等有机结合等级保护、风险评估、灾难备份等工作相互之间密切相关、互相渗透、互为补充。电信网络安全防护应将等级保护、风险评估、灾难备份等工作有机结合，加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保护的思想，通过风险评估的方法正确认识被保护对象存在的脆弱性和面临的威胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技术、灾难备份等安全保护措施，最终达到提高电信网络安全保护能力和水平的目的。在开展等级保护工作时，要充分应用风险评估的方法，认识、分析不同类型的网络和业务存在的脆弱性和面临的威胁，进而制定和落实与被保护对象的类型、脆弱性和威胁相适应的基本安全保护措施要求，提高等级保护工作的针对性和适用性。在开展风险评估工作时，在分析被保护对象综合风险和制定改进方案的过程中，要始终与被保护对象的安全保护等级相结合，合理确定被评估对象的可接受风险和制定确实必要的整改措施，避免无限度的改进提高。在开展灾难备份工作时，要结合被备份对象的安全保护等级和面临的威胁，制定相适应的备份措施，并将有关备份的要求体现在等级保护相关标准的措施要求中进行落实。3、运营单位自主防护与行业主管部门监督检查相结合按照“谁主管、谁负责，谁运营、谁负责”的原则，电信网络安全防护工作实行电信运营企业自主防护与电信行业主管部门监督检查相结合的工作机制。电信运营企业应当按照电信监管部门的要求，结合企业自身实际情况，认真贯彻落实电信网络安全防护的相关规定和标准，并接受电信监管部门的监督检查。电信监管部门负责组织制定和推广科学、有效、适用的电信网络安全防护实施方法和保护措施，指导电信业务经营者规范开展电信网络安全防护工作，并监督检查电信网络安全防护工作的落实情况，不断健全科学、规范、有效的电信网络安全防护管理体系。（二）基本原则电信网络安全防护工作应遵循以下基本原则：1、整体性原则。电信网络由各种设备、线路和相应的支撑、管理单元互联组成，具有全程全网的特点，对电信网络某一部分的调整或改动（包括实施各项保护措施），可能影响整个电信网络的安全可靠运行。因此，电信网络安全防护工作应坚持对整个网络统筹兼顾，由信息产业部会同各电信运营企业集团公司，结合电信网络的实际特点统一研究和组织部署。2、规范性原则。电信网络种类繁多、结构复杂，安全防护工作涵盖线路、设备、网络、业务系统等多种对象，涉及管理、技术等多个方面，包括安全评测、风险评估等多项环节，是一项复杂的系统工程。为保证电信网络安全防护工作的有效性和规范性，相关工作应当按照国家和信息产业部组织制定的有关标准实施。3、适度性原则。电信网络安全防护工作追求的是适度安全的目标。要始终运用等级保护的思想，制定和落实与电信网络的重要性相适应的安全保护措施要求；要坚持运用风险评估的方法，提出和落实与电信网络的风险大小相适应的改进措施。对于重要性高、风险大的电信网络，要采取较高程度的安全保护措施，反之，对于重要性低、风险小的电信网络，可以采取较低程度的保护措施。4、同步性原则。电信网络自身存在的脆弱性是导致安全事件发生的内在原因，在电信网络新建、改建、扩建时，应当在规划和设计工作中同步考虑在源头上有效减少电信网络的脆弱性。对于难以彻底消除的脆弱性，应当同步规划、设计和实施电信网络安全保护措施，并做到安全保护措施与安全保护等级的要求相一致。二、电信网络安全防护工作的主要任务（一）电信网络的定级定级是等级保护的基础和前提。电信运营企业拥有和运行的电信网络由不同的专业网络和业务单元共同组成，各类专业网络和业务单元具有不同的技术特点，存在不同的脆弱性和面临不同的威胁，且所承载的电信业务具有不同的重要性。按照等级保护的思想，针对电信网络不同部分存在不同风险的实际情况，电信网络安全防护工作应当按照将电信网络进行合理、清晰的划分，对不同的部分分别落实相应保护措施的方法进行。即：在对电信网络实施安全保护时，电信运营企业首先要合理划分电信网络中的各个定级对象，并在科学分析定级对象重要性的基础上，合理确定定级对象的安全保护等级。（二）电信网络的安全评测安全评测是保证等级保护、灾难备份得以落实的手段。电信网络定级对象及其所属安全保护等级确定后，电信运营企业应当对各个定级对象落实与其安全保护等级相适应的基本安全保护措施。信息产业部已组织专家通过总结分析各类专业网络和业务单元的脆弱性和威胁，制定出针对各类专业网络和业务单元的不同安全保护等级的基本安全保护措施标准，包括管理、技术、灾难备份等多方面基本要求。电信运营企业应当依据国家和信息产业部制定的相关标准，对定级对象落实相应基本安全保护措施标准的情况进行评测。对于经评测发现未按照相关标准落实基本安全保护措施的，要及时进行相应的整改，确保基本安全保护措施落实到位。在按照相关标准落实基本安全保护措施的基础上，电信运营企业可以根据企业发展情况、技术和经济实力等，提高对定级对象的安全保护程度。（三）电信网络的风险评估风险评估是完善和提高等级保护、灾难备份的方法。在通过安全评测确保落实等级保护、灾难备份基本安全保护措施的基础上，为提高对风险变化的适应能力，进一步提高安全保护的时效性和保护水平，电信运营企业应当建立对各个定级对象进行动态风险评估的机制。应当根据安全形势的发展变化（例如发现新的脆弱性、出现新的威胁、面临更高的安全要求等），定期或不定期组织对电信网络或其中组成部分进行风险评估。通过风险评估，对新的威胁和脆弱性进行深入分析，对已有安全保护措施的落实情况和有效性进行确认。对已有安全保护措施与变化的风险或新的要求不相适应的，应研究提出并落实进一步的安全保护措施。信息产业部结合风险评估的结果，适时调整或修改各类定级对象的不同等级的基本安全保护措施标准，以提高基本安全保护措施的有效性和适用性。（四）电信网络安全防护工作的监督检查电信监管部门对电信运营企业开展上述电信网络安全防护工作进行指导、监督和检查。各级电信运营企业应当将电信网络各个定级对象的责任主体、结构、功能、服务范围、所属安全保护等级等基本情况向信息产业部或通信管理局备案。电信监管部门负责对电信运营企业的电信网络安全评测工作开展监督检查，确保定级对象落实基本安全保护措施。电信监管部门负责对电信运营企业的电信网络风险评估工作进行监督检查，督促进一步提高定级对象的安全保护水平。电信监管部门对于不同安全保护等级的定级对象，应实施不同程度的监督检查。公安机关对电信行业信息系统等级保护工作的监督检查，由公安机关会同电信监管部门共同组织实施。三、电信网络定级与备案的实施（一）定级的范围电信网络安全防护工作的范围包括基础电信运营企业运营的传输、承载各类电信业务的公共电信网（含公共互联网）及其组成部分，支撑和管理公共电信网及电信业务的业务单元和控制单元，互联网数据中心，以及企业办公系统（含文件管理系统、员工邮件系统、决策支持系统、人事管理系统等）、客服呼叫中心、企业门户网站等非核心生产单元。此外，电信网络安全防护工作的范围还包括经营性互联网信息服务单位、移动信息服务单位、互联网接入服务单位、互联网数据中心、互联网域名服务机构等单位运营的网络或信息系统。（二）定级的步骤1．电信网络的划分电信运营企业应当参照国家和信息产业部制定的相关标准和实施指南，统筹兼顾各自电信网络的网络类型、业务类型、服务地域、企业内部管理归属等，将本企业的电信网络划分成不同的定级对象，并分别确定各自的安全保护等级。为保证电信网络划分结果的合理性和各部分的定级结果的协调一致性，电信运营企业应本着先全国、后地方，先骨干、后分支，从上（集团公司）至下（省级公司、地市级公司）的原则统筹对本企业的电信网络进行划分和定级。2．安全等级的划分电信运营企业应当根据定级对象遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及公民或者法人的合法权益的危害程度等因素，按照国家和信息产业部制定的相关标准和实施指南，将定级对象的安全保护等级划分为1到5级，其中第5级为最高安全保护等级。电信运营企业对各个定级对象分别形成定级报告，定级报告中应包括定级对象的架构、边界、设备部署、服务范围等基本情况，以及所采用的定级方法、定级结果等信息。3、安全等级的确定对于安全保护等级拟定为第3级及以上级别的定级对象，应由电信运营企业集团公司将定级报告报送信息产业部成立的电信网络安全防护专家组评审，由专家组和电信运营企业共同商议确定定级对象的安全保护等级。当专家组评审意见与电信运营企业的意见达不成一致时，应选择双方建议级别中较高的级别作为最终确定的级别。对于安全保护等级拟定为第2级及以下级别的定级对象，无需报信息产业部电信网络安全防护专家组评审。（三）定级结果的备案对于确定为第2级及以上级别的定级对象，电信运营企业应向电信监管部门办理备案。由电信运营企业集团公司负责管理的定级对象，应向信息产业部备案；由电信运营企业省级、地市级公司负责管理的定级对象，应向其所在辖区的通信管理局备案。备案时应填写备案信息登记表，并提交定级报告。信息产业部和通信管理局对备案材料进行审核，并按照公安部、国务院信息化工作办公室等四部门的有关规定，分别向公安部或省级公安机关提交有关备案情况。基础电信运营企业已正式投入运行的电信网络或相关单元及系统，应当在2008年3月31日之前完成定级并向电信监管部门备案。基础电信运营企业新建的电信网络或相关单元及系统，应当在正式投入运行后1个月内完成定级并向电信监管部门备案。（四）定级结果的调整在电信网络运行过程中，当定级对象因为改建、扩建而影响其安全保护等级时，或因为定级对象的合并或拆分而改变定级对象的涵盖范围时，电信运营企业应按照上述定级步骤重新确定相关定级对象的安全保护等级，并向电信监管部门办理备案信息变更。四、电信网络安全评测的实施及监督检查（一）安全评测的实施电信网络中各个定级对象的安全评测由电信运营企业按照国家和信息产业部制定的相关标准或实施指南自行组织实施。对