省各電信運(yùn)營公司:
為認(rèn)真貫徹落實(shí)信息產(chǎn)業(yè)部《關(guān)于進(jìn)一步開展電信網(wǎng)絡(luò)安全防護(hù)工作的實(shí)施意見》(信部電〔2007〕555號)精神����,加快推進(jìn)電信網(wǎng)絡(luò)的等級保護(hù)�����、風(fēng)險評估�����、災(zāi)難備份等安全防護(hù)工作,結(jié)合關(guān)于風(fēng)險評估����、等級保護(hù)、災(zāi)難備份的有關(guān)工作要求���,保證電信網(wǎng)絡(luò)安全防護(hù)工作整體��、規(guī)范����、科學(xué)��、有序地開展����,我局制定了《河南省通信管理局電信網(wǎng)絡(luò)安全防護(hù)工作實(shí)施意見》,現(xiàn)印發(fā)給你們���,請認(rèn)真遵照執(zhí)行�����。
聯(lián)系人:張海峰 0371-65990166 常江 0371-65942200
二○○八年一月三日
河南省通信管理局電信網(wǎng)絡(luò)安全防護(hù)工作實(shí)施意見
一�、電信網(wǎng)絡(luò)安全防護(hù)工作的總體思路和基本原則
(一)總體思路
1.電信網(wǎng)絡(luò)安全防護(hù)工作的主要內(nèi)容
電信網(wǎng)絡(luò)安全防護(hù)工作包括等級保護(hù)�、風(fēng)險評估、災(zāi)難備份等以事前防護(hù)和準(zhǔn)備為主的相關(guān)工作內(nèi)容����,總體目標(biāo)是要從管理和技術(shù)等多個方面�,落實(shí)和改進(jìn)與電信網(wǎng)絡(luò)的重要性及面臨的威脅相適應(yīng)的安全保護(hù)措施,以提高電信網(wǎng)絡(luò)的安全保護(hù)能力和水平�����,有效減少嚴(yán)重網(wǎng)絡(luò)安全事件的發(fā)生��。
等級保護(hù)是根據(jù)被保護(hù)對象一旦遭受破壞后對國家安全���、社會秩序�、經(jīng)濟(jì)建設(shè)����、公共利益以及公民、法人和其他組織的合法利益的危害程度大小��,確定被保護(hù)對象的安全保護(hù)等級���,并落實(shí)與安全保護(hù)等級相適應(yīng)的基本安全保護(hù)措施�。風(fēng)險評估是通過系統(tǒng)地認(rèn)識和分析被保護(hù)對象的相關(guān)資產(chǎn)、存在的脆弱性��、面臨的威脅以及已有保護(hù)措施的有效性����,科學(xué)推斷出安全事件發(fā)生的可能性和可能造成的危害程度,并提出和落實(shí)有針對性的整改措施���,將殘余風(fēng)險降低到可以接受的程度����。災(zāi)難備份是對重要線路�����、設(shè)備����、業(yè)務(wù)系統(tǒng)和數(shù)據(jù)等進(jìn)行冗余備份,保證當(dāng)主用線路��、設(shè)備����、業(yè)務(wù)系統(tǒng)和數(shù)據(jù)發(fā)生故障或遭到破壞后��,有條件迅速切換使用相應(yīng)的備用資源��,提高網(wǎng)絡(luò)和業(yè)務(wù)的抗毀性和可持續(xù)服務(wù)能力����。
2.將等級保護(hù)����、風(fēng)險評估����、災(zāi)難備份等有機(jī)結(jié)合
等級保護(hù)、風(fēng)險評估����、災(zāi)難備份等工作相互之間密切相關(guān)、互相滲透���、互為補(bǔ)充��。電信網(wǎng)絡(luò)安全防護(hù)應(yīng)將等級保護(hù)����、風(fēng)險評估、災(zāi)難備份等工作有機(jī)結(jié)合�,加強(qiáng)相關(guān)工作之間的整合和銜接,保證電信網(wǎng)絡(luò)安全防護(hù)工作的整體性�、統(tǒng)一性和協(xié)調(diào)性。電信網(wǎng)絡(luò)安全防護(hù)工作應(yīng)按照根據(jù)被保護(hù)對象的重要性進(jìn)行分等級保護(hù)的思想�����,通過風(fēng)險評估的方法正確認(rèn)識被保護(hù)對象存在的脆弱性和面臨的威脅����,進(jìn)而制定、落實(shí)和改進(jìn)與安全保護(hù)等級和風(fēng)險大小相適應(yīng)的一系列管理����、技術(shù)、災(zāi)難備份等安全保護(hù)措施�,最終達(dá)到提高電信網(wǎng)絡(luò)安全保護(hù)能力和水平的目的。
在開展等級保護(hù)工作時��,要充分應(yīng)用風(fēng)險評估的方法�,認(rèn)識、分析不同類型的網(wǎng)絡(luò)和業(yè)務(wù)存在的脆弱性和面臨的威脅,進(jìn)而制定和落實(shí)與被保護(hù)對象的類型��、脆弱性和威脅相適應(yīng)的基本安全保護(hù)措施要求���,提高等級保護(hù)工作的針對性和適用性���。在開展風(fēng)險評估工作時,在分析被保護(hù)對象綜合風(fēng)險和制定改進(jìn)方案的過程中�����,要始終與被保護(hù)對象的安全保護(hù)等級相結(jié)合�����,合理確定被評估對象的可接受風(fēng)險和制定確實(shí)必要的整改措施�����,避免無限度的改進(jìn)提高�。在開展災(zāi)難備份工作時����,要結(jié)合被備份對象的安全保護(hù)等級和面臨的威脅,制定相適應(yīng)的備份措施�,并將有關(guān)備份的要求體現(xiàn)在等級保護(hù)相關(guān)標(biāo)準(zhǔn)的措施要求中進(jìn)行落實(shí)�。
3.運(yùn)營單位自主防護(hù)與行業(yè)主管部門監(jiān)督檢查相結(jié)合
按照“誰主管��、誰負(fù)責(zé),誰運(yùn)營���、誰負(fù)責(zé)”的原則���,電信網(wǎng)絡(luò)安全防護(hù)工作實(shí)行電信運(yùn)營企業(yè)自主防護(hù)與電信行業(yè)主管部門監(jiān)督檢查相結(jié)合的工作機(jī)制。省各電信運(yùn)營公司應(yīng)當(dāng)按照本集團(tuán)公司和省通信管理局的要求�����,結(jié)合公司自身實(shí)際情況����,認(rèn)真貫徹落實(shí)電信網(wǎng)絡(luò)安全防護(hù)的相關(guān)規(guī)定和標(biāo)準(zhǔn),并接受省通信管理局的監(jiān)督檢查�����。不斷健全科學(xué)���、規(guī)范�、有效的電信網(wǎng)絡(luò)安全防護(hù)管理體系。
?���。ǘ┗驹瓌t
電信網(wǎng)絡(luò)安全防護(hù)工作應(yīng)遵循以下基本原則:
1、整體性原則����。電信網(wǎng)絡(luò)由各種設(shè)備、線路和相應(yīng)的支撐��、管理單元互聯(lián)組成��,具有全程全網(wǎng)的特點(diǎn)���,對電信網(wǎng)絡(luò)某一部分的調(diào)整或改動(包括實(shí)施各項(xiàng)保護(hù)措施)����,可能影響整個電信網(wǎng)絡(luò)的安全可靠運(yùn)行���。因此,電信網(wǎng)絡(luò)安全防護(hù)工作應(yīng)堅持對整個網(wǎng)絡(luò)統(tǒng)籌兼顧�,由信息產(chǎn)業(yè)部會同各電信運(yùn)營企業(yè)集團(tuán)公司,結(jié)合電信網(wǎng)絡(luò)的實(shí)際特點(diǎn)統(tǒng)一研究和組織部署�����。
2、規(guī)范性原則��。電信網(wǎng)絡(luò)種類繁多�、結(jié)構(gòu)復(fù)雜,安全防護(hù)工作涵蓋線路、設(shè)備����、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)等多種對象,涉及管理���、技術(shù)等多個方面����,包括安全評測�����、風(fēng)險評估等多項(xiàng)環(huán)節(jié)����,是一項(xiàng)復(fù)雜的系統(tǒng)工程。為保證電信網(wǎng)絡(luò)安全防護(hù)工作的有效性和規(guī)范性���,相關(guān)工作應(yīng)當(dāng)按照國家和信息產(chǎn)業(yè)部組織制定的有關(guān)標(biāo)準(zhǔn)實(shí)施���。
3�、適度性原則��。電信網(wǎng)絡(luò)安全防護(hù)工作追求的是適度安全的目標(biāo)��。要始終運(yùn)用等級保護(hù)的思想���,制定和落實(shí)與電信網(wǎng)絡(luò)的重要性相適應(yīng)的安全保護(hù)措施要求;要堅持運(yùn)用風(fēng)險評估的方法��,提出和落實(shí)與電信網(wǎng)絡(luò)的風(fēng)險大小相適應(yīng)的改進(jìn)措施��。對于重要性高����、風(fēng)險大的電信網(wǎng)絡(luò)��,要采取較高程度的安全保護(hù)措施���,反之,對于重要性低��、風(fēng)險小的電信網(wǎng)絡(luò),可以采取較低程度的保護(hù)措施�����。
4�����、同步性原則����。電信網(wǎng)絡(luò)自身存在的脆弱性是導(dǎo)致安全事件發(fā)生的內(nèi)在原因,在電信網(wǎng)絡(luò)新建�����、改建���、擴(kuò)建時����,應(yīng)當(dāng)在規(guī)劃和設(shè)計工作中同步考慮在源頭上有效減少電信網(wǎng)絡(luò)的脆弱性����。對于難以徹底消除的脆弱性���,應(yīng)當(dāng)同步規(guī)劃、設(shè)計和實(shí)施電信網(wǎng)絡(luò)安全保護(hù)措施�����,并做到安全保護(hù)措施與安全保護(hù)等級的要求相一致�。
二、電信網(wǎng)絡(luò)安全防護(hù)工作的主要任務(wù)
?。ㄒ唬╇娦啪W(wǎng)絡(luò)的定級
定級是等級保護(hù)的基礎(chǔ)和前提。電信運(yùn)營企業(yè)擁有和運(yùn)行的電信網(wǎng)絡(luò)由不同的專業(yè)網(wǎng)絡(luò)和業(yè)務(wù)單元共同組成�����,各類專業(yè)網(wǎng)絡(luò)和業(yè)務(wù)單元具有不同的技術(shù)特點(diǎn)����,存在不同的脆弱性和面臨不同的威脅,且所承載的電信業(yè)務(wù)具有不同的重要性���。按照等級保護(hù)的思想�����,針對電信網(wǎng)絡(luò)不同部分存在不同風(fēng)險的實(shí)際情況����,電信網(wǎng)絡(luò)安全防護(hù)工作應(yīng)當(dāng)按照將電信網(wǎng)絡(luò)進(jìn)行合理�、清晰的劃分,對不同的部分分別落實(shí)相應(yīng)保護(hù)措施的方法進(jìn)行�。即:在對電信網(wǎng)絡(luò)實(shí)施安全保護(hù)時,電信運(yùn)營企業(yè)首先要合理劃分電信網(wǎng)絡(luò)中的各個定級對象���,并在科學(xué)分析定級對象重要性的基礎(chǔ)上�����,合理確定定級對象的安全保護(hù)等級���。
(二)電信網(wǎng)絡(luò)的安全評測
安全評測是保證等級保護(hù)����、災(zāi)難備份得以落實(shí)的手段。電信網(wǎng)絡(luò)定級對象及其所屬安全保護(hù)等級確定后����,電信運(yùn)營企業(yè)應(yīng)當(dāng)對各個定級對象落實(shí)與其安全保護(hù)等級相適應(yīng)的基本安全保護(hù)措施。信息產(chǎn)業(yè)部已組織專家通過總結(jié)分析各類專業(yè)網(wǎng)絡(luò)和業(yè)務(wù)單元的脆弱性和威脅�,制定出針對各類專業(yè)網(wǎng)絡(luò)和業(yè)務(wù)單元的不同安全保護(hù)等級的基本安全保護(hù)措施標(biāo)準(zhǔn)����,包括管理��、技術(shù)���、災(zāi)難備份等多方面基本要求����。電信運(yùn)營企業(yè)應(yīng)當(dāng)依據(jù)國家和信息產(chǎn)業(yè)部制定的相關(guān)標(biāo)準(zhǔn)����,對定級對象落實(shí)相應(yīng)基本安全保護(hù)措施標(biāo)準(zhǔn)的情況進(jìn)行評測。對于經(jīng)評測發(fā)現(xiàn)未按照相關(guān)標(biāo)準(zhǔn)落實(shí)基本安全保護(hù)措施的����,要及時進(jìn)行相應(yīng)的整改,確?��;景踩Wo(hù)措施落實(shí)到位�����。在按照相關(guān)標(biāo)準(zhǔn)落實(shí)基本安全保護(hù)措施的基礎(chǔ)上���,電信運(yùn)營企業(yè)可以根據(jù)企業(yè)發(fā)展情況�����、技術(shù)和經(jīng)濟(jì)實(shí)力等,提高對定級對象的安全保護(hù)程度���。
?。ㄈ╇娦啪W(wǎng)絡(luò)的風(fēng)險評估
風(fēng)險評估是完善和提高等級保護(hù)�、災(zāi)難備份的方法。在通過安全評測確保落實(shí)等級保護(hù)���、災(zāi)難備份基本安全保護(hù)措施的基礎(chǔ)上��,為提高對風(fēng)險變化的適應(yīng)能力���,進(jìn)一步提高安全保護(hù)的時效性和保護(hù)水平,電信運(yùn)營企業(yè)應(yīng)當(dāng)建立對各個定級對象進(jìn)行動態(tài)風(fēng)險評估的機(jī)制����。應(yīng)當(dāng)根據(jù)安全形勢的發(fā)展變化(例如發(fā)現(xiàn)新的脆弱性、出現(xiàn)新的威脅、面臨更高的安全要求等)�,定期或不定期組織對電信網(wǎng)絡(luò)或其中組成部分進(jìn)行風(fēng)險評估。通過風(fēng)險評估����,對新的威脅和脆弱性進(jìn)行深入分析,對已有安全保護(hù)措施的落實(shí)情況和有效性進(jìn)行確認(rèn)�。對已有安全保護(hù)措施與變化的風(fēng)險或新的要求不相適應(yīng)的,應(yīng)研究提出并落實(shí)進(jìn)一步的安全保護(hù)措施��。信息產(chǎn)業(yè)部結(jié)合風(fēng)險評估的結(jié)果�,適時調(diào)整或修改各類定級對象的不同等級的基本安全保護(hù)措施標(biāo)準(zhǔn),以提高基本安全保護(hù)措施的有效性和適用性���。
?。ㄋ模╇娦啪W(wǎng)絡(luò)安全防護(hù)工作的監(jiān)督檢查
電信監(jiān)管部門對電信運(yùn)營企業(yè)開展上述電信網(wǎng)絡(luò)安全防護(hù)工作進(jìn)行指導(dǎo)����、監(jiān)督和檢查。省各電信運(yùn)營公司應(yīng)當(dāng)將電信網(wǎng)絡(luò)各個定級對象的責(zé)任主體��、結(jié)構(gòu)��、功能����、服務(wù)范圍��、所屬安全保護(hù)等級等基本情況向省通信管理局備案���。省通信管理局負(fù)責(zé)對省各電信運(yùn)營企業(yè)的電信網(wǎng)絡(luò)安全評測工作開展監(jiān)督檢查,確保定級對象落實(shí)基本安全保護(hù)措施���;同時負(fù)責(zé)對電信運(yùn)營企業(yè)的電信網(wǎng)絡(luò)風(fēng)險評估工作進(jìn)行監(jiān)督檢查�,督促進(jìn)一步提高定級對象的安全保護(hù)水平��。省通信管理局對于不同安全保護(hù)等級的定級對象�����,實(shí)施不同程度的監(jiān)督檢查��。省級公安機(jī)關(guān)對電信行業(yè)信息系統(tǒng)等級保護(hù)工作的監(jiān)督檢查���,由省公安廳會同省通信管理局共同組織實(shí)施。
三����、電信網(wǎng)絡(luò)定級與備案的實(shí)施
(一)定級的范圍
電信網(wǎng)絡(luò)安全防護(hù)工作的范圍包括基礎(chǔ)電信運(yùn)營企業(yè)運(yùn)營的傳輸、承載各類電信業(yè)務(wù)的公共電信網(wǎng)(含公共互聯(lián)網(wǎng))及其組成部分�����,支撐和管理公共電信網(wǎng)及電信業(yè)務(wù)的業(yè)務(wù)單元和控制單元����,互聯(lián)網(wǎng)數(shù)據(jù)中心,以及企業(yè)辦公系統(tǒng)(含文件管理系統(tǒng)��、員工郵件系統(tǒng)���、決策支持系統(tǒng)��、人事管理系統(tǒng)等)����、客服呼叫中心��、企業(yè)門戶網(wǎng)站等非核心生產(chǎn)單元���。此外��,電信網(wǎng)絡(luò)安全防護(hù)工作的范圍還包括經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)單位�����、移動信息服務(wù)單位��、互聯(lián)網(wǎng)接入服務(wù)單位��、互聯(lián)網(wǎng)數(shù)據(jù)中心�、互聯(lián)網(wǎng)域名服務(wù)機(jī)構(gòu)等單位運(yùn)營的網(wǎng)絡(luò)或信息系統(tǒng)。
?����。ǘ┒壍牟襟E
1.電信網(wǎng)絡(luò)的劃分
省各電信運(yùn)營企業(yè)應(yīng)當(dāng)參照國家和信息產(chǎn)業(yè)部制定的相關(guān)標(biāo)準(zhǔn)和實(shí)施指南�,按照本集團(tuán)公司的統(tǒng)一要求,統(tǒng)籌兼顧各自電信網(wǎng)絡(luò)的網(wǎng)絡(luò)類型����、業(yè)務(wù)類型�、服務(wù)地域、企業(yè)內(nèi)部管理歸屬等��,將本企業(yè)的電信網(wǎng)絡(luò)劃分成不同的定級對象��,并分別確定各自的安全保護(hù)等級��。為保證電信網(wǎng)絡(luò)劃分結(jié)果的合理性和各部分的定級結(jié)果的協(xié)調(diào)一致性,電信運(yùn)營企業(yè)應(yīng)本著先全省��、后地方�,先骨干、后分支�����,從上(省級公司)至下(地市級公司)的原則統(tǒng)籌對本企業(yè)的電信網(wǎng)絡(luò)進(jìn)行劃分和定級�����。
2.安全等級的劃分
電信運(yùn)營企業(yè)應(yīng)當(dāng)根據(jù)定級對象遭到破壞后對國家安全���、社會秩序����、經(jīng)濟(jì)建設(shè)��、公共利益以及公民或者法人的合法權(quán)益的危害程度等因素���,按照國家和信息產(chǎn)業(yè)部制定的相關(guān)標(biāo)準(zhǔn)和實(shí)施指南���,將定級對象的安全保護(hù)等級劃分為1到5級���,其中第5級為最高安全保護(hù)等級。電信運(yùn)營企業(yè)對各個定級對象分別形成定級報告�����,定級報告中應(yīng)包括定級對象的架構(gòu)�、邊界、設(shè)備部署����、服務(wù)范圍等基本情況,以及所采用的定級方法�、定級結(jié)果等信息。
3.安全等級的確定
對于安全保護(hù)等級擬定為第3級及以上級別的定級對象�,應(yīng)由省各電信運(yùn)營企業(yè)將定級報告報送本集團(tuán)公司,由集團(tuán)公司統(tǒng)一報信息產(chǎn)業(yè)部成立的電信網(wǎng)絡(luò)安全防護(hù)專家組評審����,由專家組和電信運(yùn)營企業(yè)集團(tuán)公司共同商議確定定級對象的安全保護(hù)等級���。當(dāng)專家組評審意見與電信運(yùn)營企業(yè)集團(tuán)公司的意見達(dá)不成一致時����,應(yīng)選擇雙方建議級別中較高的級別作為最終確定的級別。對于安全保護(hù)等級擬定為第2級及以下級別的定級對象�����,無需上報信息產(chǎn)業(yè)部電信網(wǎng)絡(luò)安全防護(hù)專家組評審�����,由相關(guān)基礎(chǔ)電信運(yùn)營企業(yè)自主定級�。
(三)定級結(jié)果的備案
對于確定為第2級及以上級別的并由省級電信運(yùn)營企業(yè)負(fù)責(zé)管理的定級對象����,應(yīng)向省通信管理局辦理備案。備案時應(yīng)填寫備案信息登記表����,并提交定級報告。省通信管理局對備案材料進(jìn)行審核����,并按照公安部、國務(wù)院信息化工作辦公室等四部門的有關(guān)規(guī)定�����,向省公安廳提交有關(guān)備案情況。
省各電信運(yùn)營企業(yè)已正式投入運(yùn)行的電信網(wǎng)絡(luò)或相關(guān)單元及系統(tǒng)���,應(yīng)按照本集團(tuán)公司的要求��,在2008年3月10日前報送本集團(tuán)公司����,并在2008年3月31日之前完成定級并向省通信管理局備案��。
省各電信運(yùn)營企業(yè)新建的電信網(wǎng)絡(luò)或相關(guān)單元及系統(tǒng)���,應(yīng)當(dāng)在正式投入運(yùn)行后1個月內(nèi)完成定級并向省通信管理局備案�。
?。ㄋ模┒壗Y(jié)果的調(diào)整
在電信網(wǎng)絡(luò)運(yùn)行過程中,當(dāng)定級對象因?yàn)楦慕?�、擴(kuò)建而影響其安全保護(hù)等級時���,或因?yàn)槎墝ο蟮暮喜⒒虿鸱侄淖兌墝ο蟮暮w范圍時����,省各電信運(yùn)營企業(yè)應(yīng)按照上述定級步驟重新確定相關(guān)定級對象的安全保護(hù)等級����,并向省通信管理局辦理備案信息變更。
四�、電信網(wǎng)絡(luò)安全評測的實(shí)施及監(jiān)督檢查
(一)安全評測的實(shí)施
電信網(wǎng)絡(luò)中各個定級對象的安全評測由電信運(yùn)營企業(yè)按照國家和信息產(chǎn)業(yè)部制定的相關(guān)標(biāo)準(zhǔn)或?qū)嵤┲改献孕薪M織實(shí)施��。對于第3級及以上級別的定級對象����,必須進(jìn)行安全評測。電信運(yùn)營企業(yè)可依托本企業(yè)技術(shù)力量進(jìn)行安全評測��,也可委托符合本意見第六條的安全服務(wù)機(jī)構(gòu)進(jìn)行安全評測�。
在以下情況下應(yīng)當(dāng)組織開展定級對象的安全評測:
1、定級對象的安全保護(hù)等級初次確定后���;
2�����、定級對象的安全保護(hù)等級調(diào)整且安全保護(hù)等級變高后����;
3、定級對象重大改��、擴(kuò)建工程完成后���;
4��、定級對象發(fā)生合并或拆分后����;
5�����、電信運(yùn)營企業(yè)的內(nèi)部管理體系或組織機(jī)構(gòu)發(fā)生重大變更后�����;
6���、電信網(wǎng)絡(luò)相關(guān)基本安全保護(hù)措施要求標(biāo)準(zhǔn)經(jīng)信息產(chǎn)業(yè)部修訂后�����。
?���。ǘ┌踩u測工作的監(jiān)督檢查
省各電信運(yùn)營企業(yè)自行組織實(shí)施完成定級對象的安全評測之后,應(yīng)當(dāng)將定級對象的安全評測報告報送省通信管理局���。省通信管理局基于安全評測報告,結(jié)合現(xiàn)場調(diào)研�����,對電信運(yùn)營企業(yè)相關(guān)工作的實(shí)施開展情況進(jìn)行監(jiān)督檢查�����。必要時由省通信管理局委托專業(yè)機(jī)構(gòu)按照相關(guān)標(biāo)準(zhǔn)實(shí)施現(xiàn)場安全評測����。
監(jiān)督檢查內(nèi)容主要包括:
1、安全評測實(shí)施方法是否符合國家和信息產(chǎn)業(yè)部制定的相關(guān)標(biāo)準(zhǔn)或?qū)嵤┲改希?
2����、對定級對象實(shí)施的技術(shù)、管理���、災(zāi)難備份等安全保護(hù)措施是否符合國家和信息產(chǎn)業(yè)部制定的相關(guān)標(biāo)準(zhǔn)����;
3、定級對象的備案信息是否與實(shí)際情況相符�;
4、第三方安全評測服務(wù)機(jī)構(gòu)的選擇是否符合有關(guān)規(guī)定�;
5、其它應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)����。
對于經(jīng)檢查不符合上述要求的,省各電信運(yùn)營企業(yè)應(yīng)制定整改方案并進(jìn)行整改�����,整改完成后應(yīng)將整改報告報送省通信管理局�。省通信管理局對整改情況進(jìn)行監(jiān)督檢查。
五����、電信網(wǎng)絡(luò)風(fēng)險評估的實(shí)施及監(jiān)督檢查
(一)風(fēng)險評估的實(shí)施
電信網(wǎng)絡(luò)的風(fēng)險評估可以由電信運(yùn)營企業(yè)自行發(fā)起并實(shí)施��,也可以由省通信管理局視需要提出開展風(fēng)險評估的要求����,并由電信運(yùn)營企業(yè)自行組織實(shí)施��。風(fēng)險評估既可以對整個電信網(wǎng)絡(luò)全面開展�,也可以針對若干定級對象實(shí)施����。對于第3級及以上級別的定級對象,應(yīng)當(dāng)每年進(jìn)行一次風(fēng)險評估���。電信網(wǎng)絡(luò)的風(fēng)險評估應(yīng)當(dāng)按照國家和信息產(chǎn)業(yè)部制定的相關(guān)標(biāo)準(zhǔn)和實(shí)施指南進(jìn)行。電信運(yùn)營企業(yè)可依托本企業(yè)技術(shù)力量進(jìn)行風(fēng)險評估��,也可委托符合本意見第六條的安全服務(wù)機(jī)構(gòu)進(jìn)行風(fēng)險評估�����。原則上在以下情況時應(yīng)當(dāng)組織開展風(fēng)險評估:
1��、出現(xiàn)新的重大威脅�;
2、發(fā)現(xiàn)新的嚴(yán)重安全隱患�;
3、國家召開重要會議或舉辦重大活動之前����。
?�。ǘ╋L(fēng)險評估工作的監(jiān)督檢查
電信運(yùn)營企業(yè)自行發(fā)起或按照省通信管理局的要求實(shí)施完成風(fēng)險評估之后�����,應(yīng)當(dāng)將風(fēng)險評估報告報送省通信管理局����。省通信管理局基于風(fēng)險評估報告���,結(jié)合現(xiàn)場調(diào)研�,定期或不定期對電信運(yùn)營企業(yè)相關(guān)工作的實(shí)施開展情況進(jìn)行監(jiān)督檢查�����。
監(jiān)督檢查內(nèi)容主要包括:
1����、風(fēng)險評估實(shí)施方法是否符合國家和信息產(chǎn)業(yè)部組織制定的相關(guān)標(biāo)準(zhǔn)或?qū)嵤┲改希?
2、是否根據(jù)風(fēng)險評估結(jié)果提出并落實(shí)進(jìn)一步的安全保護(hù)措施�;
3、第三方風(fēng)險評估服務(wù)機(jī)構(gòu)的選擇是否符合有關(guān)規(guī)定����;
4�、其它應(yīng)當(dāng)進(jìn)行監(jiān)督檢查的事項(xiàng)�����。
六����、安全服務(wù)機(jī)構(gòu)的管理
(一)安全服務(wù)機(jī)構(gòu)的選擇
省各電信運(yùn)營企業(yè)應(yīng)當(dāng)選擇符合下列條件的安全服務(wù)機(jī)構(gòu)進(jìn)行電信網(wǎng)絡(luò)的安全評測和風(fēng)險評估:
1�、在中華人民共和國境內(nèi)注冊成立(港澳臺地區(qū)除外);
2�、由中國公民投資��、中國法人投資或者國家投資的企事業(yè)單位(港澳臺地區(qū)除外)���;
3���、從事電信網(wǎng)絡(luò)安全保障服務(wù)工作一年以上,無違法記錄���;
4��、相關(guān)工作人員僅限于中國公民����;
5、法人及主要業(yè)務(wù)���、技術(shù)人員無犯罪記錄�;
6��、具有完備的保密管理�����、項(xiàng)目管理����、質(zhì)量管理、人員管理和培訓(xùn)教育等安全管理制度����。
(二)安全服務(wù)機(jī)構(gòu)的義務(wù)
為電信網(wǎng)絡(luò)提供安全評測�、風(fēng)險評估服務(wù)的安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)履行以下義務(wù):
1、遵守國家和信息產(chǎn)業(yè)部有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)����,提供安全��、客觀��、公正的安全評測��、風(fēng)險評估服務(wù)����,保證安全評測�、風(fēng)險評估的質(zhì)量和效果;
2���、保守在安全評測�、風(fēng)險評估活動中知悉的國家秘密�����、企業(yè)秘密和公民隱私����,防范相關(guān)工作帶來的風(fēng)險���;
3��、對相關(guān)工作人員進(jìn)行安全保密教育��,與其簽訂安全保密責(zé)任書��,規(guī)定應(yīng)當(dāng)履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任��,并負(fù)責(zé)檢查落實(shí)�����。
七�、電信網(wǎng)絡(luò)安全防護(hù)工作的總體要求
(一)提高認(rèn)識���,加強(qiáng)領(lǐng)導(dǎo)����。省各電信運(yùn)營企業(yè)要結(jié)合國家信息化發(fā)展和電信行業(yè)發(fā)展的要求��,進(jìn)一步提高對電信網(wǎng)絡(luò)安全防護(hù)工作重要性���、緊迫性的認(rèn)識��,要按照省通信管理局的統(tǒng)一部署�,加快推進(jìn)電信網(wǎng)絡(luò)安全防護(hù)體系建設(shè)。省通信管理局成立電信網(wǎng)絡(luò)安全防護(hù)工作領(lǐng)導(dǎo)小組����,負(fù)責(zé)相關(guān)工作的總體部署和協(xié)調(diào),領(lǐng)導(dǎo)小組由省通信管理局宋靈恩副局長擔(dān)任組長��,省各電信運(yùn)營企業(yè)副總擔(dān)任副組長����,領(lǐng)導(dǎo)小組下設(shè)辦公室,負(fù)責(zé)具體工作��,辦公室工作由省通信管理局網(wǎng)絡(luò)信息安全處和網(wǎng)絡(luò)管理處承擔(dān)�����。省各電信運(yùn)營企業(yè)要成立本企業(yè)的電信網(wǎng)絡(luò)安全防護(hù)領(lǐng)導(dǎo)小組及工作組���,加強(qiáng)領(lǐng)導(dǎo),確保電信網(wǎng)絡(luò)安全防護(hù)工作順利開展���。
請省各電信運(yùn)營企業(yè)于2008年1月18日前����,將本公司負(fù)責(zé)電信網(wǎng)絡(luò)安全防護(hù)工作的領(lǐng)導(dǎo)(公司副總)、部門負(fù)責(zé)人及聯(lián)系人(具體工作人員)名單���、聯(lián)系方式上報我局�����。
?��。ǘ┟鞔_責(zé)任,狠抓落實(shí)�。省各電信運(yùn)營公司要明確責(zé)任,要按照省通信管理局的統(tǒng)一部署和本企業(yè)集團(tuán)公司的具體要求�,結(jié)合本企業(yè)實(shí)際,認(rèn)真制定本企業(yè)具體工作的實(shí)施方案����,于2008年1月18日前報省通信管理局審核,確保我省電信網(wǎng)絡(luò)安全防護(hù)工作順利���、快速開展�����。
?�。ㄈ┦⊥ㄐ殴芾砭殖袚?dān)我省電信網(wǎng)絡(luò)安全防護(hù)工作的組織部署�����,并負(fù)責(zé)與其他相關(guān)部門進(jìn)行協(xié)調(diào)�����。省各電信運(yùn)營企業(yè)在電信網(wǎng)絡(luò)安全防護(hù)工作中的實(shí)施�����、監(jiān)督和檢查等工作要按照省通信管理局的統(tǒng)一要求進(jìn)行�。
(四)及時總結(jié)�����,提出建議��。在電信網(wǎng)絡(luò)安全防護(hù)工作開展過程中��,省各電信運(yùn)營企業(yè)應(yīng)結(jié)合開展工作的實(shí)際����,認(rèn)真總結(jié)經(jīng)驗(yàn)和不足,提出進(jìn)一步完善電信網(wǎng)絡(luò)安全防護(hù)相關(guān)標(biāo)準(zhǔn)和管理工作的意見和建議��,為我省順利開展電信網(wǎng)絡(luò)安全防護(hù)工作提供有益經(jīng)驗(yàn)�����。
