中国电信信息〔2013〕4号

一、将存储和处理用户信息和企业经营敏感数据的IT系统列 为重点对象。对照附件一《加强IT系统信息专项安全保护工作要 求》，做好信息敏感度分级分类管理、帐号与权限管理、第三方 管理、信息存储与备份管理，规范数据操作与统一提供；进一步 提高网络、准入、边界、审计等安全防护能力；积极做好移动智 能终端信息安全保护。
二、完善 IT 系统安全运营保障工作机制，组建 IT 安全检测 与防护团队，加强 IT 系统的风险预警、风险识别监测、风险评 估和加固、配置合规性检查、系统上线前检查、应急响应等工作， 保障全网 IT 系统可持续运行与信息安全。
三、完善 IT 安全事件管理流程，根据《IT 安全保障体系建 设规范》IT 安全事件管理指南要求，完善 IT 安全事件分级、处 置、应急预案以及事件总结备案等事件管理流程。严格执行 IT 安全事件上报要求，按保障体系建设规范要求报告集团公司，重 大事件和特别重大事件发生后，在 30 分钟内上报。上报内容包 括《IT 安全事件报告》和《安全事件处置总结报告》。具体参考 附件二：《IT 安全事件分类与上报报告表格》
一、明确重点保护范围，做好信息敏感度分级分类管理。 1．将存储和处理用户信息或企业经营敏感数据的IT系统（以 下简称“相关系统”）列为重点保护对象，特别是CRM、计费、网 厅、EDA、财务、人力等系统。 2．在2012年用户信息分类分级基础上优化用户信息敏感度 和经营敏感数据分类分级管理（具体参考集团用户信息安全管理 办法），根据敏感度分级分类细化岗位角色与权限匹配，制定岗 位角色和权限对应的矩阵列表,在相关系统中固化岗位角色与权 限。 3．涉及国秘、军秘做到“涉密不上网，上网不涉密”，IT 系统和上网终端不得存储涉密资料。 二、严格帐号与权限管理，规范数据操作与统一提供。 1．定期对帐号使用情况、权限、口令等进行检查稽核，确 认帐号、权限的有效性，梳理管理账号、权限，清除或禁用长期 未使用账号和缺省账号。 2．业务人员因业务受理、投诉处理需要查询或获取用户信 息时，应通过授权和身份鉴权。 3．涉及对敏感数据的批量操作，需要在指定地点、指定设 备上进行操作，相关设备必须进行严格管控，对于该设备的打印、 拷贝、邮件、文档共享、通讯工具等均需进行严格管控。
—6—
台权限控制、UIM卡绑定认证等方式加强智能终端接入管理；数 据传输链路采用加密的方式；
3．企业重要数据不得存储在移动办公终端之中，有条件可 对重要岗位移动终端开启远程销毁功能。
—7—
Hale Waihona Puke Baidu
附件2
IT安全事件分类分级与报告表格
根据中国电信IT安全保障体系规范V2.0-管理分册-IT安全 事件管理指南_V1.0.doc IT安全事件 分类分级如下：
一、IT安全事件分类： 保障体系规范中的分类： 网络中断；业务应用系统服务中断；业务应用系统数据丢失， 或遭恶意篡改；支撑 IT 网络和业务应用系统的 IT 设备软硬件故 障；信息发布和服务网站遭受攻击和破坏，页面信息遭受篡改； 大面积病毒、蠕虫、木马等恶意程序爆发；敏感信息通过 IT 网 络或系统泄露；大面积有害信息内容通过 IT 网络或系统传播； 机房电源、空调等物理环境设备故障；其他 IT 网络或系统事故 或灾难紧急事件。 二、IT安全事件分级： 保障体系规范中定义四级：特别重大事件（Ⅰ级）;重大事 件（Ⅱ级）;较大事件（Ⅲ级）;一般事件（Ⅳ级） 三、IT安全事件响应： 1．发生特别重大或重大 IT 安全事件须在 10 分钟内向本单 位 IT 安全领导小组报告，响应执行每天两次定点零报告制度。 2．发生较大、一般 IT 安全事件和预警事件须在 30 分钟内 向安全管理员报告，响应执行每天定点零报告制度。
7．公检法等司法机关为满足司法取证等需要而查询用户信 息时，应提交正式介绍信并进行留存，由相关主管领导批准后， 方可提交系统运维查询取数。
三、严 格 第 三 方 公 司 、 系 统 、 人 员 管 理 1．与第三方公司应签订保密协议和安全承诺书，明确第三 方公司保密责任与违约罚则。 2．第三方系统接入访问中国电信的系统时应申请备案，第 三方系统不能保存用户敏感资料，若确实需要，则应经业务主管 部门审批；第三方系统退出服务时，业务主管部门应及时通知支 撑部门关闭相应接口；定期对第三方系统进行安全检查，督促整 改。 3．对第三方人员（开发和运维）实施工作区域划分，加强 第三方人员办公设备的接入管理；对第三方帐号申请、回收、授 权、有效期等环节进行严格管理，严格执行账号与系统权限审批 流程；第三方人员转岗或离岗前，及时做好帐号回收、审计稽核、 网络调整等工作。 四、加强信息存储与备份管理 1．相关系统信息存储介质（磁阵、硬盘和磁带等）的维护、
四、加强全网 IT 安全风险与漏洞信息共享，各省公司在 IT 安全运营与检测过程中发现可疑入侵、风险隐患与重大漏洞，要 及时报告集团公司，以便达到及时共享，及时排查全网 IT 隐患 的效果。
各单位要高度重视IT系统信息安全保护工作，积极宣传教 育，提高员工安全意识，结合自身实际，集中精力开展IT系统信 息安全保护工作。指定专人负责，对照附件一要求组织一次安全 隐患排查与整改，梳理违规行为，及时整改消除隐患，并形成相 应记录于4月30日前通过邮件报集团公司IT安全工作小组。
—4—
4．系统开发与测试需测试数据应避免使用用户真实数据， 测试数据如果确实需要选择真实数据，使用前要做脱敏处理，应 限定测试的人员，并在测试完成后全部删除。
5．运维、开发人员因统计取数、批量业务操作必须提交操 作申请，按照要求进行操作，不得扩大操作范围。
6．数据管理人员统一归口、一点对外提供，严禁不经审批 擅自提供数据的行为。
联系人： 华汪明 01058501467 18910119008 ， huawm@chinatelecom.com.cn
附件：1. 加强IT系统信息专项安全保护工作要求
—2—
2. IT安全事件分类分级与报告表格 中国电信信息化部 2013 年 3 月 28 日
—3—
附件1
加强IT系统信息专项安全保护工作要求
—8—
表一：中国电信 IT 安全事件报告
报告时间： 单位名称 联系电话 传真
影响网络、 信息系统名
称与用途
负责部门
年月日时分
报告人 通讯地址 电子邮件
负责人
重大信息 安全事件 简要描述
初步判定事 故原因
已采取应对 措施及效果
事件发展趋 势
本次重大信 息安全事件 的初步影响 状况
事件后果 影响范围
严重程度 联系方式：值班电话：
中国电信信息〔2013〕4 号
关于加强 IT 系统信息安全保护工作的通知
集团公司各省级分公司，集团公司各专业公司，股份公司并转各 省级分公司，股份公司各专业公司，国际公司，各研究院：
2012年12月28日，十一届全国人大常委会第三十次会议审议 通过了《关于加强网络信息保护的决定》，从法律上要求重点加 强网络信息保护工作。近期集团公司已部署网络信息保护相关工 作，为落实相关要求，加强中国电信全网IT系统信息安全保护， 请各单位根据《中国电信用户信息安全管理办法》、《中国电信IT 安全保障体系建设规范V2.0》等管理规定，从完善IT系统信息安 全管理措施、规范操作和使用流程、提升安全防护技术手段三个 方面防范IT系统上数据与信息的泄露，保护信息的完整性和保密 性。具体通知如下：
□业务中断 □系统破坏 □数据丢失 □其他
□ 台主机 □整个业务系统 □整个区域网络 □ 整个业务网络 □其他
□较大事件 □重大事件 □特别重大事件
传真：
邮件地址：
—9—
表二：中国电信 IT 安全事件处置总结报告
报告时间： 主题 呈报 抄送
年月日时分
报告单位
一、事件发生时间、现象、影响及恢复总结： 事件发生时
间
事件现象
报告时间 事件级别
事件恢复
事件影响
二、事件处理过程： 1、 事件恢复前处理 2、恢复确认： 3、事件恢复后数据处理： 4、事件升级与汇告： 5、事件事后的性能分析： 三、事件原因分析：
四、改善和改进工作：
报告人：
— 10 —
联系电话：
电子邮件
—5—
更换、升级和报废等操作，必须有严格的管理制度和完备操作记 录，同时应记录移动介质输出用户信息和文件的详细信息，并定 期审计。
2．梳理数据备份计划和备份策略，在备份策略中说明备份 方法, 备份频率, 以及备份数据保存时间等内容。能够及时正确 对备份异常（失败、受损）进行告警。
3．周期性对数据备份进行恢复性测试并记录测试结果。 4．数据备份介质至少每月执行一次异地存放，并保持一定 的物理距离，本地备份介质和异地备份介质保存在专用库房或保 管箱中。 五、进一步提高网络、准入、边界、审计等安全防护能力。 1．对现有网络出口设备的端口、服务配置及安全边界策略 进行审阅，及时调整加固网络边界防护，全面开启网络安全设备 并达到有效使用状况；定期对网络和安全设备进行安全检查，及 时修补漏洞，杜绝弱口令。 2．梳理 WIFI 网络访问策略，禁止外部终端通过无线网络接 入内部系统。 3．部署相关系统主机访问与数据库操作审计，做到可查、 可控、可追溯，禁止非授权访问和权限滥用行为。 4．重点对网厅、电子渠道等互联网开放系统的进行安全漏 洞检查，及时修补 SQL 注入、跨站脚本、暴力破解等漏洞。 六、积极探索移动智能终端信息安全保护。 1．落实移动办公终端（笔记本电脑、手机、平板等）的入 网、信息访问以及数据传输、存储管理； 2．执行接入审核流程，细化访问策略与访问资源，通过后