注册

国家标准计划《信息安全技术 关键信息基础设施安全控制要求》由 TC260(全国信息安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会

主要起草单位 中国信息安全研究院有限公司中国电子技术标准化研究院国家工业信息安全发展研究中心中国信息安全测评中心国家信息技术安全研究中心公安部三所中国科学院软件研究所

目录

基础信息

计划号
20173588-T-469
制修订
制订
项目周期
24个月
下达日期
2018-01-09
申报日期
2017-07-26
公示开始日期
2017-10-19
公示截止日期
2017-11-02
标准类别
安全
国际标准分类号
35.040
35 信息技术、办公机械
35.040 字符集和信息编码
归口单位
全国信息安全标准化技术委员会
执行单位
全国信息安全标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

目的意义

当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网络安全防控能力薄弱,难以有效应对网络攻击。

在今年6月正式实施的《网络安全法》中,明确规定要对关键信息基础设施进行重点保护,并设专章“关键信息基础设施的运行安全”做出要求;《国家网络空间安全战略》提出建立关键信息基础设施安全保护制度;中央网信办会同相关部门起草了《关键信息基础设施安全保护条例(征求意见稿)》,目前正在公开征求意见;《2017年网络安全国家标准项目申报指南》将关键信息基础设施安全控制要求列入重点类项目。

本标准深入研究了上述法律法规和文件提出的要求,将其具体转化为技术标准要求,规定了关键信息基础设施运营者应满足的安全控制要求,将为关键信息基础设施保护工作的部门指导和监督关键信息基础设施运行安全保护工作提供技术参考,也可供关键信息基础设施运行安全保护工作的其他参与方参考,对提高我国关键信息基础设施安全保障水平具有十分重要的意义。

范围和主要技术内容

本标准规定了关键信息基础设施运营者在风险识别、安全防护、检测评估、监测预警、应急处置等环节应满足的安全控制要求,包括针对风险识别、安全防护、检测评估、监测预警、应急处置等五个环节,本标准从资产识别、运营环境、风险管理、系统开发与供应链安全、系统与通信保护、访问控制、数据保护、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境保护等安全控制类。本标准适用于关键信息基础设施的规划设计、开发建设、运行维护、退出废弃等阶段。