電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù) 安全管理總體要求

1電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)安全管理總體要求本文件規(guī)定了電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全管理要求，通過(guò)識(shí)別、防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警響應(yīng)處置等五個(gè)方面，實(shí)施行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施全生命周期的安全保護(hù)。本文件適用于電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)和監(jiān)督管理工作2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款，其中，注日期的引用文件僅該日期對(duì)應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。3術(shù)語(yǔ)和定義GB/T25069-2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中具有價(jià)值的資源，是安全防護(hù)體系保護(hù)的對(duì)象。電信網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)中的資產(chǎn)可能以多種形式存在，無(wú)形的、有形的、硬件、軟件，包括物理布局、通信設(shè)備、物理線路、數(shù)據(jù)、軟件、文檔、規(guī)程、業(yè)務(wù)、人員、管理等各種類型的資源，如互聯(lián)網(wǎng)協(xié)議(IP)承載網(wǎng)中的路由器、支撐網(wǎng)中的用戶數(shù)據(jù)、傳送網(wǎng)的網(wǎng)絡(luò)布局。[來(lái)源：YD/T1730-2008,3.4]4關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)概述4.1關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的對(duì)象和范圍本文件實(shí)施對(duì)象為電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施(以下簡(jiǎn)稱“行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施”),工業(yè)和信息化部負(fù)責(zé)制定行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別認(rèn)定規(guī)則和清單名錄。電信行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱“運(yùn)營(yíng)者”)依據(jù)清單，負(fù)責(zé)明確本單位行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的資產(chǎn)范圍和邊界。c)應(yīng)急預(yù)案應(yīng)由管理層批準(zhǔn)后發(fā)布并落實(shí)到相關(guān)人員執(zhí)行，同時(shí)根據(jù)人員應(yīng)急角色和責(zé)任，組織應(yīng)急培訓(xùn)。d)應(yīng)至少每年進(jìn)行一次應(yīng)急預(yù)案評(píng)估修訂，并持續(xù)改進(jìn)。9.2應(yīng)急資源管理應(yīng)急資源管理方面的要求包括：a)應(yīng)為網(wǎng)絡(luò)安全事件應(yīng)急處置提供必要的組織保障和經(jīng)費(fèi)保障，支持本單位網(wǎng)絡(luò)安全應(yīng)急工作相關(guān)的人員團(tuán)隊(duì)建設(shè)、技術(shù)手段建設(shè)、演練實(shí)施、培訓(xùn)開(kāi)展等。b)應(yīng)組建內(nèi)部應(yīng)急支撐團(tuán)隊(duì)、專家團(tuán)隊(duì)，實(shí)施清單管理并保持同步，同時(shí)明確網(wǎng)絡(luò)安全管理機(jī)構(gòu)、網(wǎng)絡(luò)安全相關(guān)部門(mén)、應(yīng)急支撐團(tuán)隊(duì)、專家團(tuán)隊(duì)在網(wǎng)絡(luò)安全事件預(yù)防、監(jiān)測(cè)、報(bào)告、處置9.3事件監(jiān)測(cè)a)監(jiān)測(cè)發(fā)現(xiàn)疑似網(wǎng)絡(luò)安全事件時(shí)，應(yīng)及時(shí)通知相關(guān)專業(yè)技術(shù)人員進(jìn)行研判和處置。并確定事件b)應(yīng)持續(xù)加強(qiáng)事件跟蹤與分析評(píng)估，協(xié)調(diào)調(diào)度各方資源做好應(yīng)急準(zhǔn)備工作。c)應(yīng)記錄事件相關(guān)信息，包括但不限于發(fā)現(xiàn)時(shí)間、事件描述、研判結(jié)果、當(dāng)前狀態(tài)等，并妥善保存。d)可使用自動(dòng)化機(jī)制采集、跟蹤并記錄正在進(jìn)行的安全事件，分析事件信息。9.4事件報(bào)告a)應(yīng)按國(guó)家和行業(yè)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案要求，及時(shí)報(bào)告發(fā)生的重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)的重大網(wǎng)絡(luò)安全威脅。制定安全事件報(bào)告規(guī)范，確定不同類型、不同等級(jí)網(wǎng)絡(luò)安全事件的報(bào)告要求。b)一旦發(fā)生公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件或其他重大及以上國(guó)家網(wǎng)絡(luò)安全事件，應(yīng)及時(shí)將安全事件監(jiān)測(cè)預(yù)警信息或事件相關(guān)情況，報(bào)送電信主管部門(mén)。c)如電信主管部門(mén)認(rèn)定披露安全事件符合公共利益，應(yīng)及時(shí)通知可能受到事件影響的其他組織、9.5應(yīng)急演練(資料性)表A.1管理脆弱性(示例)期開(kāi)放不必要的訪問(wèn)端口),工程實(shí)施未進(jìn)行安全驗(yàn)收(如未開(kāi)展代碼床嚴(yán)格落實(shí)國(guó)家、行業(yè)網(wǎng)絡(luò)安全審查相關(guān)要求，未采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)[1]GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法[2]GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求[3]GB/T22239-2019網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[4]GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求[5]YD/T1728-2008電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南[6]YD/T1729-2008電信網(wǎng)和互聯(lián)網(wǎng)安全等級(jí)保護(hù)實(shí)施指南[7]YD/T1730-2008電信網(wǎng)和互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南[8]YD/T1731-2008電信網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)實(shí)施指南[9]YD/T1756-2008電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)要求[10]YD/T1757-2008電信網(wǎng)和互聯(lián)網(wǎng)管理安全等級(jí)保護(hù)檢測(cè)要求[11]ISO/IEC27001:2013Informationtechnology—Securitytechniquesecuritymanagementsystems—[12]FrameworkforImprovingCriticalInfrastructureCyber[13]GuidelineonSecurityMeasuresunderthe