通信网络安全防护管理系统的定级备案怎么做?

来源:蜘蛛抓取(WebSpider) 时间:2022-06-13 04:04 标签: 计算机网络安全与防护

发布时间: 17:14 来源:天津市通信管理局

天津市通信管理局关于加强增值电信企业

网络与数据安全管理工作的通知

根据《网络安全法》、《数据安全法》、《通信网络安全防护管理办法》(工业和信息化部令第11号)规定,为提高电信和互联网行业网络安全防护水平,进一步加强增值电信企业网络与数据安全管理,现将有关工作要求通知如下:

(一)完善网络安全管理制度

建立网络与信息安全主管部门,明确责任部门和责任人;开展网络与信息安全教育培训;制定网络与信息安全应急预案,定期开展应急演练。

各增值电信企业要按照《通信网络安全防护管理办法》规定,登录通信网络安全防护管理系统(),对本企业建设、使用、运营的信息系统(正式上线运行的网络和系统)进行定级,提交或更新备案信息。

(三)开展符合性评测和安全风险评估

定级备案对象经评审通过后,各单位应落实与其级别相适应的安全防护措施,并按照以下规定进行符合性评测及安全风险评估工作:

附件:网络与数据安全工作落实情况表

附件:网络与数据安全工作落实情况表

2021年,我局对我市3家基础电信企业和3家增值电信企业进行了网络安全防护现场检查,现将检查结果公示如下:

天津中联智云科技有限公司

工业和信息化部通信保障局负责人就
《通信网络安全防护管理办法》答记者问

    随着我国国民经济和社会信息化的快速发展,经济社会运行对通信网络的依赖度不断提高,包括公用电信网、公共互联网在内的通信网络已成为国家关键基础设施,其全局性和战略性地位日益突出。近年来,在全行业的共同努力下,通信网络安全防护工作取得了明显成效,有力地保障了北京奥运会、国庆60周年等国家重大活动的通信安全。与此同时,在通信网络IP化、宽带化、智能化和融合演进过程中,也产生了多样化的外部安全威胁,利用网络攻击、网络病毒、黑客入侵等手段造成的网络中断、系统瘫痪、信息泄露、网页篡改等安全事件频发,网络安全整体形势日趋严峻。

    工业和信息化部最近发布了(工信部第11号令,以下简称《办法》),旨在针对新情况新问题,进一步提高我国通信网络安全保障整体水平,增强网络安全事件预防保护能力,最大限度地减少重大网络安全事件发生。为此,工业和信息化部通信保障局相关负责人近日接受了采访,围绕通信网络安全防护的概念、适用范围、工作制度和工作重点回答了记者的提问。

    答:通信网络安全防护工作是指为防止通信网络阻塞、中断、瘫痪或被非法控制,以及通信网络中传输、存储、处理的数据信息丢失、泄露或被篡改等而开展的工作。

    在工作方法上,综合运用分级保护、风险评估、容灾备份、安全监控等科学方法,在深入分析通信网络可能面临的各种威胁和风险的基础上,通过事先落实有针对性的管理和技术防护措施,强化监督检查,提高防范水平,尽可能减少重大安全事件的发生。

    在工作范畴上,凡是可能影响电信业务经营者网络和业务系统的正常运行,或可能影响数据的保密性、完整性、可用性的因素,都是通信网络安全防护工作需要考虑和防范的。例如网络攻击、网络病毒、黑客入侵、非法远程控制,以及各种形式的物理破坏、自然灾害等。其中,网络攻击、网络病毒、黑客入侵、非法远程控制问题,是互联网发展和传统网络IP化、网络融合过程中出现的新情况新问题。这类问题技术性强,防范难度大,目前电信业务经营者在这些方面的认识和工作基础普遍较为薄弱,因此是通信网络安全防护工作的重点。

    答:从管理针对的主体来说,适用于“电信业务经营者”和“互联网域名服务提供者”。其中“电信业务经营者”不仅包含中国电信、中国移动、中国联通等基础电信业务经营者,而且包括众多的ICP、IDC、SP等增值电信业务经营者;“互联网域名服务提供者”不仅包括互联网域名注册管理和服务机构,而且包括目前社会上存在的专门为域名持有者提供权威解析服务的经营性或非经营性主体。从管理针对的客体来说,包括公用通信网、互联网以及承载在公用通信网、互联网上的电信业务系统和域名系统等的安全防护工作。从管理针对的行为来说,包括为防止通信网络阻塞、中断、瘫痪或被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或被篡改等所进行的相关活动。

    答:一是通信网络单元的分级和备案制度。《办法》规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为五级。为便于电信管理机构掌握有关情况,通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案。

    二是安全防护措施的符合性评测制度。为确保通信网络单元安全防护措施落实到位,《办法》规定通信网络运行单位应当按照标准落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。其中三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。

    三是通信网络安全风险评估制度。《办法》规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时发现并消除重大网络安全隐患。其中三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。

    四是通信网络安全防护检查制度。《办法》规定电信管理机构要对通信网络运行单位开展通信网络安全防护工作的情况进行检查,并明确了检查工作方式和有关要求。

    此外,《办法》还对通信网络运行单位开展容灾备份、事件监测和演练等工作提出了明确要求。

    问:基础通信网络规模庞大,按什么规则划分网络单元?

    答:基础电信运营企业的通信网络规模庞大、覆盖全国、全程全网,通过统一的标准和接口实现不同专业网络、不同地域网络相互联通和互操作。各基础电信运营企业将其通信网络按地域和专业进行划分,由下属机构分块、分段、分专业进行管理。工业和信息化部之前发布的《电信网和互联网安全等级保护实施指南》规定了通信网络单元的划分原则和方法,主要按照网络或系统的专业类型(如固定、移动、互联网等)和服务地域(如省级、省内、本地等)进行划分,确保网络单元间的边界清晰、管理责任主体分明。

    问:工业和信息化部在通信网络安全防护方面开展过哪些前期工作?

    答:《办法》是在充分总结前期工作经验的基础上研究制定的,《办法》的出台进一步增强了相关工作的系统性、规范性和科学性。为贯彻落实中央和国务院有关要求,2007年,印发了《关于进一步开展电信网络安全防护工作的实施意见》(信部电[号),明确了有关工作思路、原则、方法和步骤。组织制定了通信网络安全防护系列标准,于2008年正式发布了32项标准,为指导和规范网络运行单位开展防护工作和落实安全防护措施发挥了重要作用。自2006年起,每年组织开展一次全行业通信网络安全大检查和风险评估,督促整改发现的隐患,为确保十七大、北京奥运会和国庆60周年通信网络安全发挥了重要作用。组织对基础电信运营企业的网络和系统进行定级备案,基本掌握了各基础电信运营企业的网络和系统数量、分布情况,以及各个网络和系统的主要功能、地位作用和责任主体。对国家顶级域名系统进行了定级备案。建设了通信网络安全防护管理信息系统,实现通信网络基本情况的网上报备,提高管理工作效率。

    答:贯彻落实《办法》将是一项长期、系统的基础性工作。结合近年有关工作情况,下一步,将重点围绕以下方面继续推进和深化通信网络安全防护工作:一是加强《办法》和有关标准的宣贯,进一步提高全行业的网络安全意识和能力,增强做好网络安全防护工作的责任感、紧迫感。二是加大网络安全防护检查力度,在2009年安全检查的基础上,进一步突出重点,组织对支撑系统、域名系统、网上营业厅、IDC等当前存在问题较多的网络和系统进行自查与抽查,督促相关单位排查隐患、堵塞漏洞、加强防护。三是不断完善安全防护标准体系,特别是针对新技术新业务和网络融合出现的新情况新问题,如手机安全、3G安全、IPv6安全、云计算安全、三网融合安全等,加强跟踪研究,适时制订和修订相关安全防护标准。四是继续组织做好网络和系统的定级备案工作,逐步落实增值电信业务和互联网域名服务的定级备案。五是指导督促电信业务经营者建设完善网络安全监控手段,提高安全防护、监测预警和应急处置能力。

工业和信息化部政法司负责人解读《通信网络安全防护管理办法》

    1月21日,工业和信息化部发布了《通信网络安全防护管理办法》(工业和信息化部令第11号)。工业和信息化部政策法规司副司长李国斌围绕《办法》出台的有关背景、《办法》的主要内容等问题接受了记者的专访。

    记者:工业和信息化部最近出台了《通信网络安全防护管理办法》,请问出台该规章的意义是什么?

    李国斌副司长:随着我国通信业和信息化的发展,政治、经济、文化和社会生活对通信网络的依赖度越来越高,通信网络已成为国家关键基础设施。通信网络一旦发生中断、瘫痪或拥塞,或者其中传输、存储、处理的数据信息丢失、泄露或被非法篡改,将对社会经济生活造成严重影响。制定《办法》,完善通信网络安全保障法律制度,有利于提高通信网络安全防护能力和水平。此外,随着信息通信技术的迅速发展,通信网络加快向数字化、宽带化和智能化演进,通信网络面临的安全威胁日益多样化,网络攻击、信息窃取等非传统安全问题十分突出。相对于传统安全问题,非传统安全问题的隐蔽性更强,处置工作和技术要求更高。结合信息通信技术发展的特点制定《办法》,建立通信网络分级、备案、安全风险评估等制度,有利于应对非传统安全威胁。

    李国斌副司长:2009年6月,工业和信息化部通信保障局完成《办法(送审稿)》并送部政法司审查。部政法司对《办法(送审稿)》进行审查、完善后,征求了部内相关司局和各省通信管理局的意见。为保证《办法》的科学性,我们还通过部外网网站向社会公开征求了意见。从意见反馈情况看,各方对《办法》拟设立的各项制度没有原则性不同意见。部分通信管理局就《办法》的可操作性以及制度的合理性等方面提出了一些建议和意见,例如,是否由地方管局组织专家对网络单元进行评审、增值电信业务经营者适用等问题。为此, 2009年11月,部政法司组织召开了由部分通信管理局参加的座谈会,就《办法》的可操作性、制度的合理性等问题进行了进一步研究,并充分研究和吸收了各方面的意见。2009年12月29日,部第八次部务会议审议通过了《办法(草案)》。2010年1月21日,部公布了《办法》。

    记者:《办法》对加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通具有重要的意义。您能否介绍一下《办法》主要建立了哪些制度?

    李国斌副司长:《办法》围绕通信网络安全防护管理工作,主要建立了如下制度:

    一是确立了通信网络单元的分级保护制度,规定通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度等因素,由低到高分别划分为五级。为保证分级的科学性,《办法》规定:通信网络运行单位应当组织专家对通信网络单元的分级情况进行评审。与此同时,《办法》还规定通信网络运行单位应当将通信网络单元的划分和定级情况向电信管理机构备案。为保证备案工作的可操作性,《办法》进一步明确了备案的内容和核查程序。

    二是建立了符合性评测制度,规定通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并进行符合性评测。《办法》规定:三级及三级以上通信网络单元应当每年进行一次符合性评测,二级通信网络单元应当每两年进行一次符合性评测。

    三是建立了安全风险评估制度,规定通信网络运行单位应当组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患。《办法》规定:三级及三级以上通信网络单元应当每年进行一次安全风险评估,二级通信网络单元应当每两年进行一次安全风险评估。

    四是建立了通信网络安全防护检查制度,规定电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。《办法》对检查方式进行了明确,并规定:电信管理机构进行检查,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品;电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密、技术秘密和个人隐私,有保密的义务。

信息安全等级保护定级指南》规定,只要符合以下三个特征,就必须进行等级保护备案。如果符合以下三个特征,并且安全保护等级是二级及以上,还必须通过等级保护测评,网站也不例外。等级保护定级对象的三大基本特征:①具有确定的主要安全责任主体;②承载相对独立的业务应用;③包含相互关联的多个资源


如果企业不给网站做等保,会面临严重的后果。举个例子,四川宜宾市翠屏区教师培训与教育研究中心网站自上线运行以来,始终未进行网络安全等级保护的定级备案、等级测评等工作,未落实网络安全等级保护制度,未履行网络安全保护义务,导致网站存在高危漏洞,造成网站发生被黑客攻击入事件。根据《网络安全法》第二十一条和五十九条之规定,内乡县公安局网安大队依法对四川宜宾市翠屏区教师培训与教育研究中心被处一万元罚款,法人代表唐某某被处五千元罚款。

那么,如果网站符合以上三个特征,且信息系统为二级及以上,要怎么做等级保护呢?网站信息系统安全等级保护办理步骤解读来啦!


根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。
定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。

根据《网络安全法》规定:
①已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
②新建第二级以上信息系统,应当在投入运行后30日内(等保2.0相关标准已将备案时限修改为10日内),由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
③隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。
④跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
企业最终确定网站的级别以后,就可以到公安机关进行备案。备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。第三级以上信息系统需提供以下材料:(一)系统拓扑结构及说明;(二)系统安全组织机构和管理制度;(三)系统安全保护设施设计实施方案或者改建实施方案;(四)系统使用的信息安全产品清单及其认证、销售许可证明;(五)测评后符合系统安全保护等级的技术检测评估报告;(六)信息系统安全保护等级专家评审意见;(七)主管部门审核批准信息系统安全保护等级的意见。


3.网站系统安全建设(整改)
等级保护整改是等保建设的其中一个环节,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,包括技术层面整改和管理层面整改。整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。
等级保护整改没有什么资质要求,只要公司可以按照等级保护要求来进行相关网络安全建设,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时候都需要寻找专业的网络安全服务公司来进行整改。
整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。
技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。

等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。物联网企业等级测评需要寻找合适的测评机构来进行测评,测评机构至少需要具备《信息安全等级测评推荐证书》。物联网企业可以登录中国网络安全等级保护网查看国家推荐的有资质的测评机构名单。
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。

企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

我要回帖

更多关于 计算机网络安全与防护 的文章

 

随机推荐