YDT 4501-2023电信网络运行安全评估导则

ICS33.040.01

CCSM04

YD

中华人民共和国通信行业标准

YD/TXXXX—202X

电信网络运行安全评估导则

Guidelinesforthesecurityevaluationoftelecommunicationsnetwork

operation

（报批稿）

20××-××-××发布20××-××-××实施

中华人民共和国工业和信息化部发布

YD/TXXXX—XXXX

目次

前言...............................................................................................................................................................I

1范围................................................................................................................................................................2

2规范性引用文件............................................................................................................................................2

3术语和定义....................................................................................................................................................2

4电信网络运行安全评估概述.........................................................................................................................2

4.1安全评估目的...................................................................................................................2

4.2安全评估原则...................................................................................................................2

5安全评估实施流程........................................................................................................................................3

6安全评估准备................................................................................................................................................3

6.1评估对象识别和确定.......................................................................................................3

6.2组建评估团队...................................................................................................................4

6.3确定电信网络运行安全评估依据...................................................................................4

6.4编制电信网络运行安全评估方案...................................................................................4

6.5电信网络运行安全评估启动...........................................................................................4

7安全评估执行................................................................................................................................................4

7.1资产识别...........................................................................................................................4

7.2风险识别...........................................................................................................................4

7.3风险分析...........................................................................................................................5

7.4风险评价...........................................................................................................................5

8形成评估结论................................................................................................................................................5

9电信网络运行安全评估文档.........................................................................................................................5

10风险再评估...............................................................................................................................................5

I

YD/TXXXX—XXXX

电信网络运行安全评估导则

1范围

本文件规定了电信网络运行安全评估的目的、基本原则和流程。

本文件适用于指导电信网络运营者或第三方机构开展电信网络运行安全评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。其中，凡是注日期的引用文件，仅该日期对应的版本

适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T24353-2009风险管理原则与实施指南

GB/T27921-2011风险管理风险评估技术

GB/T23694-2013风险管理术语（ISOGUIDE73:2009）

3术语和定义

GB/T23694-2013界定的以及下列术语和定义适用于本文件。

3.1

资产asset

对组织具有价值的信息资源，是安全策略保护的对象。

3.2

安全评估securityassessment

安全评估对象识别、风险分析和风险评价的全过程。

3.3

风险分析riskanalysis

理解风险的本质和确定风险水平的过程。

3.4

风险评价riskevaluation

将风险分析结果与风险准则进行比较，以确定风险和/或其大小是否可接受或可容忍的过程。

4电信网络运行安全评估概述

4.1安全评估目的

建立电信网络运行安全评估目的主要针对目前电信网络运行中因设计、实现和管理上的缺陷和缺少

必要的安全防护措施而面临各种安全问题和风险等，制定一套相对完整、可实施、指标化的运行安全评

估规范，通过对电信网络运行系统开展安全性评估，帮助电信网络管理者了解电信网络运行可能带来的

安全风险，为其优化电信网络运行设计方案，制定严格的管理制度提供参考依据。

4.2安全评估原则

4.2.1对象清晰原则

电信网络运行安全评估工作应遵循对象清晰原则，明确评估对象范围，确定被评估设施的边界，

2

YD/TXXXX—XXXX

明确被评估对象涉及的设施、设备、信息系统等。

4.2.2场景依赖原则

电信网络运行安全评估工作应遵循场景依赖原则，被评估电信网络运行的安全风险与其应用场景

强相关,评估电信网络运行安全评估其所涉及的各类应用场景下的安全风险，充分发挥不同专业领域的

专家作用，合理利用评估工具以适用不同场景。

4.2.3保密性原则

电信网络运行安全评估应遵循保密性原则，评估团队应具备良好的保密意识，应按照保密要求对

评估过程数据和结果数据进管理，避免评估过程中出现泄密问题。

4.2.4系统性原则

电信网络运行安全评估应遵循系统性原则，统筹考虑被评估者的日常运营情况、工作流程、常见

的安全风险因素及次生衍生因素，对被评估电信网络进行系统全面的安全评估。

5安全评估实施流程

电信网络运行安全评估实施分为3个阶段，包括：安全评估准备阶段、安全评估执行阶段和形成评

估结论。根据电信网络运行安全评估的不同阶段，评估方制定相应的工作计划，保证评估工作的顺利进

行。

安全评估实施内容见第6～8章，安全评估实施流程图如图1所示。

图1安全评估实施流程

6安全评估准备

6.1评估对象识别和确定

电信网络运行评估团队应对被评估对象进行识别和确定，识别工作内容应包括：

a）明确此次开展评估对象的范围；

3

YD/TXXXX—XXXX

b)此次评估对象的网络运行安全管理组织架构、职责和人员配备情况；

b)此次评估对象的网络运行安全管理相关制度、流程；

c)此次评估对象相关的网络拓扑结构；

d)其他确定评估对象的必要信息。

6.2组建评估团队

应组建风险评估团队，以支持整个风险评估过程的推进，以及评估工作的有效开展。该团队可由组

织管理层、安全、相关业务骨干、具备能力的专业技术人员和管理人员等组成。必要时可以聘请相关专

业领域或具备资质的专家组成专家小组。

当被评估组织委托网络运行安全第三方评估机构开展电信网络运行安全风险评估时，可与第三方评

估机构共同组建评估团队，也可由第三方评估机构独立完成评估。

6.3确定电信网络运行安全评估依据

电信网络运行安全评估团队应确定被评估组织适用的评估依据，可能的评估依据通常包括:

a)适用的法律、行政法规、司法解释；

b）电信主管部门、公安机关等有关部门规章、规范性文件；

c)现行有关国际标准、国家标准、行业标准、团体标准；

d）被评估组织的电信网络运行安全、运维应急管理等有关安全要求。

6.4编制电信网络运行安全评估方案

项目负责人组织制定安全评估工作方案，对工作任务、质量要求、时间进度、人员及分工等做出安

排。

根据评估依据和被评估对象的安全需求选择风险评估方法，使之能够与电信网络的实际情况和安全

要求相适应。

6.5电信网络运行安全评估启动

为保障安全评估工作的顺利开展，确立工作目标、统一思想、协调各方资源，应召开安全评估工作

启动会议并形成记录。启动会应尽量在被评估方所在地召开，工作启动会一般由安全评估负责人组织召

开，参与人员应该包括评估小组全体人员和相关业务部门主要负责人。

启动会主要内容包括：被评估方说明此次评估工作的目标，以及被评估方人员在评估工作中的责任

分工；评估方说明此次评估工作的计划和各阶段工作任务，以及需被评估方配合的具体事项。

被评估方以及其他相关人员可通过启动会了解评估内容，理解评估工作的重要性，以及各工作阶段

所需配合的工作内容。

通过启动评估会议，双方就评估内容达成一致，并确定最终评估方案。

7安全评估执行

本文件参照GB/T24353-2009的5.3，将安全评估执行分为资产识别、风险分析和风险评估三个部

分。安全评估执行内容确保和安全评估工作方案一致，评估执行中不对现有网络造成影响。

7.1资产识别

电信网络运行产是具有价值的资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、

有形的，有硬件、软件，有文档、代码，也有服务、形象等。电信网络运行安全评估中，资产包括电信

网络运行设备、设施、管理系统、管理平台等。

7.2风险识别

4

YD/TXXXX—XXXX

风险识别是通过识别风险源、影响范围、事件及其原因和潜在的后果，生成一个全面的风险列表。

风险识别应全面准确、涵盖所有资产，不应有缺失。在实施过程中可根据评估对象特点和评估要求，对

风险应进行合理的分类分级和细化分解。

7.3风险分析

安全风险分析需要考虑风险事件的原因、后果和发生的可能性、不同风险源的相互关系等特性。同

时需要确认是否存在控制措施，分析控制措施是否有效。

选择合适的安全评估技术和方法,有助于评估者及时高效地获取准确的评估结果。在具体实践中,

安全评估的复杂及详细程度千差万别。评估者可根据评估的准确性要求和技术能力选择适宜的方法，具

体方法和使用过程见GB/T27921-2011。当使用其他方法时，应在评估报告中分析该方法的适用性，写

明选择使用该方法的原因。

7.4风险评价

检查评估分析的结果，判断是否达到了可接受程度，对于不可接受的风险应进一步采取控制措施，

降低事故风险。

对不同等级的安全风险进行统计、分析，确定各等级风险所占全部风险的百分比，分析总体风险状

况。

8形成评估结论

评估者根据评估执行情况形成安全评估结论，编写安全评估报告。安全评估报告应全面、如实反映

评估过程的全部工作，并根据识别的安全风险提出相应的应对措施和整改建议。

9电信网络运行安全评估文档

电信网络运行安全评估文挡包括评估报告、各种现场记录和过程文件等。

评估报告应包括：唯一性标识、评估机构信息、报告编制依据、评估方法和程序、风险清单、风险

控制措施、评估团队信息、评估对象等信息。

电信网络运行安全评估过程中的各种现场记录和过程文件应可复现评估过程，并应不可篡改和妥善

保存，以作为产生歧义后解决问题的依据。

10风险再评估

如果出现重要的新信息或者环境发生变化,应根据管理的需要进行重新评估。

评估流程应按照本文件第6-9章要求执行。

5

YD/TXXXX—XXXX

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由中国通信标准化协会提出并归口。

本文件起草单位：中国信息通信研究院、华为技术有限公司、腾讯云计算（北京）有限责任公司、

中国联合网络通信有限公司。

本文件主要起草人：罗丹、张治兵、周开波、蒋皓、翁奇、孙大博、倪平、孙大博、陈郁。

I

YD/TXXXX—XXXX

电信网络运行安全评估导则

1范围

本文件规定了电信网络运行安全评估的目的、基本原则和流程。

本文件适用于指导电信网络运营者或第三方机构开展电信网络运行安全评估。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。其中，凡是注日期的引用文件，仅该日期对应的版本

适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T24353-2009风险管理原则与实施指南

GB/T27921-2011风险管理风险评估技术

GB/T23694-2013风险管理术语（ISOGUIDE73:2009）

3术语和定义

GB/T23694-2013界定的以及下列术语和定义适用于本文件。

3.1

资产asset

对组织具有价值的信息资源，是安全策略保护的对象。

3.2

安全评估securityassessment

安全评估对象识别、风险分析和风险评价的全过程。

3.3

风险分析riskanalysis

理解风险的本质和确定风险水平的过程。

3.4

风险评价riskevaluation

将风险分析结果与风险准则进行比较，以确定风险和/或其大小是否可接受或可容忍的过程。

4电信网络运行安全评估概述

4.1安全评估目的

建立电信网络运行安全评估目的主要针对目前电信网络运行中因设计、实现和管理上的缺陷和缺少

必要的安全防护措施而面临各种安全问题和风险等，制定一套相对完整、可实施、指标化的运行安全评

估规范，通过对电信网络运行系统开展安全性评估，帮助电信网络管理者了解电信网络运行可能带来的

安全风险，为其优化电信网络运行设计方案，制定严格的管理制度提供参考依据。

4.2安全评估原则

4.2.1对象清晰原则

电信网络运行安全评估工作应遵循对象清晰原则，明确评估对象范围，确定被评估设施的边界，

2

YD/TXXXX—XXXX

明确被评估对象涉及的设施、设备、信息系统等。

4.2.2场景依赖原则

电信网络运行安全评估工作应遵循场景依赖原则，被评估电信网络运行的安全风险与其应用场景

强相关,评估电信网络运行安全评估其所涉及的各类应用场景下的安全风险，充分发挥不同专业领域的

专家作用，合理利用评估工具以适用不同场景。

4.2.3保密性原则

电信网络运行安全评估应遵循保密性原则，评估团队应具备良好的保密意识，应按照保密要求对

评估过程数据和结果数据进管理，避免评估过程中出现泄密问题。

4.2.4系统性原则

电信网络运行安全评估应遵循系统性原则，统筹考虑被评估者的日常运营情况、工作流程、常见

的安全风险因素及次生衍生因素，对被评估电信网络进行系统全面的安全评估。

5安全评估实施流程

电信网络运行安全评估实施分为3个阶段，包括：安全评估准备阶段、安全评估执行阶段和形成评

估结论。根据电信网络运行安全评估的不同阶段，评估方制定相应的工作计划，保证评估工作的顺利进

行。

安全评估实施内容见第6～8章，安全评估实施流程图如图1所示。

图1安全评估实施流程

6安全评估准备

6.1评估对象识别和确定

电信网络运行评估团队应对被评估对象进行识别和确定，识别工作内容应包括：

a）明确此次开展评估对象的范围；

3

YD/TXXXX—XXXX

b)此