ICS33.040.01 CCS M04 YD 中华人民共和国通信行业标准 YD/TXXXX-202X 电信网络运行安全评估导则 Guidelines for the security evaluation of telemunications networkoperation 行业标准信息服务平台 (报批稿) 20xx-xx-xx发布 20xx-xx-xx实施 中华人民共和国工业和信息化部发布
YD/TXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院、华为技术有限公司、腾讯云计算(北京)有限责任公司、中 国联合网络通信有限公司.
本文件主要起草人:罗丹、张治兵、周开波、蒋皓、翁奇、孙大博、倪平、孙大博、陈郁.
行业标准信息服务平台
行业标准信息服务平台
YD/T XXXX-XXXX 目次 前 言 1 范围 2 规范性引用文件.
3 术语和定义 4 电信网络运行安全评估概述 4.1安全评估目的 2 4.2安全评估原则, 安全评估实施流程.
6 安全评估准备, 6.1评估对象识别和确定 6.2组建评估团队. 4 6.3确定电信网络运行安全评估依据 6.4编制电信网络运行安全评估方案 4 6.5电信网络运行安全评估启动, 7 安全评估执行.. 7.1资产识别, 7.2风险识别, 7.3风险分析 7.4风险评价 5 8 形成评估结论, 9 电信网络运行安全评估文档 风险再评估 信息服务平台 10
YD/T XXXX-XXXX 电信网络运行安全评估导则 1范围 本文件规定了电信网络运行安全评估的目的、基本原则和流程.
本文件适用于指导电信网络运营者或第三方机构开展电信网络运行安全评估.
2规范性引用文件 下列文件对于本文件的应用是必不可少的.
其中,凡是注日期的引用文件,仅该日期对应的版本 适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本文件.
GB/T24353-2009风险管理原则与实施指南 GB/T27921-2011风险管理风险评估技术 GB/T23694-2013 风险管理术语(ISO GUIDE73:2009) 3术语和定义 GB/T23694-2013界定的以及下列术语和定义适用于本文件.
3.1 资产asset 对组织具有价值的信息资源,是安全策略保护的对象.
3.2 安全评估security assessment 安全评估对象识别、风险分析和风险评价的全过程.
3.3 风险分析rickanalysis 理解风险的本质和确定风险水平的过程.
3.4 风险评价riskevaluation 将风险分析结果与风险准则进行比较,以确定风险和/或其大小是否可接受或可容忍的过程.
4电信网络运行安全评估概述 4.1安全评估目的 建立电信网络运行安全评估目的主要针对目前电信网络运行中因设计、实现和管理上的缺陷和缺少 必要的安全防护措施而面临各种安全问题和风险等,制定一套相对完整、可实施、指标化的运行安全评 估规范,通过对电信网络运行系统开展安全性评估,帮助电信网络管理者了解电信网络运行可能带来的 安全风险,为其优化电信网络运行设计方案,制定严格的管理制度提供参考依据.
4.2安全评估原则 4.2.1对象清晰原则 电信网络运行安全评估工作应遵循对象清晰原则,明确评估对象范围,确定被评估设施的边界, 2
