電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南

1、YD中華人民共和國(guó)信息產(chǎn)業(yè)部 發(fā)布20××-××-××實(shí)施20××-××-××發(fā)布電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南Implementation Guide for Classified Security Protection of Telecom Network and Internet（送審稿）YD/T ××××200×中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)目 次目 次I前 言III電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南11 范圍12 規(guī)

2、范性引用文件13 術(shù)語和定義14 安全等級(jí)保護(hù)概述34.1 安全等級(jí)保護(hù)對(duì)象34.2 安全等級(jí)保護(hù)目標(biāo)35 安全等級(jí)保護(hù)的實(shí)施過程45.1 基本原則45.2 相關(guān)角色和職責(zé)45.3 基本過程55.4 安全等級(jí)保護(hù)工作與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系76 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級(jí)86.1 定級(jí)方法86.2 定級(jí)的主要活動(dòng)106.3 電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述116.4 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分126.5 安全等級(jí)確定127 安全規(guī)劃設(shè)計(jì)137.1 主要活動(dòng)137.2 安全需求分析137.3 安全總體設(shè)計(jì)157.4 安全建設(shè)規(guī)劃158 安全實(shí)施158.1 主要活動(dòng)158.2 安全方

3、案詳細(xì)設(shè)計(jì)178.3 安全詳細(xì)設(shè)計(jì)方案實(shí)施178.4 安全等級(jí)保護(hù)檢測(cè)189 安全運(yùn)維189.1 主要活動(dòng)189.2 運(yùn)行管理和控制199.3 變更管理和控制209.4 安全狀態(tài)監(jiān)控209.5 安全事件處置和應(yīng)急預(yù)案219.6 安全檢查和持續(xù)改進(jìn)229.7 安全等級(jí)保護(hù)檢測(cè)2310 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止2310.1 主要活動(dòng)2310.2 信息轉(zhuǎn)移、暫存或清除2410.3 設(shè)備遷移或廢棄2510.4 存儲(chǔ)介質(zhì)的清除或銷毀2510.5 安全等級(jí)保護(hù)檢測(cè)26附錄A （規(guī)范性附錄） 安全等級(jí)的計(jì)算方法26A.1對(duì)數(shù)法26A.2矩陣法27附錄B （資料性附錄） 定級(jí)實(shí)例27前 言電信網(wǎng)和互聯(lián)網(wǎng)安

4、全等級(jí)保護(hù)實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南固定網(wǎng)安全防護(hù)要求移動(dòng)網(wǎng)安全防護(hù)要求互聯(lián)網(wǎng)安全防護(hù)要求增值業(yè)務(wù)網(wǎng)（消息網(wǎng)）安全防護(hù)要求增值業(yè)務(wù)網(wǎng)（智能網(wǎng)）安全防護(hù)要求接入網(wǎng)安全防護(hù)要求傳送網(wǎng)安全防護(hù)要求IP承載網(wǎng)安全防護(hù)要求核心網(wǎng)安全防護(hù)要求信令網(wǎng)安全防護(hù)要求同步網(wǎng)安全防護(hù)要求支撐網(wǎng)安全防護(hù)要求網(wǎng)絡(luò)終端安全防護(hù)要求固定網(wǎng)安全防護(hù)檢測(cè)要求移動(dòng)網(wǎng)安全防護(hù)檢測(cè)要求互聯(lián)網(wǎng)安全防護(hù)檢測(cè)要求增值業(yè)務(wù)網(wǎng)（消息網(wǎng)）安全防護(hù)檢測(cè)要求增值業(yè)務(wù)網(wǎng)（智能網(wǎng)）安全防護(hù)檢測(cè)要求接入網(wǎng)安全防護(hù)檢測(cè)要求傳送網(wǎng)安全防護(hù)檢測(cè)要求IP承載網(wǎng)安全防護(hù)檢測(cè)要求核心網(wǎng)安全防護(hù)檢測(cè)要求信令網(wǎng)安全防護(hù)

5、檢測(cè)要求同步網(wǎng)安全防護(hù)檢測(cè)要求支撐網(wǎng)安全防護(hù)檢測(cè)要求網(wǎng)絡(luò)終端安全防護(hù)檢測(cè)要求電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南1 范圍本標(biāo)準(zhǔn)規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)的概念、對(duì)象、目標(biāo)，安全等級(jí)劃分原則，并結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)的生命周期定義了電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施過程中的主要階段及主要活動(dòng)。本標(biāo)準(zhǔn)適用于電信網(wǎng)和互聯(lián)網(wǎng)的安全等級(jí)保護(hù)工作。本標(biāo)準(zhǔn)是電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)的總體指導(dǎo)性文件，針對(duì)具體網(wǎng)絡(luò)的安全等級(jí)保護(hù)可參考具體網(wǎng)絡(luò)的安全防護(hù)要求和安全防護(hù)檢測(cè)要求。2 規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均

6、不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T 5271.8-2001信息技術(shù) 詞匯 第8部分：安全GB/T xxxx-xxxx信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南GB/T xxxx-xxxx信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南GB/T xxxx-xxxx信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施規(guī)范GB/T xxxx-xxxx信息安全風(fēng)險(xiǎn)管理指南GB/T xxxx-xxxx3 術(shù)語和定義GB/T 5271.8-2001確立的術(shù)語和定義，以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1 電信網(wǎng) telecom network利用有線和/或無線的電磁

7、、光電系統(tǒng)，進(jìn)行文字、聲音、數(shù)據(jù)、圖象或其它任何媒體的信息傳遞的網(wǎng)絡(luò)，包括固定網(wǎng)、移動(dòng)網(wǎng)等。3.2電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系 security protection architecture of telecom network and Internet電信網(wǎng)和互聯(lián)網(wǎng)的安全等級(jí)保護(hù)、安全風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份及恢復(fù)三項(xiàng)工作互為依托、互為補(bǔ)充、相互配合，共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系。3.3電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng) systems of telecom network and Internet組成電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)系統(tǒng)，包括接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等

8、。其中，接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH等，核心網(wǎng)包括固定交換、移動(dòng)交換、軟交換、集群、衛(wèi)星網(wǎng)、3G和下一代網(wǎng)絡(luò)相關(guān)的核心網(wǎng)等，而支撐網(wǎng)包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。3.4 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí) security classification of telecom network and Internet電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全重要程度的表征。重要程度可從電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后，對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成的損害來衡量。3.5 電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù) classified security protectio

9、n of telecom network and Internet指對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)分等級(jí)實(shí)施安全保護(hù)。3.6電信網(wǎng)和互聯(lián)網(wǎng)基本保護(hù)要求 basic protection requirements of telecom network and Internet為確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)具有與其安全等級(jí)相對(duì)應(yīng)的安全保護(hù)能力應(yīng)該滿足的最低要求。3.7 電信網(wǎng)和互聯(lián)網(wǎng)安全檢測(cè) security testing of telecom network and Internet對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力是否達(dá)到相應(yīng)保護(hù)要求進(jìn)行衡量。3.8電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn) security

10、 risk of telecom network and Internet人為或自然的威脅利用電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。3.9security risk assessment of telecom network and Internet3.10災(zāi)難 disaster of telecom network and Internet由于人為或自然的原因，造成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)故障或癱瘓，使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時(shí)間的突發(fā)性事件。3.11backup for disaster recover

11、y of telecom network and Internet電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)相關(guān)網(wǎng)絡(luò)要素3.12 disaster recovery of telecom network and Internet及相關(guān)系統(tǒng)4 安全等級(jí)保護(hù)概述4.1 安全等級(jí)保護(hù)對(duì)象電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)的主要對(duì)象是電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，包括固定網(wǎng)、移動(dòng)網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務(wù)網(wǎng)、接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等。其中，增值業(yè)務(wù)網(wǎng)則包括消息網(wǎng)、智能網(wǎng)等業(yè)務(wù)平臺(tái)以及業(yè)務(wù)管理平臺(tái)，接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH等，核心網(wǎng)包括固定交換、移動(dòng)

12、交換、軟交換、集群、衛(wèi)星網(wǎng)、3G和下一代網(wǎng)絡(luò)相關(guān)的核心網(wǎng)等，支撐網(wǎng)包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。安全等級(jí)保護(hù)的具體工作涉及到對(duì)電信網(wǎng)和互聯(lián)網(wǎng)分等級(jí)實(shí)施安全保護(hù)、對(duì)電信網(wǎng)和互聯(lián)網(wǎng)中使用的安全產(chǎn)品實(shí)行分等級(jí)管理、對(duì)電信網(wǎng)和互聯(lián)網(wǎng)中發(fā)生的安全事件分等級(jí)處理等內(nèi)容。本標(biāo)準(zhǔn)主要關(guān)注于對(duì)電信網(wǎng)和互聯(lián)網(wǎng)分等級(jí)實(shí)施安全保護(hù)提供指導(dǎo)，關(guān)于國(guó)家對(duì)電信網(wǎng)和互聯(lián)網(wǎng)使用的安全產(chǎn)品實(shí)行分等級(jí)管理以及電信網(wǎng)和互聯(lián)網(wǎng)發(fā)生的安全事件實(shí)行分等級(jí)處理的管理參見其它的相關(guān)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)后續(xù)內(nèi)容中所指的“安全等級(jí)保護(hù)”，其含義均為“對(duì)電信網(wǎng)和互聯(lián)網(wǎng)分等級(jí)實(shí)施安全保護(hù)”。4.2 安全等級(jí)保護(hù)目標(biāo)5 安全等級(jí)保護(hù)的實(shí)施過程5.1 基本原則在主管部

13、門的監(jiān)督指導(dǎo)下，各網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商遵照本系列標(biāo)準(zhǔn)中確定的安全等級(jí)，對(duì)本單位的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)自主實(shí)施安全保護(hù)。各運(yùn)營(yíng)商在對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行新建、改建、擴(kuò)建時(shí)，應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)其安全方案，投入一定比例的資金實(shí)施安全方案，保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)與其所屬安全等級(jí)的要求相適應(yīng)。通過對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)劃分不同的安全等級(jí)，提出不同程度的安全保護(hù)要求，實(shí)現(xiàn)不同等級(jí)的安全保護(hù)，集中資源優(yōu)先保護(hù)關(guān)鍵的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)。5.2 相關(guān)角色和職責(zé)對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實(shí)施安全等級(jí)保護(hù)的過程中涉及到各類組織和人員，不同組織和人員將會(huì)參與不同或相同的活動(dòng)。安全等級(jí)保護(hù)實(shí)施過

14、程中各類角色及其職責(zé)如下：a) 主管部門主管部門的主要職責(zé)是監(jiān)督、管理網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商遵照本系列標(biāo)準(zhǔn)中確定的安全等級(jí)和安全等級(jí)保護(hù)的要求對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級(jí)保護(hù)；對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的安全等級(jí)保護(hù)工作開展情況進(jìn)行檢查，發(fā)現(xiàn)存在安全隱患或未達(dá)到安全等級(jí)保護(hù)要求的，責(zé)令其限期整改。安全等級(jí)保護(hù)工作的主管部門是信息產(chǎn)業(yè)部和相關(guān)電信管理局。b) 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的主要職責(zé)是根據(jù)本系列標(biāo)準(zhǔn)中確定的安全等級(jí)和安全等級(jí)保護(hù)的要求對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級(jí)保護(hù)的實(shí)施工作，包括規(guī)劃設(shè)計(jì)、建設(shè)施工、運(yùn)維、廢棄等；對(duì)安全等級(jí)是自主保護(hù)級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相

15、關(guān)系統(tǒng)，加強(qiáng)其自主保護(hù)工作，對(duì)安全等級(jí)是指導(dǎo)保護(hù)級(jí)、監(jiān)督保護(hù)級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，根據(jù)主管部門的要求上報(bào)其等級(jí)保護(hù)工作的實(shí)施情況；定期對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全狀況檢查，及時(shí)消除安全隱患和漏洞；加強(qiáng)和完善自身安全等級(jí)保護(hù)制度的建設(shè)，制定不同等級(jí)安全事件的響應(yīng)、處置預(yù)案，加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全管理。c) 設(shè)備制造商設(shè)備制造商的主要職責(zé)是遵照本系列標(biāo)準(zhǔn)中的安全等級(jí)保護(hù)要求開發(fā)安全的網(wǎng)絡(luò)設(shè)備，提交網(wǎng)絡(luò)設(shè)備進(jìn)行入網(wǎng)測(cè)試，并且銷售安全的網(wǎng)絡(luò)設(shè)備。d) 檢測(cè)機(jī)構(gòu)檢測(cè)機(jī)構(gòu)必須是由信息產(chǎn)業(yè)部授權(quán)的具有安全防護(hù)檢測(cè)服務(wù)資質(zhì)的機(jī)構(gòu)。檢測(cè)機(jī)構(gòu)的主要職責(zé)是根據(jù)主管部門或網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)

16、營(yíng)商的委托，按照本系列標(biāo)準(zhǔn)對(duì)已經(jīng)完成安全等級(jí)保護(hù)建設(shè)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全檢測(cè)。e) 安全服務(wù)商安全服務(wù)商應(yīng)按照國(guó)家和信息產(chǎn)業(yè)部的相關(guān)規(guī)定,在本系列標(biāo)準(zhǔn)的指導(dǎo)下，根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的要求協(xié)助其實(shí)施安全等級(jí)保護(hù)工作。5.3 基本過程圖1 安全等級(jí)保護(hù)實(shí)施的基本過程安全等級(jí)保護(hù)的五個(gè)主要階段及其主要活動(dòng)為：a) 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級(jí)階段定級(jí)階段主要包括對(duì)電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述、電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分以及電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全等級(jí)確定等幾個(gè)主要安全活動(dòng)。通過對(duì)電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述，進(jìn)一步劃分電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)，根據(jù)本標(biāo)準(zhǔn)中的定級(jí)方法科學(xué)準(zhǔn)確地確定各電信

17、網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)。b) 安全規(guī)劃設(shè)計(jì)階段安全規(guī)劃設(shè)計(jì)階段主要包括安全需求分析、安全總體設(shè)計(jì)、安全建設(shè)規(guī)劃等幾個(gè)主要活動(dòng)。通過安全需求分析判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全防護(hù)要求中安全等級(jí)保護(hù)要求之間的差距，確定安全需求；然后根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的實(shí)際情況，設(shè)計(jì)出合理的、滿足安全等級(jí)保護(hù)要求的總體安全方案，并制定出安全建設(shè)的規(guī)劃，以指導(dǎo)后續(xù)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)工程實(shí)施。c) 安全實(shí)施階段安全實(shí)施階段主要包括安全方案詳細(xì)設(shè)計(jì)、詳細(xì)設(shè)計(jì)方案的實(shí)施、安全等級(jí)保護(hù)檢測(cè)等幾個(gè)主要活動(dòng)。通過安全方案詳細(xì)設(shè)計(jì)，將規(guī)劃設(shè)計(jì)階段的總體安全方案和安全建設(shè)方案具體

18、落實(shí)到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中去，最終提交滿足安全需求的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)、配套的安全技術(shù)和管理體系。在網(wǎng)絡(luò)實(shí)際運(yùn)行之前，需要由主管部門組織并委托檢測(cè)機(jī)構(gòu)對(duì)安全等級(jí)保護(hù)工作的實(shí)施情況進(jìn)行檢測(cè)，確保其達(dá)到安全防護(hù)要求。d) 安全運(yùn)維階段安全運(yùn)維階段需要進(jìn)行的安全控制活動(dòng)很多，本標(biāo)準(zhǔn)描述一些重要的安全控制活動(dòng)。通過運(yùn)行管理和控制、變更管理和控制、對(duì)安全狀態(tài)進(jìn)行監(jiān)控，對(duì)發(fā)生的安全事件及時(shí)響應(yīng)，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常運(yùn)行；通過安全檢查和持續(xù)改進(jìn)不斷跟蹤電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變化，并依據(jù)變化調(diào)整其安全等級(jí)和措施，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)滿足相應(yīng)安全等級(jí)的要求。e) 電信網(wǎng)和互聯(lián)

19、網(wǎng)及相關(guān)系統(tǒng)終止階段 終止階段的主要活動(dòng)包括對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的信息轉(zhuǎn)移、暫存或清除，對(duì)設(shè)備遷移或廢棄，對(duì)存儲(chǔ)介質(zhì)的清除或銷毀。核心關(guān)注點(diǎn)是對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中過時(shí)或無用部分進(jìn)行報(bào)廢處理的過程，防止敏感信息泄漏。在安全運(yùn)維階段，當(dāng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)局部調(diào)整等原因?qū)е掳踩胧┑淖兓瘯r(shí)，如果不影響其安全等級(jí)，應(yīng)從安全運(yùn)維階段進(jìn)入安全實(shí)施階段，重新調(diào)整和實(shí)施安全措施，確保滿足安全等級(jí)保護(hù)的要求；當(dāng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)發(fā)生重大變更影響其安全等級(jí)時(shí)，應(yīng)從安全運(yùn)維階段進(jìn)入定級(jí)階段，重新開始一次安全等級(jí)保護(hù)的實(shí)施過程。5.4 安全等級(jí)保護(hù)工作與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)

20、系電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的生命周期包括五個(gè)階段，即啟動(dòng)階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段和廢棄階段。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)工作將貫穿其生命周期的各個(gè)階段。安全等級(jí)保護(hù)工作可分為：對(duì)新建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)和對(duì)已建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)，兩者在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期中的切入點(diǎn)是不同的，但是安全等級(jí)保護(hù)工作的主要活動(dòng)基本相同，其安全等級(jí)保護(hù)過程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系如圖2所示。圖2 安全等級(jí)保護(hù)過程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在生命周期中的各個(gè)階段應(yīng)同步考慮安全等級(jí)保護(hù)的主要活

21、動(dòng)。在啟動(dòng)階段，應(yīng)該仔細(xì)分析和合理劃分各個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，確定各個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)，定級(jí)過程也可能在設(shè)計(jì)階段；在設(shè)計(jì)階段，應(yīng)該根據(jù)各個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)，進(jìn)行安全規(guī)劃設(shè)計(jì)；在實(shí)施階段，應(yīng)在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)建設(shè)的同時(shí)，同步進(jìn)行安全措施的實(shí)施；在運(yùn)維階段，應(yīng)按照本系列標(biāo)準(zhǔn)中安全等級(jí)保護(hù)的要求進(jìn)行安全運(yùn)維；在廢棄階段，應(yīng)對(duì)廢棄的設(shè)備、信息或存儲(chǔ)介質(zhì)等進(jìn)行有效的安全管理。已建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)通常處于運(yùn)維階段，由于在啟動(dòng)階段、設(shè)計(jì)階段和實(shí)施階段可能沒有同步考慮安全等級(jí)保護(hù)的要求或者對(duì)安全等級(jí)保護(hù)的要求考慮不足，因此應(yīng)在運(yùn)維階段啟動(dòng)安全等級(jí)保護(hù)

22、工作，安全等級(jí)保護(hù)過程中的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級(jí)、安全規(guī)劃設(shè)計(jì)、安全實(shí)施的主要活動(dòng)都將在生命周期的運(yùn)維階段完成。由于是已經(jīng)存在的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，工作的重點(diǎn)是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上，根據(jù)安全等級(jí)保護(hù)要求，在安全規(guī)劃設(shè)計(jì)階段如何制定滿足要求的補(bǔ)充的安全建設(shè)方案，在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)/應(yīng)用的情況下，分步驟分階段分目標(biāo)地使各類安全補(bǔ)救措施可以順利落實(shí)。在已建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)基礎(chǔ)上進(jìn)行擴(kuò)容的安全等級(jí)保護(hù)工作，擴(kuò)容部分應(yīng)與新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)過程一致。6 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級(jí)6.1 定級(jí)方法電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中，確定安全等級(jí)是

23、進(jìn)行安全等級(jí)保護(hù)的前提和基礎(chǔ)，直接影響和指導(dǎo)安全防護(hù)體系中的安全風(fēng)險(xiǎn)評(píng)估和災(zāi)難備份及恢復(fù)工作。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)應(yīng)根據(jù)本標(biāo)準(zhǔn)確定安全等級(jí)，以保證定級(jí)的科學(xué)性和準(zhǔn)確性。在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進(jìn)行安全等級(jí)劃分的總體原則是：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的損害程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可以劃分為三個(gè)安全等級(jí)，分別為自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí)和監(jiān)督保護(hù)級(jí)，其中監(jiān)督保護(hù)級(jí)又分為普通監(jiān)督保護(hù)級(jí)和重點(diǎn)監(jiān)督保護(hù)級(jí)。主管部門對(duì)不同級(jí)別的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實(shí)行不同等級(jí)的監(jiān)管。第1級(jí) 自主保護(hù)級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后僅對(duì)其所

24、有者的利益產(chǎn)生損害，但是不損害國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益。本級(jí)按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第2級(jí) 指導(dǎo)保護(hù)級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對(duì)社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成輕微損害。本級(jí)在主管部門的指導(dǎo)下，按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第3級(jí) 監(jiān)督保護(hù)級(jí)分為兩種情況：3.1級(jí) 普通監(jiān)督保護(hù)級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成較大損害。本級(jí)按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，主管部門對(duì)其進(jìn)行監(jiān)督、檢查。3.2級(jí) 重點(diǎn)監(jiān)督保護(hù)級(jí)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)

25、、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商造成嚴(yán)重?fù)p害。本級(jí)按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，主管部門對(duì)其進(jìn)行重點(diǎn)監(jiān)督、檢查。決定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)的具體定級(jí)要素及其賦值如下：a）電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力表示其無法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響程度，電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力賦值如表1所示。表1 對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力賦值表社會(huì)影響力定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較小1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩

26、序、經(jīng)濟(jì)建設(shè)、公共利益的影響較大2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響很大3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響非常大4b）電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性表示其提供的服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的影響程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值如表2所示。表2 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值表所提供服務(wù)的重要性定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性一般，無法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生較小的影響1電信網(wǎng)和互聯(lián)網(wǎng)

27、及相關(guān)系統(tǒng)所提供服務(wù)的重要性較高，無法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生較大的影響2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性很高，無法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生很大的影響3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性非常高，無法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生非常大的影響4c）電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模表示其服務(wù)的用戶數(shù)多少，服務(wù)范圍表示其服務(wù)的地區(qū)范圍大小，電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍賦值如表3所示。表3 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍賦值表規(guī)模和服務(wù)范圍定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會(huì)對(duì)較少的用戶和較小地區(qū)造

28、成影響1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會(huì)對(duì)較多的用戶和較大地區(qū)造成影響2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會(huì)對(duì)很多的用戶和很大地區(qū)造成影響3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會(huì)對(duì)非常多的用戶和非常大地區(qū)造成影響4在確定好電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力、所提供服務(wù)的重要性、規(guī)模和服務(wù)范圍三個(gè)定級(jí)要素的賦值后，附錄A中列舉的幾種安全等級(jí)計(jì)算方法可做參考。安全等級(jí)確定可能不是一個(gè)過程就可以完成的，可能需要經(jīng)過定級(jí)要素賦值、定級(jí)、定級(jí)結(jié)果調(diào)整的循環(huán)過程，最終才能確定出較為科學(xué)、準(zhǔn)確的安全等級(jí)。6.2 定級(jí)的主要活動(dòng)定級(jí)階段主要活動(dòng)如圖3所示。包括如下的主要活動(dòng)：第1步 電信

29、網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述充分利用查詢相關(guān)文檔、編制調(diào)查表、與有關(guān)人員訪談、現(xiàn)場(chǎng)實(shí)地觀察等多種方式盡可能多地收集、分析和整理電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)信息，在此基礎(chǔ)上形成準(zhǔn)確的電信網(wǎng)和互聯(lián)網(wǎng)總體描述文件。第2步 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分將復(fù)雜的電信網(wǎng)和互聯(lián)網(wǎng)劃分為相對(duì)獨(dú)立的電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)，便于定級(jí)、規(guī)劃設(shè)計(jì)、實(shí)施、運(yùn)維和終止等安全等級(jí)保護(hù)活動(dòng)的開展。第3步 安全等級(jí)確定依據(jù)本標(biāo)準(zhǔn)中的定級(jí)方法確定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)。圖3 定級(jí)階段的主要活動(dòng)6.3 電信網(wǎng)和互聯(lián)網(wǎng)的識(shí)別和描述活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)文檔、管理文檔活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件活動(dòng)描述：電信網(wǎng)和互聯(lián)網(wǎng)

30、的識(shí)別和描述過程主要包括以下活動(dòng)內(nèi)容：a) 識(shí)別電信網(wǎng)和互聯(lián)網(wǎng)的基本信息調(diào)查了解電信網(wǎng)和互聯(lián)網(wǎng)的企業(yè)特征、業(yè)務(wù)范圍、地理位置以及電信網(wǎng)和互聯(lián)網(wǎng)其它基本情況。b) 識(shí)別電信網(wǎng)和互聯(lián)網(wǎng)的管理信息了解電信網(wǎng)和互聯(lián)網(wǎng)的組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在電信網(wǎng)和互聯(lián)網(wǎng)運(yùn)行中的作用、崗位職責(zé)，獲得支持電信網(wǎng)和互聯(lián)網(wǎng)運(yùn)營(yíng)的管理方面的信息。c) 識(shí)別電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)信息了解電信網(wǎng)和互聯(lián)網(wǎng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、硬件設(shè)備的部署情況、業(yè)務(wù)/應(yīng)用的種類和特性、信息資產(chǎn)的重要性程度、用戶范圍和用戶類型等信息。d) 描述電信網(wǎng)和互聯(lián)網(wǎng)對(duì)收集的信息進(jìn)行整理、分析，形成電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件?？傮w描述文件

31、應(yīng)包含電信網(wǎng)和互聯(lián)網(wǎng)的基本情況、管理方面和技術(shù)方面的內(nèi)容。6.4 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件活動(dòng)描述：對(duì)電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分包括以下主要的活動(dòng)：a）劃分電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)總體描述文件，在綜合分析的基礎(chǔ)上將電信網(wǎng)和互聯(lián)網(wǎng)劃分為接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)。b）輸出詳細(xì)描述文件對(duì)電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)劃分后，應(yīng)在總體描述文件的基礎(chǔ)上增加電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)劃分信息的描述，準(zhǔn)確描述分解后的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)

32、信息，包括每個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的概述、網(wǎng)絡(luò)架構(gòu)、設(shè)備部署、業(yè)務(wù)/應(yīng)用的列表、信息資產(chǎn)類型、服務(wù)范圍和用戶類型等技術(shù)和管理方面的內(nèi)容，最終形成詳細(xì)描述文件。6.5 安全等級(jí)確定活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)定級(jí)報(bào)告活動(dòng)描述：安全等級(jí)的確定包括以下主要活動(dòng)內(nèi)容：a） 確定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)根據(jù)本標(biāo)準(zhǔn)中的定級(jí)方法確定各個(gè)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)。電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的安全等級(jí)確定應(yīng)采取本標(biāo)準(zhǔn)的定級(jí)方法。固定網(wǎng)、移動(dòng)網(wǎng)、互聯(lián)網(wǎng)和增值業(yè)務(wù)網(wǎng)的安全等級(jí)的確定可采取兩種方法：一種方

33、法是通過本標(biāo)準(zhǔn)的定級(jí)方法直接確定安全等級(jí)，另一種方法是在構(gòu)成上述網(wǎng)絡(luò)的不同電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的安全等級(jí)基礎(chǔ)上，通過一定的算法（如取最高安全等級(jí)）得到網(wǎng)絡(luò)的安全等級(jí)。具體網(wǎng)絡(luò)的定級(jí)方法參見具體網(wǎng)絡(luò)的安全防護(hù)要求。b） 輸出定級(jí)結(jié)果文檔對(duì)總體描述文件、詳細(xì)描述文件、安全等級(jí)確定結(jié)果等內(nèi)容進(jìn)行整理，形成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)定級(jí)報(bào)告。7 安全規(guī)劃設(shè)計(jì)7.1 主要活動(dòng)圖4 安全規(guī)劃設(shè)計(jì)階段的主要活動(dòng)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可依靠自身的技術(shù)力量或在安全服務(wù)商的協(xié)助下對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全規(guī)劃設(shè)計(jì)，安全規(guī)劃設(shè)計(jì)階段的主要活動(dòng)內(nèi)容如圖4所示，包括：第1步 安全需求分析安全需求分析

34、根據(jù)國(guó)家及企業(yè)的安全目標(biāo)，首先判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全防護(hù)要求中安全等級(jí)保護(hù)要求之間的差距，這種差距作為初步的安全需求；除上述安全需求外，還要通過風(fēng)險(xiǎn)分析的方法確定額外的安全需求，這種需求反映在對(duì)特殊環(huán)境和威脅的安全保護(hù)要求，或?qū)χ匾獙?duì)象的較高保護(hù)要求方面。通過現(xiàn)狀差距的分析和特殊要求的分析，明確完整的安全需求。第2步 安全總體設(shè)計(jì)安全總體設(shè)計(jì)根據(jù)安全需求分析報(bào)告和安全防護(hù)要求中的安全等級(jí)保護(hù)相關(guān)要求，設(shè)計(jì)滿足其所屬的安全等級(jí)要求的安全總體方案，包括安全技術(shù)措施和安全管理措施。第3步 安全建設(shè)規(guī)劃安全建設(shè)規(guī)劃首先根據(jù)安全總體方案，結(jié)合企業(yè)中長(zhǎng)期的發(fā)展規(guī)劃，制定安全建設(shè)的

35、實(shí)施計(jì)劃，形成指導(dǎo)今后一段時(shí)間內(nèi)安全建設(shè)工作的安全建設(shè)規(guī)劃方案。7.2 安全需求分析活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、安全等級(jí)定級(jí)報(bào)告，電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南，其它文檔活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求分析報(bào)告活動(dòng)描述：安全規(guī)劃設(shè)計(jì)階段的安全需求分析包括以下主要活動(dòng)內(nèi)容：a） 確定初步的安全需求通過調(diào)查或查閱資料等方式，確定具體進(jìn)行安全等級(jí)保護(hù)工作的對(duì)象，包括整體對(duì)象（如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等）和具體對(duì)象（如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等）；獲得電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的信息，包括技術(shù)和管理方面的信息，技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)、設(shè)備、

36、數(shù)據(jù)、業(yè)務(wù)/應(yīng)用等信息，管理方面包括安全管理機(jī)構(gòu)、安全管理制度、人員管理、網(wǎng)絡(luò)建設(shè)和運(yùn)維管理等信息。在此基礎(chǔ)上，將其對(duì)應(yīng)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全防護(hù)要求中等級(jí)保護(hù)的管理方面和技術(shù)方面的安全指標(biāo)作為依據(jù)，通過觀察現(xiàn)場(chǎng)、詢問人員、查詢資料、檢查記錄等方式進(jìn)行安全管理方面的比較，通過觀察現(xiàn)場(chǎng)、詢問人員、查詢資料、檢查記錄、檢查配置、技術(shù)測(cè)試、滲透攻擊等方式進(jìn)行安全技術(shù)方面的比較，通過將安全等級(jí)保護(hù)對(duì)象的安全現(xiàn)狀與指標(biāo)進(jìn)行逐一對(duì)比，判斷安全管理和技術(shù)的各個(gè)方面與等級(jí)保護(hù)要求中的基本安全要求之間的差距，給出初步的安全需求。b） 制定額外的安全需求在安全現(xiàn)狀和等級(jí)保護(hù)指標(biāo)對(duì)比后確定初步的安全需求基

37、礎(chǔ)上，參照電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南，通過風(fēng)險(xiǎn)評(píng)估可以確定額外的安全需求，即通過分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的重要資產(chǎn)的價(jià)值、資產(chǎn)的脆弱性、面臨的威脅、以及已經(jīng)采取的安全措施，判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可能存在的安全風(fēng)險(xiǎn)，在初步的安全需求的基礎(chǔ)上，制定出額外的安全需求。對(duì)于電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的關(guān)鍵系統(tǒng)和數(shù)據(jù)，為確保在災(zāi)難發(fā)生后網(wǎng)絡(luò)能夠盡快恢復(fù)和繼續(xù)運(yùn)行，應(yīng)制定出有效的災(zāi)難備份及恢復(fù)的額外需求。在制定額外的安全需求時(shí)，應(yīng)明確國(guó)家及企業(yè)的安全目標(biāo)，借鑒以往建設(shè)的類似或相關(guān)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求，并且確保安全需求與其它相關(guān)標(biāo)準(zhǔn)或規(guī)范對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求

38、不發(fā)生沖突。c） 輸出安全需求分析報(bào)告總結(jié)安全指標(biāo)對(duì)比結(jié)果和風(fēng)險(xiǎn)評(píng)估的結(jié)果，獲得電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全現(xiàn)狀的匯總、與安全防護(hù)要求中安全等級(jí)保護(hù)要求的差距匯總和額外的安全需求的匯總，最終形成安全需求分析報(bào)告，報(bào)告中應(yīng)包括安全管理狀況和安全技術(shù)狀況。7.3 安全總體設(shè)計(jì)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、安全等級(jí)定級(jí)報(bào)告、安全需求分析報(bào)告、安全防護(hù)要求活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案活動(dòng)描述：安全總體設(shè)計(jì)包括以下主要活動(dòng)內(nèi)容：a）設(shè)計(jì)各電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全措施對(duì)一個(gè)大型、復(fù)雜電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的構(gòu)成內(nèi)容進(jìn)行抽象處理，提取共性形成模型和要素，如服務(wù)

39、器設(shè)備、構(gòu)成網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備等；根據(jù)安全防護(hù)要求中的等級(jí)保護(hù)相關(guān)要求和安全需求分析報(bào)告，針對(duì)模型要素提出需要實(shí)現(xiàn)的安全措施，包括安全技術(shù)方面的措施和安全管理方面的措施，以指導(dǎo)安全等級(jí)保護(hù)工作的具體實(shí)現(xiàn)。b）設(shè)計(jì)結(jié)果文檔化最終將安全總體設(shè)計(jì)工作的結(jié)果文檔化，形成滿足其所屬的安全等級(jí)要求的安全總體方案，安全總體方案中包括總體安全策略、技術(shù)措施和管理措施等。7.4 安全建設(shè)規(guī)劃活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)方案活動(dòng)描述：安全建設(shè)規(guī)劃包括以下主要活動(dòng)內(nèi)容：a）確定分階段的安全建設(shè)目標(biāo)、內(nèi)容、方案安全建設(shè)規(guī)劃是依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全總

40、體方案、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商當(dāng)前面臨的機(jī)遇和挑戰(zhàn)以及安全建設(shè)時(shí)間和經(jīng)費(fèi)投入狀況，結(jié)合安全需求分析結(jié)果，同時(shí)考慮到網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商的中長(zhǎng)期發(fā)展規(guī)劃，提出分階段的安全建設(shè)目標(biāo)、設(shè)計(jì)建設(shè)內(nèi)容，形成安全建設(shè)方案，重點(diǎn)是形成近期可行的安全建設(shè)方案。安全建設(shè)方案中包括安全技術(shù)建設(shè)規(guī)劃和安全管理建設(shè)規(guī)劃。b）規(guī)劃結(jié)果文檔化最終將安全建設(shè)規(guī)劃的結(jié)果文檔化，形成分階段的安全建設(shè)規(guī)劃，安全總體方案中包括總體安全建設(shè)規(guī)劃、技術(shù)體系建設(shè)規(guī)劃和管理體系建設(shè)規(guī)劃等。8 安全實(shí)施8.1 主要活動(dòng)圖5 安全實(shí)施階段的主要活動(dòng)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可依靠自身的技術(shù)力量或者在安全服務(wù)商、設(shè)備制造商的協(xié)助下按照安全總體方案的總體要求，結(jié)合安

41、全建設(shè)方案，分期分步驟地對(duì)其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)落實(shí)安全措施。安全實(shí)施階段的主要活動(dòng)如圖5所示，包括：第1步 安全方案詳細(xì)設(shè)計(jì)依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)方案，提出本期實(shí)施項(xiàng)目的具體實(shí)施方案，包括安全等級(jí)保護(hù)技術(shù)實(shí)施內(nèi)容的設(shè)計(jì)、安全等級(jí)保護(hù)管理實(shí)施內(nèi)容的設(shè)計(jì)、實(shí)施計(jì)劃以及經(jīng)費(fèi)投入等，以便進(jìn)行本期安全方案的實(shí)施。第2步 詳細(xì)設(shè)計(jì)方案實(shí)施包括安全等級(jí)保護(hù)管理內(nèi)容的實(shí)施和安全等級(jí)保護(hù)技術(shù)內(nèi)容的實(shí)施。安全等級(jí)保護(hù)管理實(shí)施主要是在本期安全詳細(xì)設(shè)計(jì)方案的指導(dǎo)下，建立配套的安全管理機(jī)構(gòu)，建立配套的安全管理制度和操作規(guī)程，進(jìn)行人員的安全技能培訓(xùn)等。保證本期安全實(shí)施完成后，安全運(yùn)維有配套的機(jī)

42、制，從而建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制。安全等級(jí)保護(hù)技術(shù)措施實(shí)施主要是按照安全詳細(xì)設(shè)計(jì)方案，進(jìn)行安全產(chǎn)品采購(gòu)、安全控制開發(fā)、安全控制集成、測(cè)試與驗(yàn)收等主要活動(dòng)，確保安全技術(shù)措施的有效性。安全等級(jí)保護(hù)管理實(shí)施過程和安全等級(jí)保護(hù)技術(shù)實(shí)施過程應(yīng)該同步進(jìn)行。將規(guī)劃階段的安全建設(shè)方案具體落實(shí)到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中去，其最終的成果是提交滿足安全需求的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)和配套的安全管理體系。第3步 安全等級(jí)保護(hù)檢測(cè)根據(jù)主管部門的要求，遵照安全等級(jí)保護(hù)的管理和技術(shù)方面的標(biāo)準(zhǔn)，針對(duì)已經(jīng)實(shí)施了安全等級(jí)保護(hù)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，檢測(cè)實(shí)施的安全保護(hù)措施是否符合相

43、應(yīng)安全等級(jí)的安全防護(hù)要求。8.2 安全方案詳細(xì)設(shè)計(jì)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案、安全建設(shè)方案、各類安全產(chǎn)品技術(shù)白皮書活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案活動(dòng)描述：安全方案詳細(xì)設(shè)計(jì)包括以下主要活動(dòng)內(nèi)容：a）安全等級(jí)保護(hù)實(shí)施內(nèi)容設(shè)計(jì)安全等級(jí)保護(hù)技術(shù)實(shí)施內(nèi)容的設(shè)計(jì)是根據(jù)本期建設(shè)目標(biāo)和建設(shè)內(nèi)容，將安全總體方案和安全建設(shè)方案本階段中的要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出指定的產(chǎn)品或組件及其具體規(guī)范，明確安全產(chǎn)品的功能和性能要求設(shè)計(jì)，網(wǎng)絡(luò)或設(shè)備的部署方案。安全等級(jí)保護(hù)管理實(shí)施內(nèi)容的設(shè)計(jì)是根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商當(dāng)前安全管理和技術(shù)需要提出與安全總體方案中管理部分相適應(yīng)的本期安

44、全實(shí)施內(nèi)容，以保證安全技術(shù)建設(shè)的同時(shí)，安全管理的同步建設(shè)。安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。b）設(shè)計(jì)結(jié)果文檔化將安全等級(jí)保護(hù)技術(shù)實(shí)施和安全等級(jí)保護(hù)管理實(shí)施內(nèi)容匯總，同時(shí)考慮工時(shí)和費(fèi)用，最后形成安全詳細(xì)設(shè)計(jì)方案，指導(dǎo)具體的安全實(shí)施。8.3 安全詳細(xì)設(shè)計(jì)方案實(shí)施活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全管理規(guī)章制度、驗(yàn)收?qǐng)?bào)告活動(dòng)描述：安全詳細(xì)設(shè)計(jì)方案的具體實(shí)施包括以下主要活動(dòng)內(nèi)容：a）實(shí)施安全詳細(xì)設(shè)計(jì)方案在本期安全詳細(xì)設(shè)計(jì)方案的指導(dǎo)下，進(jìn)行安全等級(jí)保護(hù)管理實(shí)施和安全等級(jí)保護(hù)技術(shù)實(shí)施。

45、安全等級(jí)保護(hù)管理實(shí)施主要是建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制。安全等級(jí)保護(hù)管理實(shí)施包括建立配套的安全管理機(jī)構(gòu)和人員，建立配套的安全管理制度和操作規(guī)程，進(jìn)行人員的安全技能培訓(xùn)等，并且在安全實(shí)施過程中，對(duì)工程的質(zhì)量、進(jìn)度、文檔和變更等方面的工作進(jìn)行監(jiān)督控制和科學(xué)管理。安全等級(jí)保護(hù)技術(shù)實(shí)施主要是保證按照安全詳細(xì)設(shè)計(jì)方案實(shí)現(xiàn)各項(xiàng)安全技術(shù)措施，包括安全產(chǎn)品采購(gòu)、安全控制開發(fā)、安全控制集成、測(cè)試與驗(yàn)收等主要活動(dòng)環(huán)節(jié)。安全產(chǎn)品采購(gòu)是按照安全詳細(xì)設(shè)計(jì)方案中對(duì)于產(chǎn)品的具體指標(biāo)要求進(jìn)行產(chǎn)品采購(gòu)，根據(jù)產(chǎn)品或產(chǎn)品組合實(shí)現(xiàn)的功能滿足安全設(shè)計(jì)要求的情況來選購(gòu)所需的安全產(chǎn)品；安全控制開發(fā)是

46、對(duì)于一些不能通過采購(gòu)現(xiàn)有安全產(chǎn)品來實(shí)現(xiàn)的安全措施和安全功能，通過專門進(jìn)行的設(shè)計(jì)、開發(fā)來實(shí)現(xiàn)；安全控制集成依據(jù)安全詳細(xì)設(shè)計(jì)方案，將安全產(chǎn)品、軟件平臺(tái)和開發(fā)的安全控制模塊與各種應(yīng)用綜合、整合成為一個(gè)系統(tǒng)；最后通過測(cè)試驗(yàn)收檢驗(yàn)系統(tǒng)是否嚴(yán)格按照安全詳細(xì)設(shè)計(jì)方案進(jìn)行建設(shè)，是否實(shí)現(xiàn)了設(shè)計(jì)的功能和性能，從而確保安全技術(shù)措施的有效性。b）實(shí)施結(jié)果文檔化在本期安全實(shí)施完成后，建成滿足安全需求并通過測(cè)試驗(yàn)收的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，提交驗(yàn)收?qǐng)?bào)告，內(nèi)容包括安全產(chǎn)品清單及其信息、驗(yàn)收過程及結(jié)果等；提交配套的安全管理規(guī)章和制度。8.4 安全等級(jí)保護(hù)檢測(cè)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)定級(jí)報(bào)告、驗(yàn)收?qǐng)?bào)告、安

47、全防護(hù)要求、安全防護(hù)檢測(cè)要求，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商提供的其它文檔活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)檢測(cè)報(bào)告活動(dòng)描述：在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全建設(shè)完成后，根據(jù)主管部門的要求對(duì)其進(jìn)行安全等級(jí)保護(hù)檢測(cè)。安全等級(jí)保護(hù)檢測(cè)可由主管部門委托具有資質(zhì)的檢測(cè)機(jī)構(gòu)實(shí)施，或者由網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商實(shí)施，檢測(cè)工作應(yīng)依據(jù)本系列標(biāo)準(zhǔn)中的安全防護(hù)要求和安全防護(hù)檢測(cè)要求，重點(diǎn)對(duì)屬于監(jiān)督保護(hù)級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)管理制度和技術(shù)措施的落實(shí)情況、以及安全現(xiàn)狀的達(dá)標(biāo)情況進(jìn)行檢查，判斷其安全保護(hù)措施是否符合相應(yīng)安全等級(jí)的要求。安全等級(jí)保護(hù)檢測(cè)完成后，檢測(cè)方應(yīng)根據(jù)實(shí)際檢測(cè)情況形成檢測(cè)報(bào)告。9 安全運(yùn)維9.1

48、 主要活動(dòng)安全運(yùn)維是確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)。安全運(yùn)維階段涉及的內(nèi)容較多，本標(biāo)準(zhǔn)關(guān)注網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商在安全運(yùn)維階段進(jìn)行的運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急預(yù)案、安全檢查和持續(xù)改進(jìn)等活動(dòng)，重點(diǎn)描述各個(gè)活動(dòng)的活動(dòng)內(nèi)容，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商可依靠自身的技術(shù)力量或者在安全服務(wù)商、設(shè)備制造商的協(xié)助下進(jìn)行以上活動(dòng)，可根據(jù)自身網(wǎng)絡(luò)實(shí)際情況考慮對(duì)其它安全運(yùn)維活動(dòng)進(jìn)行添加或?qū)顒?dòng)內(nèi)容進(jìn)行刪減。安全運(yùn)維階段的工作還包括根據(jù)主管部門要求對(duì)安全等級(jí)保護(hù)工作落實(shí)情況進(jìn)行檢測(cè)。安全運(yùn)維階段的主要活動(dòng)內(nèi)容如圖6所示。圖6 安全運(yùn)維階段的主要活動(dòng)9.2 運(yùn)行管理和控制活動(dòng)輸入：

49、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案、安全組織機(jī)構(gòu)表活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的運(yùn)行管理人員角色和職責(zé)表、運(yùn)行管理操作規(guī)程、操作過程記錄文件活動(dòng)描述：運(yùn)行管理和控制的目標(biāo)是確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全運(yùn)行，操作人員應(yīng)實(shí)行正確和安全的操作，并且保證不斷變化和種類繁多的運(yùn)行管理活動(dòng)得到控制。本標(biāo)準(zhǔn)中，安全運(yùn)行管理和控制關(guān)注的方面主要是運(yùn)行管理職責(zé)確定和運(yùn)行管理過程控制。運(yùn)行管理和控制包括以下主要活動(dòng)內(nèi)容：a) 運(yùn)行管理職責(zé)確定運(yùn)行管理職責(zé)確定是通過對(duì)運(yùn)行管理活動(dòng)或任務(wù)的角色劃分，并授予相應(yīng)的管理權(quán)限，來確定安全運(yùn)行管理的具體人員和職責(zé)；b) 運(yùn)行管理過程控制運(yùn)行管理過程控制是通

50、過制定運(yùn)行管理操作規(guī)程，確定運(yùn)行管理人員的操作目的、操作內(nèi)容、操作時(shí)間和地點(diǎn)、操作方法和流程、災(zāi)難備份及恢復(fù)的操作及效果等，并進(jìn)行操作過程記錄，確保對(duì)操作過程進(jìn)行控制。安全等級(jí)越高的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，需要控制的運(yùn)行活動(dòng)就越多。c) 輸出結(jié)果文檔通過運(yùn)行管理的職責(zé)確定形成運(yùn)行管理人員角色和職責(zé)表；通過對(duì)運(yùn)行管理過程進(jìn)行控制形成運(yùn)行管理操作規(guī)程，以及操作過程記錄文件。9.3 變更管理和控制活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變更需求活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變更報(bào)告活動(dòng)描述：變更管理和控制的目標(biāo)是確保在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)發(fā)生變化的時(shí)候，使用標(biāo)準(zhǔn)的方法和步驟盡快的實(shí)施變更。運(yùn)

51、行管理和控制包括以下主要活動(dòng)內(nèi)容：a) 變更需求和影響分析通過對(duì)變更需求和變更影響的分析，來確定變更的類別，制定變更方案。b）變更過程控制確保變更實(shí)施過程受到控制，審核變更內(nèi)容，對(duì)各項(xiàng)變化內(nèi)容進(jìn)行記錄，保證變更對(duì)正在運(yùn)行的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的影響最小。c）輸出結(jié)果文檔根據(jù)變更方案和變更實(shí)施過程的各項(xiàng)活動(dòng)，形成變更結(jié)果報(bào)告。9.4 安全狀態(tài)監(jiān)控活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案、驗(yàn)收?qǐng)?bào)告活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全狀態(tài)分析報(bào)告活動(dòng)描述：安全狀態(tài)監(jiān)控包括以下主要活動(dòng)內(nèi)容：a）確定監(jiān)控對(duì)象和工具不同安全等級(jí)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在安全狀態(tài)監(jiān)控方面要求采用的手段

52、和要求監(jiān)控的內(nèi)容會(huì)不同，所以根據(jù)監(jiān)控的必要性和可行性、監(jiān)控的開銷和成本等因素，確定的監(jiān)控對(duì)象，形成監(jiān)控對(duì)象列表；根據(jù)監(jiān)控對(duì)象的特點(diǎn)、監(jiān)控管理的具體要求、監(jiān)控工具的功能、性能特點(diǎn)等，選擇合適的監(jiān)控工具。b）監(jiān)控對(duì)象狀態(tài)通過狀態(tài)監(jiān)控工具對(duì)監(jiān)控對(duì)象的安全狀態(tài)進(jìn)行監(jiān)控，收集來自監(jiān)控對(duì)象的各類狀態(tài)信息，可能包括網(wǎng)絡(luò)流量、日志信息、安全報(bào)警和性能狀況等，或者是來自外部環(huán)境的安全標(biāo)準(zhǔn)和法律法規(guī)的變更信息，識(shí)別和記錄入侵行為。c）監(jiān)控狀態(tài)分析和報(bào)告對(duì)安全狀態(tài)信息進(jìn)行分析，及時(shí)發(fā)現(xiàn)安全事件或安全變更需求，并對(duì)其影響程度和范圍進(jìn)行分析，形成安全狀態(tài)分析報(bào)告。9.5 安全事件處置和應(yīng)急預(yù)案活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及

53、相關(guān)系統(tǒng)的安全狀態(tài)分析報(bào)告，各類安全事件列表活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全事件處置報(bào)告、各類應(yīng)急預(yù)案活動(dòng)描述：安全事件處置和應(yīng)急預(yù)案包括以下主要活動(dòng)內(nèi)容：a）安全事件分級(jí)安全事件采取分級(jí)響應(yīng)與處置的機(jī)制，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商應(yīng)根據(jù)安全事件相關(guān)標(biāo)準(zhǔn)中規(guī)定的安全事件分級(jí)原則和劃分結(jié)果，結(jié)合自身具體的實(shí)際情況，通過預(yù)測(cè)、評(píng)估和分析事件對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的破壞程度，所造成后果嚴(yán)重程度，將安全事件進(jìn)行等級(jí)劃分。b）應(yīng)急預(yù)案制定針對(duì)安全事件等級(jí)，確定需制定應(yīng)急預(yù)案的安全事件對(duì)象。針對(duì)不同等級(jí)、不同優(yōu)先級(jí)的安全事件制定相應(yīng)的應(yīng)急預(yù)案程序，說明應(yīng)急預(yù)案啟動(dòng)的條件，發(fā)生安全事件后要采取的流程和措施

54、等，充分體現(xiàn)自主保護(hù)的原則，保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的持續(xù)運(yùn)行。c）安全事件處置根據(jù)安全狀態(tài)分析報(bào)告分析可能的安全事件，如果明確為安全事件的，則需采取適當(dāng)?shù)姆椒ㄟM(jìn)行處置，對(duì)安全事件的等級(jí)和影響程度等進(jìn)行分析，確定是否啟動(dòng)應(yīng)急預(yù)案。d）輸出結(jié)果文檔對(duì)安全事件處置過程進(jìn)行總結(jié)，形成安全事件處置報(bào)告，報(bào)告中包括安全事件的類型、等級(jí)和采取的措施等；輸出制定的應(yīng)急預(yù)案。9.6 安全檢查和持續(xù)改進(jìn)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、變更報(bào)告，安全狀態(tài)分析報(bào)告活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全檢查報(bào)告、安全改進(jìn)方案、驗(yàn)收?qǐng)?bào)告安全檢查和持續(xù)改進(jìn)包括以下主要活動(dòng)內(nèi)容：a）安全狀態(tài)檢查在電

55、信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全運(yùn)維過程中，會(huì)發(fā)生電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)變更、安全狀態(tài)改變等情況，因此必須定期對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全檢查。通過安全狀態(tài)檢查，為電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的持續(xù)改進(jìn)過程提供依據(jù)和建議，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力滿足其相應(yīng)等級(jí)的基本安全要求和自身特殊的安全需求。安全檢查可以采用定期的安全等級(jí)保護(hù)檢測(cè)、自我檢查等手段實(shí)現(xiàn)，本節(jié)描述自我檢查過程。風(fēng)險(xiǎn)評(píng)估可以作為安全檢查的一種手段。通過詢問、檢查和測(cè)試等多種手段，進(jìn)行安全狀況檢查，記錄各種檢查活動(dòng)的結(jié)果數(shù)據(jù)，分析安全措施的有效性、安全事件產(chǎn)生的可能性，并可根據(jù)檢查結(jié)果提出對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的

56、改進(jìn)需求和建議等。關(guān)于安全等級(jí)保護(hù)檢測(cè)參見9.7節(jié)。b）改進(jìn)方案制定和實(shí)施根據(jù)安全檢查結(jié)果對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行持續(xù)改進(jìn)，確定安全改進(jìn)的策略，分為如下幾種情況：1） 如果涉及安全等級(jí)的變化，則應(yīng)進(jìn)入安全等級(jí)保護(hù)的一個(gè)新的循環(huán)過程；2） 如果安全等級(jí)不變i. 如果調(diào)整內(nèi)容較多、涉及范圍較大，則應(yīng)對(duì)安全改進(jìn)項(xiàng)目進(jìn)行立項(xiàng)，重新開始安全實(shí)施過程；ii. 如果調(diào)整內(nèi)容較小，則制定安全改進(jìn)方案進(jìn)行局部補(bǔ)充或局部調(diào)整，確定安全改進(jìn)的工作方法、工作內(nèi)容、人員分工、時(shí)間計(jì)劃、管理內(nèi)容的調(diào)整和技術(shù)內(nèi)容的調(diào)整等。然后進(jìn)行安全改進(jìn)方案的實(shí)施，并對(duì)改進(jìn)后的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行驗(yàn)收。通過對(duì)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行持續(xù)改進(jìn)，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力滿足相應(yīng)等級(jí)安全要求和自身特殊的安全需求，確保安全等級(jí)保護(hù)工作的有效性。c）輸出結(jié)果文檔對(duì)安全狀態(tài)檢查后，形成安全檢查報(bào)告；制定安全改進(jìn)方案以及驗(yàn)收?qǐng)?bào)告。9.7 安全等級(jí)保護(hù)檢測(cè)活動(dòng)輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)定級(jí)報(bào)告、驗(yàn)收?qǐng)?bào)告活動(dòng)輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)檢測(cè)報(bào)告活動(dòng)描述：根據(jù)主管部門的要求，遵照安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)對(duì)已經(jīng)完成安全等級(jí)保護(hù)建設(shè)、并投入運(yùn)行的