中国电信郑州分公司传输线路维护管理办法(试行)
一、 维护管理组织及职责
按照统一领导和分级管理的原则,由运行维护部统一领导,运维部线路维护中心、县营业部维护组两级管理体系,各部门安排专职维护管理人员(1-2人)。
1、 运维部线路维护中心职责为:
A、负责按线路类型制定月、季、年度专业维护作业计划,明确专业维护项目、内容及其要求。
B、负责牵头与各县维护负责人一起制定维护考核细则,定期或不定期对郊县维护执行情况进行抽查,并对各郊县维护班组进行考核通报和动态的管理,定期对维护质量进行审核、评估、分析,写出维护总结报告,以文件形式通报。
C、依据维护作业计划目标要求,组织检查、指导县区维护工作开展;协助县区维护管理负责人改进维护管理。
D、对县区维护工作提供后台技术支撑和故障处理支撑工作。
E、负责定期组织维护经验、知识培训,提升自维能力。
2、县区营业部:由县区网络部主任主管传输线路维护管理工作,一名专职维护负责人管理日常维护工作,其职责为:
A、负责区域内线路代维单位的维护管理.
B、根椐线路维护中心下达的月、季、年度专业维护作业计划的执行情况,落实对代维单位的考核管理.
C、定期组织线路代维单位召开周、月维护工作例会,执行会议签到和会议纪要制度,向运维部线路维护中心上报维护工作报告。
D、当发生线路障碍时,迅速组织抢修,并召开故障分析会,分析原因,制定防范措施,及时汇报。
二、代维单位组织及职责:
1、代维单位的组织及要求
A、承包人必须是正式注册的服务性企业(公司),其登记的营业范围必须包含通信设备维护(维修)。
B、 承包人最少应有三名工程师,技术员(技工)以上人数不少于10 %,直接参加维护工作的人员必须与承包人签有正式用工合同。
C、 承包人应根据所承包的设备配备一定的装备,包括车辆、固定和移动电话、仪器仪表、工具、劳保和防护用品。光缆维护必须装备OTDR、光熔接机和路由探测仪,光纤识别器等光缆维护专用工具。光缆承包人每个抢修点应有4人以上掌握光熔接技术和光纤测试技术。
D、 代维单位巡线员的配备标准:为了保证巡回周期和频次,架空(管道、直埋)线路按70-80公里/人设置,最多不超过100公里。
E、 承包人维护队伍与承包设备的数量关系(维护队伍的最低要求)应不低于下表所列标准
F、 承包人必须建立完善的维护管理制度。
G、 承包人必须在一个县区内建立至少一个工作站,以满足维护抢修需求.
2、 代维单位职责及维护质量指标
A、 对合同区域内所有光缆线路、管道的日常巡检和技术维护
B、 对合同区域内所有光缆线路按照先抢通、后修复的原则进行抢修
C、 负责合同区域内光缆线路的大修改造和日常整治
D、 负责对甲方所提供的维护材料进行妥善保管并做好登记
E、 按电信公司要求绘制出详实的光缆线路路由图和光缆线路维护图
F、 乙方要严格遵守中华人民共和国《通信保密规则》
G、 乙方应注意施工,维护期间的人身安全,发生事故,由乙方承担全部责任
H、 维护指标要求:1、设备完好率:半年和年度考核,设备完好率的分值达95分以上;光、电特性合格率符合要求(纤芯合格率:100%;电气特性合格率:85%)2、故障历时(按照代维协议要求执行)3、维护管理资料要求完整、齐全、准确、详实(具体管理资料按照代维协议内要求执行)
中国电信郑州分公司
运维部线路中心
20##-10-28
第二篇:中国电信通信网络安全防护管理办法
中国电信通信网络安全防护管理办法
第一章 总则
第一条 为加强中国电信通信网络安全管理工作,提高通信网络安全防护能力,保障通信网络安全畅通,根据《通信网络安全防护管理办法》(中华人民共和国工业和信息化部第11号令),制定本办法。
第二条 中国电信管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
第三条 本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。
第四条 通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第五条 网络安全防护工作贯穿网络规划、设计、采购、建设、入网运行、维护以及下线退网整个生命周期;注重安全防护的标准制定与落实,注重督促工程设计和建设阶段的安全规范实施情况,注重监管运行维护工作制度规章的执行情况;建立按照电信管理机构的要求,结合中国电信自身的安全管理需求,以年度为周期开展计划、实施、总结考评等工作制度; - 3 -
整体工作将按照规范化、制度化、常态化方向发展。
第六条 集团公司相关部门和各省级公司可根据实际情况制定相关细则,进一步落实贯彻本办法。
第二章 网络安全防护管理的组织形式
第七条 集团公司负责全集团通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定相关标准,按照工业和信息化部的规定、通信行业标准及企业标准开展通信网络安全防护工作,对全网的通信网络安全负责,对各省的网络安全管理工作进行统一监督管理。
第八条 各省级公司依据本办法的规定和相关要求,对本省公司的通信网络安全防护工作进行指导、协调和检查,按照工业和信息化部及各省、自治区、直辖市通信管理局(以下统称“电信管理机构”)的规定和通信行业标准、集团公司的相关要求、企业标准开展通信网络安全防护工作,对所管理的通信网络安全负责。
第九条 网络安全防护工作覆盖多部门、多专业,包括网络发展部门(以下简称网络发展部)、企业信息化部门(以下简称企业信息化部)、公众客户管理部门(以下简称公众客户部)、网络运行部门(以下简称网络运行部)等。集团和省级公司网络运行部既为网络安全防护统筹管理部门(以下简称统筹管理- 4 -
部门),又为网络安全防护专业管理部门(以下简称专业管理部门);各级公司企业信息化部、公众客户部等为专业管理部门;中国电信北京研究院基础网络安全防护支撑和测评中心、上海研究院、广州研究院及各省公司相关科研单位为网络安全防护技术支持部门(以下简称技术支持部门)。网络安全防护工作以统筹管理部门统筹协调、各专业管理部门分头负责、技术支持部门技术支撑的形式开展。
第十条 各级公司相同专业管理部门间以纵向管理关系组织工作,同级专业管理部门的协同工作由本级统筹管理部门统筹协调。
第十一条 各省级公司要根据中国电信的岗位体系要求,在省级公司网络安全防护统筹管理部门内设立网络安全管理岗,实现网络安全防护总体统筹管理专人专岗,履行省级公司网络安全防护统筹管理日常工作。
第三章 网络安全防护管理的职责
第十二条 统筹管理部门的主要职责
(一)负责制定管理辖区内的网络安全防护统筹管理相关管理办法、工作制度、工作目标、年度工作重点与工作计划,制定考核要求,并组织落实。
(二)牵头接应电信管理机构或上级公司有关网络安全防 - 5 -
护工作要求,组织相关专业管理部门对新投入运行或重大变更的网络与系统进行定级或定级调整。
(三)根据网络安全防护的行业标准、企业标准或上级公司要求,结合当期网络防护重点任务,组织同级专业管理部门开展网络安全评测、评估和检查工作。
(四)根据各专业管理部门的网络安全评测、评估和检查结果,督促协调相关整改工作。
(五)负责管理辖区内网络安全恢复预案完整性、规范性和实效性的总体管理。
(六)组织网络安全防护培训工作,组建各级网络安全防护专家团队。
(七)参与网络安全防护行业标准和监管办法等的制定工作,组织各相关专业管理部门制定企业网络安全相关标准。
(八)组织相关专业管理部门完成向电信管理机构报送网络安全基础数据等工作。
(九)将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。
(十)归口管理各专业管理部门提出的网络安全需求,汇总、审核后,统一提交网络发展部。
第十三条 专业管理部门的分工和主要职责:
(一)专业管理部门的分工:
1.企业信息化部主要负责CTG-MBOSS规范框架下的企业信- 6 -
息系统的安全防护工作。
2.公众客户部主要负责网上营业厅、掌上营业厅及其相关系统的安全防护工作。
3.网运部主要负责传统网络(传输网、交换网、同步网、信令网、移动网、短消息网及网络类网管等)、数据网(CHINANET、CN2、IP城域网、DNS、IDC、DCN等)、业务平台(如ISMP等管理平台,多媒体消息、WAP、BREW等能力平台和导航、视讯等产品平台)及物理环境等的安全防护工作。
各专业管理部门为所负责专业的网络安全防护第一责任部门。如果省级公司的专业管理部门职责划分与上述不同,按照省级公司的部门职责划分分工。
(二)专业管理部门的主要职责:
1.负责相关专业的网络安全防护管理办法、工作制度、工作目标、年度工作重点与工作计划的制定,并组织落实。
2.组织对新投入运行或重大变更的相关专业的网络与系统的定级或定级调整。
3.按照政府要求及企业年度工作重点的要求开展相关专业网络安全评测、评估和检查工作。
4.根据相关专业的网络安全评测、评估及和检查结果,从网络规划建设和网络维护管理等方面提出建议,实施整改工作。
5.负责相关专业网络安全恢复预案完整性、规范性和实效性的管理。
- 7 -
6.组织相关专业网络安全防护培训工作。
7.参与网络安全防护行业标准、企业标准、监管办法等的制定、完善及实施推进工作。
8.将网络安全评测、评估中所需的专业工具、支撑服务、网络/系统加固等相关成本费用纳入本部门当年预算。
第十四条 网络发展部的主要职责:
(一)负责在网络规划中考虑网络安全运行问题。在网络规划中统筹考虑统筹管理部门汇总的各专业管理部门提出的网络安全需求。
(二)负责网络建设的安全管理,组织做好施工工作对现网运行安全的评估、施工过程中的安全管控以及重要业务系统上线环节的安全验收工作。
(三)参与网络安全符合性评测、风险评估和安全检查工作。根据网络安全符合性评测、风险评估和安全检查的结果,对需要投资解决的隐患和问题,根据轻重缓急明确投资,组织工程实施。
第十五条 技术支持部门的主要职责:
(一)参与网络安全防护企业标准及相关规范的制定。
(二)协助制定网络安全防护定级指导,初审定级结果,负责定级技术支持。
(三)协助制定评测、评估模板,初审评测、评估结果,负责相关的技术支持。
- 8 -
(四)协助开展网络安全检查,制定检查方案。
(五)分析网络安全评测、评估及安全检查中发现的问题,协助提出相关整改建议。
(六)协助开展网络安全恢复预案完整性、规范性和实效性的管理。
第四章 网络安全防护定级及定级调整
第十六条 对本单位已正式投入运行的通信网络应进行定级单元划分,并按照各通信网络单元遭受破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级,分级标准执行国家网络安全防护定级行业标准。(详见附件)
第十七条 集团公司统一管理的骨干网络和系统由集团公司统一组织定级和级别调整工作,省内网络(含省内长途和本地网网络)及系统由各省级公司组织定级和级别调整工作。定级工作由统筹管理部门牵头组织,各专业管理部门分头负责。
第十八条 网络安全防护定级工作流程:
(一)集团公司统筹管理部门根据工业和信息化部的要求,组织中国电信基础网络安全防护支撑和测评中心按照网络安全防护定级行业标准及企业标准,结合中国电信网络实际情况,制定当期的网络安全防护定级指导,明确定级范围、定级 - 9 -
对象划分建议、定级方法等内容。
(二)集团公司统筹管理部门组织集团相关专业管理部门会审网络安全防护定级指导;审核通过后,通知各相关专业管理部门按照网络安全防护定级指导的要求开展网络单元安全防护定级工作。
(三)各相关专业管理部门完成安全防护定级工作后,集团各相关专业管理部门将定级结果报送集团统筹管理部门,省公司各相关专业管理部门将定级结果报送省公司统筹管理部门;中国电信基础网络安全防护支撑和测评中心负责对定级结果进行初审。
(四)初审完成后,集团公司统筹管理部门组织集团相关专业管理部门对初审结果进行审核,审核完成后向国家电信管理机构申请对电信网络的定级情况进行评审。
(五)各级统筹管理部门在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况向电信管理机构备案。
第十九条 网络安全防护定级备案要求
(一)集团公司统筹管理部门向工业和信息化部办理其管理的通信网络单元的定级备案;各省级公司统筹管理部门向当地通信管理局办理其负责管理的通信网络单元的定级备案。
(二)办理通信网络定级单元备案时,应当提交以下信息:
1.通信网络单元的名称、级别、主要功能;
2.通信网络单元责任单位的名称、联系方式;
- 10 -
3.通信网络单元主要负责人的姓名、联系方式;
4.通信网络单元的拓扑架构、网络边界、主要软硬件及型号、关键设施位置;
5.按照定级要求应提交的涉及通信网络安全的其他信息。
(三)以上备案信息发生变化的,各级专业管理部门应当自信息变化之日起三十日内通知相应统筹管理部门,由统筹管理部门向对应的电信管理机构变更备案,确保信息的及时性、准确性以及完整性。
第二十条 网络安全防护定级调整工作要求:
(一)各级专业管理部门应当根据实际情况适时调整通信网络定级单元的划分和级别。
(二)网络安全防护定级调整流程与网络安全防护定级流程相同。
第五章 网络安全防护符合性评测、风险评估和检查
第二十一条 各省级公司统筹管理部门应按电信管理机构的要求,结合当期企业网络防护重点和上年度网络安全检查所发现的主要问题,在每年年初组织专业管理部门讨论确定本年度网络安全符合性评测、风险评估和检查计划,按计划组织相关专业管理部门对相关网络单元组织年度符合性评测、风险评估和检查工作。
- 11 -
第二十二条 各省级公司应积极配合相关通信网络安全检查工作;主要检查措施如下:
(一)查阅通信网络单元的符合性评测报告和风险评估报告。
(二)查阅有关网络安全防护的文档和工作记录。
(三)向相关工作人员询问了解有关情况。
(四)查验通信网络的有关设施。
(五)对通信网络进行技术性分析和测试。
(六)法律、行政法规规定的其他检查措施。
第二十三条 通信网络安全检查工作流程
(一)各省级统筹管理部门组织技术支持部门按照检查要求,制定检查工作指导,明确检查工作的范围、要求、计划等,制定检查评测表、风险评估报告模板等。
(二)各省级统筹管理部门组织相关专业管理部门对检查工作指导进行审核。
(三)审核通过后,通知各相关专业管理部门按照检查工作指导要求对所负责的专业开展部署、自查及整改、抽查、总结等各项工作。
(四)各专业管理部门根据检查工作指导要求,部署本专业通信网络安全检查工作,制定具体实施工作方案。
(五)自查及整改工作
1.自查:各专业管理部门对所管辖的网络按照相关要求开- 12 -
展符合性评测与风险评估工作。
2.整改:各专业管理部门根据评测中不达标的情况,和(或)风险评估中发现的重大隐患,边查边改,短期内无法整改的,要制定整改计划。
(六)抽查工作:由电信管理机构或集团公司组织专家进行网络安全防护抽查,各级专业管理部门协助提供相应检测环境;对检测方案进行讨论和确认;指定配合现场技术检测工作的负责人,全程协助检测工作。
(七)总结工作:各级专业管理部门将本专业检查工作开展情况、评测情况、风险评估发现的主要问题和隐患、整改情况和整改计划及相关工作建议,形成检查总结资料提交至同级统筹管理部门,省级公司统筹管理部门将本省检查总结资料提交至集团公司统筹管理部门。
(八)集团公司统筹管理部门组织集团相关专业管理部门及中国电信基础网络安全防护支撑和测评中心审核相关的检查总结资料。
(九)对于电信管理机构组织的检查,检查总结资料审核通过后,各级公司统筹管理部门负责向相应电信管理机构报送相关检查总结资料。
(十)各省级统筹管理部门负责对其负责管理的通信网络单元的符合性评测、安全风险评估结果和安全检查结果进行通报。相关专业管理部门根据所发现的问题,拟定后续整改措施、 - 13 -
计划。统筹管理部门按整改计划督促协调相关整改工作。
第六章 网络安全应急恢复
第二十四条 各省级公司网络发展部在网络规划、建设时,应当对通信网络单元的重要线路、设备、系统和数据等资源进行必要冗余备份建设。
第二十五条 各省级专业管理部门应按网络安全运行行业标准和集团相关要求,对通信网络单元的重要线路、设备、系统和数据等制定必要冗余备份方案,保证当主用重要线路、设备、系统和数据遭到破坏后,有条件迅速切换使用相应的备用资源。
第二十六条 按照《中国电信网络应急恢复预案体系架构》(中国电信〔2008〕523号文)的要求,不断完善网络应急恢复预案的完整性、规范性和实效性的管理。
第二十七条 建立网络应急恢复演练机制;各级统筹管理部门每年组织专业管理部门制定并落实网络应急恢复演练年度计划,并督促实施。省级公司统筹管理部门将本省预案演练情况于每年11月底前上报集团统筹管理部门,集团统筹管理部门每年年底前对各省预案演练情况进行通报。
第七章 网络安全防护全生命周期管理
- 14 -
第二十八条 建立行之有效的安全运行体系,将通信网络安全防护工作要求融入到网络单元规划、设计、采购、建设、入网运行、维护以及下线退网的全生命周期过程,实现网络安全防护工作的流程化、日常化、标准化。
第二十九条 各级网络发展部在新建、改建、扩建通信网络工程项目时,应同步建设通信网络安全保障设施,同步建设的通信网络安全保障设施应与主体工程同时进行验收和投入运行。
第三十条 网络发展部负责在新建项目招标文件的技术规范书中编制相关工程安全防护验收规范,要求中标厂商在项目初验前组织有安全资质的安全服务厂商按照安全防护验收规范的要求完成安全评测工作,针对发现的问题负责进行加固和复测,通过后方可组织项目的初验,最终的安全评估报告作为初验文档的附件予以存档。在投标文件中明确安全检查以及加固的费用由中标厂商承担,并将相关要求加入到与厂商签订的采购合同中。
第三十一条 将安全要求落实到日常维护计划、配置变更管理、版本管理和应急事件处理等运维体系中;网络单元下线退网时应进行必要的技术处置后方可退网报废。
第八章 附则
- 15 -
第三十二条 通信网络安全防护工作应纳入各省级公司的通信质量指标考核体系,按照相关考核办法进行考核。对违反国家相关通信网络安全防护法律法规情节严重的,依照有关法律法规处理。
第三十三条 本管理办法由中国电信集团公司网络运行维护事业部负责解释。
第三十四条 本办法自发布之日起施行。
附件:电信网和互联网安全定级说明
- 16 -
附件:
电信网和互联网安全定级说明
安全防护工作首先以定级工作为基础,根据工信部相关文件《关于进一步开展电信网络安全防护工作的实施意见》(信部电〔2007〕555号)和《关于开展通信网络单元安全防护定级备案调整工作的通知》(工信保函〔2010〕14号),按照网络安全防护系列标准的要求,将定级工作的有关要求汇总如下:
一、安全等级划分及含义
电信网和互联网及相关系统的安全等级划分如下: 第1级
定级对象受到破坏后,会对其网络和业务运营商的合法权益造成轻微损害,但不损害国家安全、社会秩序、经济运行和公共利益。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护。
第2级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生严重损害,或者对社会秩序、经济运行和公共利益造成轻微损害,但不损害国家安全。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行指导。
- 17 -
第3级
进一步划分为两个等级:
第3.1级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成较大损害,或者对国家安全造成轻微损害。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行监督、检查。
第3.2级
定级对象受到破坏后,会对网络和业务运营商的合法权益产生特别严重损害,或者对社会秩序、经济运行和公共利益造成严重损害,或者对国家安全造成较大损害。
本级由网络和业务运营商依据国家和通信行业有关标准进行保护,主管部门对其安全等级保护工作进行重点监督、检查。
第4级
定级对象受到破坏后,会对社会秩序、经济运行和公共利益造成特别严重损害,或者对国家安全造成严重损害。
本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全要求进行保护,主管部门对其安全等级保护工作进行强制监督、检查。
第5级
定级对象受到破坏后,会对国家安全造成特别严重损害。 - 18 -
本级由网络和业务运营商依据国家和通信行业有关标准以及业务的特殊安全需求进行保护,主管部门对其安全等级保护工作进行专门监督、检查。
二、安全定级划分及等级建议
工信部定级划分要求,制定了定级划分标准,详见下表:
网络/系统类型
子网络/子系统类
型
A类定级对象 本地网
固定通信网
-
B类定级对象 端局 汇接局 关口局
工信部建议安全等级 2级、3.1级 2级、3.1级、3.2级 3.1级、3.2级 3.1级、3.2级 3.1级、3.2级 2级、3.1级 2级、3.1级 2级、3.1级、3.2级 2级、3.1级、3.2级 3.1级、3.2级 3.1级、3.2级 2级、3.1级、3.2级
3.1级
2级、3.1级、3.2级、4级 1级、2级、3.1级、3.2级
2级、3.1级 2级、3.1级、3.2级 2级、3.1级 2级、3.1级
2级、3.1级 2级、3.1级 2级、3.1级、3.2级 2级、3.1级、3.2级
2级 2级、3.1级 2级、3.1级 2级、3.1级、3.2级 3.1级、3.2级 3.1级、3.2级、4级
3.2级、4级 2级、3.1级 2级、3.1级、3.2级 2级、3.1级、3.2级 2级、3.1级、3.2级 3.1级、3.2级 2级、3.1级、3.2级 3.1级、3.2级、4级
2级、3.1级 3.1级、3.2级 2级、3.1级 2级、3.1级、3.2级 2级、3.1级、3.2级 2级、3.1级、3.2级
1级、2级、3.1级 2级、3.1级 1级、2级、3.1级
-
移动通信网
电路域 分组域
互联网 -
增值业务网-消
息网 增值业务网-智
能网 接入网
- - -
光传送网
传送网
微波接力传送网 卫星传送网
IP承载网 信令网 同步网
- - -
业务运营支撑系
统
网管系统
非核心生产单元
企业办公系统 客服呼叫中心
支撑网
省内长途网
省际长途网(含国际长途网)
无线接入子系统
无线接入子系统
数字集群
核心交换网
本地网 核心交换网
省内长途网
省际长途网(含国际长途网) 省网部分 核心交换网
国际部分
域名服务系统 域名解析系统
数据中心
信息浏览服务系统信息发布服务系统
信息服务系统
电子邮件服务系统用户通信服务系统
短消息网 多媒体消息网 省内智能网 全国智能网
本地网下不同区域
接入网
本地传送网(含城域传
汇聚层
送网)
核心层
省内骨干传送网 省际骨干传送网 国际骨干传送网 省内传送网 国内卫星传送网
汇聚层
IP城域网
核心层
IP骨干网 省内信令网 省际信令网 省内同步网 省际同步网 省业务运营支撑系统 全国业务运营支撑系统
省网管系统 全国网管系统 省公司办公系统 集团公司办公系统 省客服呼叫中心
- 19 -
企业门户网站 网上营业厅
集团客服呼叫中心 省公司门户网站 集团公司门户网站 省公司网上营业厅 集团公司网上营业厅 1级、2级、3.1级 2级、3.1级 2级、3.1级 2级、3.1级、3.2级 2级、3.1级、3.2级
随着电信网和互联网的发展,随着安全防护体系的进一步完善,以上定级划分和定级建议将进一步补充完善。
三、网络安全定级方法
电信行业安全防护定级方法依据定级要素加权计算结果判定得出的。
(一)定级要素
确定定级对象的安全等级应根据如下三个相互独立的定级要素:
1.社会影响力
定级对象的社会影响力表示其受到破坏后对国家安全、社会秩序、经济建设和公共利益的侵害程度,定级对象的社会影响力赋值原则如下表所示。
社会影响力定义
定级对象受到破坏后不损害国家安全、社会秩序、经济建设和公共利益
定级对象受到破坏后不损害国家安全,对社会秩序、经济建设和公共利益造成轻微损害
定级对象受到破坏后对国家安全造成较大损害,或者对社会秩序、经济建设和公共利益造成较为严重的损害
定级对象受到破坏后对国家安全造成严重损害,或者对社会秩序、经济建设和公共利益造成特别严重损害
定级对象受到破坏后对国家安全造成特别严重损害
赋值 1 2 3 4 5
侵害国家安全的事项包括(不限于)如下方面: 影响国家政权稳固和国防实力; 影响国家统一、民族团结和社会安定; 影响国家对外活动中的政治、经济利益;
- 20 -
影响国家重要的安全保卫工作;
影响国家经济竞争力和科技实力等。
侵害社会秩序的事项包括(不限于)如下方面:
影响国家机关社会管理和公共服务的工作秩序;
影响各种类型的经济活动秩序;
影响各行业的科研、生产秩序;
影响公众在法律约束和道德规范下的正常生活秩序等。 侵害经济建设的事项包括(不限于)如下方面:
直接导致经济损失;
间接导致经济损失。
侵害公共利益的事项包括(不限于)如下方面:
影响社会成员使用公共设施;
影响社会成员获取公开信息资源;
影响社会成员接受公共服务等方面。
对此定级要素进行赋值时,应先确定对国家安全的侵害程度,再确定对社会秩序、经济建设和公共利益的侵害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济建设和公共利益的侵害程度最严重者。
2.所提供服务的重要性
定级对象所提供服务的重要性表示其提供的服务被破坏后对其所有者的合法利益的影响程度,其重要性赋值如下表所示。 所提供服务的重要性定义 赋值 定级对象所提供服务的重要性较低,被破坏后对其所有者的合法利益造成轻微损害 1 定级对象所提供服务的重要性一般,被破坏后对其所有者的合法利益造成较大损害 2
- 21 -
定级对象所提供服务的重要性很高,被破坏后对其所有者的合法利益造成很大损害 3 定级对象所提供服务的重要性非常高,被破坏后对其所有者的合法利益造成非常大的损害
定级对象所提供服务的重要性特别高,被破坏后对其所有者的合法利益造成特别严5 重的损害
此定级要素可通过定级对象所提供的服务本身的重要性来衡量,如业务的经济价值,业务重要性,对企业自身形象的影响等方面。
3.规模和服务范围
定级对象的规模表示其服务的用户数多少,服务范围表示其服务的地区范围大小,定级对象的规模和服务范围赋值如下表所示。 规模和服务范围定义
定级对象被破坏后对较少的用户造成影响、或者对较小的地区造成影响
定级对象被破坏后对较多的用户造成影响、或者对较大的地区造成影响
定级对象被破坏后对很多的用户造成影响、或者对很大的地区造成影响
定级对象被破坏后对非常多的用户造成影响、或者对非常大的地区造成影响
定级对象被破坏后对特别多的用户造成影响、或者对特别大的地区造成影响 赋值 1 2 3 4 5
在确定好定级对象的社会影响力、所提供服务的重要性、规模和服务范围三个定级要素的赋值后,可采用附录A中的安全等级计算方法确定定级对象的安全等级。在确定某一个定级要素的赋值时,无需考虑其他两个定级要素。
安全等级确定可能不是一个过程就可以完成的,而是需要经过定级要素赋值、定级、定级结果调整的循环过程,最终才能确定出较为科学、准确的安全等级。
(二)计算方法与判定
可使用下面的公式来计算定级对象的安全等级值:
k=Round1{Log2{[α×2I+β×2V+γ×2R]}}
- 22 -
其中,k代表安全等级值,I代表社会影响力赋值、V代表所提供服务的重要性赋值、R代表规模和服务范围赋值,Round1{}表示四舍五入处理,保留1位小数;Log2[]表示取以2为底的对数,α、β、γ分别表示定级对象的社会影响力、所提供服务的重要性、规模和服务范围赋值所占的权重,α≥0,β≥0,γ≥0,且α+β+γ=1。网络和业务运营商可根据具体网络的情况确定的α、β、γ取值,一般情况下,取α=β=γ=1/3。
计算所得定级对象的安全等级值与安全等级的映射关系如下表所示。 安全等级值k
1.5 ≤ k < 2.5
2.5 ≤ k < 3.3
3.3 ≤ k ≤ 4
4 < k < 4.5
4.5 ≤ k ≤ 5 安全等级 第1级 第2级 第3.1级 第3.2级 第4级 第5级
四、各级别安全检测和风险评估要求:
安全评测
(一)3级及3级以上通信网络单元,应当每年进行一次符合性评测;
(二)2级通信网络单元,应当每两年进行一次符合性评测;
(三)结合当期企业网络防护重点任务,对特定网络单元进行符合性评测。
风险评估
(一)3级及3级以上通信网络单元,应当每年进行一次安全风险评估;
- 23 -