YD/T 1757-2008
基本信息
标准号: YD/T 1757-2008
中文名称:电信网和互联网管理安全等级保护检测要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:889027
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1757-2008.Classified Management Security Protection Testing Requirements for Telecom Network and Internet.
1范围
YD/T 1757规定了公众电信网和互联网的管理安全等级保护检测要求。
YD/T 1757适用于电信网和互联网安全防护体系中的各种网络和系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
3术语和定义
下列术语和定义适用于本标准。
3.1
电信网Telecom Network
利用有线和/或无线的电磁、光电网络,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等。
3.2
互联网Internet
泛指由多个计算机网络相互连接而形成的网络,它是在功能和逻辑上组成的大型计算机网络。
3.3
安全等级Security Classification
安全重要程度的表征。重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.4
访谈Interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,检查网络安全等级保护、网络安全风险评估和网络灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
1范围
YD/T 1757规定了公众电信网和互联网的管理安全等级保护检测要求。
YD/T 1757适用于电信网和互联网安全防护体系中的各种网络和系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
3术语和定义
下列术语和定义适用于本标准。
3.1
电信网Telecom Network
利用有线和/或无线的电磁、光电网络,进行文字、声音、数据、图像或其他任何媒体的信息传递的网络,包括固定通信网、移动通信网等。
3.2
互联网Internet
泛指由多个计算机网络相互连接而形成的网络,它是在功能和逻辑上组成的大型计算机网络。
3.3
安全等级Security Classification
安全重要程度的表征。重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行、公共利益、网络和业务运营商造成的损害来衡量。
3.4
访谈Interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,检查网络安全等级保护、网络安全风险评估和网络灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的一种方法。
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T1757-2008
电信网和互联网管理
安全等级保护检测要求
Classified Management Security Protection Testing Requirementsfor TelecomNetwork and Internet2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
范围·
规范性引用文件.
3术语和定义·
管理安全等级保护检测要求
4.1第1级要求
4.2第2级要求
4.3第3.1级要求
4.4第3.2级要求.
4.5第4级要求·
4.6第5级要求.·
参考文献,
-TTKAONTKAc=
YD/T 1757-2008
YD.T1757-2008
本标准是“电信网和互联网安金防护体系”系列标准之,。该系列标准的结构及名称如下:1.YD/T1728-2008电信网和互联网安全防护管理指南:2. YD/T 1729-2008
电信网和互联网安全等级保护实施南:3. YD/T 1730-2008
3电信和万联网安个风险评估实施指南;4. YD/T 1731-2008
3电信网利五联网火难备份及恢复实施指南;5. YD/T 1732-2008
6. YD/T 1733-2008
7. YD/T 1734-2008
8. YD/T 173S-2008
9. YD/T 1736-2008
J0. YD/T 1737-2008
11: YD/T 1738-2008
12. YD/T 1739-2008
13. YD/T 1740-2008
14. YD/T 1741-2008
15. Y/T 1742-2008
16.YD/T1743-2008
17. YD/T 1744-2008
18. YD/T 1745-2008
固定通信网安全防护要求;
固定通信网安全防护检测要求;移动通信网安全防护要求
移动通信网安全防护检测要求;巧联网安全所护要求:
联网安全防护检测要求:
赠值业务网
消息网安全防护要求;
增值业务网——消息网安全防护检测要求:增值业务网—智能网安全防护要求:增值业务网一-智能网安全防护检测要求:接入网安全防护要求:
接入网安全防护检测要求;
传送网安全防扩要求;
传送网安全防护检测要求:
8IP承载网安全防护要求:
19.YD/T 1746-2008
8P承载网安全防护检测要求;
20.YD/T 1747-2008
21.YD/T1748-2008
信令网安企防护要求:
22. YD/T 1749-2008
8借令网安全防护检测要求:
23.YD/T 1750-2008
24.YD/T 1751-2008
25. YD/T 1752-2008
26.YD/T 1753-2008
27.YD/T 1754-2008
28.YD/T 1755-2008
29. YD/T 1756-2008
30.YD/T1757-2008
问步网安全防护要求:
同步网安全防护检测要求:
支撑网安全防护要求:
支撑网安全防护检测要求:
电信网互联网物理环境安全等级保护要求:电信网和互联网物理环境安全等级保护检测要求:电信网和互联网管理安全等级保护要求:电信网和互联网管理安全等级保护检测要求:31.YD/T1758-2008非核心生产单元安全防护要求;3非核心牛产单元安全防护检测费求。32.YD/T 1759-2008
本标准与YD/T1756-2008电信网和互联网管理安全等级保护要求》配套使用。1
YD/T1757-2008
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准、本标雅由中国通信标准化协会提出诈归口。本标准起草单位:信息产业部中信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信有限公司、中国铁通集团有限公司本标淮士耍起草人:李成、魏薇、杨剑峰、赵阳、李友国、曾小字、张尼玛
-kAoNirKAca=
1范围
电信网和互联网管理安全等级保护检测要求本标推规定了公众电信网和互联网的管理安全等级保护检测要求。本标准适用于电信网和与联网安全防护体系中的各种网和系统。2规范性引用文件
YD/T1757-2008
下列文件中的条款通过本标准的引用而成为木标准的条款。凡是注国期的引用文件,其随后所有的修改单(不包括期误的内穿)或修订版均不适用丁本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注期的引用文件,其最新版本适用于本标准,3术语和定义
下列术语和定义适用于本标准。3.1
电信网TelecomNetwork
利用有线和/或无线的电磁、光电网络,进行文字、卢音,数据,图像或其他任何媒体的信息传递的网络:包括固定通信网、移动通信网等。3.2
互联网 Intemet
泛指内多个计算机网络相互连接而形成的网络,它是在功能和逻辑上组成的大型诈算机网络。3.3
安全等级SecurityClassification安全重要程度的表征。重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行,公共利益、网络和业务运营商造成的损害来衡量。3.4
访谈Interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,检查网络安全等级保护、网络安全风险评估和网络灾难备份及恢复相关措施的落实情况以及相关工作的开情况的一种方法。3.5
检查Examination
检测人员通过对检测对象进行观察、查验和分析等活动,检查网络安全等级保护、网络安全风险评估和网络灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的--种方法。4管理安全等级保护检测要求
4.1第1级要求
不作要求。
YD/T 1757-2008
4.2第2级要求
4.2.1安全管理制度
4.2.1.1管理制度
4.2.1.1.1检测方式
访谈、捡查。
4.2.1.1.2检测对象
总体方针、政策性文件和安全策略文件,安全管理制度,操作规程。4.2.1.1.3检测实施
a)检查网络安全工作的总体方舒、政策性文件和安全策略文件,查看文件足否明确机构安企工作的总体目标、范围、方针、原则、责任等。6)检查安金管理制度,查看文件是否明确安全管理活动中重要的管理内容。心)检查是否有H常管理操作的操作规程,如网络维护手册和用户操作规程等,是否规定了管理人员或操作人员执行的重要管理操作。4.2.1.2制定和发布
4.2.1.2.1检测方式
访谈、检杏。
4.2.1.2.2检测对象
安全管理制度、评审记录。
4.2.1.2.3检测实施
a)访谈安企主管,是否指定或授权专门的部门或人员负责安全管理制度的制定:检查安全管理制度文档:
b)访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和评审,论证和评审方式如何(如召开评审会、函审、内部审核等):检查管理制度评审记录,查看是否有相关人员的评审意见:
c)访谈安全主管,安全管理制度以何种方式发布,是否能正确地发布到相关人员手中。4.2.1.3评审和修订
4.2.1.3.1检测方式
访谈、检查。
4.2.1.3.2检测对象
安全管理制度列表、评审记录。4.2.1.3.3检测实施
访谈安全主管,询问是否定期对安全管理制度体系的合理性和适用性进行评审,评审周期多长:发现存在不足或需要改逃时是否进行修订,检查是否有相关记录。4.2.2安全管理机构
4.2.2.1岗位设重
4.2.2.1.1检测方式
访谈、检查。
TT KAONT KAca=
4.2.2.1.2检测对象
安全工管、系统管理员、网绍管理员、安全管埋员、岗位职贡文件。4.2.2.1.3检测实施
YD/T1757-2008
a)访谈相关负责人员,询问是否设立安全主管以及安全管理各个方面的负责人岗位,是否明确名个岗位的职资分;
b)访谈安个主管,询问设置了哪些工作岗位、是否包含系统管理员、网络管埋员利安全管理员等重要岗位,检查岗位职责文件,是否明确客个岗位的职责分工,4.2.2.2人员配备
4.2.2.2.1检测方式
访谈、检查。
4.2.2.2.2检测对象
人员配备要求管理文档,管理人员名单。4.2.2.2.3检测实施
访谈安金主管,询问各个安全管理岗位人员(按照岗位职责文件询问:包括系统管理员、网络管理员、安全管理员等重要岗位人员)配备情况,数量是否充足;检查人员配备要求管理文档,查看是否明确配备哪些安全管理人员,是否包括系统管理员、网络管理员、安全管理员等重要岗位人员。4.2.2.3授权和审批
4.2.2.3.1检测方式
访谈、检查。
4.2.2.3.2检测对象
关键活动的批准人、授权管理文件、审批文档、审批记录。4.2.2.3.3检测实施
a)访谈安全主管,对系统投入运行、网络系统接入和重要资源的访问等关键活动是否有相应的审批部门及批准人:检查授权审批管理文件,查看文件是否明确审批事项、审批部门、审批人等。b)访谈安全主管,询问针对关键活动是否建立审批流程,是否由批准人签字确认:检查关键活动的审批记录。
4.2.2.4沟通和合作
4.2.2.4.1检测方式
访谈、检查。
4.2.2.4.2检测对象
会议文件,会议记录,外联单位说明文档。4.2.2.4.3检测实施
a)访谈安全主管,询问各类管理人员之间、组织内部机构之问以及网络安全职能部门内部的沟通、合作机制;访谈安全主管,询问是否召开过部门间协训会议,组织其他部门人员共同协助处理网络安全有关问题:检查部门间协调会议以及网络安全职能部门内部会议文或会议记录,查看是否有会议内容、会议时间、参加人员和结果等的描述。3
YD/T 1757-2008
b)访谈安全主管,询问是否经常与相关外部单位联系,联系方式有哪些;检查外联单位说明文档,查看外联单位是否包含相关外部单位,是否说明外联单位的联系人和联系方式等内穿。4.2.2.5审核和检查
4.2.2.5.1检测方式
访谜、检查。
4.2.2.5.2检测对象
安全检查制度,安全检查报告,安全检查记录。4.2.2.5.3检测实施
访谈安全管理人员,询问是否组织人员定期对网络进行安全检查,检查周期多长,检查人员有哪些:安金检查包含哪些内容,是否包括用户账号情况、系统漏洞情况、数据备份情况等。4.2.3人员安全管理
4.2.3.1人员录用
4.2.3.1.1检测方式
访谈、检查。
4.2.3.1.2检测对象
人员市查文档或记录、考核文档或记录、保密协议、审查记录。4.2.3.1.3检测实施
a)访谈人事负责人,是否指定或授权专门的部门或人员负责人员录用。b)讨谈人事工作人员,询问在人员录用时是否对被录用人的身份、背景、专业资格进行审查;检查是否其有人员录用时对被录用人身份、背景、专业资格等进行审查的相关文档或记录,查看是香记录审查内容利市查结果等;是否对技术人员的技术技能进行考核,检查技能考核文档或记录,查看是否记录考核内容和考核结果等。
c)访谈人事工作人员,询问是否与从事关键岗位的人员签署保密协议,查看保密协议。4.2.3.2人员高岗
4.2.3.2.1检测方式
讨谈、检查。
4.2.3.2.2检测对象
人员高岗管理文档、人员离岗记录。4.2.3.2.3检测实施
a)检查人员离岗的管理文档,查右是否规定了调离于续和离岗要求等,是否要求及时终止离岗员工的所有访问权限。
b)访谈安全主管,询间人员离岗时是否取回各种身份证件、钥匙、微章等以及机构提供的软硬件设备等。
c)访谈安全主管,询问人员离岗是否办理了严格的离岗手续,检查人员离岗记录。4.2.3.3人员考核
4.2.3.3.1检测方式
访谈、检吞。
TT KAONT KAca=
4.2.3.3.2捡测对象
人员考核记录。
4.2.3.3.3检测实施
YD/T1757-2008
访谈安全主管,询问是否定期对各个岗位人员进行安全技能及安全知识的考核:检查考核记录,查看记录的考核人员是否他括各个岗位的人员,考核内容是否包含安全知识,安全技能等:查看记录日期与考核周期是香一致。
4.2.3.4安全意识教育和培训
4.2.3.4.1检测方式
访谈、检查。
4.2.3.4.2检测对象
安全教育计划、培训计划、培训记录。4.2.3.4.3检测实施
)访谈安全主管,询问是否制定安仑教育和培训计划并按计划对各个岗位人员进行安全意识教育、岗位技能培训和相关安全技术培训:检查是否具有安全教育和类培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述;查着记录与培训计划是否一致。b)访谈安全主管,询问对违反违背安全策略和规定的人员是否有相应的惩戒措施;访谈各类人员,考查具对安全责任和惩戒措施等的理解程度。c)访谈安全主管,是否制定了安全教育和培训计划,是否对网络安全基础知识,岗位操作规程等进行培训:检查安全教育和培训计划相关文档。4.2.3.5外部人员访问管理
4.2.3.5.1检测方式
访谈、检查。
4.2.3.5.2检测对象
外部人员访问授权或审批文档,外部人员访间记录,4.2.3.5.3检测实施
访谈安全管理人员,询问对外部人员访问受控区域(如访问主机房、重要服务器或设备、保密文档等)前是否得到授权或审批,批准后是否由专人全程陪同或监督,并登记备案;检查外部人员访问受控区域的授权或审批记录,查看记录是否描述了外部人员访问受控区域的进入时间、离开时间、许问区域、访问设备或信息及陪同人等信息。4.2.4安全建设管理
4.2.4.1定级
4.2.4.1.1检测方式
访谈、检查。
4.2.4.1.2检测对象
网络定级文档。
4.2.4.1.3捡测实施
)检查定级文档,查看是否明确网络边界和定级:YD/T 1757-2008
b)检查定级文档、查看是行明确描述网络边界划分的方法和确定安全保护等级的理由:c)访谈安全土管,询问定级结果是否经相关部门批准。4.2.4.1.4安全方案设计
4.2.4.1.5检测方式
访谈,检背
4.2.4.1.6检测对象
安全方案、安全详纫设计方案,专家论证和审定文挡、批谁记录。4.2.4.1.7检测实施
a)访谈网络建设负责人,询问是否根据网络的安全等级保护级别选择基本安企措施,是否依据风险评估的结果补充和调整安全措施,做过娜些调整,b)检查网络安全方案文档,是否包括对网络的安全保护要求,策略和措施等内穿。c)检查网络详细设计方案文档,是否应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的具体设计方法。
d)防谈网络建设负贡人,是否织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,相关的安全方案在实施前是否经过批谁后:捡查专家论证和审定文档,检查安全方案实施的批准记录。
4.2.4.2产品采购Www.bzxZ.net
4.2.4.2.1检测方式
访谈、检查。
4.2.4.2.2检测对象
安全产品、密码产品。
4.2.4.2.3检测实施
a)访谈系统建设负责人,询问是否采用了安全产品,安全产品的采购和1使用是否符合国家有关规定;b)访谈系统建设负人,询问是否采用了率码产品,密码产品的使用是否符凸国家密码主管部门的要求:
c)访谈系统建设负责人,询问是否有专门的部门负贡产品的采购,由何部门负责。4.2.4.3自行软件开发
4.2.4.3.1检测方法
访谈、检查。
4.2.4.3.2检测对象
软件开发管理制度,软件设计文档,软件使用指南。4.2.4.3.3检测实施
)访谈系统建设负责人,询问是否白行开发软件,开发坏境实际运行环境是否物理分开:b)检查是否具备制定软件开发管理制度,查看其是否说明开发过程的控制方法和人员行为准则:c)访谈系统建设负责人,询间是否提供软件设计的相关文档和使用指南,是否由专人负责保管:检查是否具有软件设计文档和软件使用指南。4.2.4.4外包软件开发
TT KAONT KAca=
4.2.4.4.1检测方法
访谈、抢查。
4.2.4.4.2检测对象
软件开发文档,软件使用指南。4.2.4.4.3检测实施
YD/T 1757-200B
)访谈网络建设负责人,询问软伴交付前是否依据开发需求对软件功能和性能等进行验收检测;b)访谈网络建设负责人,开发单位是否提供软件设计的相关文档和使用指南,检查软件设计的相关文档和使用指南:
c)访谈网络建设负责人,应在软件安装之前检测软件包中可能存在的恶意代码,查看检测记录。4.2.4.5工程实施
4.2.4.5.1检测方法
访谈,检查。
4.2.4.5.2检测对象
工程实施方案、工程实施管理制度。4.2.4.5.3检测实施
a)访谈网络建设负责人,是否指定或授权专门的部门或人员负责工程实施过程的管理。b)访谈网络建设负责人,是否制定详细的工程实施方案控制工程实施过程:检查工程实施方案,查看其是否获盖工程时间限制、进度控制和质量控制等方面内容。4.2.4.6测试验收
4.2.4.6.1检测方法
访谜,检查。
4.2.4.6.2检测对象
测试验收方案,测试验收结果记录、测试验收报告。4.2.4.6.3检测实施
a)访谈系统建设负责人,询问在系统正式运行前,是否根据投计方案或合同要求对系统进行独立的安全性测试:检查网络测试验收报告。b)访谈网络建设负责人,在测试验收前是否根据设计方案或合同要求等制订测试验收方案,在测试验收过程是否详细记录测试验收结果,并形成测试验收报告:检查测试验收方案、测试验收续果记录和测试验收报告。
c)访谈网络建设负责人,是否组织相关部门和相关人员对网络测试验收报告进行审定,并签字确认:检查网络测试验收报告。
4.2.4.7交付
4.2.4.7.1检测方法
访谈、检查。
4.2.4.7.2检测对象
交付清单,培训记录。
4.2.4.7.3检测实施
YD/T 1757-2008
a)访谈网络建设负责人,询问交接手续足什么,是否有交付清单,是否根据交付清单对所交接的设备,文档、软件等进行清点。
b)访谈网络建设负责人,询问目前的运维技术人员足否逊行过技能培训,检查培训记录。c)检查网络交付清单,查着其是否具有网络建设文档(如网络霆设方案),指导用户进行网络运维的文档(如服务器操作规程书)等文档名称。4.2.4.B安全服务商的选择
4.2.4.8.1检测方式
访谈、检查。
4.2.4.8.2检测对象
安全服务器、安全相义协议,安全服务合同。4.2.4.8.3检测实施
a)访谈安全上管:足否使用安全服务商提供的安全服务器,是否按国家有关规定选择安全服务商,b)检查与安全服务商签订的安全相关协议查看,查着其中是否明确约定相关责任;)访谈安全主管,是否要求安金服务商提供技术支持和服务承诺,是否与其签订服务合同。4.2.4.9备案
4.2.4.9.1检测方式
访谈、检查。
4.2.4.9.2检测对象
备案相关记录。
4.2.4.9.3检测实施
访谈安全管,询问是否有专门的人员或部门负责管理网络定级、属性等文档,出何部门/何人负责:访谈文档管理员,询问对网络定级、属性等文档采取哪些控制措施(如限制使用范国、使用登记记录等);检查是否具有网络定级、属性等相关材料的使用控制记录。4.2.5安全运维制度
4.2,5.1环境管理
4.2.5.1.1检测方式
访谈、检查。
4.2.5,1.2检测对象
维护文档、机房山入记录、服务器开关机记录。4.2.5.1.3检测实施
)访谈系统管理员,询问是否应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;检查维护管理文档。b)访谈系统管理员,询问是否配备机房安全管理人员,是否对机房的出入,服务器的开机或关机等工作进行管理,检查机房出入记录、服务器开关机记录。c)访谈系统管理员,询问是否建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;检查机房安全管理制度文档。d)访谈安全管理人员,询问是否加强对办公环境的保密性管理,工作人员调离办公室是否立即交还8
TT KAONT KAca=
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T1757-2008
电信网和互联网管理
安全等级保护检测要求
Classified Management Security Protection Testing Requirementsfor TelecomNetwork and Internet2008-01-14发布
2008-01-14实施
中华人民共和国信息产业部发布前
范围·
规范性引用文件.
3术语和定义·
管理安全等级保护检测要求
4.1第1级要求
4.2第2级要求
4.3第3.1级要求
4.4第3.2级要求.
4.5第4级要求·
4.6第5级要求.·
参考文献,
-TTKAONTKAc=
YD/T 1757-2008
YD.T1757-2008
本标准是“电信网和互联网安金防护体系”系列标准之,。该系列标准的结构及名称如下:1.YD/T1728-2008电信网和互联网安全防护管理指南:2. YD/T 1729-2008
电信网和互联网安全等级保护实施南:3. YD/T 1730-2008
3电信和万联网安个风险评估实施指南;4. YD/T 1731-2008
3电信网利五联网火难备份及恢复实施指南;5. YD/T 1732-2008
6. YD/T 1733-2008
7. YD/T 1734-2008
8. YD/T 173S-2008
9. YD/T 1736-2008
J0. YD/T 1737-2008
11: YD/T 1738-2008
12. YD/T 1739-2008
13. YD/T 1740-2008
14. YD/T 1741-2008
15. Y/T 1742-2008
16.YD/T1743-2008
17. YD/T 1744-2008
18. YD/T 1745-2008
固定通信网安全防护要求;
固定通信网安全防护检测要求;移动通信网安全防护要求
移动通信网安全防护检测要求;巧联网安全所护要求:
联网安全防护检测要求:
赠值业务网
消息网安全防护要求;
增值业务网——消息网安全防护检测要求:增值业务网—智能网安全防护要求:增值业务网一-智能网安全防护检测要求:接入网安全防护要求:
接入网安全防护检测要求;
传送网安全防扩要求;
传送网安全防护检测要求:
8IP承载网安全防护要求:
19.YD/T 1746-2008
8P承载网安全防护检测要求;
20.YD/T 1747-2008
21.YD/T1748-2008
信令网安企防护要求:
22. YD/T 1749-2008
8借令网安全防护检测要求:
23.YD/T 1750-2008
24.YD/T 1751-2008
25. YD/T 1752-2008
26.YD/T 1753-2008
27.YD/T 1754-2008
28.YD/T 1755-2008
29. YD/T 1756-2008
30.YD/T1757-2008
问步网安全防护要求:
同步网安全防护检测要求:
支撑网安全防护要求:
支撑网安全防护检测要求:
电信网互联网物理环境安全等级保护要求:电信网和互联网物理环境安全等级保护检测要求:电信网和互联网管理安全等级保护要求:电信网和互联网管理安全等级保护检测要求:31.YD/T1758-2008非核心生产单元安全防护要求;3非核心牛产单元安全防护检测费求。32.YD/T 1759-2008
本标准与YD/T1756-2008电信网和互联网管理安全等级保护要求》配套使用。1
YD/T1757-2008
随着电信网和互联网的发展,将不断补充和完善电信网和互联网安全防护体系的相关标准、本标雅由中国通信标准化协会提出诈归口。本标准起草单位:信息产业部中信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信有限公司、中国铁通集团有限公司本标淮士耍起草人:李成、魏薇、杨剑峰、赵阳、李友国、曾小字、张尼玛
-kAoNirKAca=
1范围
电信网和互联网管理安全等级保护检测要求本标推规定了公众电信网和互联网的管理安全等级保护检测要求。本标准适用于电信网和与联网安全防护体系中的各种网和系统。2规范性引用文件
YD/T1757-2008
下列文件中的条款通过本标准的引用而成为木标准的条款。凡是注国期的引用文件,其随后所有的修改单(不包括期误的内穿)或修订版均不适用丁本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注期的引用文件,其最新版本适用于本标准,3术语和定义
下列术语和定义适用于本标准。3.1
电信网TelecomNetwork
利用有线和/或无线的电磁、光电网络,进行文字、卢音,数据,图像或其他任何媒体的信息传递的网络:包括固定通信网、移动通信网等。3.2
互联网 Intemet
泛指内多个计算机网络相互连接而形成的网络,它是在功能和逻辑上组成的大型诈算机网络。3.3
安全等级SecurityClassification安全重要程度的表征。重要程度可从网络受到破坏后,对国家安全、社会秩序、经济运行,公共利益、网络和业务运营商造成的损害来衡量。3.4
访谈Interview
检测人员通过与有关人员(个人/群体)进行交流、讨论等活动,检查网络安全等级保护、网络安全风险评估和网络灾难备份及恢复相关措施的落实情况以及相关工作的开情况的一种方法。3.5
检查Examination
检测人员通过对检测对象进行观察、查验和分析等活动,检查网络安全等级保护、网络安全风险评估和网络灾难备份及恢复相关措施的落实情况以及相关工作的开展情况的--种方法。4管理安全等级保护检测要求
4.1第1级要求
不作要求。
YD/T 1757-2008
4.2第2级要求
4.2.1安全管理制度
4.2.1.1管理制度
4.2.1.1.1检测方式
访谈、捡查。
4.2.1.1.2检测对象
总体方针、政策性文件和安全策略文件,安全管理制度,操作规程。4.2.1.1.3检测实施
a)检查网络安全工作的总体方舒、政策性文件和安全策略文件,查看文件足否明确机构安企工作的总体目标、范围、方针、原则、责任等。6)检查安金管理制度,查看文件是否明确安全管理活动中重要的管理内容。心)检查是否有H常管理操作的操作规程,如网络维护手册和用户操作规程等,是否规定了管理人员或操作人员执行的重要管理操作。4.2.1.2制定和发布
4.2.1.2.1检测方式
访谈、检杏。
4.2.1.2.2检测对象
安全管理制度、评审记录。
4.2.1.2.3检测实施
a)访谈安企主管,是否指定或授权专门的部门或人员负责安全管理制度的制定:检查安全管理制度文档:
b)访谈安全主管,询问安全管理制度的制定程序,是否对制定的安全管理制度进行论证和评审,论证和评审方式如何(如召开评审会、函审、内部审核等):检查管理制度评审记录,查看是否有相关人员的评审意见:
c)访谈安全主管,安全管理制度以何种方式发布,是否能正确地发布到相关人员手中。4.2.1.3评审和修订
4.2.1.3.1检测方式
访谈、检查。
4.2.1.3.2检测对象
安全管理制度列表、评审记录。4.2.1.3.3检测实施
访谈安全主管,询问是否定期对安全管理制度体系的合理性和适用性进行评审,评审周期多长:发现存在不足或需要改逃时是否进行修订,检查是否有相关记录。4.2.2安全管理机构
4.2.2.1岗位设重
4.2.2.1.1检测方式
访谈、检查。
TT KAONT KAca=
4.2.2.1.2检测对象
安全工管、系统管理员、网绍管理员、安全管埋员、岗位职贡文件。4.2.2.1.3检测实施
YD/T1757-2008
a)访谈相关负责人员,询问是否设立安全主管以及安全管理各个方面的负责人岗位,是否明确名个岗位的职资分;
b)访谈安个主管,询问设置了哪些工作岗位、是否包含系统管理员、网络管埋员利安全管理员等重要岗位,检查岗位职责文件,是否明确客个岗位的职责分工,4.2.2.2人员配备
4.2.2.2.1检测方式
访谈、检查。
4.2.2.2.2检测对象
人员配备要求管理文档,管理人员名单。4.2.2.2.3检测实施
访谈安金主管,询问各个安全管理岗位人员(按照岗位职责文件询问:包括系统管理员、网络管理员、安全管理员等重要岗位人员)配备情况,数量是否充足;检查人员配备要求管理文档,查看是否明确配备哪些安全管理人员,是否包括系统管理员、网络管理员、安全管理员等重要岗位人员。4.2.2.3授权和审批
4.2.2.3.1检测方式
访谈、检查。
4.2.2.3.2检测对象
关键活动的批准人、授权管理文件、审批文档、审批记录。4.2.2.3.3检测实施
a)访谈安全主管,对系统投入运行、网络系统接入和重要资源的访问等关键活动是否有相应的审批部门及批准人:检查授权审批管理文件,查看文件是否明确审批事项、审批部门、审批人等。b)访谈安全主管,询问针对关键活动是否建立审批流程,是否由批准人签字确认:检查关键活动的审批记录。
4.2.2.4沟通和合作
4.2.2.4.1检测方式
访谈、检查。
4.2.2.4.2检测对象
会议文件,会议记录,外联单位说明文档。4.2.2.4.3检测实施
a)访谈安全主管,询问各类管理人员之间、组织内部机构之问以及网络安全职能部门内部的沟通、合作机制;访谈安全主管,询问是否召开过部门间协训会议,组织其他部门人员共同协助处理网络安全有关问题:检查部门间协调会议以及网络安全职能部门内部会议文或会议记录,查看是否有会议内容、会议时间、参加人员和结果等的描述。3
YD/T 1757-2008
b)访谈安全主管,询问是否经常与相关外部单位联系,联系方式有哪些;检查外联单位说明文档,查看外联单位是否包含相关外部单位,是否说明外联单位的联系人和联系方式等内穿。4.2.2.5审核和检查
4.2.2.5.1检测方式
访谜、检查。
4.2.2.5.2检测对象
安全检查制度,安全检查报告,安全检查记录。4.2.2.5.3检测实施
访谈安全管理人员,询问是否组织人员定期对网络进行安全检查,检查周期多长,检查人员有哪些:安金检查包含哪些内容,是否包括用户账号情况、系统漏洞情况、数据备份情况等。4.2.3人员安全管理
4.2.3.1人员录用
4.2.3.1.1检测方式
访谈、检查。
4.2.3.1.2检测对象
人员市查文档或记录、考核文档或记录、保密协议、审查记录。4.2.3.1.3检测实施
a)访谈人事负责人,是否指定或授权专门的部门或人员负责人员录用。b)讨谈人事工作人员,询问在人员录用时是否对被录用人的身份、背景、专业资格进行审查;检查是否其有人员录用时对被录用人身份、背景、专业资格等进行审查的相关文档或记录,查看是香记录审查内容利市查结果等;是否对技术人员的技术技能进行考核,检查技能考核文档或记录,查看是否记录考核内容和考核结果等。
c)访谈人事工作人员,询问是否与从事关键岗位的人员签署保密协议,查看保密协议。4.2.3.2人员高岗
4.2.3.2.1检测方式
讨谈、检查。
4.2.3.2.2检测对象
人员高岗管理文档、人员离岗记录。4.2.3.2.3检测实施
a)检查人员离岗的管理文档,查右是否规定了调离于续和离岗要求等,是否要求及时终止离岗员工的所有访问权限。
b)访谈安全主管,询间人员离岗时是否取回各种身份证件、钥匙、微章等以及机构提供的软硬件设备等。
c)访谈安全主管,询问人员离岗是否办理了严格的离岗手续,检查人员离岗记录。4.2.3.3人员考核
4.2.3.3.1检测方式
访谈、检吞。
TT KAONT KAca=
4.2.3.3.2捡测对象
人员考核记录。
4.2.3.3.3检测实施
YD/T1757-2008
访谈安全主管,询问是否定期对各个岗位人员进行安全技能及安全知识的考核:检查考核记录,查看记录的考核人员是否他括各个岗位的人员,考核内容是否包含安全知识,安全技能等:查看记录日期与考核周期是香一致。
4.2.3.4安全意识教育和培训
4.2.3.4.1检测方式
访谈、检查。
4.2.3.4.2检测对象
安全教育计划、培训计划、培训记录。4.2.3.4.3检测实施
)访谈安全主管,询问是否制定安仑教育和培训计划并按计划对各个岗位人员进行安全意识教育、岗位技能培训和相关安全技术培训:检查是否具有安全教育和类培训记录,查看记录是否有培训人员、培训内容、培训结果等的描述;查着记录与培训计划是否一致。b)访谈安全主管,询问对违反违背安全策略和规定的人员是否有相应的惩戒措施;访谈各类人员,考查具对安全责任和惩戒措施等的理解程度。c)访谈安全主管,是否制定了安全教育和培训计划,是否对网络安全基础知识,岗位操作规程等进行培训:检查安全教育和培训计划相关文档。4.2.3.5外部人员访问管理
4.2.3.5.1检测方式
访谈、检查。
4.2.3.5.2检测对象
外部人员访问授权或审批文档,外部人员访间记录,4.2.3.5.3检测实施
访谈安全管理人员,询问对外部人员访问受控区域(如访问主机房、重要服务器或设备、保密文档等)前是否得到授权或审批,批准后是否由专人全程陪同或监督,并登记备案;检查外部人员访问受控区域的授权或审批记录,查看记录是否描述了外部人员访问受控区域的进入时间、离开时间、许问区域、访问设备或信息及陪同人等信息。4.2.4安全建设管理
4.2.4.1定级
4.2.4.1.1检测方式
访谈、检查。
4.2.4.1.2检测对象
网络定级文档。
4.2.4.1.3捡测实施
)检查定级文档,查看是否明确网络边界和定级:YD/T 1757-2008
b)检查定级文档、查看是行明确描述网络边界划分的方法和确定安全保护等级的理由:c)访谈安全土管,询问定级结果是否经相关部门批准。4.2.4.1.4安全方案设计
4.2.4.1.5检测方式
访谈,检背
4.2.4.1.6检测对象
安全方案、安全详纫设计方案,专家论证和审定文挡、批谁记录。4.2.4.1.7检测实施
a)访谈网络建设负责人,询问是否根据网络的安全等级保护级别选择基本安企措施,是否依据风险评估的结果补充和调整安全措施,做过娜些调整,b)检查网络安全方案文档,是否包括对网络的安全保护要求,策略和措施等内穿。c)检查网络详细设计方案文档,是否应对安全方案进行细化,形成能指导安全系统建设、安全产品采购和使用的具体设计方法。
d)防谈网络建设负贡人,是否织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定,相关的安全方案在实施前是否经过批谁后:捡查专家论证和审定文档,检查安全方案实施的批准记录。
4.2.4.2产品采购Www.bzxZ.net
4.2.4.2.1检测方式
访谈、检查。
4.2.4.2.2检测对象
安全产品、密码产品。
4.2.4.2.3检测实施
a)访谈系统建设负责人,询问是否采用了安全产品,安全产品的采购和1使用是否符合国家有关规定;b)访谈系统建设负人,询问是否采用了率码产品,密码产品的使用是否符凸国家密码主管部门的要求:
c)访谈系统建设负责人,询问是否有专门的部门负贡产品的采购,由何部门负责。4.2.4.3自行软件开发
4.2.4.3.1检测方法
访谈、检查。
4.2.4.3.2检测对象
软件开发管理制度,软件设计文档,软件使用指南。4.2.4.3.3检测实施
)访谈系统建设负责人,询问是否白行开发软件,开发坏境实际运行环境是否物理分开:b)检查是否具备制定软件开发管理制度,查看其是否说明开发过程的控制方法和人员行为准则:c)访谈系统建设负责人,询间是否提供软件设计的相关文档和使用指南,是否由专人负责保管:检查是否具有软件设计文档和软件使用指南。4.2.4.4外包软件开发
TT KAONT KAca=
4.2.4.4.1检测方法
访谈、抢查。
4.2.4.4.2检测对象
软件开发文档,软件使用指南。4.2.4.4.3检测实施
YD/T 1757-200B
)访谈网络建设负责人,询问软伴交付前是否依据开发需求对软件功能和性能等进行验收检测;b)访谈网络建设负责人,开发单位是否提供软件设计的相关文档和使用指南,检查软件设计的相关文档和使用指南:
c)访谈网络建设负责人,应在软件安装之前检测软件包中可能存在的恶意代码,查看检测记录。4.2.4.5工程实施
4.2.4.5.1检测方法
访谈,检查。
4.2.4.5.2检测对象
工程实施方案、工程实施管理制度。4.2.4.5.3检测实施
a)访谈网络建设负责人,是否指定或授权专门的部门或人员负责工程实施过程的管理。b)访谈网络建设负责人,是否制定详细的工程实施方案控制工程实施过程:检查工程实施方案,查看其是否获盖工程时间限制、进度控制和质量控制等方面内容。4.2.4.6测试验收
4.2.4.6.1检测方法
访谜,检查。
4.2.4.6.2检测对象
测试验收方案,测试验收结果记录、测试验收报告。4.2.4.6.3检测实施
a)访谈系统建设负责人,询问在系统正式运行前,是否根据投计方案或合同要求对系统进行独立的安全性测试:检查网络测试验收报告。b)访谈网络建设负责人,在测试验收前是否根据设计方案或合同要求等制订测试验收方案,在测试验收过程是否详细记录测试验收结果,并形成测试验收报告:检查测试验收方案、测试验收续果记录和测试验收报告。
c)访谈网络建设负责人,是否组织相关部门和相关人员对网络测试验收报告进行审定,并签字确认:检查网络测试验收报告。
4.2.4.7交付
4.2.4.7.1检测方法
访谈、检查。
4.2.4.7.2检测对象
交付清单,培训记录。
4.2.4.7.3检测实施
YD/T 1757-2008
a)访谈网络建设负责人,询问交接手续足什么,是否有交付清单,是否根据交付清单对所交接的设备,文档、软件等进行清点。
b)访谈网络建设负责人,询问目前的运维技术人员足否逊行过技能培训,检查培训记录。c)检查网络交付清单,查着其是否具有网络建设文档(如网络霆设方案),指导用户进行网络运维的文档(如服务器操作规程书)等文档名称。4.2.4.B安全服务商的选择
4.2.4.8.1检测方式
访谈、检查。
4.2.4.8.2检测对象
安全服务器、安全相义协议,安全服务合同。4.2.4.8.3检测实施
a)访谈安全上管:足否使用安全服务商提供的安全服务器,是否按国家有关规定选择安全服务商,b)检查与安全服务商签订的安全相关协议查看,查着其中是否明确约定相关责任;)访谈安全主管,是否要求安金服务商提供技术支持和服务承诺,是否与其签订服务合同。4.2.4.9备案
4.2.4.9.1检测方式
访谈、检查。
4.2.4.9.2检测对象
备案相关记录。
4.2.4.9.3检测实施
访谈安全管,询问是否有专门的人员或部门负责管理网络定级、属性等文档,出何部门/何人负责:访谈文档管理员,询问对网络定级、属性等文档采取哪些控制措施(如限制使用范国、使用登记记录等);检查是否具有网络定级、属性等相关材料的使用控制记录。4.2.5安全运维制度
4.2,5.1环境管理
4.2.5.1.1检测方式
访谈、检查。
4.2.5,1.2检测对象
维护文档、机房山入记录、服务器开关机记录。4.2.5.1.3检测实施
)访谈系统管理员,询问是否应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护管理;检查维护管理文档。b)访谈系统管理员,询问是否配备机房安全管理人员,是否对机房的出入,服务器的开机或关机等工作进行管理,检查机房出入记录、服务器开关机记录。c)访谈系统管理员,询问是否建立机房安全管理制度,对有关机房物理访问,物品带进、带出机房和机房环境安全等方面的管理作出规定;检查机房安全管理制度文档。d)访谈安全管理人员,询问是否加强对办公环境的保密性管理,工作人员调离办公室是否立即交还8
TT KAONT KAca=
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。