YDT 4501-2023電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估導(dǎo)則_第1頁(yè)
YDT 4501-2023電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估導(dǎo)則_第2頁(yè)
YDT 4501-2023電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估導(dǎo)則_第3頁(yè)
YDT 4501-2023電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估導(dǎo)則_第4頁(yè)
YDT 4501-2023電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估導(dǎo)則_第5頁(yè)
已閱讀5頁(yè),還剩5頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

ICS33.040.01

CCSM04

YD

中華人民共和國(guó)通信行業(yè)標(biāo)準(zhǔn)

YD/TXXXX—202X

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估導(dǎo)則

Guidelinesforthesecurityevaluationoftelecommunicationsnetwork

operation

(報(bào)批稿)

20××-××-××發(fā)布20××-××-××實(shí)施

中華人民共和國(guó)工業(yè)和信息化部發(fā)布

YD/TXXXX—XXXX

目次

前言...............................................................................................................................................................I

1范圍................................................................................................................................................................2

2規(guī)范性引用文件............................................................................................................................................2

3術(shù)語(yǔ)和定義....................................................................................................................................................2

4電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估概述.........................................................................................................................2

4.1安全評(píng)估目的...................................................................................................................2

4.2安全評(píng)估原則...................................................................................................................2

5安全評(píng)估實(shí)施流程........................................................................................................................................3

6安全評(píng)估準(zhǔn)備................................................................................................................................................3

6.1評(píng)估對(duì)象識(shí)別和確定.......................................................................................................3

6.2組建評(píng)估團(tuán)隊(duì)...................................................................................................................4

6.3確定電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估依據(jù)...................................................................................4

6.4編制電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估方案...................................................................................4

6.5電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估啟動(dòng)...........................................................................................4

7安全評(píng)估執(zhí)行................................................................................................................................................4

7.1資產(chǎn)識(shí)別...........................................................................................................................4

7.2風(fēng)險(xiǎn)識(shí)別...........................................................................................................................4

7.3風(fēng)險(xiǎn)分析...........................................................................................................................5

7.4風(fēng)險(xiǎn)評(píng)價(jià)...........................................................................................................................5

8形成評(píng)估結(jié)論................................................................................................................................................5

9電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估文檔.........................................................................................................................5

10風(fēng)險(xiǎn)再評(píng)估...............................................................................................................................................5

I

YD/TXXXX—XXXX

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估導(dǎo)則

1范圍

本文件規(guī)定了電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估的目的、基本原則和流程。

本文件適用于指導(dǎo)電信網(wǎng)絡(luò)運(yùn)營(yíng)者或第三方機(jī)構(gòu)開(kāi)展電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。其中,凡是注日期的引用文件,僅該日期對(duì)應(yīng)的版本

適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T24353-2009風(fēng)險(xiǎn)管理原則與實(shí)施指南

GB/T27921-2011風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估技術(shù)

GB/T23694-2013風(fēng)險(xiǎn)管理術(shù)語(yǔ)(ISOGUIDE73:2009)

3術(shù)語(yǔ)和定義

GB/T23694-2013界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

資產(chǎn)asset

對(duì)組織具有價(jià)值的信息資源,是安全策略保護(hù)的對(duì)象。

3.2

安全評(píng)估securityassessment

安全評(píng)估對(duì)象識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。

3.3

風(fēng)險(xiǎn)分析riskanalysis

理解風(fēng)險(xiǎn)的本質(zhì)和確定風(fēng)險(xiǎn)水平的過(guò)程。

3.4

風(fēng)險(xiǎn)評(píng)價(jià)riskevaluation

將風(fēng)險(xiǎn)分析結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較,以確定風(fēng)險(xiǎn)和/或其大小是否可接受或可容忍的過(guò)程。

4電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估概述

4.1安全評(píng)估目的

建立電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估目的主要針對(duì)目前電信網(wǎng)絡(luò)運(yùn)行中因設(shè)計(jì)、實(shí)現(xiàn)和管理上的缺陷和缺少

必要的安全防護(hù)措施而面臨各種安全問(wèn)題和風(fēng)險(xiǎn)等,制定一套相對(duì)完整、可實(shí)施、指標(biāo)化的運(yùn)行安全評(píng)

估規(guī)范,通過(guò)對(duì)電信網(wǎng)絡(luò)運(yùn)行系統(tǒng)開(kāi)展安全性評(píng)估,幫助電信網(wǎng)絡(luò)管理者了解電信網(wǎng)絡(luò)運(yùn)行可能帶來(lái)的

安全風(fēng)險(xiǎn),為其優(yōu)化電信網(wǎng)絡(luò)運(yùn)行設(shè)計(jì)方案,制定嚴(yán)格的管理制度提供參考依據(jù)。

4.2安全評(píng)估原則

4.2.1對(duì)象清晰原則

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估工作應(yīng)遵循對(duì)象清晰原則,明確評(píng)估對(duì)象范圍,確定被評(píng)估設(shè)施的邊界,

2

YD/TXXXX—XXXX

明確被評(píng)估對(duì)象涉及的設(shè)施、設(shè)備、信息系統(tǒng)等。

4.2.2場(chǎng)景依賴(lài)原則

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估工作應(yīng)遵循場(chǎng)景依賴(lài)原則,被評(píng)估電信網(wǎng)絡(luò)運(yùn)行的安全風(fēng)險(xiǎn)與其應(yīng)用場(chǎng)景

強(qiáng)相關(guān),評(píng)估電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估其所涉及的各類(lèi)應(yīng)用場(chǎng)景下的安全風(fēng)險(xiǎn),充分發(fā)揮不同專(zhuān)業(yè)領(lǐng)域的

專(zhuān)家作用,合理利用評(píng)估工具以適用不同場(chǎng)景。

4.2.3保密性原則

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估應(yīng)遵循保密性原則,評(píng)估團(tuán)隊(duì)?wèi)?yīng)具備良好的保密意識(shí),應(yīng)按照保密要求對(duì)

評(píng)估過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)進(jìn)管理,避免評(píng)估過(guò)程中出現(xiàn)泄密問(wèn)題。

4.2.4系統(tǒng)性原則

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估應(yīng)遵循系統(tǒng)性原則,統(tǒng)籌考慮被評(píng)估者的日常運(yùn)營(yíng)情況、工作流程、常見(jiàn)

的安全風(fēng)險(xiǎn)因素及次生衍生因素,對(duì)被評(píng)估電信網(wǎng)絡(luò)進(jìn)行系統(tǒng)全面的安全評(píng)估。

5安全評(píng)估實(shí)施流程

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估實(shí)施分為3個(gè)階段,包括:安全評(píng)估準(zhǔn)備階段、安全評(píng)估執(zhí)行階段和形成評(píng)

估結(jié)論。根據(jù)電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估的不同階段,評(píng)估方制定相應(yīng)的工作計(jì)劃,保證評(píng)估工作的順利進(jìn)

行。

安全評(píng)估實(shí)施內(nèi)容見(jiàn)第6~8章,安全評(píng)估實(shí)施流程圖如圖1所示。

圖1安全評(píng)估實(shí)施流程

6安全評(píng)估準(zhǔn)備

6.1評(píng)估對(duì)象識(shí)別和確定

電信網(wǎng)絡(luò)運(yùn)行評(píng)估團(tuán)隊(duì)?wèi)?yīng)對(duì)被評(píng)估對(duì)象進(jìn)行識(shí)別和確定,識(shí)別工作內(nèi)容應(yīng)包括:

a)明確此次開(kāi)展評(píng)估對(duì)象的范圍;

3

YD/TXXXX—XXXX

b)此次評(píng)估對(duì)象的網(wǎng)絡(luò)運(yùn)行安全管理組織架構(gòu)、職責(zé)和人員配備情況;

b)此次評(píng)估對(duì)象的網(wǎng)絡(luò)運(yùn)行安全管理相關(guān)制度、流程;

c)此次評(píng)估對(duì)象相關(guān)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);

d)其他確定評(píng)估對(duì)象的必要信息。

6.2組建評(píng)估團(tuán)隊(duì)

應(yīng)組建風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì),以支持整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程的推進(jìn),以及評(píng)估工作的有效開(kāi)展。該團(tuán)隊(duì)可由組

織管理層、安全、相關(guān)業(yè)務(wù)骨干、具備能力的專(zhuān)業(yè)技術(shù)人員和管理人員等組成。必要時(shí)可以聘請(qǐng)相關(guān)專(zhuān)

業(yè)領(lǐng)域或具備資質(zhì)的專(zhuān)家組成專(zhuān)家小組。

當(dāng)被評(píng)估組織委托網(wǎng)絡(luò)運(yùn)行安全第三方評(píng)估機(jī)構(gòu)開(kāi)展電信網(wǎng)絡(luò)運(yùn)行安全風(fēng)險(xiǎn)評(píng)估時(shí),可與第三方評(píng)

估機(jī)構(gòu)共同組建評(píng)估團(tuán)隊(duì),也可由第三方評(píng)估機(jī)構(gòu)獨(dú)立完成評(píng)估。

6.3確定電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估依據(jù)

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估團(tuán)隊(duì)?wèi)?yīng)確定被評(píng)估組織適用的評(píng)估依據(jù),可能的評(píng)估依據(jù)通常包括:

a)適用的法律、行政法規(guī)、司法解釋?zhuān)?/p>

b)電信主管部門(mén)、公安機(jī)關(guān)等有關(guān)部門(mén)規(guī)章、規(guī)范性文件;

c)現(xiàn)行有關(guān)國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn);

d)被評(píng)估組織的電信網(wǎng)絡(luò)運(yùn)行安全、運(yùn)維應(yīng)急管理等有關(guān)安全要求。

6.4編制電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估方案

項(xiàng)目負(fù)責(zé)人組織制定安全評(píng)估工作方案,對(duì)工作任務(wù)、質(zhì)量要求、時(shí)間進(jìn)度、人員及分工等做出安

排。

根據(jù)評(píng)估依據(jù)和被評(píng)估對(duì)象的安全需求選擇風(fēng)險(xiǎn)評(píng)估方法,使之能夠與電信網(wǎng)絡(luò)的實(shí)際情況和安全

要求相適應(yīng)。

6.5電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估啟動(dòng)

為保障安全評(píng)估工作的順利開(kāi)展,確立工作目標(biāo)、統(tǒng)一思想、協(xié)調(diào)各方資源,應(yīng)召開(kāi)安全評(píng)估工作

啟動(dòng)會(huì)議并形成記錄。啟動(dòng)會(huì)應(yīng)盡量在被評(píng)估方所在地召開(kāi),工作啟動(dòng)會(huì)一般由安全評(píng)估負(fù)責(zé)人組織召

開(kāi),參與人員應(yīng)該包括評(píng)估小組全體人員和相關(guān)業(yè)務(wù)部門(mén)主要負(fù)責(zé)人。

啟動(dòng)會(huì)主要內(nèi)容包括:被評(píng)估方說(shuō)明此次評(píng)估工作的目標(biāo),以及被評(píng)估方人員在評(píng)估工作中的責(zé)任

分工;評(píng)估方說(shuō)明此次評(píng)估工作的計(jì)劃和各階段工作任務(wù),以及需被評(píng)估方配合的具體事項(xiàng)。

被評(píng)估方以及其他相關(guān)人員可通過(guò)啟動(dòng)會(huì)了解評(píng)估內(nèi)容,理解評(píng)估工作的重要性,以及各工作階段

所需配合的工作內(nèi)容。

通過(guò)啟動(dòng)評(píng)估會(huì)議,雙方就評(píng)估內(nèi)容達(dá)成一致,并確定最終評(píng)估方案。

7安全評(píng)估執(zhí)行

本文件參照GB/T24353-2009的5.3,將安全評(píng)估執(zhí)行分為資產(chǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估三個(gè)部

分。安全評(píng)估執(zhí)行內(nèi)容確保和安全評(píng)估工作方案一致,評(píng)估執(zhí)行中不對(duì)現(xiàn)有網(wǎng)絡(luò)造成影響。

7.1資產(chǎn)識(shí)別

電信網(wǎng)絡(luò)運(yùn)行產(chǎn)是具有價(jià)值的資源,是安全策略保護(hù)的對(duì)象。它能夠以多種形式存在,有無(wú)形的、

有形的,有硬件、軟件,有文檔、代碼,也有服務(wù)、形象等。電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估中,資產(chǎn)包括電信

網(wǎng)絡(luò)運(yùn)行設(shè)備、設(shè)施、管理系統(tǒng)、管理平臺(tái)等。

7.2風(fēng)險(xiǎn)識(shí)別

4

YD/TXXXX—XXXX

風(fēng)險(xiǎn)識(shí)別是通過(guò)識(shí)別風(fēng)險(xiǎn)源、影響范圍、事件及其原因和潛在的后果,生成一個(gè)全面的風(fēng)險(xiǎn)列表。

風(fēng)險(xiǎn)識(shí)別應(yīng)全面準(zhǔn)確、涵蓋所有資產(chǎn),不應(yīng)有缺失。在實(shí)施過(guò)程中可根據(jù)評(píng)估對(duì)象特點(diǎn)和評(píng)估要求,對(duì)

風(fēng)險(xiǎn)應(yīng)進(jìn)行合理的分類(lèi)分級(jí)和細(xì)化分解。

7.3風(fēng)險(xiǎn)分析

安全風(fēng)險(xiǎn)分析需要考慮風(fēng)險(xiǎn)事件的原因、后果和發(fā)生的可能性、不同風(fēng)險(xiǎn)源的相互關(guān)系等特性。同

時(shí)需要確認(rèn)是否存在控制措施,分析控制措施是否有效。

選擇合適的安全評(píng)估技術(shù)和方法,有助于評(píng)估者及時(shí)高效地獲取準(zhǔn)確的評(píng)估結(jié)果。在具體實(shí)踐中,

安全評(píng)估的復(fù)雜及詳細(xì)程度千差萬(wàn)別。評(píng)估者可根據(jù)評(píng)估的準(zhǔn)確性要求和技術(shù)能力選擇適宜的方法,具

體方法和使用過(guò)程見(jiàn)GB/T27921-2011。當(dāng)使用其他方法時(shí),應(yīng)在評(píng)估報(bào)告中分析該方法的適用性,寫(xiě)

明選擇使用該方法的原因。

7.4風(fēng)險(xiǎn)評(píng)價(jià)

檢查評(píng)估分析的結(jié)果,判斷是否達(dá)到了可接受程度,對(duì)于不可接受的風(fēng)險(xiǎn)應(yīng)進(jìn)一步采取控制措施,

降低事故風(fēng)險(xiǎn)。

對(duì)不同等級(jí)的安全風(fēng)險(xiǎn)進(jìn)行統(tǒng)計(jì)、分析,確定各等級(jí)風(fēng)險(xiǎn)所占全部風(fēng)險(xiǎn)的百分比,分析總體風(fēng)險(xiǎn)狀

況。

8形成評(píng)估結(jié)論

評(píng)估者根據(jù)評(píng)估執(zhí)行情況形成安全評(píng)估結(jié)論,編寫(xiě)安全評(píng)估報(bào)告。安全評(píng)估報(bào)告應(yīng)全面、如實(shí)反映

評(píng)估過(guò)程的全部工作,并根據(jù)識(shí)別的安全風(fēng)險(xiǎn)提出相應(yīng)的應(yīng)對(duì)措施和整改建議。

9電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估文檔

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估文擋包括評(píng)估報(bào)告、各種現(xiàn)場(chǎng)記錄和過(guò)程文件等。

評(píng)估報(bào)告應(yīng)包括:唯一性標(biāo)識(shí)、評(píng)估機(jī)構(gòu)信息、報(bào)告編制依據(jù)、評(píng)估方法和程序、風(fēng)險(xiǎn)清單、風(fēng)險(xiǎn)

控制措施、評(píng)估團(tuán)隊(duì)信息、評(píng)估對(duì)象等信息。

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估過(guò)程中的各種現(xiàn)場(chǎng)記錄和過(guò)程文件應(yīng)可復(fù)現(xiàn)評(píng)估過(guò)程,并應(yīng)不可篡改和妥善

保存,以作為產(chǎn)生歧義后解決問(wèn)題的依據(jù)。

10風(fēng)險(xiǎn)再評(píng)估

如果出現(xiàn)重要的新信息或者環(huán)境發(fā)生變化,應(yīng)根據(jù)管理的需要進(jìn)行重新評(píng)估。

評(píng)估流程應(yīng)按照本文件第6-9章要求執(zhí)行。

5

YD/TXXXX—XXXX

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任。

本文件由中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)提出并歸口。

本文件起草單位:中國(guó)信息通信研究院、華為技術(shù)有限公司、騰訊云計(jì)算(北京)有限責(zé)任公司、

中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司。

本文件主要起草人:羅丹、張治兵、周開(kāi)波、蔣皓、翁奇、孫大博、倪平、孫大博、陳郁。

I

YD/TXXXX—XXXX

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估導(dǎo)則

1范圍

本文件規(guī)定了電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估的目的、基本原則和流程。

本文件適用于指導(dǎo)電信網(wǎng)絡(luò)運(yùn)營(yíng)者或第三方機(jī)構(gòu)開(kāi)展電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。其中,凡是注日期的引用文件,僅該日期對(duì)應(yīng)的版本

適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T24353-2009風(fēng)險(xiǎn)管理原則與實(shí)施指南

GB/T27921-2011風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評(píng)估技術(shù)

GB/T23694-2013風(fēng)險(xiǎn)管理術(shù)語(yǔ)(ISOGUIDE73:2009)

3術(shù)語(yǔ)和定義

GB/T23694-2013界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

資產(chǎn)asset

對(duì)組織具有價(jià)值的信息資源,是安全策略保護(hù)的對(duì)象。

3.2

安全評(píng)估securityassessment

安全評(píng)估對(duì)象識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的全過(guò)程。

3.3

風(fēng)險(xiǎn)分析riskanalysis

理解風(fēng)險(xiǎn)的本質(zhì)和確定風(fēng)險(xiǎn)水平的過(guò)程。

3.4

風(fēng)險(xiǎn)評(píng)價(jià)riskevaluation

將風(fēng)險(xiǎn)分析結(jié)果與風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較,以確定風(fēng)險(xiǎn)和/或其大小是否可接受或可容忍的過(guò)程。

4電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估概述

4.1安全評(píng)估目的

建立電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估目的主要針對(duì)目前電信網(wǎng)絡(luò)運(yùn)行中因設(shè)計(jì)、實(shí)現(xiàn)和管理上的缺陷和缺少

必要的安全防護(hù)措施而面臨各種安全問(wèn)題和風(fēng)險(xiǎn)等,制定一套相對(duì)完整、可實(shí)施、指標(biāo)化的運(yùn)行安全評(píng)

估規(guī)范,通過(guò)對(duì)電信網(wǎng)絡(luò)運(yùn)行系統(tǒng)開(kāi)展安全性評(píng)估,幫助電信網(wǎng)絡(luò)管理者了解電信網(wǎng)絡(luò)運(yùn)行可能帶來(lái)的

安全風(fēng)險(xiǎn),為其優(yōu)化電信網(wǎng)絡(luò)運(yùn)行設(shè)計(jì)方案,制定嚴(yán)格的管理制度提供參考依據(jù)。

4.2安全評(píng)估原則

4.2.1對(duì)象清晰原則

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估工作應(yīng)遵循對(duì)象清晰原則,明確評(píng)估對(duì)象范圍,確定被評(píng)估設(shè)施的邊界,

2

YD/TXXXX—XXXX

明確被評(píng)估對(duì)象涉及的設(shè)施、設(shè)備、信息系統(tǒng)等。

4.2.2場(chǎng)景依賴(lài)原則

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估工作應(yīng)遵循場(chǎng)景依賴(lài)原則,被評(píng)估電信網(wǎng)絡(luò)運(yùn)行的安全風(fēng)險(xiǎn)與其應(yīng)用場(chǎng)景

強(qiáng)相關(guān),評(píng)估電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估其所涉及的各類(lèi)應(yīng)用場(chǎng)景下的安全風(fēng)險(xiǎn),充分發(fā)揮不同專(zhuān)業(yè)領(lǐng)域的

專(zhuān)家作用,合理利用評(píng)估工具以適用不同場(chǎng)景。

4.2.3保密性原則

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估應(yīng)遵循保密性原則,評(píng)估團(tuán)隊(duì)?wèi)?yīng)具備良好的保密意識(shí),應(yīng)按照保密要求對(duì)

評(píng)估過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)進(jìn)管理,避免評(píng)估過(guò)程中出現(xiàn)泄密問(wèn)題。

4.2.4系統(tǒng)性原則

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估應(yīng)遵循系統(tǒng)性原則,統(tǒng)籌考慮被評(píng)估者的日常運(yùn)營(yíng)情況、工作流程、常見(jiàn)

的安全風(fēng)險(xiǎn)因素及次生衍生因素,對(duì)被評(píng)估電信網(wǎng)絡(luò)進(jìn)行系統(tǒng)全面的安全評(píng)估。

5安全評(píng)估實(shí)施流程

電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估實(shí)施分為3個(gè)階段,包括:安全評(píng)估準(zhǔn)備階段、安全評(píng)估執(zhí)行階段和形成評(píng)

估結(jié)論。根據(jù)電信網(wǎng)絡(luò)運(yùn)行安全評(píng)估的不同階段,評(píng)估方制定相應(yīng)的工作計(jì)劃,保證評(píng)估工作的順利進(jìn)

行。

安全評(píng)估實(shí)施內(nèi)容見(jiàn)第6~8章,安全評(píng)估實(shí)施流程圖如圖1所示。

圖1安全評(píng)估實(shí)施流程

6安全評(píng)估準(zhǔn)備

6.1評(píng)估對(duì)象識(shí)別和確定

電信網(wǎng)絡(luò)運(yùn)行評(píng)估團(tuán)隊(duì)?wèi)?yīng)對(duì)被評(píng)估對(duì)象進(jìn)行識(shí)別和確定,識(shí)別工作內(nèi)容應(yīng)包括:

a)明確此次開(kāi)展評(píng)估對(duì)象的范圍;

3

YD/TXXXX—XXXX

b)此

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論