信息安全技术关键信息基础设施安全保障指标体系全国
信息安全
国家标准《信息安全技术关键信息基础设施安全保障评价指标体
系》编制说明
1.工作简况
1.1. 任务来源
根据国家标准化管理委员会下达的国家标准制修订计划,国家标准《信息安全技术关键信息基础设施安全保障评价指标体系》由大唐电信科技产业集团(电信科学技术研究院)主办。
关键信息基础设正常运转,关系国家安全、经济发展、社会稳定,随着关键信息基础设施逐渐向网络化、泛在化、智能化发展,网络安全成为关键信息基础设施的重要目标。世界主要国家和地区高度重视,陆续出台了相关战略、规划、立法以及实施方案等,加大对关键信息基础设施的保护力度。近年来,随着中国网络强国战略的深化和实施,国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出,构建国家关键信息基础设施安全保障体系已迫在眉睫,是当前一项全局性、战略性任务。
4月19日,习近平总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”8月12日,中央
网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔〕5号),要求“按照深化标准化工作改革方案要求,整合精简强制性标准,在国家关键信息基础设施保护、涉密网络等领域制定强制性国家标准。”11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》,明确指出“保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序”。12月15日,国务院印发《“十三五”国家信息化规划》(国发〔〕73号),明确提出要构建关键信息基础设施安全保障体系。12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,要求“建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》公开征集意见。
当前国外主要国家对关键信息基础设施的保护起步较早,已出台关键信息基础设施的相关战略、规划、法律、标准、技术、监管等等一系列举措,大力加强关键信息基础设施安全建设,不断提升网络安全保障能力。对于中国而言,一方面,中国在引进外国先进技术、加快产业更新换代的同时,部分关键核心技术和
设备受制于她国,存在系统受控、信息泄露发现滞后等隐患,也给关键信息基础设施各领域带来许多安全隐患问题。另一方面,中国关键信息基础设施保护工作起步较晚、发展较慢,缺乏针对性、指导性的标准体系,无法适应新形势下的国际网络安全环境。本标准的制定主要为关键信息基础设施的政府管理部门提供态势判断和决策支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持和方法参考。
1.2. 编制目的
本标准主要解决关键信息基础设施网络安全的评价问题。本标准主要用于:评价中国关键信息基础设施安全保障的现状,包括建设情况、运行情况以及所面临的威胁等;为政府管理层的关键信息基础设施态势判断和宏观决策提供支持;为各关键信息基础设施运营单位及管理部门的信息安全保障工作提供参考。
1.3. 主要工作过程
1、,项目组完成网络安全保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究:研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全保障评价指标研究方面的资料,总结网络安全保障评价的相关方法、指标、规定和标准;研究新形势、新技术条件下中国网络安全保障工作面临的挑战,分析中国网络安全保障工作的新需求,对中国与网络安全保障评价有关的法规、制度、标准进行梳理和总结;
在理论研究和实践调研的基础上,研究提出中国网络安全保障评价指标体系和评价方法。
2、12月- 6月,项目组赶赴电力、民航、电信、中国银行等相关行业(企业)进行调研。
3、1月- 7月,项目组根据项目要求开展了研讨会,针对调研结果中各行业在网络安全评价中的成功经验和出现的问题进行总结。
4、1月- 9月,项目组与关键信息设施保护等进行工作对接。
5、1月- 7月,项目组进行了广泛研讨,并咨询了专家意见:1月,对研究提出的网络安全保障评价指标体系的初步框架,召开专家咨询会,听取了崔书昆、李守鹏等专家的意见;6月,召开专家会,听取了中国电信基于大数据的网络安全态势评价工作的介绍;7月,召开专家会听取了关于民航、电信、互联网领域安全指标体系的研究现状,与会专家对网络安全保障评价指标体系课题提出意见建议。
6、8月- 9月,与网络安全检查工作、关键信息基础保护工作进行对接。
7、1月- 2月,与网络安全检查工作进行对接,采用指标体系对相关检查结果进行了统计测算,并撰写评价报告。
8、4月- 8月,针对指标体系在网络安全检查工作中的成功