YD/T 2672-2013
基本信息
标准号: YD/T 2672-2013
中文名称:电信运营企业信息安全管理框架
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1751KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2672-2013 电信运营企业信息安全管理框架
YD/T2672-2013
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS33.040
中华人民共和国通信行业标准
YD/T2672-2013
电信运营企业信息安全管理框架Information securitymanagementframeworkfortelecommunicationsorganizations2013-10-17发布
2014-01-01实施
中华人民共和国工业和信息化部 发布前言
范围·
2规范性引用文件
3缩略语
4信息安全管理框架·
5策略管理·
5.1策略管理的主要内容….bzxz.net
5.2策略管理的主要活动
6风险管理·
6.1风险管理的主要内容
6.2风险管理的主要活动
7组织人员管理
7.1组织人员管理的主要内容
7.2组织人员管理的主要活动…
8资产管理
8.1资产管理的主要内容·
8.2资产管理的主要活动
9系统获取与开发管理.
9.1系统获取与开发管理的主要内容,9.2系统获取与开发管理的主要活动.10运维管理-
10.1运维管理的主要内容
10.2运维管理的主要活动·
11事件管理.
11.1事件管理的主要内容.
11.2事件管理的主要活动
YD/T2672-2013
本标准按照GB/T1.1-2009给出的规则起草。本标准与ITU-TX.1052相比,主要技术内容差异如下:—本标准将ITU-TX.1052的内容总结补充到范围中;一本标准将ISMS补充到符号及缩略语中;YD/T2672-2013
一本标准将原图“信息安全管理框架”删除,避免原框架图中各模块间关系描述不清晰的问题;一本标准对安全策略与策略进行了统一描述,避免原标准中描述不一致的间题。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国移动通信集团公司、中国移动通信集团设计院有限公司。本标准主要起草人:周智、陈敏时、杜雪涛、袁捷。I
iiKacadiaiKAca
1范围
电信运营企业信息安全管理框架YD/T2672-2013
本标准规定了电信运营企业需要满足的信息安全管理准则,从策略管理、风险管理、组织和人员管理、资产管理、系统获取和开发管理、系统运维管理和事件管理7个管理方面给出如何满足准则要求的具体指南。
本标准适用于电信运营企业。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ITU-TX.1052信息安全管理框架,Informationsecuritymanagementframework3缩略语
下列缩略语适用于本文件。
ISIRTInformationSecurityIncidentResponseTeam信息安全事件响应组ISMFInformation SecurityManagementFrameworkISMSInformation SecurityManagement System4信息安全管理框架
信息安全管理框架
信息安全管理系统
电信运营企业在针对具体信息安全风险而实施控制之前,需要确定信息资产范围,并确定企业实施信息安全管理的方针。作为进行实施控制措施的基础,还应建立信息安全组织。电信运营企业的具体风险控制活动,并非孤立于运营之外,而是电信运营企业运营的有机组成部分。如果将电信运营企业的运营概括为一系列流程,那么信息安全风险控制活动则体现为相关流程中的某些环节。电信运营企业需要持续识别运营活动中的信息安全风险,并不断优化电信运营企业的信息安全管理。ISMF提出了组织与人员管理、资产管理、风险管理、策略管理、系统获取与开发管理、运维管理、和事件管理7个管理域。其中,组织与人员管理、策略管理、资产管理等管理域是电信运营企业实施信息安全管理的基础:风险管理概括电信运营企业建立和持续优化信息安全管理体系(ISMS)所需满足的安全要求:系统获取与开发管理、运维管理、事件管理等管理域包括电信运营企业在运营活动中需要落实的具体信息安全控制要求。
策略管理提出电信运营企业信息安全管理目标、方针以及明确具体的信息安全管理要求,并提供必要的建议或指南。策略包括定义信息安全整体目标和范围、管理者意图的声明、设置控制目标和控制措施的框架等内容。风险管理是电信运营企业建立、持续优化信息安全管理的活动。风险管理包括分析电信运营企业面临的威胁、检查电信运营企业现有活动存在的脆弱点,提出改进措施,并推动改进。资产管理界定了电信运营企业信息安全管理的范围,是电信运营企业开展信息安全管理活动的基础。1
YD/T2672-2013
资产管理包括对电信运营企业涉及的资产进行识别,确定其分类、分级的原则,确定资产属性定义与标准化以及资产责任人等内容。
组织与人员管理,通过建立安全组织,落实人员责任,保障安全策略、风险评估等安全管理框架中涉及的其他管理活动顺利进行。主要内容包括明确管理者的承诺、制定相应的责任体系、制定相应的控制措施,以及对电信运营企业人员任用前的审查,任用中的安全意识,教育、培训与安全相关活动的审查,任用终止时的以规范方式退出的管理。电信运营企业的信息安全管理是电信运营企业运营的有机组成部分。电信运营企业在风险评估的基础上,确定适合本企业的控制目标和控制措施。电信运营企业需要通过改变、优化企业的运营流程来实现这些被选择的控制目标和控制。在电信运营企业的运营流程中,和信息安全管理紧密相关的流程包括信息系统的开发获取、程序和数据的访问控制、配置变更、监控审计、事件管理等。ISMF按控制目标和控制划分为相近于企业运营流程的安全管理域,包括系统获取与开发、运维管理和事件管理,来便于电信运营企业实现这些控制目标和控制。系统获取与开发管理内容包括规划阶段中系统安全需求的明确定义、开发阶段中各安全需求实现与落实情况的审核、建设阶段中系统建设相关内容的实现与审核等方面的管理。运维管理包括信息系统未发生更改的情况下,维持系统的正常运行,进行日常的安全操作及安全管理;在信息系统及其运行环境发生变化的情况下,进行安全评估并针对相关风险制定控制措施,并对其变更进行管理以及定期进行信息系统的审计评审工作。事件管理包括对可能发生的安全事件进行检查与制定相关预处理流程,对已发生的安全事件采取防护措施进行响应,以及从信息安全事件中吸取经验教训,制定预防措施,并且随着时间的变化,不断改进整个的信息安全事件管理方法。在实施安全控制措施时,首先需要明确安全措施的执行主体以及安全措施的作用范围:进而需要建立评价安全措施过程和效果的指标:最后要对整个管理体系进行持续的优化并提出优化意见。依据此落实过程,对ISMF分为组织与人员管理、资产管理、系统获取与开发管理、运维管理以及事件管理、风险管理、策略管理等七个管理域。5策略管理
5.1策略管理的主要内容
安全策略是信息安全管理的核心。策略管理主要负责对电信运营企业信息安全方针、安全管理办法、安全技术规范的制定、修改等环节进行管理。安全策略是电信运营企业用于保护各种信息资产而确定的安全目标、安全保护需求、安全管理要求、安全管理流程、安全技术要求等的集合,通常表示为一系列面向不同层次的安全文档。各种安全策略按照由抽象到具体可分为多个层次,主要包括给出意图的整体类安全策略,根据整体安全策略进行细化的各安全规范以及保障各安全规范落实的相关流程、细则与指南。电信运营企业需要结合自身的实际情况,识别出其需要的安全策略。主要的安全策略来源有1)在考虑企业整体业务战略和目标的情况下,评估该企业的风险,进而制定相关的安全策略来应对风险。
2)从企业、贸易伙伴、合同方和服务提供者等方面必须满足的法律、法规、规章和合同要求,以及2
HiKacaaiKAca-
他们的社会文化环境来总结相关的安全策略。3)从企业对外提供的各种电信服务的目标、原则、特定要求。5.2策略管理的主要活动
YD/T2672-2013
电信运营企业对各类安全策略进行管理,包含制定、修改等环节的管理,在管理的流程中需要明确适当步骤对安全策略进行获取需求、分析、审批、编制等。各阶段需要落实信息安全相关文件与信息安全方针的评审的控制目标与内容,策略管理主要包括对以下几个活动过程的管理,其各过程描述如下:1)收集安全策略需求:是指相关人员对修改与新建的安全策略需求进行收集。安全策略可以从现有策略执行情况、新的安全需求等方面进行获取。在获取完成之后,需要分析是否接受对安全策略的修订或薪增工作。
2)分析需求与确定策略工作:是指接受安全策略的修改与新建申请后,分析申请需求,进而形成需求分析报告的过程。根据申请需求分析报告,做出是否编制或修订的决定。如果需求申请被批准接下来将为该需求规范的开发分派资源:如果需求申请未被批准说明未批准原因。3)制定安全策略:对修订或新建需求申请进行分析并编制相应安全策略。如果需要与供应商或合作伙伴合作开发的,由供应商或合作伙伴参与修订或新建安全策略。4)审批安全策略:对新建或修订的安全策略进行最终的审阅、批准与发布:未通过审批的安全策略返回安全策略编写团队重新修订。准备进行发布,并将变更通知相关部门或贵任人。5)跟踪执行:对已发布的安全策略进行持续的跟踪,发现其是否满足安全需求,如果安全策略未满足安全需求,对其进行下一次的安全策略修订工作。6风险管理
6.1风险管理的主要内容
风险管理主要是对电信运营企业安全保护对象已有安全防护措施的落实情况和有效性进行确认,对技术和管理方面存在的威胁和脆弱性进行分析,找出安全风险,并有针对性的提出改进措施的活动。风险管理包括风险评估、风险控制、审核批准,跟踪检查等几个方面的内容。风险评估是针对确立的风险管理对象所面临的风险进行识别、分析和评价:风险控制是依据风险评估的结果,选择和实施合适的安全措施:审核批准中审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;审核批准中批准是指机构的决策层依据审核的结果,做出是否认可的决定;跟踪检查是对执行中的风险控制措施进行持续的跟踪检查。对企业的保护对象定期或业务目标和特性发生变化或面临新风险时的情况下,需要再次进入上述几个步骤,形成新的一次循环。因此,风险评估、风险控制和审核批准构成了一个螺旋式上升的循环,使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。6,2风险管理的主要活动
风险管理主要由分析评估、风险控制以及审核批准等几个活动组成。在风险评估过程中需要对符合法律要求、符合安全策略和标准以及技术符合性、信息系统审核考虑的控制目标与内容来进行,风险控制要在安全策略的指导下进行处置,通过降低方式来处置风险中涉及的安全措施可以包括通信和操作管理、访问控制等中的各种控制措施。风险管理的各过程描述如下:1)风险评估:风险评估主要是对被评估对象面临的威胁、脆弱性以及相关的防护措施进行识别、分3
YD/T2672-2013
析的过程。所评估风险主要包括信息系统风险、人力资源风险、操作风险、网络服务风险、IT服务风险、物理风险以及合规性风险等。在风险评估活动完成后形成被评估对象面临的风险及其相关的风险等级,为风险控制提供输入。其具体评估活动主要包括以下环节:明确审计依据并制定审计计划:根据企业需要遵守的法律法规、企业安全制度,技术规范等制定安全审计计划,如审计工作的范国、审计重点、时间安排、审计人员及配合人员安排、采用的技术手段等,制定审计方案:根据安全审计计划,细化安全审计内容,如审计的系统范围,检查的重点项,安全审计内容、审计方式、依据标准、审计方法、审计结果、间题描述、审计人员和被审计人员签字栏等安全审计检查表,并对相关人员进行必要的培训,及配置必要的技术手段。审核审计方案:对指定的审核方案进行审核。实施审计方案:依据安全审计方案进行安全审计,安全审计可能是周期性地开展,也可能是一次性的特殊审计,并对安全审计的发现与结论形成审计报告以及相应的整改建议。审核审计报告:审核安全审计报告。评估整改效果,根据审核后的审计报告,对涉及对象进行整改,并检查整改后是否符合安全审计依据的要求。
2)风险控制:是指依据风险评估的结果,选择和实施合适的安全措施。将企业面临的风险控制在可接受的范围内。风险控制的过程包括现存风险判断、控制自标确立、控制措施选择和控制措施实施四个阶段。风险判断是判断现存风险是否可接受:控制目标确立是指分析风险控制需求并确定风险控制目标;控制措施选择是指选择风险控制方式及控制措施;控制措施实施是指制定风险控制实施计划并对其进行实施。
风险控制方式主要有规避、转移和降低三种方式。规避方式是指通过不便用面临风险的资产来避免风险:转移方式是指通过将面临风险的资产或其价值转移至更安全的地方来避免或降低风险:降低方式是指通过对面临风险的资产采取保护措施来降低风险。3)审核批准:是指对风险评估和风险控制的结果的审核与批准。批准通过的依据有:a)信息系统的残余风险是可接受的:b)安全措施(包括风险评估和风险控制)满足信息系统当前业务的安全需求。审核批准的过程包括审核申请、审核处理、批准申请、批准处理和持续监督等几个阶段。审核申请:是指提交者提交审核申请,审核机构受理审核申请:审核处理对审核申请做出审核结论;批准申请是指批准申请阶段的工作:批准处理是指批准处理阶段的工作:持续监督是指检查审核批准是否过期等的过程。
4)跟踪检查:是指对风险评估的环境、安全控制措施的执行情况等进行持续的检查。如果安全控制措施不能满足风险控制情况,需再次进入分析评估步骤,形成新的一次循环。7组织人员管理
7.1组织人员管理的主要内容
组织人员管理主要是指建立相应的安全组织框架,以启动和控制组织范围内的各安全流程的实施并在实施过程中指定相应的安全角色,以及把安全角色赋予相关人员的活动。组织人员包括组织内部人员与第三方人员。组织内部人员管理包括组织结构创建、制定岗位职责、4
iiKacaOiaikAca-
YD/T2672-2013
审核岗位职贵、以及跟踪检查等内容。组织结构建立是指设计与维护一个安全的环境,用于在组织内管理信息安全:制定岗位职责是指根据具体岗位明确其相关人员安全职责;审核岗位职责是指对制定的岗位职责要求是否符合实际要求:跟踪检查是指持续地监督岗位安全要求得到满足的过程。随之电信运营企业业务的发展,需要第三方以各种方式提供服务。电信运营企业应采取措施保证组织的信息处理设施和信息资产的安全不应由于引入外部方服务而降低。第三方管理包括工作范围确定、第三方资质资格要求确定以及审核检查等内容。工作内容确定是指根据活动涉及系统的重要程度、信息的敏感程度等,确定活动是否允许第三方人员介入确定资质资格要求是指允许进入电信资质的第三方资质条件制定的过程:审核检查是指对第三方人员资质以及第三方人员在电信运营企业内部活动的审核、检查、管理的过程。
7.2组织人员管理的主要活动
组织内部人员管理由组织结构创建、制定岗位职责、审核岗位职责以及跟踪检查等几个活动组成。各阶段需要落实信息安全企业中的内部组织与外部各方,人力资源管理中的任用之前、任用中以及任用的终止或变化,第三方服务交付管理中的服务交付、第三方服务的监视和评审第三方服务的变更管理,用户访间管理以及用户职责,外包软件开发等中的控制目标与内容,具体活动描述如下:1)组织结构创建:是指通过指派和传达信息安全职责以及概述部门间安全协作和合作的框架建立,来为企业实现信息安全目标提供组织保障。此过程应为管理层建立相关流程,以便于批准信息安全策略、安全角色指派以及在整个企业内协调安全的实施。此过程是企业进行安全工作的基础。2)制定岗位职责:依据企业各岗位涉及的资产信息,为各岗位设计具体的职责要求。职责要求应包括岗位相关人员的背景要求(如教育背景、申请表是否属实等)、保密性协议要求以及信息安全确认要求等。
3)审核岗位职责:对新建或修订的岗位职责进行的审阅、批准与发布:未通过审批的岗位职责返回相关编写部门进行重新修订。准备进行发布,并将变更信息通知相关部门或责任人。4)跟踪检查:对已发布的安全岗位职责进行持续的跟踪,发现其是否满足安全需求,如果岗位职责要求未满足安全需求,对其进行下一次的岗位职责修订工作。第三方人员管理是由活动范围确定、资质资格制定、审核检查等几个活动造成。具体活动描述如下:1)工作范围确定:是指根据活动涉及系统的重要程度、信息敏感级别来确定该活动是否允许第三方人员参与的过程。范围确定要明确活动中哪些子活动允许第三方人员参与,哪些子活动必须由电信运营企业内部人员完成。
2)资质资格制定:是指在明确第三方参与范围的基础上,根据第三方活动涉及资产的敏感程度等方面来确定第三方组织以及人员应具备资格的过程。制定的资格说明应明确第三方资质、保密要求、人员安全意识、安全义务以及责任等要求。3)确定并部署对第三方的防护措施,网络上的,活动上等第三方人员的网络要和公司内部的其他网络隔离。第三方人员的活动和公司其他活动的隔离,避免不必要的信息泄露。4)审核检查:是指根据资质资格要求,对第三方任用前进行安全要求检查的过程,并对审核通过的第三方组织与人员签署保密等协议以及并对第三方人员提供服务的过程进行监控和审计。5
YD/T2672-2013
8资产管理
8.1资产管理的主要内容
资产管理主要是指对企业资产进行分类和控制,其目标是维持对企业信息资产的适当保护。资产管理包括资产清单识别、资产分类、资产保护责任落实、资产保护检查等内容。资产消单识别是指识别出一份全面的资产清单,并确定各资产的重要程度;资产分类是指根据信息安全属性来划分资产等级:资产保护责任落实是指确定资产管理者及其资产使用者责任:资产保护检查是指持续地对资产信息以及资产保护措施进行检查的过程。8.2资产管理的主要活动
资产管理由资产清单识别、资产分类、职责落实以及检测等几个活动组成。各阶段需要落实资产管理中对资产负责与信息分类,物理环境安全中安全区域与设备安全,可移动介质的管理,介质的处理,信息处理程序,运输中的物理介质等的控制目标与内容,具体活动描述如下:1)资产清单识别:是指企业相关人员识别一份全面的资产物理清单的过程。在资产清单识别过程中需要确定记录资产的属性和特征,一般来说清单越具体、越详细,其作用就越大。资产清单识别过程中识别的资产不仅包括企业的计算机设备、通信设备、存储介质、基础设施设备等硬件资产,也应包括操作系统、应用软件等软件资产,其识别的资产属性至少应包括标识符、资产说明、制造商印记以及物理与逻辑地址等。
2)资产分类:是对依据资产对于企业的重要性和保护级别对其进行分类,资产分类的结果反映了资产对于企业的关键程度,其是企业采用适当资源保护资产的依据。资产重要性是通过资产对于业务流程和/或顾客服务的重要程度确定;而保护级别是通过资产对于保密性、完整性与机密性等安全属性的需求来确定。在具体的确定资产重要性与保护级别中,企业可以通过企业专家来进行定性评估,然后依据某种方法对资产进行分类。
3)职责落实:是指根据资产分类结果,对资产的管理者与使用者进行安全职责要求的过程。经过资产分类活动后,资产已经进行了合适的信息标记,已指示其是敏感信息还是关键信息,在此过程中需要明确使用于资产的访问、使用、存储、传输以及销毁的角色以及策略。4)跟踪检查:是指对企业的资产清单完整性、资产级别以及职责落实情况进行复查的过程。企业应定期或在的环境发生变化时,对资产清单是否完整以及资产分类是否合适进行检查:定期或不定期对资产保护措施落实情况进行跟踪检查,并对不合相关规定的情况提出改进意见。9系统获取与开发管理
9.1系统获取与开发管理的主要内容信息系统构成了电信业务的基础,因此,信息系统的设计和实现对电信运营企业信息安全而言非常重要。电信运营企业获取信息系统的过程可分解成系统规划、开发与建设三个环节。为了保证信息系统的安全,需要在这个三个环节中实施必要的安全控制措施。在规划阶段,安全控制活动的重点是要明确信息系统需要满足的安全需求,分析安全需求实现的可能性。在开发阶段,除了具体实现规划阶段提出的安全需求外,还需要保证开发过程、文档,源代码的安全,并采取措施防止在代码中存在安全漏洞和后门。在建设阶段,需要控制建设中的信息系统对其他已承担电信业务的系统的影响,并在上线验收时,确保所有安全需求都得到满足。6
iKacahaiKAca
9.2系统获取与开发管理的主要活动YD/T2672-2013
系统获取与开发管理主要由系统规划、系统开发以及建设等几个阶段组成。各阶段需要落实信息系统的安全要求分析和说明,输出数据验证,系统规划与验收的容量管理与系统验收,开发与支持过程中的安全中的变更控制程序、操作系统变更后应用的技术评审、软件包变更的限制与信息泄露,密码控制中的使用密码控制的措施、密钥管理等的控制目标与内容,具体活动描述如下:1)系统规划主要包括以下环节
a)确定系统安全目标:根据电信运营企业制定的安全策略、风险评估结果以及系统承载的业务特点,制定系统的安全目标。
b)确定系统安全需求:以系统的安全目标为指导,依据业务决定系统安全需求,包括基于行业法规和企业策略的安全需求以及其他业务特定的安全需求。e)编写系统安全规范:根据系统的安全需求和风险评估报告,编写系统安全规范方案。d)审核系统安全规范:对系统安全规划方案进行审核。将审核通过的安全规划方案反馈给相关人员,并转到系统开发流程与安全工程建设流程,对于未通过审核的安全规划方案将重新进入编写阶段。2)系统开发主要包括以下环节:a)编写安全开发规范:电信运营企业需要建立指导其信息系统开发的安全规范。电信运营企业的信息系统开发存在内部人员自主开发、外包开发以及直接购买等多种方式。规范应针对各种开发方式明确不同程度的具体要求,以保证正确实现系统安全规范的控制措施,防范在开发过程中留下有意或无意的弱点。安全开发规范要通过电信运营企业安全管理层的审批。b)实施安全开发规范:根据信息系统的开发方式,安全开发规范的具体要求应明确到企业内部的开发制度或企业和第三方签订的开发合同之中,以保证要求的落实。在实施开发过程中,根据开发规范中的各控制项对系绕开发过程的各环节进行测试,并验证达到要求的安全目标。c)安全审核:在完成开发活动后,电信运营企业应指定独立于开发人员的安全审计人员对开发的系统进行安全审核,以确保系统达到系统安全规范中的要求,并检查确认系统开发过程中开发活动的合规。3)系统建设主要包括以下环节:a)编写系统安全建设方案:电信运营企业需要建立指导其信息系统建设的安全规范。安全规范指导电信运营企业系统制定具体的安全建设方案。系统安全建设方案还需要依据系统安全规划、系统建设合同、系统敏感程度、系统接入信息以及工程实施过程中注意事项等,并要通过电信运营企业安全管理层的审批。b)实施工程:依据系统实施期间安全管理办法,工程建设部门按照安全技术实施方案完成项目的安全功能落实建设。在工程实施过程中,按照工程安全管理办法实施工程,确保工程达到系统安全建设方案的要求。
e)验收工程:在施工结束后根据合同规定的安全技术规范书和功能验收单进行逐项验证审核,判断验收是否通过。验收未通过,重新进行工程施工,直至符合验收标准。10运维管理
10.1运维管理的主要内容
运维管理是指信息系统经过授权投入运行之后,确保信息系统在运行过程中、以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性的过程。7
YD/T2672-2013
运维管理涉及系统的日常运行过程中的各项工作,主要包括安全预警、安全变更、安全配置等活动。安全预警是指接收相关预警信息,并发布及处理的过程:安全变更是指对电信运营企业信息系统涉及安全相关的变更的管理,包括变更实施方案、测试验证及方案执行反馈等的统一管理:安全配置是指对信息系统涉及安全的配置的管理,包括维护信息系统配置要求,掌握实际配置情况等活动。10.2运维管理的主要活动
运维管理主要由预警管理、安全配置管理、补丁管理、安全变更管理、网络互联管理、远程按入管理、防病毒管理等内容。各项的目标与活动描述如下:1)预警管理需要落信息安全事件与弱点的控制目标与内容,其管理活动主要包括以下环节:a)收集安全预警信:是指从企业内部安全事故处理结果、软硬件产品供应商安全通告或者其他安全企业获取预警信息,并对安全预警信息作初步分析b)分析预警信息:是指接收预警信息后,结合网络安全技术进行安全影响分析,判断是否需要调整相应的安全策略,如不需要调整安全策略,直接发布安全预警报告;c)制定安全改进建议:对于需要调整安全策略的安全预警,根据影响分析报告的结论,结合网络安全规范和策略制定安全改进建议和要求:d)审核发布安全改进建议:审核安全改进建议的适宜性、充分性和合理性。对于需要进行安全配置变更的改进建议,转入安全配置管理过程:对于需要进行安装补丁的改进建议,转入补丁管理流程;e)跟踪改进:跟踪安全改进建议的执行进度并反馈给相关方。2)安全配置管理需要落实资产管理的控制目标与内容,其管理活动主要包括以下环节:a)收集安全配置项:根据预警管理中安全改进建议等相关来源,识别信息系统需要符合安全配置项,建立安全配置目录;
b)制定系统安全配置基准:参考相关规范和最佳实践,形成电信运营企业中信息系统和设备需要符合的安全配置项组合。电信运营企业应根据信息系统的重要程度建立分系统、分设备、分厂家的不同层次的安全配置基准。
)监控安全配置变更:掌握信息系统和设备的安全配置情况,及时发现安全配置不符合项。如果发现安全配置基准的配置违规,应根据安全基线调整配置。d)调整安全配置:根据安全基线调整安全配置信息,具体调整转入安全变更管理流程。e)评审跟踪安全配置:对已实施的安全配置进行持续评审与跟踪,检查是否对系统或网络的安全运行造成影响。
3)补丁管理需要落实技术脆弱性管理的控制目标与内容,其管理活动主要包括以下环节:a)获取补丁请求:是指实时跟踪收集系统的安全补丁信息以及预警管理中补丁安全建议信息,生成系统补丁需求:
b)制定补丁加载计划:结合现网情况并根据相关规定,制定详细的补丁加载计划,制定加载计划中应包括补丁的优先级、补丁涉及系统等信息,且加载计划应确保其变化不会影响其他安全控制措施以及补丁加载失败后的回退方案等。c)审批补丁加载计划:根据计划和对现有网络和系统的影响评估对\是否同意变更进行审批d)实施安全变更方案:对相应系统加载安全补丁,并确定补丁加载是否失败,是否需要修订补丁加载计划,具体加载活动转入安全变更流程。iiKacaOiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2672-2013
电信运营企业信息安全管理框架Information securitymanagementframeworkfortelecommunicationsorganizations2013-10-17发布
2014-01-01实施
中华人民共和国工业和信息化部 发布前言
范围·
2规范性引用文件
3缩略语
4信息安全管理框架·
5策略管理·
5.1策略管理的主要内容….bzxz.net
5.2策略管理的主要活动
6风险管理·
6.1风险管理的主要内容
6.2风险管理的主要活动
7组织人员管理
7.1组织人员管理的主要内容
7.2组织人员管理的主要活动…
8资产管理
8.1资产管理的主要内容·
8.2资产管理的主要活动
9系统获取与开发管理.
9.1系统获取与开发管理的主要内容,9.2系统获取与开发管理的主要活动.10运维管理-
10.1运维管理的主要内容
10.2运维管理的主要活动·
11事件管理.
11.1事件管理的主要内容.
11.2事件管理的主要活动
YD/T2672-2013
本标准按照GB/T1.1-2009给出的规则起草。本标准与ITU-TX.1052相比,主要技术内容差异如下:—本标准将ITU-TX.1052的内容总结补充到范围中;一本标准将ISMS补充到符号及缩略语中;YD/T2672-2013
一本标准将原图“信息安全管理框架”删除,避免原框架图中各模块间关系描述不清晰的问题;一本标准对安全策略与策略进行了统一描述,避免原标准中描述不一致的间题。本标准由中国通信标准化协会提出并归口。本标准起草单位:中国移动通信集团公司、中国移动通信集团设计院有限公司。本标准主要起草人:周智、陈敏时、杜雪涛、袁捷。I
iiKacadiaiKAca
1范围
电信运营企业信息安全管理框架YD/T2672-2013
本标准规定了电信运营企业需要满足的信息安全管理准则,从策略管理、风险管理、组织和人员管理、资产管理、系统获取和开发管理、系统运维管理和事件管理7个管理方面给出如何满足准则要求的具体指南。
本标准适用于电信运营企业。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。ITU-TX.1052信息安全管理框架,Informationsecuritymanagementframework3缩略语
下列缩略语适用于本文件。
ISIRTInformationSecurityIncidentResponseTeam信息安全事件响应组ISMFInformation SecurityManagementFrameworkISMSInformation SecurityManagement System4信息安全管理框架
信息安全管理框架
信息安全管理系统
电信运营企业在针对具体信息安全风险而实施控制之前,需要确定信息资产范围,并确定企业实施信息安全管理的方针。作为进行实施控制措施的基础,还应建立信息安全组织。电信运营企业的具体风险控制活动,并非孤立于运营之外,而是电信运营企业运营的有机组成部分。如果将电信运营企业的运营概括为一系列流程,那么信息安全风险控制活动则体现为相关流程中的某些环节。电信运营企业需要持续识别运营活动中的信息安全风险,并不断优化电信运营企业的信息安全管理。ISMF提出了组织与人员管理、资产管理、风险管理、策略管理、系统获取与开发管理、运维管理、和事件管理7个管理域。其中,组织与人员管理、策略管理、资产管理等管理域是电信运营企业实施信息安全管理的基础:风险管理概括电信运营企业建立和持续优化信息安全管理体系(ISMS)所需满足的安全要求:系统获取与开发管理、运维管理、事件管理等管理域包括电信运营企业在运营活动中需要落实的具体信息安全控制要求。
策略管理提出电信运营企业信息安全管理目标、方针以及明确具体的信息安全管理要求,并提供必要的建议或指南。策略包括定义信息安全整体目标和范围、管理者意图的声明、设置控制目标和控制措施的框架等内容。风险管理是电信运营企业建立、持续优化信息安全管理的活动。风险管理包括分析电信运营企业面临的威胁、检查电信运营企业现有活动存在的脆弱点,提出改进措施,并推动改进。资产管理界定了电信运营企业信息安全管理的范围,是电信运营企业开展信息安全管理活动的基础。1
YD/T2672-2013
资产管理包括对电信运营企业涉及的资产进行识别,确定其分类、分级的原则,确定资产属性定义与标准化以及资产责任人等内容。
组织与人员管理,通过建立安全组织,落实人员责任,保障安全策略、风险评估等安全管理框架中涉及的其他管理活动顺利进行。主要内容包括明确管理者的承诺、制定相应的责任体系、制定相应的控制措施,以及对电信运营企业人员任用前的审查,任用中的安全意识,教育、培训与安全相关活动的审查,任用终止时的以规范方式退出的管理。电信运营企业的信息安全管理是电信运营企业运营的有机组成部分。电信运营企业在风险评估的基础上,确定适合本企业的控制目标和控制措施。电信运营企业需要通过改变、优化企业的运营流程来实现这些被选择的控制目标和控制。在电信运营企业的运营流程中,和信息安全管理紧密相关的流程包括信息系统的开发获取、程序和数据的访问控制、配置变更、监控审计、事件管理等。ISMF按控制目标和控制划分为相近于企业运营流程的安全管理域,包括系统获取与开发、运维管理和事件管理,来便于电信运营企业实现这些控制目标和控制。系统获取与开发管理内容包括规划阶段中系统安全需求的明确定义、开发阶段中各安全需求实现与落实情况的审核、建设阶段中系统建设相关内容的实现与审核等方面的管理。运维管理包括信息系统未发生更改的情况下,维持系统的正常运行,进行日常的安全操作及安全管理;在信息系统及其运行环境发生变化的情况下,进行安全评估并针对相关风险制定控制措施,并对其变更进行管理以及定期进行信息系统的审计评审工作。事件管理包括对可能发生的安全事件进行检查与制定相关预处理流程,对已发生的安全事件采取防护措施进行响应,以及从信息安全事件中吸取经验教训,制定预防措施,并且随着时间的变化,不断改进整个的信息安全事件管理方法。在实施安全控制措施时,首先需要明确安全措施的执行主体以及安全措施的作用范围:进而需要建立评价安全措施过程和效果的指标:最后要对整个管理体系进行持续的优化并提出优化意见。依据此落实过程,对ISMF分为组织与人员管理、资产管理、系统获取与开发管理、运维管理以及事件管理、风险管理、策略管理等七个管理域。5策略管理
5.1策略管理的主要内容
安全策略是信息安全管理的核心。策略管理主要负责对电信运营企业信息安全方针、安全管理办法、安全技术规范的制定、修改等环节进行管理。安全策略是电信运营企业用于保护各种信息资产而确定的安全目标、安全保护需求、安全管理要求、安全管理流程、安全技术要求等的集合,通常表示为一系列面向不同层次的安全文档。各种安全策略按照由抽象到具体可分为多个层次,主要包括给出意图的整体类安全策略,根据整体安全策略进行细化的各安全规范以及保障各安全规范落实的相关流程、细则与指南。电信运营企业需要结合自身的实际情况,识别出其需要的安全策略。主要的安全策略来源有1)在考虑企业整体业务战略和目标的情况下,评估该企业的风险,进而制定相关的安全策略来应对风险。
2)从企业、贸易伙伴、合同方和服务提供者等方面必须满足的法律、法规、规章和合同要求,以及2
HiKacaaiKAca-
他们的社会文化环境来总结相关的安全策略。3)从企业对外提供的各种电信服务的目标、原则、特定要求。5.2策略管理的主要活动
YD/T2672-2013
电信运营企业对各类安全策略进行管理,包含制定、修改等环节的管理,在管理的流程中需要明确适当步骤对安全策略进行获取需求、分析、审批、编制等。各阶段需要落实信息安全相关文件与信息安全方针的评审的控制目标与内容,策略管理主要包括对以下几个活动过程的管理,其各过程描述如下:1)收集安全策略需求:是指相关人员对修改与新建的安全策略需求进行收集。安全策略可以从现有策略执行情况、新的安全需求等方面进行获取。在获取完成之后,需要分析是否接受对安全策略的修订或薪增工作。
2)分析需求与确定策略工作:是指接受安全策略的修改与新建申请后,分析申请需求,进而形成需求分析报告的过程。根据申请需求分析报告,做出是否编制或修订的决定。如果需求申请被批准接下来将为该需求规范的开发分派资源:如果需求申请未被批准说明未批准原因。3)制定安全策略:对修订或新建需求申请进行分析并编制相应安全策略。如果需要与供应商或合作伙伴合作开发的,由供应商或合作伙伴参与修订或新建安全策略。4)审批安全策略:对新建或修订的安全策略进行最终的审阅、批准与发布:未通过审批的安全策略返回安全策略编写团队重新修订。准备进行发布,并将变更通知相关部门或贵任人。5)跟踪执行:对已发布的安全策略进行持续的跟踪,发现其是否满足安全需求,如果安全策略未满足安全需求,对其进行下一次的安全策略修订工作。6风险管理
6.1风险管理的主要内容
风险管理主要是对电信运营企业安全保护对象已有安全防护措施的落实情况和有效性进行确认,对技术和管理方面存在的威胁和脆弱性进行分析,找出安全风险,并有针对性的提出改进措施的活动。风险管理包括风险评估、风险控制、审核批准,跟踪检查等几个方面的内容。风险评估是针对确立的风险管理对象所面临的风险进行识别、分析和评价:风险控制是依据风险评估的结果,选择和实施合适的安全措施:审核批准中审核是指通过审查、测试、评审等手段,检验风险评估和风险控制的结果是否满足信息系统的安全要求;审核批准中批准是指机构的决策层依据审核的结果,做出是否认可的决定;跟踪检查是对执行中的风险控制措施进行持续的跟踪检查。对企业的保护对象定期或业务目标和特性发生变化或面临新风险时的情况下,需要再次进入上述几个步骤,形成新的一次循环。因此,风险评估、风险控制和审核批准构成了一个螺旋式上升的循环,使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。6,2风险管理的主要活动
风险管理主要由分析评估、风险控制以及审核批准等几个活动组成。在风险评估过程中需要对符合法律要求、符合安全策略和标准以及技术符合性、信息系统审核考虑的控制目标与内容来进行,风险控制要在安全策略的指导下进行处置,通过降低方式来处置风险中涉及的安全措施可以包括通信和操作管理、访问控制等中的各种控制措施。风险管理的各过程描述如下:1)风险评估:风险评估主要是对被评估对象面临的威胁、脆弱性以及相关的防护措施进行识别、分3
YD/T2672-2013
析的过程。所评估风险主要包括信息系统风险、人力资源风险、操作风险、网络服务风险、IT服务风险、物理风险以及合规性风险等。在风险评估活动完成后形成被评估对象面临的风险及其相关的风险等级,为风险控制提供输入。其具体评估活动主要包括以下环节:明确审计依据并制定审计计划:根据企业需要遵守的法律法规、企业安全制度,技术规范等制定安全审计计划,如审计工作的范国、审计重点、时间安排、审计人员及配合人员安排、采用的技术手段等,制定审计方案:根据安全审计计划,细化安全审计内容,如审计的系统范围,检查的重点项,安全审计内容、审计方式、依据标准、审计方法、审计结果、间题描述、审计人员和被审计人员签字栏等安全审计检查表,并对相关人员进行必要的培训,及配置必要的技术手段。审核审计方案:对指定的审核方案进行审核。实施审计方案:依据安全审计方案进行安全审计,安全审计可能是周期性地开展,也可能是一次性的特殊审计,并对安全审计的发现与结论形成审计报告以及相应的整改建议。审核审计报告:审核安全审计报告。评估整改效果,根据审核后的审计报告,对涉及对象进行整改,并检查整改后是否符合安全审计依据的要求。
2)风险控制:是指依据风险评估的结果,选择和实施合适的安全措施。将企业面临的风险控制在可接受的范围内。风险控制的过程包括现存风险判断、控制自标确立、控制措施选择和控制措施实施四个阶段。风险判断是判断现存风险是否可接受:控制目标确立是指分析风险控制需求并确定风险控制目标;控制措施选择是指选择风险控制方式及控制措施;控制措施实施是指制定风险控制实施计划并对其进行实施。
风险控制方式主要有规避、转移和降低三种方式。规避方式是指通过不便用面临风险的资产来避免风险:转移方式是指通过将面临风险的资产或其价值转移至更安全的地方来避免或降低风险:降低方式是指通过对面临风险的资产采取保护措施来降低风险。3)审核批准:是指对风险评估和风险控制的结果的审核与批准。批准通过的依据有:a)信息系统的残余风险是可接受的:b)安全措施(包括风险评估和风险控制)满足信息系统当前业务的安全需求。审核批准的过程包括审核申请、审核处理、批准申请、批准处理和持续监督等几个阶段。审核申请:是指提交者提交审核申请,审核机构受理审核申请:审核处理对审核申请做出审核结论;批准申请是指批准申请阶段的工作:批准处理是指批准处理阶段的工作:持续监督是指检查审核批准是否过期等的过程。
4)跟踪检查:是指对风险评估的环境、安全控制措施的执行情况等进行持续的检查。如果安全控制措施不能满足风险控制情况,需再次进入分析评估步骤,形成新的一次循环。7组织人员管理
7.1组织人员管理的主要内容
组织人员管理主要是指建立相应的安全组织框架,以启动和控制组织范围内的各安全流程的实施并在实施过程中指定相应的安全角色,以及把安全角色赋予相关人员的活动。组织人员包括组织内部人员与第三方人员。组织内部人员管理包括组织结构创建、制定岗位职责、4
iiKacaOiaikAca-
YD/T2672-2013
审核岗位职贵、以及跟踪检查等内容。组织结构建立是指设计与维护一个安全的环境,用于在组织内管理信息安全:制定岗位职责是指根据具体岗位明确其相关人员安全职责;审核岗位职责是指对制定的岗位职责要求是否符合实际要求:跟踪检查是指持续地监督岗位安全要求得到满足的过程。随之电信运营企业业务的发展,需要第三方以各种方式提供服务。电信运营企业应采取措施保证组织的信息处理设施和信息资产的安全不应由于引入外部方服务而降低。第三方管理包括工作范围确定、第三方资质资格要求确定以及审核检查等内容。工作内容确定是指根据活动涉及系统的重要程度、信息的敏感程度等,确定活动是否允许第三方人员介入确定资质资格要求是指允许进入电信资质的第三方资质条件制定的过程:审核检查是指对第三方人员资质以及第三方人员在电信运营企业内部活动的审核、检查、管理的过程。
7.2组织人员管理的主要活动
组织内部人员管理由组织结构创建、制定岗位职责、审核岗位职责以及跟踪检查等几个活动组成。各阶段需要落实信息安全企业中的内部组织与外部各方,人力资源管理中的任用之前、任用中以及任用的终止或变化,第三方服务交付管理中的服务交付、第三方服务的监视和评审第三方服务的变更管理,用户访间管理以及用户职责,外包软件开发等中的控制目标与内容,具体活动描述如下:1)组织结构创建:是指通过指派和传达信息安全职责以及概述部门间安全协作和合作的框架建立,来为企业实现信息安全目标提供组织保障。此过程应为管理层建立相关流程,以便于批准信息安全策略、安全角色指派以及在整个企业内协调安全的实施。此过程是企业进行安全工作的基础。2)制定岗位职责:依据企业各岗位涉及的资产信息,为各岗位设计具体的职责要求。职责要求应包括岗位相关人员的背景要求(如教育背景、申请表是否属实等)、保密性协议要求以及信息安全确认要求等。
3)审核岗位职责:对新建或修订的岗位职责进行的审阅、批准与发布:未通过审批的岗位职责返回相关编写部门进行重新修订。准备进行发布,并将变更信息通知相关部门或责任人。4)跟踪检查:对已发布的安全岗位职责进行持续的跟踪,发现其是否满足安全需求,如果岗位职责要求未满足安全需求,对其进行下一次的岗位职责修订工作。第三方人员管理是由活动范围确定、资质资格制定、审核检查等几个活动造成。具体活动描述如下:1)工作范围确定:是指根据活动涉及系统的重要程度、信息敏感级别来确定该活动是否允许第三方人员参与的过程。范围确定要明确活动中哪些子活动允许第三方人员参与,哪些子活动必须由电信运营企业内部人员完成。
2)资质资格制定:是指在明确第三方参与范围的基础上,根据第三方活动涉及资产的敏感程度等方面来确定第三方组织以及人员应具备资格的过程。制定的资格说明应明确第三方资质、保密要求、人员安全意识、安全义务以及责任等要求。3)确定并部署对第三方的防护措施,网络上的,活动上等第三方人员的网络要和公司内部的其他网络隔离。第三方人员的活动和公司其他活动的隔离,避免不必要的信息泄露。4)审核检查:是指根据资质资格要求,对第三方任用前进行安全要求检查的过程,并对审核通过的第三方组织与人员签署保密等协议以及并对第三方人员提供服务的过程进行监控和审计。5
YD/T2672-2013
8资产管理
8.1资产管理的主要内容
资产管理主要是指对企业资产进行分类和控制,其目标是维持对企业信息资产的适当保护。资产管理包括资产清单识别、资产分类、资产保护责任落实、资产保护检查等内容。资产消单识别是指识别出一份全面的资产清单,并确定各资产的重要程度;资产分类是指根据信息安全属性来划分资产等级:资产保护责任落实是指确定资产管理者及其资产使用者责任:资产保护检查是指持续地对资产信息以及资产保护措施进行检查的过程。8.2资产管理的主要活动
资产管理由资产清单识别、资产分类、职责落实以及检测等几个活动组成。各阶段需要落实资产管理中对资产负责与信息分类,物理环境安全中安全区域与设备安全,可移动介质的管理,介质的处理,信息处理程序,运输中的物理介质等的控制目标与内容,具体活动描述如下:1)资产清单识别:是指企业相关人员识别一份全面的资产物理清单的过程。在资产清单识别过程中需要确定记录资产的属性和特征,一般来说清单越具体、越详细,其作用就越大。资产清单识别过程中识别的资产不仅包括企业的计算机设备、通信设备、存储介质、基础设施设备等硬件资产,也应包括操作系统、应用软件等软件资产,其识别的资产属性至少应包括标识符、资产说明、制造商印记以及物理与逻辑地址等。
2)资产分类:是对依据资产对于企业的重要性和保护级别对其进行分类,资产分类的结果反映了资产对于企业的关键程度,其是企业采用适当资源保护资产的依据。资产重要性是通过资产对于业务流程和/或顾客服务的重要程度确定;而保护级别是通过资产对于保密性、完整性与机密性等安全属性的需求来确定。在具体的确定资产重要性与保护级别中,企业可以通过企业专家来进行定性评估,然后依据某种方法对资产进行分类。
3)职责落实:是指根据资产分类结果,对资产的管理者与使用者进行安全职责要求的过程。经过资产分类活动后,资产已经进行了合适的信息标记,已指示其是敏感信息还是关键信息,在此过程中需要明确使用于资产的访问、使用、存储、传输以及销毁的角色以及策略。4)跟踪检查:是指对企业的资产清单完整性、资产级别以及职责落实情况进行复查的过程。企业应定期或在的环境发生变化时,对资产清单是否完整以及资产分类是否合适进行检查:定期或不定期对资产保护措施落实情况进行跟踪检查,并对不合相关规定的情况提出改进意见。9系统获取与开发管理
9.1系统获取与开发管理的主要内容信息系统构成了电信业务的基础,因此,信息系统的设计和实现对电信运营企业信息安全而言非常重要。电信运营企业获取信息系统的过程可分解成系统规划、开发与建设三个环节。为了保证信息系统的安全,需要在这个三个环节中实施必要的安全控制措施。在规划阶段,安全控制活动的重点是要明确信息系统需要满足的安全需求,分析安全需求实现的可能性。在开发阶段,除了具体实现规划阶段提出的安全需求外,还需要保证开发过程、文档,源代码的安全,并采取措施防止在代码中存在安全漏洞和后门。在建设阶段,需要控制建设中的信息系统对其他已承担电信业务的系统的影响,并在上线验收时,确保所有安全需求都得到满足。6
iKacahaiKAca
9.2系统获取与开发管理的主要活动YD/T2672-2013
系统获取与开发管理主要由系统规划、系统开发以及建设等几个阶段组成。各阶段需要落实信息系统的安全要求分析和说明,输出数据验证,系统规划与验收的容量管理与系统验收,开发与支持过程中的安全中的变更控制程序、操作系统变更后应用的技术评审、软件包变更的限制与信息泄露,密码控制中的使用密码控制的措施、密钥管理等的控制目标与内容,具体活动描述如下:1)系统规划主要包括以下环节
a)确定系统安全目标:根据电信运营企业制定的安全策略、风险评估结果以及系统承载的业务特点,制定系统的安全目标。
b)确定系统安全需求:以系统的安全目标为指导,依据业务决定系统安全需求,包括基于行业法规和企业策略的安全需求以及其他业务特定的安全需求。e)编写系统安全规范:根据系统的安全需求和风险评估报告,编写系统安全规范方案。d)审核系统安全规范:对系统安全规划方案进行审核。将审核通过的安全规划方案反馈给相关人员,并转到系统开发流程与安全工程建设流程,对于未通过审核的安全规划方案将重新进入编写阶段。2)系统开发主要包括以下环节:a)编写安全开发规范:电信运营企业需要建立指导其信息系统开发的安全规范。电信运营企业的信息系统开发存在内部人员自主开发、外包开发以及直接购买等多种方式。规范应针对各种开发方式明确不同程度的具体要求,以保证正确实现系统安全规范的控制措施,防范在开发过程中留下有意或无意的弱点。安全开发规范要通过电信运营企业安全管理层的审批。b)实施安全开发规范:根据信息系统的开发方式,安全开发规范的具体要求应明确到企业内部的开发制度或企业和第三方签订的开发合同之中,以保证要求的落实。在实施开发过程中,根据开发规范中的各控制项对系绕开发过程的各环节进行测试,并验证达到要求的安全目标。c)安全审核:在完成开发活动后,电信运营企业应指定独立于开发人员的安全审计人员对开发的系统进行安全审核,以确保系统达到系统安全规范中的要求,并检查确认系统开发过程中开发活动的合规。3)系统建设主要包括以下环节:a)编写系统安全建设方案:电信运营企业需要建立指导其信息系统建设的安全规范。安全规范指导电信运营企业系统制定具体的安全建设方案。系统安全建设方案还需要依据系统安全规划、系统建设合同、系统敏感程度、系统接入信息以及工程实施过程中注意事项等,并要通过电信运营企业安全管理层的审批。b)实施工程:依据系统实施期间安全管理办法,工程建设部门按照安全技术实施方案完成项目的安全功能落实建设。在工程实施过程中,按照工程安全管理办法实施工程,确保工程达到系统安全建设方案的要求。
e)验收工程:在施工结束后根据合同规定的安全技术规范书和功能验收单进行逐项验证审核,判断验收是否通过。验收未通过,重新进行工程施工,直至符合验收标准。10运维管理
10.1运维管理的主要内容
运维管理是指信息系统经过授权投入运行之后,确保信息系统在运行过程中、以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性的过程。7
YD/T2672-2013
运维管理涉及系统的日常运行过程中的各项工作,主要包括安全预警、安全变更、安全配置等活动。安全预警是指接收相关预警信息,并发布及处理的过程:安全变更是指对电信运营企业信息系统涉及安全相关的变更的管理,包括变更实施方案、测试验证及方案执行反馈等的统一管理:安全配置是指对信息系统涉及安全的配置的管理,包括维护信息系统配置要求,掌握实际配置情况等活动。10.2运维管理的主要活动
运维管理主要由预警管理、安全配置管理、补丁管理、安全变更管理、网络互联管理、远程按入管理、防病毒管理等内容。各项的目标与活动描述如下:1)预警管理需要落信息安全事件与弱点的控制目标与内容,其管理活动主要包括以下环节:a)收集安全预警信:是指从企业内部安全事故处理结果、软硬件产品供应商安全通告或者其他安全企业获取预警信息,并对安全预警信息作初步分析b)分析预警信息:是指接收预警信息后,结合网络安全技术进行安全影响分析,判断是否需要调整相应的安全策略,如不需要调整安全策略,直接发布安全预警报告;c)制定安全改进建议:对于需要调整安全策略的安全预警,根据影响分析报告的结论,结合网络安全规范和策略制定安全改进建议和要求:d)审核发布安全改进建议:审核安全改进建议的适宜性、充分性和合理性。对于需要进行安全配置变更的改进建议,转入安全配置管理过程:对于需要进行安装补丁的改进建议,转入补丁管理流程;e)跟踪改进:跟踪安全改进建议的执行进度并反馈给相关方。2)安全配置管理需要落实资产管理的控制目标与内容,其管理活动主要包括以下环节:a)收集安全配置项:根据预警管理中安全改进建议等相关来源,识别信息系统需要符合安全配置项,建立安全配置目录;
b)制定系统安全配置基准:参考相关规范和最佳实践,形成电信运营企业中信息系统和设备需要符合的安全配置项组合。电信运营企业应根据信息系统的重要程度建立分系统、分设备、分厂家的不同层次的安全配置基准。
)监控安全配置变更:掌握信息系统和设备的安全配置情况,及时发现安全配置不符合项。如果发现安全配置基准的配置违规,应根据安全基线调整配置。d)调整安全配置:根据安全基线调整安全配置信息,具体调整转入安全变更管理流程。e)评审跟踪安全配置:对已实施的安全配置进行持续评审与跟踪,检查是否对系统或网络的安全运行造成影响。
3)补丁管理需要落实技术脆弱性管理的控制目标与内容,其管理活动主要包括以下环节:a)获取补丁请求:是指实时跟踪收集系统的安全补丁信息以及预警管理中补丁安全建议信息,生成系统补丁需求:
b)制定补丁加载计划:结合现网情况并根据相关规定,制定详细的补丁加载计划,制定加载计划中应包括补丁的优先级、补丁涉及系统等信息,且加载计划应确保其变化不会影响其他安全控制措施以及补丁加载失败后的回退方案等。c)审批补丁加载计划:根据计划和对现有网络和系统的影响评估对\是否同意变更进行审批d)实施安全变更方案:对相应系统加载安全补丁,并确定补丁加载是否失败,是否需要修订补丁加载计划,具体加载活动转入安全变更流程。iiKacaOiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。