关于进一步开展电信网络安全防护工作的实施意见 中华人民共和国信息产业部 各省、自治区、直辖市通信管理局，中国电信集团公司、中国网络通信集团公司、 中国移动通信集团公司、中国联合通信有限公司、中国卫星通信集团公司、中国 铁通集团有限公司，信息产业部电信研究院、国家计算机网络应急技术处理协调 中心： 为进一步贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意 见》（中办发[2003]27号）精神，加快推进电信网络的等级保护、风险评估、灾 难备份等安全防护工作，结合国务院信息化工作办公室、公安部等关于风险评估、 等级保护、灾难备份的有关工作要求，保证电信网络安全防护工作整体、规范、 科学、有序地开展，在总结电信网络安全防护标准化和相关试点工作的基础上， 就电信行业进一步全面开展电信网络安全防护工作，提出以下意见。 一、电信网络安全防护工作的总体思路和基本原则 （一）总体思路 1、电信网络安全防护工作的主要内容 电信网络安全防护工作包括等级保护、风险评估、灾难备份等以事前防护和 准备为主的相关工作内容，总体目标是要从管理和技术等多个方面，落实和改进 与电信网络的重要性及面临的威胁相适应的安全保护措施，以提高电信网络的安 全保护能力和水平，有效减少严重网络安全事件的发生。 等级保护是根据被保护对象一旦遭受破坏后对国家安全、社会秩序、经济建 设、公共利益以及公民、法人和其他组织的合法利益的危害程度大小，确定被保 护对象的安全保护等级，并落实与安全保护等级相适应的基本安全保护措施。风 险评估是通过系统地认识和分析被保护对象的相关资产、存在的脆弱性、面临的 威胁以及已有保护措施的有效性，科学推断出安全事件发生的可能性和可能造成 的危害程度，并提出和落实有针对性的整改措施，将残余风险降低到可以接受的 程度。灾难备份是对重要线路、设备、业务系统和数据等进行冗余备份，保证当 主用线路、设备、业务系统和数据发生故障或遭到破坏后，有条件迅速切换使用 相应的备用资源，提高网络和业务的抗毁性和可持续服务能力。 2、将等级保护、风险评估、灾难备份等有机结合 等级保护、风险评估、灾难备份等工作相互之间密切相关、互相渗透、互为 补充。电信网络安全防护应将等级保护、风险评估、灾难备份等工作有机结合， 加强相关工作之间的整合和衔接，保证电信网络安全防护工作的整体性、统一性 和协调性。电信网络安全防护工作应按照根据被保护对象的重要性进行分等级保 护的思想，通过风险评估的方法正确认识被保护对象存在的脆弱性和面临的威 胁，进而制定、落实和改进与安全保护等级和风险大小相适应的一系列管理、技 术、灾难备份等安全保护措施，最终达到提高电信网络安全保护能力和水平的目 的。 在开展等级保护工作时，要充分应用风险评估的方法，认识、分析不同类型 的网络和业务存在的脆弱性和面临的威胁，进而制定和落实与被保护对象的类 型、脆弱性和威胁相适应的基本安全保护措施要求，提高等级保护工作的针对性 和适用性。在开展风险评估工作时，在分析被保护对象综合风险和制定改进方案 的过程中，要始终与被保护对象的安全保护等级相结合，合理确定被评估对象的 可接受风险和制定确实必要的整改措施，避免无限度的改进提高。在开展灾难备 份工作时，要结合被备份对象的安全保护等级和面临的威胁，制定相适应的备份 措施，并将有关备份的要求体现在等级保护相关标准的措施要求中进行落实。 3、运营单位自主防护与行业主管部门监督检查相结合 按照“谁主管、谁负责，谁运营、谁负责”的原则，电信网络安全防护工作 实行电信运营企业自主防护与电信行业主管部门监督检查相结合的工作机制。电 信运营企业应当按照电信监管部门的要求，结合企业自身实际情况，认真贯彻落 实电信网络安全防护的相关规定和标准，并接受电信监管部门的监督检查。电信 监管部门负责组织制定和推广科学、有效、适用的电信网络安全防护实施方法和 保护措施，指导电信业务经营者规范开展电信网络安全防护工作，并监督检查电 信网络安全防护工作的落实情况，不断健全科学、规范、有效的电信网络安全防 护管理体系。 （二）基本原则 电信网络安全防护工作应遵循以下基本原则： 1、整体性原则。电信网络由各种设备、线路和相应的支撑、管理单元互联 组成，具有全程全网的特点，对电信网络某一部分的调整或改动（包括实施各项 保护措施），可能影响整个电信网络的安全可靠运行。因此，电信网络安全防护 工作应坚持对整个网络统筹兼顾，由信息产业部会同各电信运营企业集团公司， 结合电信网络的实际特点统一研究和组织部署。 2、规范性原则。电信网络种类繁多、结构复杂，安全防护工作涵盖线路、 设备、网络、业务系统等多种对象，涉及管理、技术等多个方面，包括安全评测、 风险评估等多项环节，是一项复杂的系统工程。为保证电信网络安全