信息安全技術 關鍵信息基礎設施安全保護要求-編制說明

國家標準征求意見稿資料一、工作簡況1.1任務來源根據(jù)國家標準化管理委員會2017年下達的國家標準制修訂計劃：《信息安全技術關鍵信息基礎設施網(wǎng)絡安全基本要求》，該標準北京賽西科技發(fā)展有限責任公司負責承辦，計劃號：20173585-T-469。該標準由全國信息安全標準化技術委員會歸口管理。1.2主要起草單位和工作組成員北京賽西科技發(fā)展有限責任公司主要負責起草，協(xié)作起草單位為中國電子技術標準化研究院、中國信息安全認證中心、中國信息安全測評中心、國家信息技術安全研究中心、國家工業(yè)信息安全發(fā)展研究中心、國家互聯(lián)網(wǎng)應急中心等。1.3主要工作過程標準制定的主要工作過程如下：1）成立編制組，形成標準申報材料2016年12月，全國信安標委秘書處聯(lián)合WG7召開關鍵信息基礎設施安全研討會，邀請專家研討《關鍵信息基礎設施網(wǎng)絡安全框架》標準，并討論關鍵信息基礎設施安全保護現(xiàn)狀；2017年1月，全國信安標委秘書處聯(lián)合WG7召開研討會，研討關鍵信息基礎設施安全保護標準化需求；2017年2月，中國電子技術標準化研究院內(nèi)部討論標準框架。2017年2月，中國電子技術標準化研究院組建標準編制組，形成標準編制思路和提綱，并與中央網(wǎng)信辦溝通；2017年2月14日，中國電子技術標準化研究院邀請阿里、百度、騰訊、金融公司、電力公司等相關企業(yè)以及科研機構討論提綱；2017年2月-3月，編制組內(nèi)部開展3次討論修改，形成標準草案；，并提交全國信安標委申報立項。2）形成標準草案2017年3月，標準草案征詢中央網(wǎng)信辦意見。2017年4月，中國電子技術標準化研究院邀請金融、能源、電力等行業(yè)相關企業(yè)以及相關測評機構討論標準草案；2017年4月，信安標委正式立項《關鍵信息基礎設施網(wǎng)絡安全保護基本要求》國家標準；2017年5-7月，編制組對《關鍵信息基礎設施網(wǎng)絡安全保護基本要求》進行修改完善，擬將標準題目修改為《關鍵信息基礎設施網(wǎng)絡安全保護基本要求》，制定普適性的保護要求，為各行業(yè)結合自身特點制定本行業(yè)的標準規(guī)范提供基礎和依據(jù)。2017年7月，信安標委WG7會議審議，征求到10條專家意見，并逐一修改完善。2017年8-9月，編制組召開兩次組內(nèi)封閉會議，對標準進行集中修改，形成此版本。2017年10月，信安標委WG7會議審議，征集到23條專家意見，根據(jù)情況逐一修改完善。本次會議周，WG7形成推進到標準征求意見稿的會議決議。3）形成標準征求意見稿2017年10月會議周后，標準編制組根據(jù)會議周專家意見形成標準征求意見稿第一版。2017年12月，全國信安標委秘書處組織專家對征求意見稿審查，與會專家進一步提出了一件，編制組修改完善后形成征求意見稿第二版。二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題本標準在編制過程中遵循了先進性和合理性原則。先進性原則體現(xiàn)在與國際同步。本標準在制定過程中主要參考了國外相關標準，并與國外標準的演進保持同步，本標準主要參考了NIST的《改善關鍵基礎設施網(wǎng)絡安全的框架》、ENISA的《數(shù)字服務提供商實施最低安全控制措施技術指南》和法國的《關鍵運營者強制性安全規(guī)則的通用措施集》。合理性原則體現(xiàn)在與國內(nèi)實際情況相結合。落實《中華人民共和國網(wǎng)絡安全法》關于保護關鍵信息基礎設施的運行安全的要求，在國家等級保護制度基礎上，充分借鑒我國相關部門在重要領域網(wǎng)絡安全審查、網(wǎng)絡安全檢查等重點工作的成熟經(jīng)驗，充分吸納國際社會在關鍵基礎設施安全保護方面的成功舉措，在等級保護基礎上，從識別認定、安全防護、檢測評估、監(jiān)測預警、應急處置等環(huán)節(jié)，提出關鍵信息基礎設施保護要求，采取一切必要措施保護關鍵信息基礎設施及其重要數(shù)據(jù)不受攻擊破壞，切實加強關鍵信息基礎設施安全防護。隨著信息技術的迅猛發(fā)展，金融、能源、交通等重要領域的系統(tǒng)、設備以及服務越來越多的采用聯(lián)網(wǎng)的方式運行或通過互聯(lián)網(wǎng)提供服務，這些重要領域的系統(tǒng)為社會生產(chǎn)和居民生活提供基礎公共服務，用于保證國家或地區(qū)社會經(jīng)濟活動正常進行的公共服務，且承載著大量的國家基礎數(shù)據(jù)、重要政務數(shù)據(jù)及公民個人信息，是網(wǎng)絡空間安全的命脈所在，一旦遭到破壞，會對國家安全、經(jīng)濟穩(wěn)定和公眾安全產(chǎn)生嚴重影響。近年來，國際上針對他國關鍵信息基礎設施的安全攻擊日趨激烈，給國家的關鍵信息基礎設施安全甚至國家安全造成重大威脅，保護本國關鍵信息基礎設施安全已經(jīng)成國際社會關注的焦點，也成為各國維護國家網(wǎng)絡安全的首要任務。三、主要試驗[或驗證]情況分析標準編制組在編制過程中，廣泛聽取金融、電信、能源等領域?qū)＜液推髽I(yè)的意見。四、知識產(chǎn)權情況說明本標準不涉及專利。五、產(chǎn)業(yè)化情況、推廣應用論證和預期達到的經(jīng)濟效果無。六、采用國際標準和國外先進標準情況本標準主要參考了NIST的《改善關鍵基礎設施網(wǎng)絡安全的框架》、ENISA的《數(shù)字服務提供商實施最低安全控制措施技術指南》和法國的《關鍵運營者強制性安全規(guī)則的通用措施集》。七、與現(xiàn)行相關法律、法規(guī)、規(guī)章及相關標準的協(xié)調(diào)性本標準為落實《中華人民共和國網(wǎng)絡安全法》關于保護關鍵信息基礎設施的運行安全的要求，落實《關鍵信息基礎設施安全保護條例》等的相關要求，本標準符合現(xiàn)有法律法規(guī)的要求。與相關標準的關系：《關鍵信息基礎設施網(wǎng)絡安全框架》作為基礎標準，闡明構成框架的基本要素及其關系，統(tǒng)一通用術語和定義；本標準作為基線類標準，對關鍵信息基礎設施運營者開展網(wǎng)絡安全保護工作提出最低要求；《關鍵信息基礎設施安全控制措施》作為實施類標準，根據(jù)基本要求提出相應的控制措施；《關鍵信息基礎設施安全檢查評估指南》作為測評類標準，依據(jù)基本要求明確關鍵信息基礎設施檢查評估的目的、流程、內(nèi)容和結果；《關鍵信息基礎設施安全保障指標體系》作為測評類標準，依據(jù)檢查評估結果、日常安全檢測等情況對關鍵信息基礎設施安全保障狀況進行定量評價。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標準性質(zhì)的建議根據(jù)本標準的性質(zhì)，建議本標準為強制性標準。十、貫徹標準的要求和措施建議本標準規(guī)定了關鍵信息基礎設施網(wǎng)絡安全保護在識別認定、安全防護、檢測評估、監(jiān)測預警、應急處置等環(huán)節(jié)的基本要求，適用于關鍵信息基礎設施的規(guī)劃設計、開發(fā)建設、運行維護、退出廢棄等階段。標準針對關鍵信息基礎設施運營者，因此，本標準貫徹實施時，應加強宣貫培訓。十一、替代或廢止現(xiàn)行相關標準的建議無。十二、其它應予說明的事項無。國家標準《信息安全技術關鍵信息基礎設施網(wǎng)絡安全基本要求》（征求意見稿）編制說明國家標準《信息安全技術關鍵信息基礎設施