YDT 4501-2023電信網(wǎng)絡(luò)運行安全評估導(dǎo)則_第1頁
YDT 4501-2023電信網(wǎng)絡(luò)運行安全評估導(dǎo)則_第2頁
YDT 4501-2023電信網(wǎng)絡(luò)運行安全評估導(dǎo)則_第3頁
YDT 4501-2023電信網(wǎng)絡(luò)運行安全評估導(dǎo)則_第4頁
YDT 4501-2023電信網(wǎng)絡(luò)運行安全評估導(dǎo)則_第5頁
已閱讀5頁,還剩5頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

ICS33.040.01

CCSM04

YD

中華人民共和國通信行業(yè)標準

YD/TXXXX—202X

電信網(wǎng)絡(luò)運行安全評估導(dǎo)則

Guidelinesforthesecurityevaluationoftelecommunicationsnetwork

operation

(報批稿)

20××-××-××發(fā)布20××-××-××實施

中華人民共和國工業(yè)和信息化部發(fā)布

YD/TXXXX—XXXX

目次

前言...............................................................................................................................................................I

1范圍................................................................................................................................................................2

2規(guī)范性引用文件............................................................................................................................................2

3術(shù)語和定義....................................................................................................................................................2

4電信網(wǎng)絡(luò)運行安全評估概述.........................................................................................................................2

4.1安全評估目的...................................................................................................................2

4.2安全評估原則...................................................................................................................2

5安全評估實施流程........................................................................................................................................3

6安全評估準備................................................................................................................................................3

6.1評估對象識別和確定.......................................................................................................3

6.2組建評估團隊...................................................................................................................4

6.3確定電信網(wǎng)絡(luò)運行安全評估依據(jù)...................................................................................4

6.4編制電信網(wǎng)絡(luò)運行安全評估方案...................................................................................4

6.5電信網(wǎng)絡(luò)運行安全評估啟動...........................................................................................4

7安全評估執(zhí)行................................................................................................................................................4

7.1資產(chǎn)識別...........................................................................................................................4

7.2風(fēng)險識別...........................................................................................................................4

7.3風(fēng)險分析...........................................................................................................................5

7.4風(fēng)險評價...........................................................................................................................5

8形成評估結(jié)論................................................................................................................................................5

9電信網(wǎng)絡(luò)運行安全評估文檔.........................................................................................................................5

10風(fēng)險再評估...............................................................................................................................................5

I

YD/TXXXX—XXXX

電信網(wǎng)絡(luò)運行安全評估導(dǎo)則

1范圍

本文件規(guī)定了電信網(wǎng)絡(luò)運行安全評估的目的、基本原則和流程。

本文件適用于指導(dǎo)電信網(wǎng)絡(luò)運營者或第三方機構(gòu)開展電信網(wǎng)絡(luò)運行安全評估。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。其中,凡是注日期的引用文件,僅該日期對應(yīng)的版本

適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T24353-2009風(fēng)險管理原則與實施指南

GB/T27921-2011風(fēng)險管理風(fēng)險評估技術(shù)

GB/T23694-2013風(fēng)險管理術(shù)語(ISOGUIDE73:2009)

3術(shù)語和定義

GB/T23694-2013界定的以及下列術(shù)語和定義適用于本文件。

3.1

資產(chǎn)asset

對組織具有價值的信息資源,是安全策略保護的對象。

3.2

安全評估securityassessment

安全評估對象識別、風(fēng)險分析和風(fēng)險評價的全過程。

3.3

風(fēng)險分析riskanalysis

理解風(fēng)險的本質(zhì)和確定風(fēng)險水平的過程。

3.4

風(fēng)險評價riskevaluation

將風(fēng)險分析結(jié)果與風(fēng)險準則進行比較,以確定風(fēng)險和/或其大小是否可接受或可容忍的過程。

4電信網(wǎng)絡(luò)運行安全評估概述

4.1安全評估目的

建立電信網(wǎng)絡(luò)運行安全評估目的主要針對目前電信網(wǎng)絡(luò)運行中因設(shè)計、實現(xiàn)和管理上的缺陷和缺少

必要的安全防護措施而面臨各種安全問題和風(fēng)險等,制定一套相對完整、可實施、指標化的運行安全評

估規(guī)范,通過對電信網(wǎng)絡(luò)運行系統(tǒng)開展安全性評估,幫助電信網(wǎng)絡(luò)管理者了解電信網(wǎng)絡(luò)運行可能帶來的

安全風(fēng)險,為其優(yōu)化電信網(wǎng)絡(luò)運行設(shè)計方案,制定嚴格的管理制度提供參考依據(jù)。

4.2安全評估原則

4.2.1對象清晰原則

電信網(wǎng)絡(luò)運行安全評估工作應(yīng)遵循對象清晰原則,明確評估對象范圍,確定被評估設(shè)施的邊界,

2

YD/TXXXX—XXXX

明確被評估對象涉及的設(shè)施、設(shè)備、信息系統(tǒng)等。

4.2.2場景依賴原則

電信網(wǎng)絡(luò)運行安全評估工作應(yīng)遵循場景依賴原則,被評估電信網(wǎng)絡(luò)運行的安全風(fēng)險與其應(yīng)用場景

強相關(guān),評估電信網(wǎng)絡(luò)運行安全評估其所涉及的各類應(yīng)用場景下的安全風(fēng)險,充分發(fā)揮不同專業(yè)領(lǐng)域的

專家作用,合理利用評估工具以適用不同場景。

4.2.3保密性原則

電信網(wǎng)絡(luò)運行安全評估應(yīng)遵循保密性原則,評估團隊應(yīng)具備良好的保密意識,應(yīng)按照保密要求對

評估過程數(shù)據(jù)和結(jié)果數(shù)據(jù)進管理,避免評估過程中出現(xiàn)泄密問題。

4.2.4系統(tǒng)性原則

電信網(wǎng)絡(luò)運行安全評估應(yīng)遵循系統(tǒng)性原則,統(tǒng)籌考慮被評估者的日常運營情況、工作流程、常見

的安全風(fēng)險因素及次生衍生因素,對被評估電信網(wǎng)絡(luò)進行系統(tǒng)全面的安全評估。

5安全評估實施流程

電信網(wǎng)絡(luò)運行安全評估實施分為3個階段,包括:安全評估準備階段、安全評估執(zhí)行階段和形成評

估結(jié)論。根據(jù)電信網(wǎng)絡(luò)運行安全評估的不同階段,評估方制定相應(yīng)的工作計劃,保證評估工作的順利進

行。

安全評估實施內(nèi)容見第6~8章,安全評估實施流程圖如圖1所示。

圖1安全評估實施流程

6安全評估準備

6.1評估對象識別和確定

電信網(wǎng)絡(luò)運行評估團隊應(yīng)對被評估對象進行識別和確定,識別工作內(nèi)容應(yīng)包括:

a)明確此次開展評估對象的范圍;

3

YD/TXXXX—XXXX

b)此次評估對象的網(wǎng)絡(luò)運行安全管理組織架構(gòu)、職責(zé)和人員配備情況;

b)此次評估對象的網(wǎng)絡(luò)運行安全管理相關(guān)制度、流程;

c)此次評估對象相關(guān)的網(wǎng)絡(luò)拓撲結(jié)構(gòu);

d)其他確定評估對象的必要信息。

6.2組建評估團隊

應(yīng)組建風(fēng)險評估團隊,以支持整個風(fēng)險評估過程的推進,以及評估工作的有效開展。該團隊可由組

織管理層、安全、相關(guān)業(yè)務(wù)骨干、具備能力的專業(yè)技術(shù)人員和管理人員等組成。必要時可以聘請相關(guān)專

業(yè)領(lǐng)域或具備資質(zhì)的專家組成專家小組。

當被評估組織委托網(wǎng)絡(luò)運行安全第三方評估機構(gòu)開展電信網(wǎng)絡(luò)運行安全風(fēng)險評估時,可與第三方評

估機構(gòu)共同組建評估團隊,也可由第三方評估機構(gòu)獨立完成評估。

6.3確定電信網(wǎng)絡(luò)運行安全評估依據(jù)

電信網(wǎng)絡(luò)運行安全評估團隊應(yīng)確定被評估組織適用的評估依據(jù),可能的評估依據(jù)通常包括:

a)適用的法律、行政法規(guī)、司法解釋;

b)電信主管部門、公安機關(guān)等有關(guān)部門規(guī)章、規(guī)范性文件;

c)現(xiàn)行有關(guān)國際標準、國家標準、行業(yè)標準、團體標準;

d)被評估組織的電信網(wǎng)絡(luò)運行安全、運維應(yīng)急管理等有關(guān)安全要求。

6.4編制電信網(wǎng)絡(luò)運行安全評估方案

項目負責(zé)人組織制定安全評估工作方案,對工作任務(wù)、質(zhì)量要求、時間進度、人員及分工等做出安

排。

根據(jù)評估依據(jù)和被評估對象的安全需求選擇風(fēng)險評估方法,使之能夠與電信網(wǎng)絡(luò)的實際情況和安全

要求相適應(yīng)。

6.5電信網(wǎng)絡(luò)運行安全評估啟動

為保障安全評估工作的順利開展,確立工作目標、統(tǒng)一思想、協(xié)調(diào)各方資源,應(yīng)召開安全評估工作

啟動會議并形成記錄。啟動會應(yīng)盡量在被評估方所在地召開,工作啟動會一般由安全評估負責(zé)人組織召

開,參與人員應(yīng)該包括評估小組全體人員和相關(guān)業(yè)務(wù)部門主要負責(zé)人。

啟動會主要內(nèi)容包括:被評估方說明此次評估工作的目標,以及被評估方人員在評估工作中的責(zé)任

分工;評估方說明此次評估工作的計劃和各階段工作任務(wù),以及需被評估方配合的具體事項。

被評估方以及其他相關(guān)人員可通過啟動會了解評估內(nèi)容,理解評估工作的重要性,以及各工作階段

所需配合的工作內(nèi)容。

通過啟動評估會議,雙方就評估內(nèi)容達成一致,并確定最終評估方案。

7安全評估執(zhí)行

本文件參照GB/T24353-2009的5.3,將安全評估執(zhí)行分為資產(chǎn)識別、風(fēng)險分析和風(fēng)險評估三個部

分。安全評估執(zhí)行內(nèi)容確保和安全評估工作方案一致,評估執(zhí)行中不對現(xiàn)有網(wǎng)絡(luò)造成影響。

7.1資產(chǎn)識別

電信網(wǎng)絡(luò)運行產(chǎn)是具有價值的資源,是安全策略保護的對象。它能夠以多種形式存在,有無形的、

有形的,有硬件、軟件,有文檔、代碼,也有服務(wù)、形象等。電信網(wǎng)絡(luò)運行安全評估中,資產(chǎn)包括電信

網(wǎng)絡(luò)運行設(shè)備、設(shè)施、管理系統(tǒng)、管理平臺等。

7.2風(fēng)險識別

4

YD/TXXXX—XXXX

風(fēng)險識別是通過識別風(fēng)險源、影響范圍、事件及其原因和潛在的后果,生成一個全面的風(fēng)險列表。

風(fēng)險識別應(yīng)全面準確、涵蓋所有資產(chǎn),不應(yīng)有缺失。在實施過程中可根據(jù)評估對象特點和評估要求,對

風(fēng)險應(yīng)進行合理的分類分級和細化分解。

7.3風(fēng)險分析

安全風(fēng)險分析需要考慮風(fēng)險事件的原因、后果和發(fā)生的可能性、不同風(fēng)險源的相互關(guān)系等特性。同

時需要確認是否存在控制措施,分析控制措施是否有效。

選擇合適的安全評估技術(shù)和方法,有助于評估者及時高效地獲取準確的評估結(jié)果。在具體實踐中,

安全評估的復(fù)雜及詳細程度千差萬別。評估者可根據(jù)評估的準確性要求和技術(shù)能力選擇適宜的方法,具

體方法和使用過程見GB/T27921-2011。當使用其他方法時,應(yīng)在評估報告中分析該方法的適用性,寫

明選擇使用該方法的原因。

7.4風(fēng)險評價

檢查評估分析的結(jié)果,判斷是否達到了可接受程度,對于不可接受的風(fēng)險應(yīng)進一步采取控制措施,

降低事故風(fēng)險。

對不同等級的安全風(fēng)險進行統(tǒng)計、分析,確定各等級風(fēng)險所占全部風(fēng)險的百分比,分析總體風(fēng)險狀

況。

8形成評估結(jié)論

評估者根據(jù)評估執(zhí)行情況形成安全評估結(jié)論,編寫安全評估報告。安全評估報告應(yīng)全面、如實反映

評估過程的全部工作,并根據(jù)識別的安全風(fēng)險提出相應(yīng)的應(yīng)對措施和整改建議。

9電信網(wǎng)絡(luò)運行安全評估文檔

電信網(wǎng)絡(luò)運行安全評估文擋包括評估報告、各種現(xiàn)場記錄和過程文件等。

評估報告應(yīng)包括:唯一性標識、評估機構(gòu)信息、報告編制依據(jù)、評估方法和程序、風(fēng)險清單、風(fēng)險

控制措施、評估團隊信息、評估對象等信息。

電信網(wǎng)絡(luò)運行安全評估過程中的各種現(xiàn)場記錄和過程文件應(yīng)可復(fù)現(xiàn)評估過程,并應(yīng)不可篡改和妥善

保存,以作為產(chǎn)生歧義后解決問題的依據(jù)。

10風(fēng)險再評估

如果出現(xiàn)重要的新信息或者環(huán)境發(fā)生變化,應(yīng)根據(jù)管理的需要進行重新評估。

評估流程應(yīng)按照本文件第6-9章要求執(zhí)行。

5

YD/TXXXX—XXXX

前言

本文件按照GB/T1.1-2020《標準化工作導(dǎo)則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本文件由中國通信標準化協(xié)會提出并歸口。

本文件起草單位:中國信息通信研究院、華為技術(shù)有限公司、騰訊云計算(北京)有限責(zé)任公司、

中國聯(lián)合網(wǎng)絡(luò)通信有限公司。

本文件主要起草人:羅丹、張治兵、周開波、蔣皓、翁奇、孫大博、倪平、孫大博、陳郁。

I

YD/TXXXX—XXXX

電信網(wǎng)絡(luò)運行安全評估導(dǎo)則

1范圍

本文件規(guī)定了電信網(wǎng)絡(luò)運行安全評估的目的、基本原則和流程。

本文件適用于指導(dǎo)電信網(wǎng)絡(luò)運營者或第三方機構(gòu)開展電信網(wǎng)絡(luò)運行安全評估。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。其中,凡是注日期的引用文件,僅該日期對應(yīng)的版本

適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T24353-2009風(fēng)險管理原則與實施指南

GB/T27921-2011風(fēng)險管理風(fēng)險評估技術(shù)

GB/T23694-2013風(fēng)險管理術(shù)語(ISOGUIDE73:2009)

3術(shù)語和定義

GB/T23694-2013界定的以及下列術(shù)語和定義適用于本文件。

3.1

資產(chǎn)asset

對組織具有價值的信息資源,是安全策略保護的對象。

3.2

安全評估securityassessment

安全評估對象識別、風(fēng)險分析和風(fēng)險評價的全過程。

3.3

風(fēng)險分析riskanalysis

理解風(fēng)險的本質(zhì)和確定風(fēng)險水平的過程。

3.4

風(fēng)險評價riskevaluation

將風(fēng)險分析結(jié)果與風(fēng)險準則進行比較,以確定風(fēng)險和/或其大小是否可接受或可容忍的過程。

4電信網(wǎng)絡(luò)運行安全評估概述

4.1安全評估目的

建立電信網(wǎng)絡(luò)運行安全評估目的主要針對目前電信網(wǎng)絡(luò)運行中因設(shè)計、實現(xiàn)和管理上的缺陷和缺少

必要的安全防護措施而面臨各種安全問題和風(fēng)險等,制定一套相對完整、可實施、指標化的運行安全評

估規(guī)范,通過對電信網(wǎng)絡(luò)運行系統(tǒng)開展安全性評估,幫助電信網(wǎng)絡(luò)管理者了解電信網(wǎng)絡(luò)運行可能帶來的

安全風(fēng)險,為其優(yōu)化電信網(wǎng)絡(luò)運行設(shè)計方案,制定嚴格的管理制度提供參考依據(jù)。

4.2安全評估原則

4.2.1對象清晰原則

電信網(wǎng)絡(luò)運行安全評估工作應(yīng)遵循對象清晰原則,明確評估對象范圍,確定被評估設(shè)施的邊界,

2

YD/TXXXX—XXXX

明確被評估對象涉及的設(shè)施、設(shè)備、信息系統(tǒng)等。

4.2.2場景依賴原則

電信網(wǎng)絡(luò)運行安全評估工作應(yīng)遵循場景依賴原則,被評估電信網(wǎng)絡(luò)運行的安全風(fēng)險與其應(yīng)用場景

強相關(guān),評估電信網(wǎng)絡(luò)運行安全評估其所涉及的各類應(yīng)用場景下的安全風(fēng)險,充分發(fā)揮不同專業(yè)領(lǐng)域的

專家作用,合理利用評估工具以適用不同場景。

4.2.3保密性原則

電信網(wǎng)絡(luò)運行安全評估應(yīng)遵循保密性原則,評估團隊應(yīng)具備良好的保密意識,應(yīng)按照保密要求對

評估過程數(shù)據(jù)和結(jié)果數(shù)據(jù)進管理,避免評估過程中出現(xiàn)泄密問題。

4.2.4系統(tǒng)性原則

電信網(wǎng)絡(luò)運行安全評估應(yīng)遵循系統(tǒng)性原則,統(tǒng)籌考慮被評估者的日常運營情況、工作流程、常見

的安全風(fēng)險因素及次生衍生因素,對被評估電信網(wǎng)絡(luò)進行系統(tǒng)全面的安全評估。

5安全評估實施流程

電信網(wǎng)絡(luò)運行安全評估實施分為3個階段,包括:安全評估準備階段、安全評估執(zhí)行階段和形成評

估結(jié)論。根據(jù)電信網(wǎng)絡(luò)運行安全評估的不同階段,評估方制定相應(yīng)的工作計劃,保證評估工作的順利進

行。

安全評估實施內(nèi)容見第6~8章,安全評估實施流程圖如圖1所示。

圖1安全評估實施流程

6安全評估準備

6.1評估對象識別和確定

電信網(wǎng)絡(luò)運行評估團隊應(yīng)對被評估對象進行識別和確定,識別工作內(nèi)容應(yīng)包括:

a)明確此次開展評估對象的范圍;

3

YD/TXXXX—XXXX

b)此

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論