国家标准计划《信息安全技术 关键信息基础设施边界确定方法》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会。
主要起草单位 国家信息技术安全研究中心 、国家能源局信息中心 、交通运输信息安全中心有限公司等 。
35 信息技术、办公机械 |
《关键信息基础设施安全保护条例》规定,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》提出了可能存在关键信息基础设施的行业和领域,行业主管部门认定了关键信息基础设施的运营者,但运营者的哪些网络设施、信息系统属于关键信息基础设施亟待出台标准进行规范,这对明确保护对象、确定保护范围、实施重点保护具有重要意义,也是开展网络安全审查、实施安全监测、制定应急备份等工作的依据。
本标准提出了关键信息基础设施边界识别方法、原则和流程,适用于关键信息基础设施运营者识别关键信息基础设施相关资产,也可供国家监管部门、保护工作部门开展安全保护、检查评估的参考。: 主要技术内容: 1)提出关键信息基础设施边界识别模型 从关键信息基础设施的形态本质与结构组成,受到攻击后的表现形式,对关键核心业务的支撑模式三个维度出发,提出关键信息基础设施边界识别模型。 2)提出关键信息基础设施边界识别流程 从关键业务基础情况梳理、关键业务信息化情况梳理、关键业务信息(CBI)梳理、关键业务信息流(CBIF)梳理、关键信息基础设施边界确定五个步骤,详细给出了关键信息基础设施边界识别流程。 3)提出关键信息基础设施边界识别原则 从业务安全原则、整体性原则、信息化原则、动态性原则、重点性原则五个方面,提出关键信息基础设施边界识别原则。 4)给出关键信息基础设施边界信息记录模板 从关键信息基础设施保护和向行业主管部门信息报备的角度 ,给出关键信息基础设施边界信息记录模板。