電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南v

1、YD中華人民共和國通信行業(yè)標(biāo)準(zhǔn)YD/Txxxx200X電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南ImplementationGuideforClassifiedSecurityProtectionofTelecomNetworkandInternet（送審稿）20XX-XX-XX發(fā)布20XX-XX-XX實(shí)施中華人民共和國信息產(chǎn)業(yè)部發(fā)布YD/Txxxx200x目次目次I前言III電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南11 范圍12 規(guī)范性引用文件13 術(shù)語和定義14 安全等級保護(hù)概述34.1 安全等級保護(hù)對象34.2 安全等級保護(hù)目標(biāo)35 安全等級保護(hù)的實(shí)施過程45.1基本原則45.2 相關(guān)角色和職責(zé)45.

2、3基本過程55.4 安全等級保護(hù)工作與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系76 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級86.1定級方法86.2 定級的主要活動106.3 電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述116.4 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分126.5 安全等級確定127 安全規(guī)劃設(shè)計(jì)137.1 主要活動137.2 安全需求分析137.3 安全總體設(shè)計(jì)157.4 安全建設(shè)規(guī)劃158 安全實(shí)施158.1 主要活動158.2 安全方案詳細(xì)設(shè)計(jì)178.3 安全詳細(xì)設(shè)計(jì)方案實(shí)施178.4 安全等級保護(hù)檢測189 安全運(yùn)維189.1主要活動189.2 運(yùn)行管理和控制199.3 變更管理和控制209.4 安全狀態(tài)監(jiān)控2

3、09.5 安全事件處置和應(yīng)急預(yù)案219.6 安全檢查和持續(xù)改進(jìn)229.7 安全等級保護(hù)檢測2310 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止2310.1主要活動2310.2 信息轉(zhuǎn)移、暫存或清除2410.3 設(shè)備遷移或廢棄2510.4 存儲介質(zhì)的清除或銷毀2510.5 安全等級保護(hù)檢測26附錄A（規(guī)范性附錄）安全等級的計(jì)算方法26A.l對數(shù)法26A.2矩陣法27附錄B（資料性附錄）定級實(shí)例274本標(biāo)準(zhǔn)是“電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系”系列標(biāo)準(zhǔn)之一。該系列標(biāo)準(zhǔn)預(yù)計(jì)結(jié)構(gòu)及名稱如下電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評估實(shí)施指南電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南

4、固定網(wǎng)安全防護(hù)要求移動網(wǎng)安全防護(hù)要求互聯(lián)網(wǎng)安全防護(hù)要求增值業(yè)務(wù)網(wǎng)（消息網(wǎng)）安全防護(hù)要求增值業(yè)務(wù)網(wǎng)（智能網(wǎng)）安全防護(hù)要求接入網(wǎng)安全防護(hù)要求傳送網(wǎng)安全防護(hù)要求IP承載網(wǎng)安全防護(hù)要求核心網(wǎng)安全防護(hù)要求信令網(wǎng)安全防護(hù)要求同步網(wǎng)安全防護(hù)要求支撐網(wǎng)安全防護(hù)要求網(wǎng)絡(luò)終端安全防護(hù)要求固定網(wǎng)安全防護(hù)檢測要求移動網(wǎng)安全防護(hù)檢測要求互聯(lián)網(wǎng)安全防護(hù)檢測要求增值業(yè)務(wù)網(wǎng)（消息網(wǎng)）安全防護(hù)檢測要求增值業(yè)務(wù)網(wǎng)（智能網(wǎng)）安全防護(hù)檢測要求接入網(wǎng)安全防護(hù)檢測要求傳送網(wǎng)安全防護(hù)檢測要求IP承載網(wǎng)安全防護(hù)檢測要求核心網(wǎng)安全防護(hù)檢測要求信令網(wǎng)安全防護(hù)檢測要求同步網(wǎng)安全防護(hù)檢測要求支撐網(wǎng)安全防護(hù)檢測要求網(wǎng)絡(luò)終端安全防護(hù)檢測要求隨著電信網(wǎng)和

5、互聯(lián)網(wǎng)的發(fā)展，將不斷補(bǔ)充和完善電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系的相關(guān)標(biāo)準(zhǔn)本標(biāo)準(zhǔn)由中國通信標(biāo)準(zhǔn)化協(xié)會提出并歸口。本標(biāo)準(zhǔn)起草單位：信息產(chǎn)業(yè)部電信研究院。本標(biāo)準(zhǔn)主要起草人：YD/Txxxx200x電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施指南1范圍本標(biāo)準(zhǔn)規(guī)定了電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的概念、對象、目標(biāo)，安全等級劃分原則，并結(jié)合電信網(wǎng)和互聯(lián)網(wǎng)的生命周期定義了電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)實(shí)施過程中的主要階段及主要活動。本標(biāo)準(zhǔn)適用于電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護(hù)工作。本標(biāo)準(zhǔn)是電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的總體指導(dǎo)性文件，針對具體網(wǎng)絡(luò)的安全等級保護(hù)可參考具體網(wǎng)絡(luò)的安全防護(hù)要求和安全防護(hù)檢測要求。2規(guī)范性引用文件下列文件中的條款通

6、過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T5271.8-2001GB/Txxxx-xxxxGB/Txxxx-xxxx信息技術(shù)詞匯第8部分：安全信息系統(tǒng)安全保護(hù)等級定級指南信息系統(tǒng)安全等級保護(hù)實(shí)施指南GB/Txxxx-xxxx信息安全風(fēng)險(xiǎn)評估實(shí)施規(guī)范GB/Txxxx-xxxx信息安全風(fēng)險(xiǎn)管理指南GB/Txxxx-xxxx信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃指南3術(shù)語和定義GB/T5271.8-2001確立的術(shù)語和

7、定義，以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1電信網(wǎng)telecomnetwork利用有線和/或無線的電磁、光電系統(tǒng)，進(jìn)行文字、聲音、數(shù)據(jù)、圖象或其它任何媒體的信息傳遞的網(wǎng)絡(luò)，包括固定網(wǎng)、移動網(wǎng)等。3.2電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系securityprotectionarchitectureoftelecomnetworkandInternet電信網(wǎng)和互聯(lián)網(wǎng)的安全等級保護(hù)、安全風(fēng)險(xiǎn)評估、災(zāi)難備份及恢復(fù)三項(xiàng)工作互為依托、互為補(bǔ)充、相互配合，共同構(gòu)成了電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系。電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)systemsoftelecomnetworkandInternet組成電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)系統(tǒng)，包括接

8、入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等。其中，接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH等，核心網(wǎng)包括固定交換、移動交換、軟交換、集群、衛(wèi)星網(wǎng)、3G和下一代網(wǎng)絡(luò)相關(guān)的核心網(wǎng)等，而支撐網(wǎng)包括業(yè)務(wù)支撐和網(wǎng)管系統(tǒng)。3.4電信網(wǎng)和互聯(lián)網(wǎng)安全等級securityclassificationoftelecomnetworkandInternet電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全重要程度的表征。重要程度可從電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后，對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成的損害來衡量。3.5電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)class

9、ifiedsecurityprotectionoftelecomnetworkandInternet指對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)分等級實(shí)施安全保護(hù)。3.6電信網(wǎng)和互聯(lián)網(wǎng)基本保護(hù)要求basicprotectionrequirementsoftelecomnetworkandInternet為確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)具有與其安全等級相對應(yīng)的安全保護(hù)能力應(yīng)該滿足的最低要求。3.7電信網(wǎng)和互聯(lián)網(wǎng)安全檢測securitytestingoftelecomnetworkandInternet對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力是否達(dá)到相應(yīng)保護(hù)要求進(jìn)行衡量。3.8電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)security

10、riskoftelecomnetworkandInternet人為或自然的威脅利用電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。3.9電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評估securityriskassessmentoftelecomnetworkandInternet指運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護(hù)對策和安全措施。防范和化解電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地為保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全提供科學(xué)依據(jù)。

11、3.10電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難disasteroftelecomnetworkandInternet由于人為或自然的原因，造成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)故障或癱瘓，使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時(shí)間的突發(fā)性事件。3.11電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份backupfordisasterrecoveryoftelecomnetworkandInternet為了電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)災(zāi)難恢復(fù)而對相關(guān)網(wǎng)絡(luò)要素進(jìn)行備份的過程。3.12電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難恢復(fù)disasterrecoveryoftelecomnetworkandInternet為了將電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)從

12、災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到正常運(yùn)行狀態(tài)或部分正常運(yùn)行狀態(tài)、并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計(jì)的活動和流程。4安全等級保護(hù)概述4.1 安全等級保護(hù)對象電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)的主要對象是電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，包括固定網(wǎng)、移動網(wǎng)、互聯(lián)網(wǎng)、增值業(yè)務(wù)網(wǎng)、接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等。其中，增值業(yè)務(wù)網(wǎng)則包括消息網(wǎng)、智能網(wǎng)等業(yè)務(wù)平臺以及業(yè)務(wù)管理平臺，接入網(wǎng)包括各種有線、無線和衛(wèi)星接入網(wǎng)等，傳送網(wǎng)包括光纜、波分、SDH等，核心網(wǎng)包括固定交換、移動交換、軟交換、集群、衛(wèi)星網(wǎng)、3G和下一代網(wǎng)絡(luò)相關(guān)的核心網(wǎng)等，支撐網(wǎng)包括業(yè)務(wù)支撐和

13、網(wǎng)管系統(tǒng)。安全等級保護(hù)的具體工作涉及到對電信網(wǎng)和互聯(lián)網(wǎng)分等級實(shí)施安全保護(hù)、對電信網(wǎng)和互聯(lián)網(wǎng)中使用的安全產(chǎn)品實(shí)行分等級管理、對電信網(wǎng)和互聯(lián)網(wǎng)中發(fā)生的安全事件分等級處理等內(nèi)容。本標(biāo)準(zhǔn)主要關(guān)注于對電信網(wǎng)和互聯(lián)網(wǎng)分等級實(shí)施安全保護(hù)提供指導(dǎo)，關(guān)于國家對電信網(wǎng)和互聯(lián)網(wǎng)使用的安全產(chǎn)品實(shí)行分等級管理以及電信網(wǎng)和互聯(lián)網(wǎng)發(fā)生的安全事件實(shí)行分等級處理的管理參見其它的相關(guān)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)后續(xù)內(nèi)容中所指的“安全等級保護(hù)”，其含義均為“對電信網(wǎng)和互聯(lián)網(wǎng)分等級實(shí)施安全保護(hù)”。4.2 安全等級保護(hù)目標(biāo)安全等級保護(hù)的目標(biāo)是通過對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級劃分，按照本系列標(biāo)準(zhǔn)中的安全等級保護(hù)要求進(jìn)行規(guī)劃、建設(shè)、運(yùn)維、管理和

14、監(jiān)督，從而加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全防護(hù)能力，確保其安全性和可靠性。主管部門對不同安全等級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)提出不同的基本保護(hù)要求，實(shí)行不同等級的監(jiān)管，這些基本保護(hù)要求是保障各等級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全的最基本要求。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)應(yīng)能夠滿足其所屬安全等級的基本保護(hù)要求。電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作可以實(shí)現(xiàn)對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)重點(diǎn)保護(hù)和有效保護(hù)的目的，增強(qiáng)安全保護(hù)的整體性、針對性和實(shí)效性，使電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)能夠突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理。5安全等級保護(hù)的實(shí)施過程5.1 基本原則電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作應(yīng)首先滿足電信網(wǎng)和互聯(lián)網(wǎng)安全防

15、護(hù)工作提出的適度安全原則、標(biāo)準(zhǔn)性原則、可控性原則、完備性原則、最小影響原則以及保密性原則。在此基礎(chǔ)上，電信網(wǎng)和互聯(lián)網(wǎng)安全等級保護(hù)工作在實(shí)施過程中還應(yīng)重點(diǎn)遵循以下原則：a) 自主保護(hù)原則在主管部門的監(jiān)督指導(dǎo)下，各網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商遵照本系列標(biāo)準(zhǔn)中確定的安全等級，對本單位的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)自主實(shí)施安全保護(hù)。b) 同步建設(shè)原則各運(yùn)營商在對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行新建、改建、擴(kuò)建時(shí)，應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)其安全方案，投入一定比例的資金實(shí)施安全方案，保障電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)與其所屬安全等級的要求相適應(yīng)。c) 重點(diǎn)保護(hù)原則通過對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)劃分不同的安全等級，提出不同程度的安全保護(hù)要

16、求，實(shí)現(xiàn)不同等級的安全保護(hù)，集中資源優(yōu)先保護(hù)關(guān)鍵的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)。d) 適當(dāng)調(diào)整原則跟蹤電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變化情況調(diào)整其安全等級，并根據(jù)安全等級的調(diào)整情況及時(shí)調(diào)整相應(yīng)的安全保護(hù)措施。5.2 相關(guān)角色和職責(zé)對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實(shí)施安全等級保護(hù)的過程中涉及到各類組織和人員，不同組織和人員將會參與不同或相同的活動。安全等級保護(hù)實(shí)施過程中各類角色及其職責(zé)如下：a) 主管部門主管部門的主要職責(zé)是監(jiān)督、管理網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商遵照本系列標(biāo)準(zhǔn)中確定的安全等級和安全等級保護(hù)的要求對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級保護(hù)；對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的安全等級保護(hù)工作開展情況進(jìn)行檢查，發(fā)現(xiàn)存

17、在安全隱患或未達(dá)到安全等級保護(hù)要求的，責(zé)令其限期整改安全等級保護(hù)工作的主管部門是信息產(chǎn)業(yè)部和相關(guān)電信管理局。b) 網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的主要職責(zé)是根據(jù)本系列標(biāo)準(zhǔn)中確定的安全等級和安全等級保護(hù)的要求對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全等級保護(hù)的實(shí)施工作，包括規(guī)劃設(shè)計(jì)、建設(shè)施工、運(yùn)維、廢棄等；對安全等級是自主保護(hù)級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，加強(qiáng)其自主保護(hù)工作，對安全等級是指導(dǎo)保護(hù)級、監(jiān)督保護(hù)級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，根據(jù)主管部門的要求上報(bào)其等級保護(hù)工作的實(shí)施情況；定期對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全狀況檢查，及時(shí)消除安全隱患和漏洞加強(qiáng)和完善自身安全等級保護(hù)制度的建

18、設(shè)，制定不同等級安全事件的響應(yīng)、處置預(yù)案，加強(qiáng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全管理。c) 設(shè)備制造商設(shè)備制造商的主要職責(zé)是遵照本系列標(biāo)準(zhǔn)中的安全等級保護(hù)要求開發(fā)安全的網(wǎng)絡(luò)設(shè)備，提交網(wǎng)絡(luò)設(shè)備進(jìn)行入網(wǎng)測試，并且銷售安全的網(wǎng)絡(luò)設(shè)備。d) 檢測機(jī)構(gòu)檢測機(jī)構(gòu)必須是由信息產(chǎn)業(yè)部授權(quán)的具有安全防護(hù)檢測服務(wù)資質(zhì)的機(jī)構(gòu)。檢測機(jī)構(gòu)的主要職責(zé)是根據(jù)主管部門或網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的委托，按照本系列標(biāo)準(zhǔn)對已經(jīng)完成安全等級保護(hù)建設(shè)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全檢測。e) 安全服務(wù)商安全服務(wù)商應(yīng)按照國家和信息產(chǎn)業(yè)部的相關(guān)規(guī)定,在本系列標(biāo)準(zhǔn)的指導(dǎo)下，根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的要求協(xié)助其實(shí)施安全等級保護(hù)工作。5.3 基本過程雖然安全

19、等級保護(hù)是一個不斷循環(huán)和不斷提高的過程，但是實(shí)施安全等級保護(hù)的一次完整過程是可以區(qū)分清楚的，包括五個主要階段：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級、安全規(guī)劃設(shè)計(jì)、安全實(shí)施、安全運(yùn)維、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止。如圖1所示。局部調(diào)整圖1安全等級保護(hù)實(shí)施的基本過程安全等級保護(hù)的五個主要階段及其主要活動為：a) 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級階段定級階段主要包括對電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述、電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分以及電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全等級確定等幾個主要安全活動。通過對電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述，進(jìn)一步劃分電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)，根據(jù)本標(biāo)準(zhǔn)中的定級方法科學(xué)準(zhǔn)確地確定各電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的

20、安全等級。b) 安全規(guī)劃設(shè)計(jì)階段安全規(guī)劃設(shè)計(jì)階段主要包括安全需求分析、安全總體設(shè)計(jì)、安全建設(shè)規(guī)劃等幾個主要活動。通過安全需求分析判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全防護(hù)要求中安全等級保護(hù)要求之間的差距，確定安全需求；然后根據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的實(shí)際情況，設(shè)計(jì)出合理的、滿足安全等級保護(hù)要求的總體安全方案，并制定出安全建設(shè)的規(guī)劃，以指導(dǎo)后續(xù)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)工程實(shí)施。c) 安全實(shí)施階段安全實(shí)施階段主要包括安全方案詳細(xì)設(shè)計(jì)、詳細(xì)設(shè)計(jì)方案的實(shí)施、安全等級保護(hù)檢測等幾個主要活動。通過安全方案詳細(xì)設(shè)計(jì)，將規(guī)劃設(shè)計(jì)階段的總體安全方案和安全建設(shè)方案具體落實(shí)到電信網(wǎng)和互聯(lián)網(wǎng)及

21、相關(guān)系統(tǒng)中去，最終提交滿足安全需求的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)、配套的安全技術(shù)和管理體系。在網(wǎng)絡(luò)實(shí)際運(yùn)行之前，需要由主管部門組織并委托檢測機(jī)構(gòu)對安全等級保護(hù)工作的實(shí)施情況進(jìn)行檢測，確保其達(dá)到安全防護(hù)要求。d) 安全運(yùn)維階段安全運(yùn)維階段需要進(jìn)行的安全控制活動很多，本標(biāo)準(zhǔn)描述一些重要的安全控制活動。通過運(yùn)行管理和控制、變更管理和控制、對安全狀態(tài)進(jìn)行監(jiān)控，對發(fā)生的安全事件及時(shí)響應(yīng)，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常運(yùn)行；通過安全檢查和持續(xù)改進(jìn)不斷跟蹤電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變化，并依據(jù)變化調(diào)整其安全等級和措施，確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)滿足相應(yīng)安全等級的要求。e) 電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)終止階段終

22、止階段的主要活動包括對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的信息轉(zhuǎn)移、暫存或清除，對設(shè)備遷移或廢棄，對存儲介質(zhì)的清除或銷毀。核心關(guān)注點(diǎn)是對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中過時(shí)或無用部分進(jìn)行報(bào)廢處理的過程，防止敏感信息泄漏。在安全運(yùn)維階段，當(dāng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)局部調(diào)整等原因?qū)е掳踩胧┑淖兓瘯r(shí)，如果不影響其安全等級，應(yīng)從安全運(yùn)維階段進(jìn)入安全實(shí)施階段，重新調(diào)整和實(shí)施安全措施，確保滿足安全等級保護(hù)的要求；當(dāng)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)發(fā)生重大變更影響其安全等級時(shí)，應(yīng)從安全運(yùn)維階段進(jìn)入定級階段，重新開始一次安全等級保護(hù)的實(shí)施過程。5.4 安全等級保護(hù)工作與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系

23、統(tǒng)的生命周期包括五個階段，即啟動階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段和廢棄階段。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)工作將貫穿其生命周期的各個階段。安全等級保護(hù)工作可分為：對新建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)和對已建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)，兩者在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期中的切入點(diǎn)是不同的，但是安全等級保護(hù)工作的主要活動基本相同，其安全等級保護(hù)過程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系如圖2所示。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期啟動階段設(shè)計(jì)階段實(shí)施階段運(yùn)維階段廢棄階段新建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全等級保護(hù)過程電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級安全規(guī)劃設(shè)計(jì)電信網(wǎng)和互聯(lián)

24、網(wǎng)及相關(guān)系統(tǒng)終止安全實(shí)施安全運(yùn)維:已建電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全等級保護(hù)過程:i電信網(wǎng)和互聯(lián)網(wǎng)11安全規(guī)11安全|安全電信網(wǎng)和互聯(lián)網(wǎng)ii及相關(guān)系統(tǒng)定級11劃設(shè)計(jì)11實(shí)施|運(yùn)維及相關(guān)系統(tǒng)終止:I圖2安全等級保護(hù)過程與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在生命周期中的各個階段應(yīng)同步考慮安全等級保護(hù)的主要活動。在啟動階段，應(yīng)該仔細(xì)分析和合理劃分各個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，確定各個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級，定級過程也可能在設(shè)計(jì)階段；在設(shè)計(jì)階段，應(yīng)該根據(jù)各個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級，進(jìn)行安全規(guī)劃設(shè)計(jì)；在實(shí)施階段，應(yīng)在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)建設(shè)的同

25、時(shí)，同步進(jìn)行安全措施的實(shí)施；在運(yùn)維階段，應(yīng)按照本系列標(biāo)準(zhǔn)中安全等級保護(hù)的要求進(jìn)行安全運(yùn)維在廢棄階段，應(yīng)對廢棄的設(shè)備、信息或存儲介質(zhì)等進(jìn)行有效的安全管理。已建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)通常處于運(yùn)維階段，由于在啟動階段、設(shè)計(jì)階段和實(shí)施階段可能沒有同步考慮安全等級保護(hù)的要求或者對安全等級保護(hù)的要求考慮不足，因此應(yīng)在運(yùn)維階段啟動安全等級保護(hù)工作，安全等級保護(hù)過程中的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級、安全規(guī)劃設(shè)計(jì)、安全實(shí)施的主要活動都將在生命周期的運(yùn)維階段完成。由于是已經(jīng)存在的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，工作的重點(diǎn)是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上，根據(jù)安全等級保護(hù)要求，在安全規(guī)劃設(shè)計(jì)階段如何制定滿足要求的補(bǔ)充的安全建設(shè)方

26、案，在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)/應(yīng)用的情況下，分步驟分階段分目標(biāo)地使各類安全補(bǔ)救措施可以順利落實(shí)。在已建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)基礎(chǔ)上進(jìn)行擴(kuò)容的安全等級保護(hù)工作，擴(kuò)容部分應(yīng)與新建的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)過程一致。6電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)定級6.1 定級方法電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系中，確定安全等級是進(jìn)行安全等級保護(hù)的前提和基礎(chǔ)，直接影響和指導(dǎo)安全防護(hù)體系中的安全風(fēng)險(xiǎn)評估和災(zāi)難備份及恢復(fù)工作。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)應(yīng)根據(jù)本標(biāo)準(zhǔn)確定安全等級，以保證定級的科學(xué)性和準(zhǔn)確性。在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中進(jìn)行安全等級劃分的總體原則是：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)受到破壞后對國

27、家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的損害程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可以劃分為三個安全等級，分別為自主保護(hù)級、指導(dǎo)保護(hù)級和監(jiān)督保護(hù)級，其中監(jiān)督保護(hù)級又分為普通監(jiān)督保護(hù)級和重點(diǎn)監(jiān)督保護(hù)級。主管部門對不同級別的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)實(shí)行不同等級的監(jiān)管。第1級自主保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后僅對其所有者的利益產(chǎn)生損害，但是不損害國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益。本級按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)。第2級指導(dǎo)保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成輕微損害。本級在主管部門的指導(dǎo)下，按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行

28、自主保護(hù)。第3級監(jiān)督保護(hù)級分為兩種情況：3.1級普通監(jiān)督保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成較大損害。本級按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，主管部門對其進(jìn)行監(jiān)督、檢查。3.2級重點(diǎn)監(jiān)督保護(hù)級電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)遭到破壞后對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益以及網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商造成嚴(yán)重?fù)p害。本級按照通信行業(yè)安全標(biāo)準(zhǔn)進(jìn)行自主保護(hù)，主管部門對其進(jìn)行重點(diǎn)監(jiān)督、檢查。決定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級的具體定級要素及其賦值如下：a）電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力表示其無法提供有效服務(wù)

29、對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響程度，電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力賦值如表1所示。表1對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力賦值表社會影響力定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較小1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較大2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響很大3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)對國家安全、社會秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響非常大4b）電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性電信網(wǎng)和互聯(lián)網(wǎng)

30、及相關(guān)系統(tǒng)所提供服務(wù)的重要性表示其提供的服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的影響程度。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值如表2所示。表2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值表所提供服務(wù)的重要性定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性一般,無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生較小的影響1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性較高,無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生較大的影響2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性很高,無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生很大的影響3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性非常高，無法提供服務(wù)對網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商產(chǎn)生非常大的影響4c）電信網(wǎng)

31、和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模表示其服務(wù)的用戶數(shù)多少，服務(wù)范圍表示其服務(wù)的地區(qū)范圍大小，電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍賦值如表3所示。表3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的規(guī)模和服務(wù)范圍賦值表規(guī)模和服務(wù)范圍定義賦值電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會對較少的用戶和較小地區(qū)造成影響1電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會對較多的用戶和較大地區(qū)造成影響2電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會對很多的用戶和很大地區(qū)造成影響3電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無法提供有效服務(wù)會對非常多的用戶和非常大地區(qū)造成影響4在確定好電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會影響力、所提

32、供服務(wù)的重要性、規(guī)模和服務(wù)范圍三個定級要素的賦值后，附錄A中列舉的幾種安全等級計(jì)算方法可做參考。安全等級確定可能不是一個過程就可以完成的，可能需要經(jīng)過定級要素賦值、定級、定級結(jié)果調(diào)整的循環(huán)過程，最終才能確定出較為科學(xué)、準(zhǔn)確的安全等級。6.2 定級的主要活動定級階段主要活動如圖3所示。包括如下的主要活動：第1步電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述充分利用查詢相關(guān)文檔、編制調(diào)查表、與有關(guān)人員訪談、現(xiàn)場實(shí)地觀察等多種方式盡可能多地收集、分析和整理電信網(wǎng)和互聯(lián)網(wǎng)的相關(guān)信息，在此基礎(chǔ)上形成準(zhǔn)確的電信網(wǎng)和互聯(lián)網(wǎng)總體描述文件。第2步電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分將復(fù)雜的電信網(wǎng)和互聯(lián)網(wǎng)劃分為相對獨(dú)立的電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系

33、統(tǒng)，便于定級、規(guī)劃設(shè)計(jì)、實(shí)施、運(yùn)維和終止等安全等級保護(hù)活動的開展。第3步安全等級確定依據(jù)本標(biāo)準(zhǔn)中的定級方法確定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級。輸入主要活動輸出圖3定級階段的主要活動6.3 電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)文檔、管理文檔活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件活動描述：電信網(wǎng)和互聯(lián)網(wǎng)的識別和描述過程主要包括以下活動內(nèi)容：a) 識別電信網(wǎng)和互聯(lián)網(wǎng)的基本信息調(diào)查了解電信網(wǎng)和互聯(lián)網(wǎng)的企業(yè)特征、業(yè)務(wù)范圍、地理位置以及電信網(wǎng)和互聯(lián)網(wǎng)其它基本情況。b) 識別電信網(wǎng)和互聯(lián)網(wǎng)的管理信息了解電信網(wǎng)和互聯(lián)網(wǎng)的組織管理結(jié)構(gòu)、管理策略、部門設(shè)置和部門在電信網(wǎng)和互聯(lián)網(wǎng)運(yùn)行中的作用

34、、崗位職責(zé)，獲得支持電信網(wǎng)和互聯(lián)網(wǎng)運(yùn)營的管理方面的信息。c) 識別電信網(wǎng)和互聯(lián)網(wǎng)的技術(shù)信息了解電信網(wǎng)和互聯(lián)網(wǎng)的物理環(huán)境、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、硬件設(shè)備的部署情況、業(yè)務(wù)/應(yīng)用的種類和特性、信息資產(chǎn)的重要性程度、用戶范圍和用戶類型等信息。d）描述電信網(wǎng)和互聯(lián)網(wǎng)對收集的信息進(jìn)行整理、分析，形成電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件?？傮w描述文件應(yīng)包含電信網(wǎng)和互聯(lián)網(wǎng)的基本情況、管理方面和技術(shù)方面的內(nèi)容。6.4 電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件活動描述：對電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的劃分包括以下主要的活動：a）劃分電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)依據(jù)電信

35、網(wǎng)和互聯(lián)網(wǎng)總體描述文件，在綜合分析的基礎(chǔ)上將電信網(wǎng)和互聯(lián)網(wǎng)劃分為接入網(wǎng)、傳送網(wǎng)、IP承載網(wǎng)、核心網(wǎng)、信令網(wǎng)、同步網(wǎng)、支撐網(wǎng)、網(wǎng)絡(luò)終端等電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)。b）輸出詳細(xì)描述文件對電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)劃分后，應(yīng)在總體描述文件的基礎(chǔ)上增加電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)劃分信息的描述，準(zhǔn)確描述分解后的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)信息，包括每個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的概述、網(wǎng)絡(luò)架構(gòu)、設(shè)備部署、業(yè)務(wù)/應(yīng)用的列表、信息資產(chǎn)類型、服務(wù)范圍和用戶類型等技術(shù)和管理方面的內(nèi)容，最終形成詳細(xì)描述文件。6.5 安全等級確定活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)的總體描述文件、電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件活動輸出：電信網(wǎng)和

36、互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級定級報(bào)告活動描述：安全等級的確定包括以下主要活動內(nèi)容：a）確定電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級根據(jù)本標(biāo)準(zhǔn)中的定級方法確定各個電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級。電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的安全等級確定應(yīng)采取本標(biāo)準(zhǔn)的定級方法。固定網(wǎng)、移動網(wǎng)、互聯(lián)網(wǎng)和增值業(yè)務(wù)網(wǎng)的安全等級的確定可采取兩種方法：一種方法是通過本標(biāo)準(zhǔn)的定級方法直接確定安全等級，另一種方法是在構(gòu)成上述網(wǎng)絡(luò)的不同電信網(wǎng)和互聯(lián)網(wǎng)相關(guān)系統(tǒng)的安全等級基礎(chǔ)上，通過一定的算法（如取最高安全等級）得到網(wǎng)絡(luò)的安全等級。具體網(wǎng)絡(luò)的定級方法參見具體網(wǎng)絡(luò)的安全防護(hù)要求。b）輸出定級結(jié)果文檔對總體描述文件、詳細(xì)描述文件、安全等級確定結(jié)果

37、等內(nèi)容進(jìn)行整理，形成電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級定級報(bào)告。7 安全規(guī)劃設(shè)計(jì)7.1 主要活動輸入主要活動輸出圖4安全規(guī)劃設(shè)計(jì)階段的主要活動網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商可依靠自身的技術(shù)力量或在安全服務(wù)商的協(xié)助下對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行安全規(guī)劃設(shè)計(jì)，安全規(guī)劃設(shè)計(jì)階段的主要活動內(nèi)容如圖4所示，包括：第1步安全需求分析安全需求分析根據(jù)國家及企業(yè)的安全目標(biāo)，首先判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)現(xiàn)狀與安全防護(hù)要求中安全等級保護(hù)要求之間的差距，這種差距作為初步的安全需求；除上述安全需求外還要通過風(fēng)險(xiǎn)分析的方法確定額外的安全需求，這種需求反映在對特殊環(huán)境和威脅的安全保護(hù)要求，或?qū)χ匾獙ο蟮妮^高保護(hù)

38、要求方面。通過現(xiàn)狀差距的分析和特殊要求的分析，明確完整的安全需求。第2步安全總體設(shè)計(jì)安全總體設(shè)計(jì)根據(jù)安全需求分析報(bào)告和安全防護(hù)要求中的安全等級保護(hù)相關(guān)要求，設(shè)計(jì)滿足其所屬的安全等級要求的安全總體方案，包括安全技術(shù)措施和安全管理措施。第3步安全建設(shè)規(guī)劃安全建設(shè)規(guī)劃首先根據(jù)安全總體方案，結(jié)合企業(yè)中長期的發(fā)展規(guī)劃，制定安全建設(shè)的實(shí)施計(jì)劃，形成指導(dǎo)今后一段時(shí)間內(nèi)安全建設(shè)工作的安全建設(shè)規(guī)劃方案。7.2 安全需求分析活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、安全等級定級報(bào)告，電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)13YD/Txxxx200x險(xiǎn)評估實(shí)施指南，其它文檔活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求分析報(bào)告

39、活動描述：安全規(guī)劃設(shè)計(jì)階段的安全需求分析包括以下主要活動內(nèi)容：a）確定初步的安全需求通過調(diào)查或查閱資料等方式，確定具體進(jìn)行安全等級保護(hù)工作的對象，包括整體對象（如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等）和具體對象（如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等；）獲得電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的信息，包括技術(shù)和管理方面的信息，技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)、業(yè)務(wù)/應(yīng)用等信息，管理方面包括安全管理機(jī)構(gòu)、安全管理制度、人員管理、網(wǎng)絡(luò)建設(shè)和運(yùn)維管理等信息。在此基礎(chǔ)上，將其對應(yīng)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全防護(hù)要求中等級保護(hù)的管理方面和技術(shù)方面的安全指標(biāo)作為依據(jù)，通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記

40、錄等方式進(jìn)行安全管理方面的比較，通過觀察現(xiàn)場、詢問人員、查詢資料、檢查記錄、檢查配置、技術(shù)測試、滲透攻擊等方式進(jìn)行安全技術(shù)方面的比較，通過將安全等級保護(hù)對象的安全現(xiàn)狀與指標(biāo)進(jìn)行逐一對比，判斷安全管理和技術(shù)的各個方面與等級保護(hù)要求中的基本安全要求之間的差距，給出初步的安全需求。b）制定額外的安全需求在安全現(xiàn)狀和等級保護(hù)指標(biāo)對比后確定初步的安全需求基礎(chǔ)上，參照電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評估實(shí)施指南，通過風(fēng)險(xiǎn)評估可以確定額外的安全需求，即通過分析電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的重要資產(chǎn)的價(jià)值、資產(chǎn)的脆弱性、面臨的威脅、以及已經(jīng)采取的安全措施，判斷電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)可能存在的安全風(fēng)險(xiǎn)，在初步的安全需求的基

41、礎(chǔ)上，制定出額外的安全需求。對于電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的關(guān)鍵系統(tǒng)和數(shù)據(jù)，為確保在災(zāi)難發(fā)生后網(wǎng)絡(luò)能夠盡快恢復(fù)和繼續(xù)運(yùn)行，應(yīng)制定出有效的災(zāi)難備份及恢復(fù)的額外需求。在制定額外的安全需求時(shí)，應(yīng)明確國家及企業(yè)的安全目標(biāo)，借鑒以往建設(shè)的類似或相關(guān)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求，并且確保安全需求與其它相關(guān)標(biāo)準(zhǔn)或規(guī)范對電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全需求不發(fā)生沖突。c）輸出安全需求分析報(bào)告總結(jié)安全指標(biāo)對比結(jié)果和風(fēng)險(xiǎn)評估的結(jié)果，獲得電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全現(xiàn)狀的匯總、與安全防護(hù)要求中安全等級保護(hù)要求的差距匯總和額外的安全需求的匯總，最終形成安全需求分析報(bào)告，報(bào)告中應(yīng)包括安全管理狀況和安全技術(shù)狀況。1

42、4YD/Txxxx200x7.3 安全總體設(shè)計(jì)活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的詳細(xì)描述文件、安全等級定級報(bào)告、安全需求分析報(bào)告、安全防護(hù)要求活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案活動描述：安全總體設(shè)計(jì)包括以下主要活動內(nèi)容：a）設(shè)計(jì)各電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全措施對一個大型、復(fù)雜電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的構(gòu)成內(nèi)容進(jìn)行抽象處理，提取共性形成模型和要素，如服務(wù)器設(shè)備、構(gòu)成網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備等；根據(jù)安全防護(hù)要求中的等級保護(hù)相關(guān)要求和安全需求分析報(bào)告，針對模型要素提出需要實(shí)現(xiàn)的安全措施，包括安全技術(shù)方面的措施和安全管理方面的措施，以指導(dǎo)安全等級保護(hù)工作的具體實(shí)現(xiàn)。b）設(shè)計(jì)結(jié)果文檔化最終將安

43、全總體設(shè)計(jì)工作的結(jié)果文檔化，形成滿足其所屬的安全等級要求的安全總體方案，安全總體方案中包括總體安全策略、技術(shù)措施和管理措施等。7.4 安全建設(shè)規(guī)劃活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)方案活動描述：安全建設(shè)規(guī)劃包括以下主要活動內(nèi)容：a）確定分階段的安全建設(shè)目標(biāo)、內(nèi)容、方案安全建設(shè)規(guī)劃是依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全總體方案、網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商當(dāng)前面臨的機(jī)遇和挑戰(zhàn)以及安全建設(shè)時(shí)間和經(jīng)費(fèi)投入狀況，結(jié)合安全需求分析結(jié)果，同時(shí)考慮到網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商的中長期發(fā)展規(guī)劃，提出分階段的安全建設(shè)目標(biāo)、設(shè)計(jì)建設(shè)內(nèi)容，形成安全建設(shè)方案，重點(diǎn)是形成近期可行的安全建

44、設(shè)方案。安全建設(shè)方案中包括安全技術(shù)建設(shè)規(guī)劃和安全管理建設(shè)規(guī)劃。b）規(guī)劃結(jié)果文檔化最終將安全建設(shè)規(guī)劃的結(jié)果文檔化，形成分階段的安全建設(shè)規(guī)劃，安全總體方案中包括總體安全建設(shè)規(guī)劃、技術(shù)體系建設(shè)規(guī)劃和管理體系建設(shè)規(guī)劃等。8 安全實(shí)施8.1 主要活動輸入主要活動輸出圖5安全實(shí)施階段的主要活動網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商可依靠自身的技術(shù)力量或者在安全服務(wù)商、設(shè)備制造商的協(xié)助下按照安全總體方案的總體要求，結(jié)合安全建設(shè)方案，分期分步驟地對其管轄的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)落實(shí)安全措施。安全實(shí)施階段的主要活動如圖5所示，包括：第1步安全方案詳細(xì)設(shè)計(jì)依據(jù)電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全建設(shè)方案，提出本期實(shí)施項(xiàng)目的具體實(shí)施方案，包

45、括安全等級保護(hù)技術(shù)實(shí)施內(nèi)容的設(shè)計(jì)、安全等級保護(hù)管理實(shí)施內(nèi)容的設(shè)計(jì)、實(shí)施計(jì)劃以及經(jīng)費(fèi)投入等，以便進(jìn)行本期安全方案的實(shí)施。第2步詳細(xì)設(shè)計(jì)方案實(shí)施包括安全等級保護(hù)管理內(nèi)容的實(shí)施和安全等級保護(hù)技術(shù)內(nèi)容的實(shí)施。安全等級保護(hù)管理實(shí)施主要是在本期安全詳細(xì)設(shè)計(jì)方案的指導(dǎo)下，建立配套的安全管理機(jī)構(gòu)，建立配套的安全管理制度和操作規(guī)程，進(jìn)行人員的安全技能培訓(xùn)等。保證本期安全實(shí)施完成后，安全運(yùn)維有配套的機(jī)制，從而建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制。安全等級保護(hù)技術(shù)措施實(shí)施主要是按照安全詳細(xì)設(shè)計(jì)方案，進(jìn)行安全產(chǎn)品采購、安全控制開發(fā)、安全控制集成、測試與驗(yàn)收等主要活動，確保安全技術(shù)措施的

46、有效性。安全等級保護(hù)管理實(shí)施過程和安全等級保護(hù)技術(shù)實(shí)施過程應(yīng)該同步進(jìn)行。將規(guī)劃階段的安全建設(shè)方案具體落實(shí)到電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中去，其最終的成果是提交滿足安全需求的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)和配套的安全管理體系。第3步安全等級保護(hù)檢測根據(jù)主管部門的要求，遵照安全等級保護(hù)的管理和技術(shù)方面的標(biāo)準(zhǔn)，針對已經(jīng)實(shí)施了安全等級保護(hù)的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，檢測實(shí)施的安全保護(hù)措施是否符合相應(yīng)安全等級的安全防護(hù)要求。8.2 安全方案詳細(xì)設(shè)計(jì)活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全總體方案、安全建設(shè)方案、各類安全產(chǎn)品技術(shù)白皮書活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案活動描述：安全方案詳細(xì)設(shè)計(jì)包括

47、以下主要活動內(nèi)容：a）安全等級保護(hù)實(shí)施內(nèi)容設(shè)計(jì)安全等級保護(hù)技術(shù)實(shí)施內(nèi)容的設(shè)計(jì)是根據(jù)本期建設(shè)目標(biāo)和建設(shè)內(nèi)容，將安全總體方案和安全建設(shè)方案本階段中的要求落實(shí)到產(chǎn)品功能或物理形態(tài)上，提出指定的產(chǎn)品或組件及其具體規(guī)范，明確安全產(chǎn)品的功能和性能要求設(shè)計(jì)，網(wǎng)絡(luò)或設(shè)備的部署方案。安全等級保護(hù)管理實(shí)施內(nèi)容的設(shè)計(jì)是根據(jù)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商當(dāng)前安全管理和技術(shù)需要提出與安全總體方案中管理部分相適應(yīng)的本期安全實(shí)施內(nèi)容，以保證安全技術(shù)建設(shè)的同時(shí)，安全管理的同步建設(shè)。安全管理設(shè)計(jì)的內(nèi)容主要考慮：安全管理機(jī)構(gòu)和人員的配套、安全管理制度的配套、人員安全管理技能的配套等。b）設(shè)計(jì)結(jié)果文檔化將安全等級保護(hù)技術(shù)實(shí)施和安全等級保護(hù)管理實(shí)

48、施內(nèi)容匯總，同時(shí)考慮工時(shí)和費(fèi)用，最后形成安全詳細(xì)設(shè)計(jì)方案，指導(dǎo)具體的安全實(shí)施。8.3 安全詳細(xì)設(shè)計(jì)方案實(shí)施活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全管理規(guī)章制度、驗(yàn)收報(bào)告活動描述：安全詳細(xì)設(shè)計(jì)方案的具體實(shí)施包括以下主要活動內(nèi)容：a）實(shí)施安全詳細(xì)設(shè)計(jì)方案在本期安全詳細(xì)設(shè)計(jì)方案的指導(dǎo)下，進(jìn)行安全等級保護(hù)管理實(shí)施和安全等級保護(hù)技術(shù)實(shí)施。安全等級保護(hù)管理實(shí)施主要是建立與電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全技術(shù)和安全運(yùn)行相適應(yīng)的安全管理機(jī)制。安全等級保護(hù)管理實(shí)施包括建立配套的安全管理機(jī)構(gòu)和人員，建立配套的安全管理制度和操作規(guī)程，進(jìn)行人員的安全技能培訓(xùn)等，并且在安

49、全實(shí)施過程中，對工程的質(zhì)量、進(jìn)度、文檔和變更等方面的工作進(jìn)行監(jiān)督控制和科學(xué)管理。安全等級保護(hù)技術(shù)實(shí)施主要是保證按照安全詳細(xì)設(shè)計(jì)方案實(shí)現(xiàn)各項(xiàng)安全技術(shù)措施，包括安全產(chǎn)品采購、安全控制開發(fā)、安全控制集成、測試與驗(yàn)收等主要活動環(huán)節(jié)。安全產(chǎn)品采購是按照安全詳細(xì)設(shè)計(jì)方案中對于產(chǎn)品的具體指標(biāo)要求進(jìn)行產(chǎn)品采購，根據(jù)產(chǎn)品或產(chǎn)品組合實(shí)現(xiàn)的功能滿足安全設(shè)計(jì)要求的情況來選購所需的安全產(chǎn)品；安全控制開發(fā)是對于一些不能通過采購現(xiàn)有安全產(chǎn)品來實(shí)現(xiàn)的安全措施和安全功能，通過專門進(jìn)行的設(shè)計(jì)、開發(fā)來實(shí)現(xiàn)；安全控制集成依據(jù)安全詳細(xì)設(shè)計(jì)方案，將安全產(chǎn)品、軟件平臺和開發(fā)的安全控制模塊與各種應(yīng)用綜合、整合成為一個系統(tǒng)；最后通過測試驗(yàn)收檢

50、驗(yàn)系統(tǒng)是否嚴(yán)格按照安全詳細(xì)設(shè)計(jì)方案進(jìn)行建設(shè)，是否實(shí)現(xiàn)了設(shè)計(jì)的功能和性能，從而確保安全技術(shù)措施的有效性。b）實(shí)施結(jié)果文檔化在本期安全實(shí)施完成后，建成滿足安全需求并通過測試驗(yàn)收的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，提交驗(yàn)收報(bào)告，內(nèi)容包括安全產(chǎn)品清單及其信息、驗(yàn)收過程及結(jié)果等；提交配套的安全管理規(guī)章和制度。8.4 安全等級保護(hù)檢測活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級定級報(bào)告、驗(yàn)收報(bào)告、安全防護(hù)要求、安全防護(hù)檢測要求，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商提供的其它文檔活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級保護(hù)檢測報(bào)告活動描述：在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)安全建設(shè)完成后，根據(jù)主管部門的要求對其進(jìn)行安全等級保護(hù)檢測安全等級

51、保護(hù)檢測可由主管部門委托具有資質(zhì)的檢測機(jī)構(gòu)實(shí)施，或者由網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商實(shí)施，檢測工作應(yīng)依據(jù)本系列標(biāo)準(zhǔn)中的安全防護(hù)要求和安全防護(hù)檢測要求，重點(diǎn)對屬于監(jiān)督保護(hù)級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)管理制度和技術(shù)措施的落實(shí)情況、以及安全現(xiàn)狀的達(dá)標(biāo)情況進(jìn)行檢查，判斷其安全保護(hù)措施是否符合相應(yīng)安全等級的要求。安全等級保護(hù)檢測完成后，檢測方應(yīng)根據(jù)實(shí)際檢測情況形成檢測報(bào)告。9 安全運(yùn)維9.1主要活動安全運(yùn)維是確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)正常運(yùn)行的必要環(huán)節(jié)。安全運(yùn)維階段涉及的內(nèi)容較多，本標(biāo)準(zhǔn)關(guān)注網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商在安全運(yùn)維階段進(jìn)行的運(yùn)行管理和控制、變更管理和控制、安全狀態(tài)監(jiān)控、安全事件處置和應(yīng)急預(yù)案、安全檢查和

52、持續(xù)改進(jìn)等活動，重點(diǎn)描述各個活動的活動內(nèi)容，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商可依靠自身的技術(shù)力量或者在安全服務(wù)商、設(shè)備制造商的協(xié)助下進(jìn)行以上活動，可根據(jù)自身網(wǎng)絡(luò)實(shí)際情況考慮對其它安全運(yùn)維活動進(jìn)行添加或?qū)顒觾?nèi)容進(jìn)行刪減。安全運(yùn)維階段的工作還包括根據(jù)主管部門要求對安全等級保護(hù)工作落實(shí)情況進(jìn)行檢測。安全運(yùn)維階段的主要活動內(nèi)容如圖6所示。輸入主要活動安全詳細(xì)設(shè)計(jì)方案安全組織機(jī)構(gòu)表/運(yùn)行管理和控制輸出運(yùn)行管理人員角色和職責(zé)表:運(yùn)行管理操作規(guī)程操作過程記錄文件變更報(bào)告安全詳細(xì)設(shè)計(jì)方案驗(yàn)收報(bào)告安全狀態(tài)監(jiān)控安全狀態(tài)分析報(bào)告各類安全事件列表安全狀態(tài)分析報(bào)告=安全事件處置和應(yīng)急預(yù)案各類應(yīng)急預(yù)案安全事件處置報(bào)告變更管理和控制詳細(xì)

53、描述文件安全檢杳報(bào)告變更報(bào)告安全改進(jìn)方案安全狀態(tài)分析報(bào)告/安全檢查和持續(xù)改進(jìn)1/驗(yàn)收報(bào)告7L/7安全等級定級報(bào)告驗(yàn)收報(bào)告安全等級保護(hù)檢安全等級保護(hù)檢測測報(bào)告圖6安全運(yùn)維階段的主要活動9.2運(yùn)行管理和控制活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全詳細(xì)設(shè)計(jì)方案、安全組織機(jī)構(gòu)表活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的運(yùn)行管理人員角色和職責(zé)表、運(yùn)行管理操作規(guī)程、操作過程記錄文件活動描述：運(yùn)行管理和控制的目標(biāo)是確保電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全運(yùn)行，操作人員應(yīng)實(shí)行正確和安全的操作，并且保證不斷變化和種類繁多的運(yùn)行管理活動得到控制。本標(biāo)準(zhǔn)中，安全運(yùn)行管理和控制關(guān)注的方面主要是運(yùn)行管理職責(zé)確定和運(yùn)行管理過程控制。

54、運(yùn)行管理和控制包括以下主要活動內(nèi)容a) 運(yùn)行管理職責(zé)確定運(yùn)行管理職責(zé)確定是通過對運(yùn)行管理活動或任務(wù)的角色劃分，并授予相應(yīng)的管理權(quán)限，來確定安全運(yùn)行管理的具體人員和職責(zé)；b) 運(yùn)行管理過程控制運(yùn)行管理過程控制是通過制定運(yùn)行管理操作規(guī)程，確定運(yùn)行管理人員的操作目的、操作內(nèi)容、操作時(shí)間和地點(diǎn)、操作方法和流程、災(zāi)難備份及恢復(fù)的操作及效果等，并進(jìn)行操作過程記錄，確保對操作過程進(jìn)行控制。安全等級越高的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，需要控制的運(yùn)行活動就越多。c) 輸出結(jié)果文檔通過運(yùn)行管理的職責(zé)確定形成運(yùn)行管理人員角色和職責(zé)表；通過對運(yùn)行管理過程進(jìn)行控制形成運(yùn)行管理操作規(guī)程，以及操作過程記錄文件。9.3 變更管理

55、和控制活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變更需求活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的變更報(bào)告活動描述：變更管理和控制的目標(biāo)是確保在電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)發(fā)生變化的時(shí)候，使用標(biāo)準(zhǔn)的方法和步驟盡快的實(shí)施變更。運(yùn)行管理和控制包括以下主要活動內(nèi)容：a) 變更需求和影響分析通過對變更需求和變更影響的分析，來確定變更的類別，制定變更方案。b) 變更過程控制確保變更實(shí)施過程受到控制，審核變更內(nèi)容，對各項(xiàng)變化內(nèi)容進(jìn)行記錄，保證變更對正在運(yùn)行的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的影響最小。c) 輸出結(jié)果文檔根據(jù)變更方案和變更實(shí)施過程的各項(xiàng)活動，形成變更結(jié)果報(bào)告。9.4 安全狀態(tài)監(jiān)控活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的

56、安全詳細(xì)設(shè)計(jì)方案、驗(yàn)收報(bào)告活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全狀態(tài)分析報(bào)告活動描述：安全狀態(tài)監(jiān)控包括以下主要活動內(nèi)容：a) 確定監(jiān)控對象和工具不同安全等級的電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)在安全狀態(tài)監(jiān)控方面要求采用的手段和要求監(jiān)控的內(nèi)容會不同，所以根據(jù)監(jiān)控的必要性和可行性、監(jiān)控的開銷和成本等因素，確定的監(jiān)控對象，形成監(jiān)控對象列表；根據(jù)監(jiān)控對象的特點(diǎn)、監(jiān)控管理的具體要求、監(jiān)控工具的功能、性能特點(diǎn)等，選擇合適的監(jiān)控工具。b）監(jiān)控對象狀態(tài)通過狀態(tài)監(jiān)控工具對監(jiān)控對象的安全狀態(tài)進(jìn)行監(jiān)控，收集來自監(jiān)控對象的各類狀態(tài)信息，可能包括網(wǎng)絡(luò)流量、日志信息、安全報(bào)警和性能狀況等，或者是來自外部環(huán)境的安全標(biāo)準(zhǔn)和法律法規(guī)的變更信息，識別和記錄入侵行為。c）監(jiān)控狀態(tài)分析和報(bào)告對安全狀態(tài)信息進(jìn)行分析，及時(shí)發(fā)現(xiàn)安全事件或安全變更需求，并對其影響程度和范圍進(jìn)行分析形成安全狀態(tài)分析報(bào)告。9.5 安全事件處置和應(yīng)急預(yù)案活動輸入：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全狀態(tài)分析報(bào)告，各類安全事件列表活動輸出：電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全事件處置報(bào)告、各類應(yīng)急預(yù)案活動描述：安全事件處置和應(yīng)急預(yù)案包括以下主要活動內(nèi)容：a）安全事件分級安全事件采取分級響應(yīng)與處置的機(jī)制，網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營商應(yīng)根據(jù)