风险评估和灾难恢复v4.pdf

通信网络安全防护标准 目录及大纲要求  标准文件  1、YD/T 1728-2008 《电信网和互联网安全防护管理 指南》  主要考察安全防护定义、目标、基本原则、体系及各部分工 作内容等内容  2、YD/T 1730-2008 《电信网和互联网安全风险评估 实施指南》  主要考察安全风险评估要素及关系、工作形式、遵循原则、 实施流程、在不同生命周期中的要求和实施要点等内容  3、YD/T 1731-2008 《电信网和互联网灾难备份及恢复 实施指南》  主要考察灾难备份等级划分、灾难备份原则、灾难备份资源 要素、实施过程、灾难恢复预案要求等内容 2 YD/T 1728-2008 《电信网和互联网安全防护管理 指南》 3 《安全防护管理指南》  《电信网和互联网安全防护管理指南》 – 对象：电信网和互联网 – 任务：安全防护 – 指南内容：（3方面）  描述和规范 安全防护的定义、目标、原则  说明 电信网和互联网安全防护体系  说明 防护体系三部分工作及其关系 – 大纲要求：考察安全防护定义、目标、基本原则、体 系及各部分工作内容等内容 4 安全防护体系定义  电信网和互联网安全防护体系 （Security Protection Architecture of Telecom Network and Intemet） 5 安全防护工作的目标  目标： – 加强电信网和互联网的安全防护能力 – 确保网络的安全性和可靠性 – 尽可能实现对电信网和互联网安全状况的实时掌控 – 保证电信网和互联网能够完成其使命 6 防护工作六大原则  适度安全原则 ——平衡效益与成本  标准性原则  可控性原则 – 人员可控性 – 工具可控性 – 项目过程可控性  完备性原则  最小影响原则  保密性原则 7 安全防护体系  防护范畴： – 基础电信运营企业运营的传输、承载各类电信业务的 公共电信网（含公共互联网）及其组成部分，支撑和 管理公共龟信网及电信业务的业务单元和控制单元； – 企业办公系统（含文件管理系统、员工邮件系统、决 策支持系统、人事管理系统等）、客服呼叫中心、企 业门户网站等非核心生产单元； – 经营性互联网信息服务单位、移动信息服务单位、互 联网接入服务单位、互联网数据中心、互联网域名服 务机构等单位运营的网络或信息系统。 8 安全防护体系  根据安全防护范畴，建立的安全防护体系， 整个体系分为三层： – 第一层 总体指导性规范，明确了对电信网和互联网安 全防护的定义、目标、原则，并说明了安全防护体系