-3-中国电信通信网络安全防护管理办法第一章总则第一条为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。第二条中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。第三条本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第四条通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。第五条网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度;-4-整体工作将按照规范化、制度化、常态化方向发展。第六条集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。第二章网络安全防护管理的组织形式第七条集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统一监督管理。第八条各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。第九条网络安全防护工作覆盖多部门、多专业,包括网络发展部门(以下简称网络发展部)、企业信息化部门(以下简称企业信息化部)、公众客户管理部门(以下简称公众客户部)、网络运行部门(以下简称网络运行部)等。集团和省级公司网络运行部既为网络安全防护统筹管理部门(以下简称统筹管理-5-部门),又为网络安全防护专业管理部门(以下简称专业管理部门);各级公司企业信息化部、公众客户部等为专业管理部门;中国电信北京研究院基础网络安全防护支撑和测评中心、上海研究院、广州研究院及各省公司相关科研单位为网络安全防护技术支持部门(以下简称技术支持部门)。网络安全防护工作以统筹管理部门统筹协调、各专业管理部门分头负责、技术支持部门技术支撑的形式开展。第十条各级公司相同专业管理部门间以纵向管理关系组织工作,同级专业管理部门的协同工作由本级统筹管理部门统筹协调。第十一条各省级公司要根据中国电信的岗位体系要求,在省级公司网络安全防护统筹管理部门内设立网络安全管理岗,实现网络安全防护总体统筹管理专人专岗,履行省级公司网络安全防护统筹管理日常工作。第三章网络安全防护管理的职责第十二条统筹管理部门的主要职责(一)负责制定管理辖区内的网络安全防护统筹管理相关管理办法、工作制度、工作目标、年度工作重点与工作计划,制定考核要求,并组织落实。(二)牵头接应电信管理机构或上级公司有关网络安全防-6-护工作要求,组织相关专业管理部门对新投入运行或重大变更的网络与系统进行定级或定级调整。(三)根据网络安全防护的行业标准、企业标准或上级公司要求,结合当期网络防护重点任务,组织同级专业管理部门开展网络安全评测、评估和检查工作。(四)根据各专业管理部门的网络安全评测、评估和检查结果,督促协调相关整改工作。(五)负责管理辖区内网络安全恢复预案完整性、规范性和实效性的总体管理。(六)组织网络安全防护培训工作,组建各级网络安全防护专家团队。(七)参与网络安全防护行业标准和监管办法等的制定工作,组织各相关专业管理部门制定企业网络安全相关标准。(八)组织相关专业管理部门完成向电信管理机构报送网络安全基础数据等工作。(九)将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。(十)归口管理各专业管理部门提出的网络安全需求,汇总、审核后,统一提交网络发展部。第十三条专业管理部门的分工和主要职责:(一)专业管理部门的分工:1.企业信息化部主要负责CTG-MBOSS规范框架下的企业信-7-息系统的安全防护工作。2.公众客户部主要负责网上营业厅、掌上营业厅及其相关系统的安全防护工作。3.网运部主要负责传统网络(传输网、交换网、同步网、信令网、移动网、短消息网及网络类网管等)、数据网(CHINANET、CN2、IP城域网、DNS、IDC、DCN等)、业务平台(如ISMP等管理平台,多媒体消息、WAP、BREW等能力平台和导航、视讯等产品平台)及物理环境等的安全防护工作。各专业管理部门为所负责专业的网络安全防护第一责任部门。如果省级公司的专业管理部门职责划分与上述不同,按照省级公司的部门职责划分分工。(二)专业管理部门的主要职责:1.负责相关专业的网络安全防护管理办法、工作制度、工作目标、年度工作重点与工作计划的制定,并组织落实。2.组织对新投入运行或重大变更的相关专业的网络与系统的定级或定级调整。3.按照政府要求及企业年度工作重点的要求开展相关专业网络安全评测、评估和检查工作。4.根据相关专业的网络安全评测、评估及和检查结果,从网络规划建设和网络维护管理等方面提出建议,实施整改工作。5.负责相关专业网络安全恢复预案完整性、规范性和实效性的管理。-8-6.组织相关专业网络安全防护培训工作。7.参与网络安全防护行业标准、企业标准、监管办法等的制定、完善及实施推进工作。8.将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。第十四条网络发展部的主要职责:(一)负责在网络规划中考虑网络安全运行问题。在网络规划中统筹考虑统筹管理部门汇总的各专业管理部门提出的网络安全需求。(二)负责网络建设的安全管理,组织做好施工工作对现网运行安全的评估、施工过程中的安全管控以及重要业务系统上线环节的安全验收工作。(三)参与网络安全符合性评测、风险评估和安全检查工作。根据网络安全符合性评测、风险评估和安全检查的结果,对需要投资解决的隐患和问题,根据轻重缓急明确投资,组织工程实施。第十五条技术支持部门的主要职责:(一)参与网络安全防护企业标准及相关规范的制定。(二)协助制定网络安全防护定级指导,初审定级结果,负责定级技术支持。(三)协助制定评测、评估模板,初审评测、评估结果,负责相关的技术支持。-9-(四)协助开展网络安全检查,制定检查方案。(五)分析网络安全评测、评估及安全检查中发现的问题,协助提出相关整改建议。(六)协助开展网络安全恢复预案完整性、规范性和实效性的管理。第四章网络安全防护定级及定级调整第十六条对本单位已正式投入运行的通信网络应进行定级单元划分,并按照各通信网络单元遭受破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级,分级标准执行国家网络安全防护定级行业标准。(详见附件)第十七条集团公司统一管理的骨干网络和系统由集团公司统一组织定级和级别调整工作,省内网络(含省内长途和本地网网络)及系统由各省级公司组织定级和级别调整工作。定级工作由统筹管理部门牵头组织,各专业管理部门分头负责。第十八条网络安全防护定级工作流程:(一)集团公司统筹管理部门根据工业和信息化部的要求,组织中国电信基础网络安全防护支撑和测评中心按照网络安全防护定级行业标准及企业标准,结合中国电信网络实际情况,制定当期的网络安全防护定级指导,明确定级范围、定级-10-对象划分建议、定级方法等内容。(二)集团公司统筹管理部门组织集团相关专业管理部门会审网络安全防护定级指导;审核通过后,通知各相关专业管理部门按照网络安全防护定级指导的要求开展网络单元安全防护定级工作。(三)各相关专业管理部门完成安全防护定级工作后,集团各相关专业管理部门将定级结果报送集团统筹管理部门,省公司各相关专业管理部门将定级结果报送省公司统筹管理部门;中国电信基础网络安全防护支撑和测评中心负责对定级结果进行初审。(四)初审完成后,集团公司统筹管理部门组织集团相关专业管理部门对初审结果进行审核,审核完成后向国家电信管理机构申请对电信网络的定级情况进行评审。(五)各级统筹管理部门在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况向电信管理机构备案。第十九条网络安全防护定级备案要求(一)集团公司统筹管理部门向工业和信息化部办理其管理的通信网络单元的定级备案;各省级公司统筹管理部门向当地通信管理局办理其负责管理的通信网络单元的定级备案。(二)办理通信网络定级单元备案时,应当提交以下信息:1.通信网络单元的名称、级别、主要功能;2.通信网络单元责任单位的名称、联系方式;-11-3.通信网络单元主要负责人的姓名、联系方式;4.通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位置;5.按照定级要求应提交的涉及通信网络安全的其他信息。(三)以上备案信息发生变化的,各级专业管理部门应当自信息变化之日起三十日内通知相应统筹管理部门,由统筹管理部门向对应的电信管理机构变更备案,确保信息的及时性、准确性以及完整性。第二十条网络安全防护定级调整工作要求:(一)各级专业管理部门应当根据实际情况适时调整通信网络定级单元的划分和级别。(二)网络安全防护定级调整流程与网络安全防护定级流程相同。第五章网络安全防护符合性评测、风险评估和检查第二十一条各省级公司统筹管理部门应按电信管理机构的要求,结合当期企业网络防护重点和上年度网络安全检查所发现的主要问题,在每年年初组织专业管理部门讨论确定本年度网络安全符合性评测、风险评估和检查计划,按计划组织相关专业管理部门对相关网络单元组织年度符合性评测、风险评估和检查工作。-12-第二十二条各省级公司应积极配合相关通信网络安全检查工作;主要检查措施如下:(一)查阅通信网络单元的符合性评测报告和风险评估报告。(二)查阅有关网络安全防护的文档和工作记录。(三)向相关工作人员询问了解有关情况。(四)查验通信网络的有关设施。(五)对通信网络进行技术性分析和测试。(六)法律、行政法规规定的其他检查措施。第二十三条通信网络安全检查工作流程(一)各省级统筹管理部门组织技术支持部门按照检查要求,制定检查工作指导,明确检查工作的范围、要求、计划等,制定检查评测表、风险评估报告模板等。(二)各省级统筹管理部门组织相关专业管理部门对检查工作指导进行审核。(三)审核通过后,通知各相关专业管理部门按照检查工作指导要求对所负责的专业开展部署、自查及整改、抽查、总结等各项工作。(四)各专业管理部门根据检查工作指导要求,部署本专业通信网络安全检查工作,制定具体实施工作方案。(五)自查及整改工作1.自查:各专业管理部门对所管辖的网络按照相关要求开-13-展符合性评测与风险评估工作。2.整改:各专业管理部门根据评测中不达标的情况,和(或)风险评估中发现的重大隐患,边查边改,短期内无法整改的,要制定整改计划。(六)抽查工作:由电信管理机构或集团公司组织专家进行网络安全防护抽查,各级专业管理部门协助提供相应检测环境;对检测方案进行讨论和确认;指定配合现场技术检测工作的负责人,全程协助检测工作。(七)总结工作:各级专业管理部门将本专业检查工作开展情况、评测情况、风险评估发现的主要问题和隐患、整改情况和整改计划及相关工作建议,形成检查总结资料提交至同级统筹管理部门,省级公司统筹管理部门将本省检查总结资料提交至集团公司统筹管理部门。(八)集团公司统筹管理部门组织集团相关专业管理部门及中国电信基础网络安全防护支撑和测评中心审核相关的检查总结资料。(九)对于电信管理机构组织的检查,检查总结资料审核通过后,各级公司统筹管理部门负责向相应电信管理机构报送相关检查总结资料。(十)各省级统筹管理部门负责对其负责管