电信网和互联网管理安全等级保护要求1 范围 本标准规定了公众电信网和互联网的管理安全等级保护要求。本标准适用于电信网和互联网安全防护体系中的各种网络和系统。2 法律规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓舞根据本标准达成协议的各方讨论是否可使用这些文件的最新版本.凡是不注日期的引用文件,其最新版本适用于本标准.3 术语和定义 下列术语和定义适用于本标准。3.1 电信网 Telecom Network 利用有线和,或无线的电磁、光电网络,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等。3。2 互联网 Internet 泛指由多个计算机网络相互连接而形成的网络,它是在功能和逻辑上组成的大型计算机网络.3.3 安全等级 Security Classification安全重要程度的表征.重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量.4 管理安全等级保护要求4.1 第 1 级要求 不作要求。4.2 第 2 级要求4。2.1 安全管理制度4.2。1。1 管理制度 a) 应制定安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; b) 应对安全管理活动中重要的管理内容建立安全管理制度; c) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。4.2.1。2 制定和发布 a) 应指定或授权专门的部门或人员负责安全管理制度的制定;b) 应组织相关人员对制定的安全管理制度进行论证和审定; c) 应将安全管理制度以某种方式发布到相关人员手中。4.2.1。3 评审和修订 应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。4.2。2 安全管理机构4.2.2。1 岗位设置 a) 应设立安全主管、安全管理各个方面的负责人岗位,定义各负责人的职责; b) 应设立系统管理人员、网络管理人员、安全管理员岗位,定义各个工作岗位的职责。4.2.2。2 人员配备 应配备一定数量的系统管理人员、网络管理人员、安全管理员等。4。2。2.3 授权和审批 a) 应根据各个部门和岗位的职责明确授权审批部门及批准人,对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批; b) 应针对关键活动建立审批流程,并由批准人签字确认。4.2.2。4 沟通和合作 a) 应加...
