电信网和互联网管理安全等级保护要求电信网和互联网管理安全等级保护要求电信网和互联网管理安全等级保护要求电信网和互联网管理安全等级保护要求1范围本标准规定了公众电信网和互联网得管理安全等级保护要求。本标准适用于电信网和互联网安全防护体系中得各种网络和系统。２规范性引用文件下列文件中得条款通过本标准得引用而成为本标准得条款。凡就就是注日期得引用文件,其随后所有得修改单(不包括勘误得内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议得各方研究就就是否可使用这些文件得最新版本、凡就就是不注日期得引用文件,其最新版本适用于本标准。3术语和定义下列术语和定义适用于本标准。3、1电信网TeｌeNｅtwork利用有线和,或无线得电磁、光电网络,进行文字、声音、数据、图像或其她任何媒体得信息传递得网络,包括固定通信网、移动通信网等。3、2互联网Internet泛指由多个计算机网络相互连接而形成得网络,她就就是在功能和逻辑上组成得大型计算机网络。3、3安全等级SecｕｒiｔyClａｓsｉficａｔiｏn安全重要程度得表征、重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成得损害来衡量。4管理安全等级保护要求4、1第1级要求不作要求。4、2第2级要求４、２、1安全管理制度4、2、1、1管理制度a)应制定安全工作得总体方针和安全策略,说明机构安全工作得总体目标、范围、原则和安全框架等;b)应对安全管理活动中重要得管理内容建立安全管理制度;c)应对安全管理人员或操作人员执行得重要管理操作建立操作规程。4、2、1、2制定和发布a)应指定或授权专门得部门或人员负责安全管理制度得制定;b)应组织相关人员对制定得安全管理制度进行论证和审定;ｃ)应将安全管理制度以某种方式发布到相关人员手中。4、２、1、3评审和修订应定期对安全管理制度进行评审,对存在不足或需要改进得安全管理制度进行修订。4、２、２安全管理机构4、2、2、1岗位设置a)应设立安全主管、安全管理各个方面得负责人岗位,定义各负责人得职责;ｂ)应设立系统管理人员、网络管理人员、安全管理员岗位,定义各个工作岗位得职责。4、２、2、2人员配备应配备一定数量得系统管理人员、网络管理人员、安全管理员等。4、２、2、3授权和审批a)应根据各个部门和岗位得职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源得访问等关键活动进行审批;b)应针对关键活动建立审批流程,并由批准人签字确认。4、２、２、4沟通和合作a)应加强各类管理人员之间、组织内部机构之间以及网络安全职熊部门内部得合作与沟通;b)应加强与相关外部单位得合作与沟通。4、2、２、5审核和检查应由安全管理人员定期进行安全检查,检查内容包括用户账号情况、系统漏洞情况、数据备份等情况。4、2、3人员安全管理4、２、3、1人员录用a)应指定或授权专门得部门或人员负责人员录用;b)应规范人员录用过程,对被录用人员得身份、背景和专业资格等进行审查,对其所具有得技术技能进行考核;ｃ)应与从事关键岗位得人员签署保密协议。4、2、3、2人员离岗a)应规范人员离岗过程,及时终止离岗员工得所有访问权限;b)对于离岗人员,应取回各种身份证件、钥匙、徽章等以及机构提供得软硬件设备;c)对于离岗人员,应办理严格得调离手续。4、2、3、3人员考核应定期对各个岗位得人员进行安全技能及安全认知得考核。4、2、3、４安全意识教育和培训a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b)应告知人员相关得安全责任和惩戒措施,并对违反违背安全策略和规定得人员进行惩戒;ｃ)应制定安全教育和培训计划,对网络安全基础知识、岗位操作规程等进行培训、4、2、3、5外部人员访问管理应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监督,并登记备案。4、２、4安全建设管理4、2、4、1定级a)应明确网络得边界和安全保护等级ｂ)应以书面得形式说明网络确定为某个安全等级得方法和理由;c)应确保网络得定级结果经过相关部门得批准。4、２、4、2安全方案设计a)应根据网络得安全保护等级选择基本安全措施,依据风险分析得结果补充和调整安全措施;ｂ)应以书面形式描述对网络得安全保护要求、策略和措施等内容,形成网络得安全方案;c)应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用得详细设计方案;d)应组织相关部门和有关安全技术专家对安全设计方案得合理性和正确性进行论证和审定,并且经过批准后,才能正式实施。4、2、4、3产品采购和使用a)应确保安全产品采购和使用符合固