电信行业关键信息基础设施安全保护 安全管理总体要求

1电信行业关键信息基础设施安全保护安全管理总体要求本文件规定了电信行业关键信息基础设施的安全管理要求，通过识别、防护、检测评估、监测预警响应处置等五个方面，实施行业关键信息基础设施全生命周期的安全保护。本文件适用于电信行业关键信息基础设施的安全保护和监督管理工作2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款，其中，注日期的引用文件仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。3术语和定义GB/T25069-2022界定的以及下列术语和定义适用于本文件。关键信息基础设施criticalinformationinfrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。电信网和互联网及相关系统中具有价值的资源，是安全防护体系保护的对象。电信网和互联网及相关系统中的资产可能以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如互联网协议(IP)承载网中的路由器、支撑网中的用户数据、传送网的网络布局。[来源：YD/T1730-2008,3.4]4关键信息基础设施安全保护概述4.1关键信息基础设施安全保护的对象和范围本文件实施对象为电信行业关键信息基础设施(以下简称“行业关键信息基础设施”),工业和信息化部负责制定行业关键信息基础设施的识别认定规则和清单名录。电信行业关键信息基础设施运营者(以下简称“运营者”)依据清单，负责明确本单位行业关键信息基础设施的资产范围和边界。c)应急预案应由管理层批准后发布并落实到相关人员执行，同时根据人员应急角色和责任，组织应急培训。d)应至少每年进行一次应急预案评估修订，并持续改进。9.2应急资源管理应急资源管理方面的要求包括：a)应为网络安全事件应急处置提供必要的组织保障和经费保障，支持本单位网络安全应急工作相关的人员团队建设、技术手段建设、演练实施、培训开展等。b)应组建内部应急支撑团队、专家团队，实施清单管理并保持同步，同时明确网络安全管理机构、网络安全相关部门、应急支撑团队、专家团队在网络安全事件预防、监测、报告、处置9.3事件监测a)监测发现疑似网络安全事件时，应及时通知相关专业技术人员进行研判和处置。并确定事件b)应持续加强事件跟踪与分析评估，协调调度各方资源做好应急准备工作。c)应记录事件相关信息，包括但不限于发现时间、事件描述、研判结果、当前状态等，并妥善保存。d)可使用自动化机制采集、跟踪并记录正在进行的安全事件，分析事件信息。9.4事件报告a)应按国家和行业网络安全突发事件应急预案要求，及时报告发生的重大网络安全事件或者发现的重大网络安全威胁。制定安全事件报告规范，确定不同类型、不同等级网络安全事件的报告要求。b)一旦发生公共互联网网络安全突发事件或其他重大及以上国家网络安全事件，应及时将安全事件监测预警信息或事件相关情况，报送电信主管部门。c)如电信主管部门认定披露安全事件符合公共利益，应及时通知可能受到事件影响的其他组织、9.5应急演练(资料性)表A.1管理脆弱性(示例)期开放不必要的访问端口),工程实施未进行安全验收(如未开展代码床严格落实国家、行业网络安全审查相关要求，未采购安全可信的网络产[1]GB/T20984-2022信息安全技术信息安全风险评估方法[2]GB/T22080-2016信息技术安全技术信息安全管理体系要求[3]GB/T22239-2019网络安全等级保护基本要求[4]GB/T39204-2022信息安全技术关键信息基础设施安全保护要求[5]YD/T1728-2008电信网和互联网安全防护管理指南[6]YD/T1729-2008电信网和互联网安全等级保护实施指南[7]YD/T1730-2008电信网和互联网安全风险评估实施指南[8]YD/T1731-2008电信网和互联网灾难备份及恢复实施指南[9]YD/T1756-2008电信网和互联网管理安全等级保护要求[10]YD/T1757-2008电信网和互联网管理安全等级保护检测要求[11]ISO/IEC27001:2013Informationtechnology—Securitytechniquesecuritymanagementsystems—[12]FrameworkforImprovingCriticalInfrastructureCyber[13]GuidelineonSecurityMeasuresunderthe