中国电信的IT安全保障体系建设是一项旨在应对日益严峻网络安全挑战的重要举措。该体系的核心目标是构建一个全面、系统、高效的IT安全管理体系,以确保国家经济、政治等领域的信息安全。以下是该体系的主要组成部分:
1. **IT安全策略建设**:
- 遵循集团的总体策略,各省公司需根据自身情况制定细化的安全管理制度,并制定执行层作业实施指南,确保每个环节都能满足安全标准。
2. **安全运维流程建设**:
- 集团启动了ITSM(信息技术服务管理)安全流程固化项目,将系统上线验收、网络接入、安全事件处置、补丁管理、数据恢复和权限管理等流程整合,实现流程与业务流程的协同运作。
3. **安全风险管理**:
- 各省公司需建立长期的风险管理机制,定期进行安全评估和风险处置,确保IT基础设施的安全稳定。
4. **IT系统应急体系**:
- 建立安全应急机制,包括应急预案的制定、应急演练和培训,以便在面对突发安全事件时能迅速响应和处理。
5. **网络安全域改造**:
- 该体系首先由集团负责分析网络安全域改造的可行性,重点关注网络性能、业务影响和成本效益。然后,通过实施阶段,将重点放在省级DCN网络的互联网出口改造,如MSS、BSS、OSS和EDA系统的安全子域划分。
6. **技术体系**:
- 着眼于技术层面,集团将推荐安全保护设备的选择,引导各省实施网络改造,同时选择部分省份作为试点,以验证和优化改造方案。
7. **体系建设的目标**:
- 规范遵循“管理和技术并重,预防为主,注重长效”的原则,旨在用2-3年时间建立起一个完善的IT安全保障体系,提升风险识别、威胁主动防御和事件响应处理的能力,确保全业务的安全运营。
这个总体规范不仅明确了中国电信IT安全保障工作的方向,还提供了实施步骤和框架,对于保障企业内部的信息安全具有关键作用。它适应了国家对网络安全的重视,以及中国电信在全业务运营和IT系统集中化背景下对安全工作提出的更高要求。