《网络安全技术 关键信息基础设施安全保护能力指标体系编制说明.docx》由会员分享,可在线阅读,更多相关《网络安全技术 关键信息基础设施安全保护能力指标体系编制说明.docx(6页珍藏版)》请在课桌文档上搜索。
1、国家标准网络安全技术关键信息基础设施安全保护能力指标体系(征求意见稿)编制说明一、工作倚况1.1 任务来源根据国家标准化管理委员会2021年下达的国家标准制修订计划,&信息安全技术关钺信息基础设施安全防护能力评价方法,该标准由中国交通通信信息中心和中国电子技术标准化研究院负贵承办,国标计划号:20210984-TT690后经研究,标准名称调整为反网络安全技术关键信息基础设施安全保护指标体系讥由全国网络安全标准化技术委员会归口管理。1.2 制定背景随着网络和信息化的快速发展,关键信息基础设施已成为各国的重要战略资源,对关键信息基础设施发动网络攻击成为敌对势力蓄意破坏国家安全和社会稳定的首选目标。
2、为保障国家安全和社会稳定,美国、欧盟等都制定出台了大量美键信息基础设施安全法律,法规和标准,加强对本国关键信息基珈设施的安全管理。党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,总书记在“419讲话中强调要加快构建关键信息基础设施安全保障体系,2016年以来,我国先后发布了6中华人民共和国网络安全法B和关键信息基础设施安全保护条例等法律法规政策文件,明确了关键信息基础设施的范围、职先分工以及保障关键信息基珈设施安全的技术和管理要求,推动J我国关键信息基础设施安全保障体系的建设。为贯彻总体国家安全观,全面落实国家关基相关法律法规要求,针对如何确保关基在遭受网络攻击、自然灾害与网络
3、战的运行安全与数据安全、不同行业关基保护差异性、科学合理的持续评估等突出问题,开展关健信息基础设施安全防护能力评价方法标准研制,进步明确关基运营者安全保护能力目标,构建科学的关基运营者安全保护能力评估模型和指标体系,支掾关键信息基础设施安全保护条例中第十五条提出的运营者网络安全防护能力建设,并为6网络安全法中笫三十九条和条例中第二十六条、第十五条等相关法律法规中关于对关键信息基础设施的抽查检测、检查检测以及网络安全监测、检测和风险评估等活动提供指导。1.3 起草过程1.3.1 标准启动阶段2019年8月,接到全国信息安全标准化技术委员会关于标准制定任务之后,课题组负责人随即召集标准编制组的相关
4、成员开会,具体讨论和分配r小组的任务、制定的重要事项、及需注意的事项。1.3.2 标准草案阶段2019年8月至9月,标准编制组开展关钺信息基础设施安全防护能力评价方法的研究。标准编制组分析梳理了国内外关键信息基础设施安全标准化情况,对美国的C2M2模型及指标、美国NlST的评估指标、CSA云评估,以及数据安全能力成熟度评估、系统安全工程能力成熟度等相关材料进行了深入研究,编制完成信息安全技术关键信息基础设施安全防护能力评价方法标准草案。1.3.3 标准征求童见稿阶段I)2019年10月,在全国信息安全标准化技术委历公组织召开的重庆会议周上,经过WG7与会专家讨论,形成转为征求意见稿的会议决议。
5、会后,编制组根据与会专家意见进行了修改,并于2019年11月召开专家意见会,先后形成两版征求意见稿“2) 2020年5月,公安部第三研究所和公安部第一研究所加入到标准编制组,标准进行了详细讨论和修改,形成征求意见稿第三版。2020年7月,标准通过WG7组织召开的专家评审会和秘E处贡任编辑审查,修改后形成征求意见稿第五版。3) 2020年8月IO日至IO月9日,信安标委秘书处向工业和信息化部科技司、公安部十一局、国家保密局、国家密码管理局、国家认证认可监督管理委员会、中国信息安全测评中心、中央网信办网络安全协调局等上级主管部门发函征求意见,并在信安标委官网公开征求意见,征求意见范围具有广泛性和代
6、表性。共收到意见74条,意见处理结果为采纳40条、未采纳11条、部分采纳23条,编制组修改完善后形成征求意见稿第六版。4) 2021年5月17日至2021年7月16B.标准在国标委官网公开征求意见,无意见。1.3.4标准送审稿阶段1)2021年5月,形成标准送审稿。在全国信息安全标准化技术委员会组织召开的会议周上,经过WG7与会专家讨论和投票,转为送审稿.2) 2022年IO月,本标准依据的主要标准信息安全技术关键信息基础设施安全保护要求(GBrr392()4-2022)发布,本标准根据GB,-r39204-2022国家标准进行了修改完善。3) 2023年I月至9月,根据国家关键信息基础设施安
7、全保护工作的安排,标准编制组重新对国内外关键信息基础设施安全保护状况和评价方法进行了调研,包括对国际标准通用评估准则(CC、信息安全技术关键信息基础设施安全保护要求(GB/T39204-2022),等级保护三级要求、美国网络安全成熟度模型(C2M2和CMMO,美国关基网络安全控制性能指标(CPG)、美国国防部信息网DoDIN等,并根据目前关键信息基础设施安全保护形式和要求对关键信息基础设施安全防护能力及能力评价进一步研究,调整思路比新编制完成标准文稿,因标准内容改动较大,按照征求意见稿阶段进行标准推进。在本版木标准编制期间,标准编制组多次邀请行业专家研讨,征求相关行业意见,并征求方滨兴院士意见
8、。经多次修改完善后,形成目前征求意见稿。4) 2023年10月至2024年4月,在能源、金融、水利等行业开展了试点,并多次征集相关专家意见,形成完善。5) 2024年4月,再次提交网安标委秘书处,并通过专家审查会评审,建议名称修改为&关健信息基础设施安全保护能力指标体系3,因内容改动较大,拟再次以征求意见稿发起征求意见。二、标准编制原则和确定主要内容的论据及解决的主要问题2.1 标准编制原则本标准在编制过程中遵循r先进性、合理性和突出关基特色原则.先进性原则体现在与国际同步.本标准在制定过程中主要参考了国际相关标准,并与国际标准的演进保持同步,本标准主要参考了美国的C2M2模型及指标、美国NI
9、ST的评估指标、CSA云评估美国关基网络安全控制性能指标(CPG)、等。合理性原则体现在与国内实际情况相结合.国外的关键信息基础设施安全保护现状和标准现状与我国不同,为结合我国实际,且与国内口前已有相关关键信息基础设施安全标准保持一致,本标准在我国已有关键信息基础设施安全标准的基础上进行了修改、调整和扩充。突出关堰特色原则体现在能力持续增长和责任共担。关注关基的能力持续增长,从基本、全面、战略等维度的设计,安全目标与实施例证的编制模式都有利丁引导运营者持续提升关基安全能力.指标设计中重点针对运营者进行能力评价,此外,还考察了运营者运用行业保护部门和国家有关部门提供相关安全保护方法和手段的能力,
10、贡任共担有利于整体关基能力快速提升。2.2 主要内容及其确定依据加强关键信息基础设施保护是维护网络安全的全中之丞。为落实K中华人民共和国网络安全法B和6关键信息基础设施安全保护条例:$提出的关键信息基地设施安全保护相关要求,评测关键信息基珈设施运营者安全保护能力,支撑国家相关部门开展的关键基础信息设施安全检测评估等工作,借鉴美国、欧盟等国家在关键信息基础设施安全评估方面的相关标准、评估方法和实施经验,并结合我国网络安全等级保护、云服务安全、工控安全等相关标准,研究制定适用于我国关键信息基础设施领域的安全保护能力评价方法,指导关键信息基础设施的运营者和网络安全服务机构对关键信息基础设施的安全性和
11、可能存在的风险进行检测评估,从而帮助关键信息基础设施运营者提高其安全保护水平。三、试验疆证的分析、缥述报告,技术经济论证,期的经济效益、社会效益和生态效益3.1 试验验证的分析、综述报告标准正在同步在能源、水利、金融三个行业开展试点。3.2 技术经济论证关键信息基础设施运营者使用本标准可有助于提升本身网络安全防护能力,减少发生网络安全事件或者因网络安全原因导致停止服务而造成业务中断和经济损失的可能性。3.3 颈期的经济效益、社会效益和生态效益标准用指导关键信息基珈设施运营者提升关键信息基础设施安全防护能力,以避免遭到破坏、丧失功能或者数据泄露,可能严重危宙国家安全、国计民生、公共利益。四、与国
12、际、BB外同类标准技术内容的对比情况,或者与测试的国外样品、样机的有关数据对比情况标准吸取了CM、C2M2等能力成熟度模型经验,重点继承了“安全域-能力域-安全实践”三维评估体系主体架构,与安全能力指标体系中将采用的能力评估模型中“能力保护级别-能力指标-安全度量”三级指标体系基本对应。标准采用/CPG美国关基网络安全控制性能指标中安全目标+实例论证的表达方式以及指标中核心技术点,安全能力指标体系中每个指标采用“安全H标+实施例证”的方式,便于使用运营者或者评估方直观对比现阶段情况与未来建设重点.标准研究了DoDlN典型安全实践中系统架构、安全堆栈标准化、统一运营、威胁情报等多项经验,并将其眩
13、入安全目标与实例论证中。例如:威胁情报、统一安全运营在指标态势感知、主动防御等维度均有体现,安全堆栈标准化在主动防护进行体现。五、以国际标准为基础的起草情况,以及是否合规引用或者采用国际国外标准,并说明未采用国际标准的原因无。六、与有关法律、行政法规及相关标准的关系本标准符合现有法律法规的要求。符合中华人民共和国网络安全法和关键信息基础设施安全保护条例提出的关键信息基础设施安全保护相关要求,是在已发布国家标准6信息安全技术关键信息基础设施安全保护要求(GBrr39204-2022)和信息安全技术关健信息基础设施安全控制措施国家标准项目基础上制定的标准.按照我国网络安全法规定,关键信息基础设施是
14、在等级保护基础上进行重点保护,因此,信息安全技术关键信息基础设施络安全保护基本要求制定时主要考虑r关键信息基础设施的特点,并避免与GBb22239-2019信息安全技术网络安全等级保护基本要求3重史。但是在进行关键信息基础设施安全防护能力评价时,只是基于信息安全技术关键信息基训设施安全保护要求(GB/T39204-2022)稍显不足,在本标准中,融合了与关键信息基础设施安全防护能力密切相关的GB/T22239-2019中的部分条款作为评价内容,并突出行业、国家等相关配合指标作为关键信息基珈设施安全防护能力的一部分“七、重大分歧意见的处理经过和依据无。八、涉及专利的有关说明无。九、实施国家标准的要求,以及姐纲措篇、技术措*、过渡期和实施日期的建议等措施建议建议关键信息基础设施运营拧、网络安全服务机构、安全保护工作部门等相关单位进行宣赏。十、其他应当说明的事项标准名称修改为网络安全技术关键信息基础设施安全保护能力指标体系,网络安全技术关键信息基础设施安全保护能力指标体系B编制工作组2024-05-28
