电信网和互联网管理安全等级保护要求.pdfVIP

电信网和互联网管理安全等级保护要求

1范围

本标准规定了公众电信网和互联网的管理安全等级保护要求。

本标准适用于电信网和互联网安全防护体系中的各种网络和系统。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，

其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本

标准达成协议的各方研究是否可使用这些文件的必威体育精装版版本．凡是不注日期的引用文件，其最

新版本适用于本标准。

3术语和定义

下列术语和定义适用于本标准。

3.1

电信网TelecomNetwork

利用有线和，或无线的电磁、光电网络，进行文字、声音、数据、图像或其他任何

媒体的信息传递的网络，包括固定通信网、移动通信网等。

3.2

互联网Internet

泛指由多个计算机网络相互连接而形成的网络，它是在功能和逻辑上组成的大型计

算机网络。

3.3

安全等级SecurityClassification

安全重要程度的表征．重要程度可从网络受到破坏后，对国家安全、社会秩序、经济运

行、公共利益、网络和业务运营商造成的损害来衡量。

4管理安全等级保护要求

4.1第1级要求

不作要求。

4.2第2级要求

安全管理制度

.1管理制度

a)应制定安全工作的总体方针和安全策略，说明机构安全工作的总体目标、范围、

原则和安全框架等；

b)应对安全管理活动中重要的管理内容建立安全管理制度；

c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。

.2制定和发布

a)应指定或授权专门的部门或人员负责安全管理制度的制定；

b)应组织相关人员对制定的安全管理制度进行论证和审定；

c)应将安全管理制度以某种方式发布到相关人员手中。

.3评审和修订

应定期对安全管理制度进行评审，对存在不足或需要改进的安全管理制度进行修订。

安全管理机构

.1岗位设置

a)应设立安全主管、安全管理各个方面的负责人岗位，定义各负责人的职责；

b)应设立系统管理人员、网络管理人员、安全管理员岗位，定义各个工作岗位的

职责。

.2人员配备

应配备一定数量的系统管理人员、网络管理人员、安全管理员等。

.3授权和审批

a)应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、

网络系统接入和重要资源的访问等关键活动进行审批；

b)应针对关键活动建立审批流程，并由批准人签字确认。

.4沟通和合作

a)应加强各类管理人员之间、组织内部机构之间以及网络安全职熊部门内部的合

作与沟通；

b)应加强与相关外部单位的合作与沟通。

.5审核和检查

应由安全管理人员定期进行安全检查，检查内容包括用户账号情况、系统漏洞情况、

数据备份等情况。

人员安全管理

.1人员录用

a)应指定或授权专门的部门或人员负责人员录用；

b)应规范人员录用过程，对被录用人员的身份、背景和专业资格等进行审查，对

其所具有的技术技能进行考核；

c)应与从事关键岗位的人员签署必威体育官网网址协议。

.2人员离岗

a)应规范人员离岗过程，及时终止离岗员工的所有访问权限；

b)对于离岗人员，应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

c)对于离岗人员，应办理严格的调离手续。

.3人员考核

应定期对各个岗位的人员进行安全技能及安全认知的考核。

.4安全意识教育和培训

a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；

b)应告知人员相关的安全责任和惩戒措施，并对违反违背安全策略和规定的人员

进行惩戒；

c)应制定安全教育和培训计划，对网络安全基础知识、岗位操作规程等进行培训．

.5外部人员访问管理

应确保在外部人员访问受控区