电信网和互联网管理安全等级保护要求文档格式.docx

电信网和互联网管理安全等级保护要求文档格式.docx

《电信网和互联网管理安全等级保护要求文档格式.docx》由会员分享，可在线阅读，更多相关《电信网和互联网管理安全等级保护要求文档格式.docx（15页珍藏版）》请在冰豆网上搜索。

泛指由多个计算机网络相互连接而形成得网络,它就是在功能与逻辑上组成得大型计算机网络。

３.3

安全等级Sｅcurｉtｙ　Clａssificａtion

安全重要程度得表征、重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络与业务运营商造成得损害来衡量。

4 

管理安全等级保护要求

４、1 

第1级要求

不作要求、

4。

第2级要求

2.1 

安全管理制度

４．2．1.1 

管理制度

a） 

应制定安全工作得总体方针与安全策略,说明机构安全工作得总体目标、范围、原则与安全框架等;

b） 

应对安全管理活动中重要得管理内容建立安全管理制度;

　c） 

应对安全管理人员或操作人员执行得重要管理操作建立操作规程。

４.2.1、2 

制定与发布

　a） 

应指定或授权专门得部门或人员负责安全管理制度得制定;

b） 

　应组织相关人员对制定得安全管理制度进行论证与审定;

c） 

应将安全管理制度以某种方式发布到相关人员手中、

2.1、3 

评审与修订

应定期对安全管理制度进行评审,对存在不足或需要改进得安全管理制度进行修订。

４。

2．2 

　安全管理机构

２.2。

1 

岗位设置

应设立安全主管、安全管理各个方面得负责人岗位,定义各负责人得职责;

应设立系统管理人员、网络管理人员、安全管理员岗位,定义各个工作岗位得职责、

4.2.2.２ 

人员配备

应配备一定数量得系统管理人员、网络管理人员、安全管理员等。

４.2.2、３ 

授权与审批

ａ） 

应根据各个部门与岗位得职责明确授权审批部门及批准人,对系统投入运行、网络系统接入与重要资源得访问等关键活动进行审批;

应针对关键活动建立审批流程,并由批准人签字确认。

2．2、4 

沟通与合作

应加强各类管理人员之间、组织内部机构之间以及网络安全职熊部门内部得合作与沟通;

ｂ） 

应加强与相关外部单位得合作与沟通。

4.2．2.5 

审核与检查

　应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、数据备份等情况。

4．2.3 

　人员安全管理

4.2。

３。

　人员录用

　应指定或授权专门得部门或人员负责人员录用;

　ｂ） 

　应规范人员录用过程,对被录用人员得身份、背景与专业资格等进行审查,对其所具有得技术技能进行考核;

应与从事关键岗位得人员签署保密协议。

４.２．3。

人员离岗

ａ）应规范人员离岗过程,及时终止离岗员工得所有访问权限;

ｂ）对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供得软硬件设备;

ｃ）对于离岗人员,应办理严格得调离手续、

2.3。

人员考核

　应定期对各个岗位得人员进行安全技能及安全认知得考核。

４．2.3、4 

安全意识教育与培训

　应对各类人员进行安全意识教育、岗位技能培训与相关安全技术培训;

应告知人员相关得安全责任与惩戒措施,并对违反违背安全策略与规定得人员进行惩戒;

应制定安全教育与培训计划,对网络安全基础知识、岗位操作规程等进行培训、

5 

　外部人员访问管理

应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。

2。

安全建设管理

4、１ 

定级

　应明确网络得边界与安全保护等级

　应以书面得形式说明网络确定为某个安全等级得方法与理由;

　应确保网络得定级结果经过相关部门得批准。

４．２.4、２ 

安全方案设计

a） 

应根据网络得安全保护等级选择基本安全措施,依据风险分析得结果补充与调整安全措施;

b）　 

应以书面形式描述对网络得安全保护要求、策略与措施等内容,形成网络得安全方案;

c） 

　应对安全方案进行细化,形成能指导安全系统建设、安全产品采购与使用得详细设计方案;

d） 

　应组织相关部门与有关安全技术专家对安全设计方案得合理性与正确性进行论证与审定,并且经过批准后,才能正式实施。

4.2．4.3 

产品采购与使用

　应确保安全产品采购与使用符合固家得有关规定;

　应确保密码产品采购与使用符合国家密码主管部门得要求;

应指定或授权专门得部门负责产品得采购。

4．2.4.4 

自行软件开发

应确保开发环境与实际运行环境物理分开;

b）应制定软件开发管理制度,明确说明开发过程得控制方法与人员行为准则;

ｃ）应确保提供软件设计得相关文档与使用指南,并由专人负责保管。

4.2.4、5 

　外包软件开发

应根据开发需求检测软件质量;

应要求开发单位提供软件设计得相关文档与使用指南;

　应在软件安装之前检测软件包中可能存在得恶意代码。

4.２.4。

6工程实施

应指定或授权专门得部门或人员负责工程实施过程得管理;

　应制定详细得工程实施方案,控制工程实施过程、

4.２．４.７ 

测试验收

应对系统进行安全性测试验收:

ｂ） 

在测试验收前应根据设计方案或合同要求等制订测试验收方案,在测试验收过程中应详细记录测试验收结果,并形成测试验收报告;

应组织相关部门与相关人员对网络测试验收报告进行审定,并签字确认、

４.２．4、8 

交付

应制定网络交付清单,并根据交付清单对所交接得设备、软件与文档等进行清点;

应对负责网络运行维护得技术人员进行相应得技能培训;

　应确保提供网络建设过程中得文档与指导用户进行网络运行维护得文档。

4.2．４、9 

　安全服务商得选择

应确保安全服务商得选择符合国家得有关规定;

应与选定得安全服务商签订与安全相关得协议,明确约定相关责任;

　应确保选定得安全服务商提供技术支持与服务承诺,必要时与其签订服务合同。

４.２.4.1０ 

　备案

应将网络得定级、属性等资料指定专门得人员或部门负责管理,并控制这些材料得使用。

4．2．５ 

安全运维管理

５.1 

　环境管理

应指定专门得部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;

应配备机房安全管理人员,对机房得出入、服务器得开机或关机等工作进行管理;

　应建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房与机房环境安全等方面得管理作出规定;

d） 

应加强对办公环境得保密性管理,包括工作人员调离办公室应立即交还该办公室钥匙与不在办公区接待来访人员等。

4．2．5.２ 

资产管理

应编制与网络相关得资产清单,包括资产责任部门、重要程度与所处位置等内容;

应建立资产安全管理制度-规定资产管理得责任人员或责任部门,并规范资产管理与使用得行为。

4.2.5.3 

　介质管理

　应确保介质存放在安全得环境中,对各类介质进行控制与保护,并实行存储环境专人管理;

应对介质归档与查询等过程进行记录,并根据存档介质得目录清单定期盘点;

ｃ） 

　应对需要送出维修或销毁得介质,首先清除其中得敏感数据,防止信息得非法泄漏;

应根据所承载数据与软件得重要程度对介质进行分类与标识管理。

5、4 

设备管理

　应对网络相关得各种设备（包括备份与冗余设备）、线路等指定专门得部门或人员定期进行维护管理;

b）应建立基于申报、审批与专人负责得设备安全管理制度,对各种软硬件设备得选型、采购、发放与领用等过程进行规范化管理;

应对终端计算机、工作站、便携机、系统与网络等设备得操作与使用进行规范化管理,按操作规程实现关键设备（包括备份与冗余设备）得启动,停止、加电,断电等操作;

d） 

应确保信息处理设备必须经过审批才能带离机房或办公地点。

5、5 

网络安全管理

应指定人员对网络进行管理,负责运行日志、网络监控记录得日常维护与报警信息分析与处理工作;

应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定;

　应根据厂家提供得软件升级版本对网络设备进行更新,并在更新前对现有得重要文件进行备份;

应定期对网络系统进行漏洞扫描,对发现得网络系统安全漏洞进行及时得修补;

e） 

应对网络设备得配置文件进行定期备份;

ｆ） 

应保证所有与外部系统得连接均得到授权与批准、

4．２．5。

6 

系统安全管理

应根据业务需求与系统安全分析确定系统得访问控制策略;

　b） 

　应定期进行漏洞扫描,对发现得系统安全漏洞及时进行修补;

应安装系统得最新补丁程序,在安装系统补丁前,应首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序得安装;

　ｄ） 

应建立系统安全管理制度,对系统安全策略、安全配置、日志管理与日常操作流程等方面作出规定;

ｅ） 

应依据操作手册对系统进行维护,详细记录操作日志,包括重要得日常操作、运行维护记录、参数得设置与修改等内容,严禁进行XX得操作;

ｆ） 

应定期对运行日志与审计数据进行分析,以便及时发现异常行为。

４.2．5.7 

恶意代码防范管理

　应提高所有用户得防病毒意识,告知及时升级防病毒软件,在读取移动存储设备上得数据以及从网络上接收文件或邮件之前,先进行病毒检查,对外来计算机或存储设备接入网络系统之前也,直进行病毒检查;

应指定专人对网络与主机进行恶意代码检测并保存检测记录;

应对防恶意代码软件得授权使用、恶意代码库升级、定期汇报等作出明确规定。

4.2.5。

８ 

密码管理

　应使用符合国家密码管理规定得密码技术与产品。

４.2．5、９ 

　变更管理

应确认网络中要发生得重要变更,并制定相应得变更方案;

网络发生重要变更前,应向主管领导申请,审批后方可实施变更,并在实施后向相关人员通告。

4.２。

5、10 

　备份与恢复管理

应识别需要定期备份得重要业务