中国电信IT安全保障体系建设总体规范-V10

中国电信

IT安全保障体系建设

总体规范

V1.0

中国电信集团公司

2011年10月

电中四电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

文档信息

版本版本控制信息更新日期更新人审阅人

V0.1创建2011年5月20日张兴国张新跃、贾照坤

V0.2增加各章节内容2011年6月1日张兴国张新跃、贾照坤

V0.3修订各章节格式2011年6月20日张兴国张新跃、贾照坤

V0.4调整部分文档结构2011年7月5日张兴国张新跃、贾照坤

调整部分文档内容细

V0.52011年7月15日张兴国张新跃、贾照坤

节

V0.6修订部分章节2011年7月31日张兴国张新跃、贾照坤

V0.6.1省公司讨论修修订2011年9月2日张兴国张新跃、贾照坤

V0.8修订部分章节2011年9月28日张兴国张新跃、贾照坤

V0.9格式化文档2011年10月20日张兴国张新跃、贾照坤

V1.0标准化文档2011年10月30日张兴国张新跃、贾照坤

电中四电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

前百

当前网络与信息安全已成为关系国家经济、政治、国防、文化等领域的重大问题,

世界各主要国家相继制定和大幅调整了网络安全战略，设立了专门的机构，加大了人员

和资金的投入，维护其网络空间的利益。同时，随着信息通讯网络的快速发展和融合创

新，各种新技术、新业务、新终端层出不穷。网络、系统、终端的安全问题相互交织、

相互影响，违法不良信息扩散、病毒传播、网络攻击等非传统安全威胁日益增多，使得

保障基础信息网络和重要信息系统的安全，营造健康的网络环境，面临着前所未有•的压

力和挑战。

近年来，在信息网络化的环境下，网络与信息系统成为安全事件和泄密事件的主要

途径，国家对安全工作日趋重视，多次发文提出严格要求，相关部委也加大了安全与保

密检查的频度与处罚力度；同时，伴随着中国电信深度转型战略的要求，新技术的发展

和全业务运营对中国电信IT系统安全提出了新挑战，无论是从防护能力和管理水平都提

出了更高要求。随着中国电信全业务运营和IT系统集中化，安全问题引发的损失日益增

大，电信行业频发的安全事件给IT安全工作敲响了警钟；但是前期安全建设相对滞后于

系统建设，多数省公司仍没有形成较完备的IT安全保障体系，无法有效保障IT系统安全

稳定的运行。

为了全面保证IT系统整体安全，统一规范中国电信IT安全建设是做好未来工作的基

石，建立健全IT安全保障体系是未来几年IT安全工作的重心。为了指导各省公司后续开

展IT安全工作，集团组织业内知名安全专家和各省公司资深安全专家共同编写了中国电

信IT安全保障体系建设规范，规范遵循“管理和技术并重，预防为主，注重长效”的原

则，力争用2-3年的时间建设成较完备的■,安全保障体系，逐步提升“风险识别、威胁

主动防御、事件响应处理”三项安全保障能力。

IT安全保障体系建设总体规范是指导中国电信IT安全规划和建设、落实IT安全工

作要求、支撑全业务安全运营的总体纲领。

电中四电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

目录

第1章文档说明..........................3

1.1编制说明......................................................................3

1.2适用范围......................................................................3

1.3文档结构......................................................................3

1.4起草单位......................................................................4

1.5解释权........................................................................4

1.6版权..........................................................................4

第2章术语定义..........................5

第3章中国电信IT安全现状...............6

3.1安全现状与挑战................................................................6

3.2安全需求......................................................................7

3.3IT安全保障体系发展历程.......................................................8

第4章中国电信IT安全保障体系的架构...........................10

4.1中国电信IT安全保障体系设计原则..............................................10

4.2中国电信IT安全保障体系架构..................................................I0

第5章中国电信IT安全保障体系的建设...................................13

5.1中国电信IT安全保障体系建设目标..............................................I3

5.2中国电信IT安全保障体系建设要求.............................................13

5.3中国电信IT安全保障体系建设规范.............................................14

5.3.1规范总体说明............................................................................................................15

5.3.2中国电信1T安全保障体系规范.管理分册...............................................................16

5.3.3中国电信IT安全保障体系规范-技术分册...............................................................21

5.4中国电信IT安全保障体系建设成效考量.........................................28

5.4.1IT安全建设考量指标...............................................................................................29

5.4.2IT安全建设成效考量...............................................................................................30

第6章IT安全保障体系的实施路线...............................33

6.1第一阶段：可管阶段...........................................................33

6.1.1管理体系....................................................................................................................33

6.1.2技术体系....................................................................................................................34

6.2第二阶段：可挖阶段...........................................................36

6.2.1管理体系....................................................................................................................36

6.2.2技术体系....................................................................................................................36

6.3第三阶段：可信阶段...........................................................37

6.3.J管理体系....................................................................................................................38

6.3.2技术体系....................................................................................................................38

第7章IT安全保障体系的持续改进................................39

第8章附录.............................40

第1页/共56页

电中四电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

8.1文档编制人员名单.............................................................55

8.2参考文献.....................................................................40

8.3IT安全体系实施细则..........................................................40

8.4IT安全保障体系与工信部等保对应关系.........................................45

第2页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

第1章文档说明

1.1编制说明

本规范作为中国电信IT规范的重要组成部分，为中国电信建立健全IT安全

保障体系提供依据。本规范是在《CTG-MBOSSIT总体规范V1.0》和《中国电

信企业信息化战略规划》（ITSP2.0）总体框架体系的指导下，参考了《中国电

信CTG-MBOSSIT安全规范VI.0»及近年来发布的其他安全政策和指导意见等

相关内容，继承和吸收了原有安全管理实践的经验成果，充分考虑到各省公司的

现状和IT安全新技术应用，并结合了行业最佳实践的情况下编制而成。本规范

全面阐述了中国电信IT安全保障体系的总体架构、安全管理和技术规范、建设

路线和实施演进策略等内容。

1.2适用范围

本规范适用于中国电信集团公司及下属省（市）公司企业信息化部

CTG-MBOSS（其中OSS仅包含资源管理类、服务开通类系统）进行IT安全规

划和建设，为IT系统安全相关的开发建设、升级改造、运行维护、系统演进提

供指导和依据，各省公司根据自身实际情况制定并自行维护相应的保障体系实施

规范。

1.3文档结构

本规范由文档说明、综述、IT安全保障体系建设纲要、【T安全保障体系建

设规范和IT安全保障体系实施和演进路线7个部分构成。其中，第1章为文档

说明，介绍本规范的编制说明、适用范围、文档结构、起草单位、解释权和版权。

第2章为本规范中涉及的术语进行定义和解释，包括IT安全和IT安全保障体系

等。第3章对中国电信IT安全背景进行描述，包括安全现状和挑战，以及安全

需求。第4章对IT安全保障体系概要描述，包括IT安全保障体系设计原则和体

系架构解释。第5章阐述了IT安仝保障体系建设纲要，包括介绍和论证中国电

第3页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

信IT安全保障体系建设目标、建设要求和建设规范以及体系度量标准和指标设

定。第6章设定了IT安全保障体系未来的建设实施规划和任务分配。第7章着

重描述如何持续优化本规范。第8章为附录，包活规范参考的文献列表。

1.4起草单位

本规范的起草单位是中国电信集团公司企业信息化部。

1.5解释权

本规范的解释权属于中国电信集团公司企业信息化部。

1.6版权

本规范的版权属于中国电信集团公司企业信息化部。

第4页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

第2章术语定义

术语英文解释

本规范中IT特指中国电信企业信息化相关

Information

IT系统，主要包括MSS、BSS、OSS和EDA

Technology

系统。

信息Information本规范中信息特指中国电信企业信息化相

关系统所产生、存储和使用的有价值数据。

本规范中安全特指中国电信企业信息化的

保护对象不受偶然的或者恶意的原因而遭

安全Security

到破坏、更改、泄露，确保IT系统连续可

靠正常地运行，业务不中断。

保障

Security本规范中保障特指采取各种措施、手段和方

Guarantee法保护中国电信企业信息化IT系统资源安

全可控。

体系System本规范中体系特指按照一定的秩序和内部

联系组合而成的系统全面科学的整体。

中国电信IT安全是确保IT系统的硬件、软

1T安全ITSecurity件、数据等相关资产的机密性、完整性和可

用性。

IT安全保障体系是实施中国电信IT安全保

IT

IT安全保障体障的策略、组织、运行和技术等方面有机结

SecurityGuarantee

系合的整体，是保证中国电信企业信息化安全

System

的基础。

第5页/共56页

华中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

第3章中国电信IT安全现状

3.1安全现状与挑战

随着中国电信全业务运营战略的推进，IT系统已经成为电信生产环节中不可

或缺的部分，IT系统的安全问题也□趋重要，当前中国电信IT系统面临新的

安全挑战。

1）攻击手段和攻击方式在发生变化

从近年来安全事件的原因分析来看，一方面随着技术的发展，来源于外部攻

击的方式层出不穷，攻击更加隐蔽，攻击工具更智能化，攻击的破坏力更大，更

加难于处理和防范；另一方面，来自于内部的攻击威胁日趋严重，以经济利益驱

动的攻击和窃取企业重要数据行为成为新形势下的主要攻击形式。

IT系统内的计费与帐务数据、客户相关敏感数据、市场经营分析数据、企业

经营决策文件是中国电信保持企业核心竞争力的基础，保护重要信息就是保护企

业核心竞争力。近年来，电信运营商敏感信息数据泄漏安全事件频发，不仅对客

户的隐私和个人信息安全构成不同程度的危害，也对运营商自身的核心机密、同

行业竞争力和市场声誉造成了严重损害。

2）全业务运营带来新的挑战

在中国电信新的市场战略驱动下，IT系统集中程度越来越高，数据大集中对

系统可靠性、稳定性的要求随之提高，数据集中化处理使IT系统的访问对象也

日趋复杂，各种安全威胁日益增多，一旦发生重大网络安全事件，往往会导致灾

难性的后果，由此所带来的经济损失及企业品牌的负面影响非常巨大。IT全业

务运营主要面临了如下新挑战：

（1）新技术发展带来的安全挑战：安全形式发生了新的变化，新技术带来

新挑战，IT基础设施更应该关注新兴的业务和新技术带来的安全问题。虚拟化、

云计算环境下比较突出的是用户数据资料和资源滥用的问题。用户数据、应用等

都集中在云上，一方面往往会成为黑客关注的焦点，另一方面对于运营者系统的

可用性也将造成新的压力。云计算对于运营者而言，如何防止用户滥用云端资源,

第6页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

做好细颗粒度的身份鉴别和审计；以及如何保障放置云端数据的安全，保障企业

在云端的资料不会外泄，都是IT安全需要重点关注的问题。

（2）新运营模式带来的安全挑战：随着智能移动终端使用的日渐广泛，更

多的应用承载在智能终端上，针对其漏洞的攻击、植入恶意代码等行为也越来越

多，移动互联网正在伴生出新的安全问题：如由封闭向开放转变带来接口和访问

方式的复杂化，甄别合法/非法行为的安全防护能力难度加大；合作运营模式增

多带来接入方式和管控流程环节增多。因此解决移动互联网业务对传统互联网监

管模式造成的新挑战至关重要。

（3）新业务带来新安全挑战：移动互联网和宽带全业务等新类型业务使用

和业务融合导致安全控制点增多，安全防护的深度和难度加大。融合业务对IT

的依赖越来越大，细小安全事件的影响容易被放大，对企业的全业务运营造成严

重的损害。

3）企业战略对安全工作提出了新要求

构建IT安全运营环境，是中国电信企业核心价值观的实际体现，是实现中

国电信对客户服务的承诺，也是电信运营商的社会责任。但是IT安全建设与系

统建设相对滞后，如何建立健全IT安全保障体系是保障中国电信IT系统安全稳

定运行的基础，是IT管理者共同面临的一个课题。

3.2安全需求

中国电信IT安全保隙体系的需求主要来源于以下五个方面：

•国家法律法规和监管机构对安全的要求；

•通信行业新技术新业务发展对安全的要求；

•中国电信IT内控管理的要求；

•中国电信的战略深度转型全业务运营的驱动；

•中国电信IT安全现状。

第7页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

3.3IT安全保障体系发展历程

从计算机诞生之口起，IT安全问题就伴随着整个信息化发展的进程，过去企

业往往依靠单一的安全产品来提高安全管理水平，随着IT系统日趋复杂和多样

化，单一的安全产品已经无法满足企业安全防护的需要。如何构建安全体系，成

为了众多企业共同研究和探讨的课题，而安全体系历经了通信安全、计算机个体

安全、信息安全和全方位的IT安全保障体系几个发展阶段」

通信安全：

上世纪40—70年代，IT安全主要是指：通过密码技术解决通信保密问题，

保证数据的保密性与完整性，主要技术是加密。

计算机系统安全：

上世纪70—80年代，IT安全的重点是：确保计算机系统中硬件、软件及正

在处理、存储、传输信息的机密性、完整性；主要安全威胁扩展到非法访问、恶

意代码、脆弱口令等；主要保护措施是安全操作系统设计技术，例如：TCBo

信息安全：

上世纪90年代以来，IT安全的重点再次发生转移：保护信息，确保信息在

存储、处理、传输过程中及信息系统不被破坏，确保合法用户的服务和限制非投

权用户的服务，以及必要的防御攻击的措施；这个阶段强调信息的保密性、完整

性、可控性、可用性；主要安全威胁发展到网络入侵、病毒破坏、信息对抗的攻

击等；主要保护措施包括防火墙、防病毒软件、漏洞扫描、入侵检测、PKkVPN、

安全管理等。

安全保障体系：

近年来，随着信息技术的进一步发展，人们逐渐认识到，构建安全保障体系

必须从安全的各个方面进行综合考虑，只有将组织、策略、运行、技术等方面紧

密结合，构成全方位的安全保障体系，才能真正保障企业核心资产的安全；IT

安全不再是简单的、孤立的、碎片化的传统技术手段，而是聚焦于体系化的安全

保障。

第8页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

国外的安全保障理论也在不断的发展完善中，美国国家安全局从1998年以

来开展了信息安全保障技术框架（IATF）的研究工作并发布了IATF3.1版本，

提出了深度防御战略模型，强调了多层次立体防护的概念，并逐渐为国内外企业

所接受。

第9页/共56页

华中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

第4章中国电信IT安全保障体系的架构.

4.1中国电信IT安全保障体系设计原则

中国电信IT安全保障体系设计遵循全面性、平衡性、实用性、差异性、前

瞻性、先进性和兼容性七大原则，其中：

全面性原则：体系能够涵盖安全工作各种业务，各个层面，各领域，以及IT

安全风险管理的全过程；

平衡性原则：体系充分考虑管理与技术两个保障手段，坚持管理与技术并重

的原则；

实用性原则：突出重点与适度保护，最终形成的IT安全保障体系应该是可

量化、可考量、易建设的；

差异性原则：借鉴等级保护的思想，依据公安部、工信部关于等级保护的要

求，结合中国电信业务特点，对不同的保护对象实行不同级别的安全保护；

前瞻性原则：体系设计具有良好的前瞻性和扩展性，充分考虑未来新技术新

业务的发展；

先进性原则：充分借鉴国际信息安全最佳实践，采用成熟的模型，同时考虑

在中国电信的实用性；

兼容性原则：体系和规范能够向上兼容国家政策、上级主管单位关于风险评

估、等级保护、信息保密等安全方面的要求，同时与企业IT内控安全管理的要

求兼容。

4.2中国电信IT安全保障体系架构

中国电信IT安全保障体系是支撑中国电信企业IT安全建设和管理的基础架

构，是集团和各省公司企业信息化安全规划与建设的依据。IT安全保障体系整

体框架如下所示：

第10页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

IT安全技术体系

依测，识别I安全防护

IT安全运行体系

系

安

统

全

狭

检

取6

CTG-MBOSS信息化架构

图4-1中国电信集团公司IT安全保障体系框架图

中国电信IT安全保障体系以中国电信CTG-MBOSS信息化架构为基础，以

IT安全战略为指导，通过安全管理体系和安全技术体系两个重要部分来实现可

管、可控和可信的三个IT安全目标。体系建设遵循“管理与技术并重、分级防

护、集中管控、循序渐进”方针，最终实现可信赖的IT安全运营环境愿景。

IT安全战略：打造国内一流的IT安全保障体系，构建安全支撑环境，为中

国电信全业务运营保驾护航。

IT安全阶段性目标：IT安全保障体系的三个阶段性目标可以通过可管、可

控和可信。安全可管阶段的特征是“职责明晰、预防为主、有效识别”；可控阶

段的特征是“主动防御、及时响应、集中管控”；可信阶段的特征是“体系完善、

流程通畅、全员参与”。

IT安全规范总体方针

管理与技术并重：采用管理和技术相结合的方式，建立有效识别和预防IT

安全风险机制，合理选择安全控制方式，有效降低IT安全风险。

分级防护：依据国家相关规定和信息安全管理最佳实践，根据信息资产的重

要性等级，对重要信息资产和系统划分不同的保护等级，执行差异化的安全保护

措施。

第11页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

集中管控：在集团范围内建立层次化IT安全管理组织和集中的安全管控措

施，统一进行IT全网信息系统安全的规划、建设及管控。

循序渐进：建立全面覆盖IT安全各个领域的、可度量、可管理的安全保隙

体系，并在此基础上进行持续改进，不断自我完善，为业务的平稳运行提供可信

的IT支撑环境。

IT安全管理体系：安全管理在IT安全保障体系中占有重要的地位，包括安

全策略、安全组织和安全运行三大体系。

安全策略体系总述了中国电信IT安全的总体方针、标准和指南、以及各类

实施细则组成。

安全组织体系定义了保障IT安全策略有效执行需要的角色和职责，从职能

上分为决策、管理和执行三个层次。

安全运行体系从IT系统生命周期和安全风险管控流程出发，从开发、建设、

维护、响应和核查五个阶段提出安全风险管控的要点，明确了不同阶段安全保护

的具体要求，涵盖了风险管理、系统开发建设、运行维护、事件响应、安全监控、

安全检查等内容。

IT安全技术体系：安全技术是实现IT安全保隙体系的重要手段，从物理安

全、网络安全、系统安全、应用安全、数据安全和终端安全六个方面实现监测与

识别、安全主动防御和审计与恢复三大防护能力。如下所述：

安全识别与监控能力：主要包含了威胁识别、入侵检测、漏洞扫描等安全功

能要求；

安全防护能力：主要包含了身份认证、攻击防护、数据加密、访问控制、安

全配置等安全功能要求；

安全审计与恢复能力：主要包含了操作审计、应急响应、灾备恢复等安全功

能内容。

第12页/共56页

华中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

第5章中国电信IT安全保障体系的建设

5.1中国电信IT安全保障体系建设目标

中国电信集团与各省公司始终围绕建立健全IT安全保障体系，全面保证IT

系统整体安全的目标，本着“管理与技术并重、分级防护、集中管控、循序渐进”

的方针，逐步提升“风险识别、威胁主动防御、事件响应处理”三项安全保障能

力。各省公司力争用3-5年的时间建设较完备的IT安全保障体系，具体建设目

标包括以下几个方面：

>建立健全IT安全管理组织，明确安全职责，确保集团安全策略和方针

有效执行，安全制度和安全工作落实到位；

>建立完善IT安全策略体系，形成一套完整的、可操作的管理制度和管

理流程，确保安全工作有法可依、有章可循；

>建立完善的IT安全运行体系，围绕IT系统生命周期，将安全管理的要

求落实到系统的需求分析、规划建设、控制实施、运行监控、响应恢复

等各个环节中，将安全管控的要点固化到日常工作运行流程中，形成标

准的行为和操作规范；

>部署全方位立体的安全保护措施，围绕三大能力进行安全工程建设，逐

步实现安全对象的统一监控、主动防御、快速响应，最终实现全面地安

全保障防御体系，确保中国电信IT核心系统和核心业务数据在存储、

传输和使用过程中的安全，保障中国电信IT系统持续、稳定、安全的

运行；

5.2中国电信IT安全保障体系建设要求

中国电信IT安全保隙体系围绕“可管、可控、可信”三个阶段性目标逐步

进行建设，遵循安全与信息化”同步规划、同步建设、同步运行”的建设原则。

为有序开展中国电信IT安全保障体系建设，具体要求如下：

>思路统一：IT安全保障体系建设一方面要符合国家、行业和集团相关政

第13页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

策规定，另一方面要遵照总体体系规范建设阶段目标和演进路线；

＞责任清晰：IT安全保障体系建设工作需要集团及各省公司领导政策层面

的的大力支持,各级执行组织和个人明确安全职责，落实1T安全建设工

作；

＞资金支持：为了实现中国电信IT安全保障工作有序地建设，根据国资委

对央企信息系统建设安全投入不低于15%的原则，应确保每年用于IT

安全投资应占总IT投资的8%-12%；

＞组织保障：集团及各省公司应建立IT安全管理组织，配置专职安全岗位,

明确安全管理职责，确保IT安全工作顺利执行；

＞成效明确：建设保障体系的同时，依照建设成效考量标准，确保三年之

内达到可控级别。

5.3中国电信IT安全保障体系建设规范

建设IT安全保障体系是中国电信IT安全工作的任务和目标，IT安全保障体

系建设规范是IT安全建设的总体指导依据，规范文档从IT安全保障体系的管理

和技术两个角度，对IT安全保障体系的建设进行规范化和标准化。

依照IT安全组织体系、安全策略体系和安全运行体系架构制定安全管理分

册的三层义档结构；制定安全组织管理规范，定义集团和省公司安全组织架构，

明确了组织层次模型和相关人员角色职责，指导集团及各省公司的IT安全组织

的建立和运作；制定安全策略、安全规定和安全管理细则，以及安全运维管理流

程，规范和约束后期的IT安全管理和运维工作。

依照安全技术体系架构制定安全技术分册，技术规范通过定义层文档规范定

义安全保护对象和等级定义要求，明确不同安全技术保护措施或手段；通过管控

层文档规范，提出合适的安全管控措施，实现用户统一认证授权管理和集中的安

全运维管理;通过防护层文档规范，对三大防护能力的功能和实现提出明确要求，

制定相应的安全技术配置指南和操作手册，便于后期的安全技术检查和管理。

第14页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

531规范总体说明

中国电信IT安全保障体系规范是支撑中国电信企业全业务运营和IT安全建

设的基础框架，是集团和各省公司企业信息化安全建设的愿景，也是指导集团和

各省公司企业信息化安全规划、建设与管理的依据，由IT安全目标、方针、安

全管理制度规范体系和技术安全保护体系构成。

中国甩信IT安全保障体系是支撑中国电信企业IT安全建设和管理的基础架

构，是集团和各省公司企业信息化安全规划与建设的依据。IT安全保障体系文

档框架图如下所示：

IT安全技术目标

IT安全管理策略决定

策义对象等级定义

总体策略层层

安全保护要求

IT管控

IT安全管理规定

管

管

检

建

人

运

组诙别、防护、响应三大能力

控

理

查

设

员

维

织

管

管

管

管

层

管

层集中账号安全运维

理

理

理

理

理管理平台管理平台

IT安全管理细则IT安全防护

执防

物理环境账号与密终端安安全而访问控制入侵防御准入控制

行护

安全管理码管理全管理护措施应用防护安全审计……

层层

IT系统IT网络连安全配

......网络安全主机安全终端安全

上线验收接与准入置指可应用安全代码安全……

中国电信CTGMBOSS规范

图5-1中国电信集团公司IT安全保障体系规范文档架构图

根据中国电信IT安全保障体系文档架构图，定义相应的规范文档，各文档

与文档架构图的相关内容相对应，文档视图分为两类文档和三个层面：管理分册

第15页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

（决策层、管理层和执行层）和技术分册（定义层、管控层和防护层）。具体文

档视图如下所示:

D1-中国电信IT安全保障体系建设总体规范

1个D2.ITT安全管理鬣事D3.1IT系统安全技术保井要求

M.2-IT安AO1R02.3■人员■■安D2.5-mM-D2.6-IT*Att>

安全rat范安全num

D2.7-AX«aM02.1»-IT«a±tHftD2.11-WMM*

UMIUM

02.12-ITJKaR«ttD11XT安全・拄与D2.1«-ITUH£Ktt011AIT安全•件亶08.14-inMHkM

人安*summit

02.20-imfimM02.21-ITMIM#

金普南UMcmmM丁EM

执行层

0X22-IT««MJtW

17个估EMIM

▼

船体3文件管理类文件技水英文忤

图5-2中国电信集团公司IT安全保障体系规范文档视图

5.3.2中国电信IT安全保障体系规范.管理分册

IT安全保障体系规范管理分册是围绕中国电信IT安全目标和方针，参考国

际信息安全和IT服务最佳实践并结合集团IT建设实际状况，从安全管理角度制

定的文档体系。

管理分册分为“决策层”、“管理层”和“执行层”三个层面，通过明确IT

安全管理策略，制定安全管理规定及相应的安全管理细则、流程文件和操作手册，

增加IT全网安全保护水平，提高IT安全保障能力。

5.3.2.1决策层

在决策层面，通过IT安全管理策略对IT安全方针进一步进行诠释和明确。

安全策略包括以下八个方面：

（1）IT安全组织策略

第16页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

包括构建符合电信公司管理的IT安全保障体系架构，明确IT安全岗位的角

色划分的安全管理策略。

(2)人员信息安全管理策略

包括公司内部人员从入职前到离职后整个过程中的安全管理策略，以及外来

人员的安全管理策略。

(3)IT资产安全管理策略

包括IT资产的识别、分类分级定义以及IT资产处置的安全管理策略。

(4)物理与环境安全管理策略

包括电信机房和办公区等重要场所以及场所外部的物理环境的安全管理策

略。

(5)访问控制管理策略

包括用户对设备、系统和文件等IT网络信息资源以及业务系统之间的访问

控制策略。

(6)IT系统建设管理策略

包括IT系统的建设过程、IT安全产品选型与供应商管理等方面的安全管理

策略。

(7)IT系统运维管理策略

包括IT系统的口常运维工作和运维流程管理方面的安全策略。

(8)法律法规符合性管理策略

包括转化外部法律法规、监管要求、最新安全技术要求为内部实施细则，并

学习、宣贯和检查等方面的安全管理策略。

53.2.2管理层

在管理层面，围绕集团IT安全管理策略，通过具体的各个文件管理制度，

参考国际信息安全管理和信息技术服务最佳实践，明确集团层面对IT安全管理

工作的各项具体要求，以全面覆盖和满足外部法律法规、主管单位、监管机构、

技术发展及相关合同协议的最新IT安全要求。管理层的主要文件管理制度包括:

(1)II安全组织建设管理规定

第17页/共56页

华中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

根据中国电信IT安全策略，构建“决策监督、管理审核、贯彻执行”三个

层次的IT安全保障体系架构，按照“职责分离、权限制衡”的原则将IT安全岗

位的角色划分为“管理、执行、审核”三个类别的安全管理策略，以确保安全组

织正常运行。

(2)人员信息安全管理规定

从信息安全角度对内部人员入职、在职、职位变更和离职管理，以及对外来

人员的安全管理提出管理规定。

(3)IT系统建设安全管理规定

从系统规划与设计、系统开发与测试、系统上线验收、下线销毁、1T安全产

品选型与供应商管理方面阐述安全建设管理规定。

(4)IT系统运维安全管理规定

以风险管理为核心，对IT系统日常运维过程从资产识别、安全巡检、日常

监控、运行维护、应急响应、审计恢复及运维流程和作业指南等方面进行全面要

求。

(5)IT安全检查管理规定

对安全检查提出基本要求，定义IT安全检查方式：日常运维、专项巡检和

安全基线检查，描述各类安全检查内容，对各检查结果进行通报管理。

5.3.23执行层

在执行层面，将管理层面的规定和要求进一步落实为具体的管理细则、操作

流程及指南等，用以指导具体的IT安全操作行为。执行层的文件制度包括：

(1)员工信息安全管理指南

依据中国电信人员IT安全管理策略，从人员入职、人员在职、人员离职及

外来人员等方面提出安全管理指南，主要采用背景调查、安全培训与保密协以、

岗位安全技能培训I、账号与权限的更新和调整、账号停用与权限关闭等管理措施。

(2)第三方IT安全管理指南

根据中国电信各IT系统维护工作的分包实施情况，针对各第三方代维单位

在维护过程的分工和安全职责界定，从第三方可能引入风险识别、合作前的背景

第18页/共56页

华中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

调查和责任说明、合作中的定期服务安全检查和合作终止或变更后的保密措施管

理等提出安全操作指南。

(3)IT文档安全与信息保护管理指南

依据IT资产安全管理策略，对文档进行分类分级保护，从文档制作、发布、

变更以及销毁生命周期过程提供管理指南，并从文档的加密、访问认证、授权及

审计等方面提出技术实现要求。

(4)IT系统上线验收安全管理指南

依据中国电信IT系统建设管理策略，提供IT系统的测试上线、部署安装、

系统运行、系统验收的安全管理指南，同时对独立外购和定制开发的IT系统交

付物清单提H1建议。

(5)IT物理环境安全管理指南

参考工信部及中国电信集团公司相关要求，明确基本物理和机房环境的安全

保障措施，包括机房建设、物理访问控制、环境保护、办公环境等物理安全方面

的指南。

(6)IT系统网络接入管理指南

基于业务和安全需求，制定1T系统的接入安全管理指南，通过明确接入审

批流程和采取有效的安全技术加固手段，控制连人系统的安全保护水平，保护内

部敏感数据信息。

(7)IT终端安全管理指南

依据运维管理策略，从终端的物理安全、安全配置、病毒防护、数据安全、

接入控制等方面提供管理指南，实现各终端的安全管理。

(8)IT账号权限与密码管理指南

从账号创建、密码管理、权限变更和账号注销等方面提供账号权限和密码的

管理指南，落实不同类型的IT账号的安全管理，保障中国电信用户的利益和IT

系统的安全运行。

(9)IT防病毒管理指南

为确保中国电信网络与IT安全，采取积极有效的检测和预防控制措施，制

定防病毒的安全管理职责与规定、操作程序和应急处理流程等管理指南，以减少

恶意软件入侵带来的风险。

(10)IT系统数据备份与恢复安全管理指南

第19页/共56页

华中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

对经安全等级定义的中国电信IT系统数据进行安全保护，从备份策略定义、

备份执行和定期的备份数据恢复测试明确管理流程和操作步骤，确保突发事件发

生后数据的及时恢复。

(11)IT系统安全补丁管理指南

为确保中国电信各IT系统的安全自身保护能力，需要及时各类更新安全补

T,该指南从安全补丁的获取、测试、安装和验证等过程规范管理流程，兼顾了

IT安全补丁安装及时性和系统运行的稳定性。

(12)IT安全事件应急响应管理指南

规范IT安全事件管理流程，提供事件响应与处理、应急预案等具体管理指

南，确保安全事件被及时发现并得到有效处理，最大限度地减少安全事件对中国

电信IT系统运行造成影响的可能性。

(13)IT业务连续性计划作业指南

实施业务连续性管理，从业务风险管理、业务冲击分析、恢复能力分析、业

务连续性计划方面提供业务连续性管理指南，制定并实施业务连续性计划，确保

中国电信业务的连续性得到保障。

(14)IT网络安全域管理指南

对建立起的IT网络安全域进行日常维护和接入、变更管理，对接入系统/设

备进行安全审查，确保安全域的策略与访问控制策略一致，防止无安全保护措施

的系统/设备给网络安全域带来风险。

(15)IT安全风险评估管理指南

定义IT安全风险评估原理、方法、步骤，明确资产梳理、威胁脆弱性评价、

风险接受准则和残余风险处置等要求；在IT系统生命周期各阶段的风险评估重

点。

(16)IT安全监控与预警管理指南

针对IT系统统一监控要求，描述重点监控对象和内容，对监控发现的异常或

预警进行管理，确保在事件发生早期发现并及时印制事态恶化。

(17)IT安全基线达标测评管理指南

从管理与技术层面设定并应用安全基线，通过基线达标测评工作以评促建，

实现对中国电信各省公司安全管理能力的动态管理，该指南沿用集团已发布的

《基线达标考评细则》。

第20页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

5.3.3中国电信IT安全保障体系规范•技术分册

IT安全保障体系规范技术分册是围绕中国电信IT安全目标和方针，遵循国

家和工信部1T系统安全等级保护相关要求，结合1T技术发展现状和中国电信实

际安全需求，从技术保护角度制定的文档体系。

技术分册从“定义层”，“管控层”和“防护层”三个层面，通过定义安全

技术保护要求，确定IT安全集中管控目标，明确安全保护措施，制定通用安全

配置和应用指南等，来提高整个企业的IT全网安全保护能力。

定义层

在技术保护框架的定义层中，明确中国电信的IT安全保护对象等级和等级

化的安全保护目标和要求，对不同安全等级的IT系统采取相应级别的IT安全保

障技术措施和手段，提高安全保护能力。

（DIT安全保护对象等级定义

依据工信部对于电信网和互联网的安全等级划分要求和中国电信各IT系统

的安全保护实际需求，根据安全保护对象遭破坏后对国家安全、社会秩序、经济

运行、公共利益以及中国电信集团的业务运营、经济利益或企业形象的损害程度,

中国电信集团将IT安全保护对象划分为4个安全等级，分别为2.1、2.2、3.1、

3.2级。

中国电信安全IT安全保护对象的安全等级划分具体标准为：

2.1级：IT安全保护对象遭到破坏后，将会对中国电信IT全网IT系统的正

常运行和企业合法权益（业务运营、经济利益、企业形象等）造成一定程度的损

害，但尚未损害国家安全、社会秩序、经济运行和公共利益。

2.2级：IT安全保护对象受到破坏后，将会对中国电信IT全网IT系统的正

常运行和企业合法权益包括（企业形象、经济运行）造成比较严重的损害，但尚

未损害国家安全、社会秩序、经济运行和公共利益。

3.1级：IT安全保护对象遭到破坏后，将会对中国电信的IT系统和企业合法

权益造成很严重的损害，或者对社会秩序、经济运行和公共利益造成较大损害,

或者对国家安全造成轻微损害。

第21页/共56页

々中府电唁

*CHINATELECOM中国电信IT安全保障体系建设总体规范

3・2级：IT安全保护对象遭到破坏后，将会对中国电信的IT系统和企业合法

权益造成特别严重的损害，或者对社会秩序、经济运行和公共利益造成严重损害,

或者对国家安全造成较大损害。

中国电信IT安全保障体系安全等级划分与工信部“电信网和互联网安全等

级”存在着以下对应关系：

表5-2中国电信IT安全保障体系等级定义对应表

中国电信IT安全保障体系安全等级