YD_T 2672-2013电信运营企业信息安全管理框架.pdf

ICS 33.040M 16YD中华人民共和国通信行业标准YD/T 2672-2013电信运营企业信息安全管理框架Informationsecuritymanagementframeworkfortelecommunicationsorganizations2013-10-17发布2014-01-01实施中华人民共和国工业和信息化部发布 YD/T次前1范国2规范性引用文件3缩略语·信息安全管理框架5策略管理.5.1策略管理的主要内容5.2策略管理的主要活动.6风险管理..6.1风险管理的主要内容6.2风险管理的主要活动..7组织人员管理7.1组织人员管理的主要内容7.2组织人员管理的主要活动8.1资产管理的主要内容.8.2资产管理的主要活动9系统获取与开发管理9.1系统获取与开发管理的主要内容*9.2系统获取与开发管理的主要活动.10运维管理.10.1运维管理的主要内容10.2运维管理的主要活动*11事件管理..11.1事件管理的主要内容1011.2事件管理的主要活动-10 YD/T2672-20139.2系统获取与开发管理的主要活动系统获取与开发管现主要由系统规划、系统开发以及建设等几个阶段组成。各阶段需要落实信息系统的安全要求分析和说明，输出数据验证，系统规划与验收的容量管理与系统验收，开发与支持过程中的安全中的变更控制程序、操作系统变更后应用的技术评审、软件包变更的限制与信息溃露，密码控制中的使用密码控制的措施、密钥管理等的控制目标与内容，具体活动描述如下：1）系绕规划主要包括以下环节：a）确定系统安全目标：根据电信运营企业制定的安全策略、风险评估结果以及系绕承裁的业务特点，制定系统的安全目标。b）确定系统安全需求：以系统的安全目标为指导，依据业务决定系统安全酱求，包括基于行业法规和企业策路的安全需求以及其他业务特定的安全雷求。c）编写系统安全规范：根据系统的安全需求和风险评估报告，编写系统安全规范方案。d）审核系统安全规范：对系绕安全规划方案进行审核。将审核通过的安全规划方案反馈给相关人员，并转到系续开发流程与安全工程建设流程，对于未通过审核的安全规划方案将重新进入编写阶段。2）系统开发主要包括以下环节：a）编写安全开发规范：电信运营企业需要建立指导其信息系统开发的安全规范。电信运营企业的信息系绕开发存在内部人员自主开发、外包开发以及直接购买等多种方式。规范应针对各种开发方式明确不同程度的具体要求，以保证正确实现系统安全规范的控制措施，防范在开发过程中留下有意或无意的弱点。安全开发规范要通过电信运营企业安全管理层的审批。b）实施安全开发规范：根据信息系统的开发方式，安全开发规范的具体要求应明确到企业内部的开发制度或企业和第三方签订的开发合同之中，以保证要求的落实。在实施开发过程中，根据开发规范中的各控制项对系统开发过程的各环节进行测试，并验证达到要求的安全目标。c）安全审核：在完成开发活动后，电信运营企业应指定独立于开发人员的安全审计人员对开发的系统进行安全审核，以确保系统达到系统安全规范中的要求，并检查确认系统开发过程中开发活动的合规。3）系统建设主要包括以下环节：a）编写系续安全建设方案：电信运营企业需要建立指导其信息系统建设的安全规范，安全规范指导电信运营企业系统制定具体的安全建设方案，系统安全建设方案还需要依据系统安全规划、系统建设合同、系统敏感程度、系统接入信息以及工程实施过程中注愈事项等，并要通过电信运营企业安全管理层的审批。b）实施工程：依据系统实施期间安全管理办法，工程建设部门按照安全技术实施方案完成项目的安全功能落实建设，在工程实施过程中，按照工程安全管理办法实施工程，确保工程达到系统安全建设方案的要求。c）验收工程：在施工结束后根据合同规定的安全技术规范书和功能验收单进行逐项验证审核，判断验收是否通过。验收未通过，重新进行工程施工，直至符合验收标准。10运维管理10.1运维管理的主要内容运维管理是指信息系统经过授权投入运行之后，确保信息系统在运行过程中、以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性的过程。7 YD/T维管理及系统的日常运行过程中的各项工作，主要包括安全预警、安全变更、安全配置等活动。安全预警是指接收相关预警信息，并发布及处理的过程：安全变更是指对电信运营企业信息系统涉及安全相关的变更的管理，包括变更实施方案、测试验证及方案执行反馈等的统一管理；安全配置是指对信息系绕涉及安全的配置的管理，包括维护信息系统配置要求，掌握实际配置情况等活动。10.2运维管理的主要活动运维管理主要由预警管理、安全配置管理、补丁管理、安全变更管理、网络互联管理、运程接入管理、防病毒管理等内容。各项的目标与活动描述如下：1）预警管理需要落信息安全事件