YD/T 2672-2013 电信运营企业信息安全管理框架

YD/T 2672-2013.Information security management framework for telecommunications organizations. 1范围 YD/T 2672规定了电信运营企业需要满足的信息安全管理准则，从策略管理、风险管理、组织和人员管理、资产管理、系统获取和开发管理、系统运维管理和事件管理7个管理方面给出如何满足准则要求的具体指南。 YD/T 2672适用于电信运营企业。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 ITU-T X.1052信息安全管理框架，Information security management framework 3缩略语 下列缩略语适用于本文件。 ISIRT            Information Security Incident Response Team           信息安全事件响应组 ISMF            Information Security Management Framework           信息安全管理框架 ISMS               Information Security Management System              信息安全管理系统 4信息安全管理框架 电信运营企业在针对具体信息安全风险而实施控制之前，需要确定信息资产范围，并确定企业实施信息安全管理的方针。作为进行实施控制措施的基础，还应建立信息安全组织。电信运营企业的具体风险控制活动，并非孤立于运营之外，而是电信运营企业运营的有机组成部分。如果将电信运营企业的运营概括为一系列流程，那么信息安全风险控制活动则体现为相关流程中的某些环节。电信运营企业需要持续识别运营活动中的信息安全风险，并不断优化电信运营企业的信息安全管理。