信息安全技术关键信息基础设施安全控制措施
关键信息基础设施安全防护策略
关键信息基础设施安全防护策略随着科技的不断发展和信息化程度的加深,关键信息基础设施的安全问题日益突出。
为了保护这些基础设施的安全,确保信息的完整性和可用性,各个组织和机构需要制定相关的安全防护策略。
本文将就关键信息基础设施安全防护策略进行探讨,旨在提供一些思路和建议。
一、综合安全策略的制定关键信息基础设施安全防护需要一个全面的、系统的策略来支撑。
在制定综合安全策略时,需要考虑以下几点:1. 安全风险评估:首先,对关键信息基础设施的安全风险进行评估,明确存在的潜在威胁和可能造成的损害。
通过风险评估,可以为后续的安全防护策略制定提供依据。
2. 安全目标确定:在评估安全风险的基础上,确定关键信息基础设施安全的目标。
例如,保护数据的机密性、完整性和可用性,防止未经授权的访问和恶意攻击等。
3. 安全措施选择:根据安全目标,选择合适的安全措施来加强关键信息基础设施的防护。
包括但不限于网络安全措施、物理安全措施、人员管理措施等。
二、网络安全措施关键信息基础设施的核心在于网络基础设施的安全。
采取以下几项措施可以提高网络安全性:1. 防火墙:通过设置防火墙来控制网络访问权限,阻止未经授权的访问和恶意攻击。
同时,及时更新防火墙的配置,及时处理潜在的漏洞。
2. 入侵检测系统(IDS)和入侵防御系统(IPS):IDS可以监测网络中的不正常活动,并及时发出警报。
IPS则可以主动阻止入侵行为,提供实时的保护。
3. 数据加密:对关键信息进行加密处理,确保信息在传输和存储过程中不被窃取或篡改。
三、物理安全措施除了网络安全措施外,关键信息基础设施的物理安全同样重要。
以下几项物理安全措施可以考虑:1. 机房安全:确保机房的门禁控制,只有授权人员才能进入机房。
此外,还应备份关键设备和数据,以防发生突发情况。
2. 环境监控:通过安装监控摄像头、温湿度传感器等设备,实时监测机房环境状况,如温度、湿度和空气质量等。
3. 供电保障:为关键信息基础设施提供稳定可靠的电源,设备应接入UPS(不间断电源系统)以应对突发情况,例如停电。
信息安全技术关键信息基础设施安全保护要求概述
信息安全技术关键信息基础设施安全保护要求概述一、引言信息安全技术作为当今社会中越来越重要的领域之一,不仅仅是个人隐私保护的问题,更是国家安全和经济发展的关键。
而信息基础设施作为信息系统运转的关键要素,它的安全保护更是至关重要。
本文将概述信息安全技术关键信息基础设施安全保护的要求,并分析其重要性和应对措施。
二、信息基础设施及其重要性信息基础设施是一个庞大而复杂的系统,包括计算机网络、服务器、数据库、操作系统等,它们构成了信息系统的基础架构。
信息基础设施的安全保护至关重要,其不仅与个人的信息安全息息相关,也关系到国家的安全和经济的稳定发展。
1. 个人信息安全随着互联网的普及和信息化的飞速发展,个人信息的泄露和滥用问题层出不穷。
如果信息基础设施不受安全保护,黑客或者其他不法分子很容易获取个人信息,导致个人隐私泄露、财产损失以及声誉受损等问题。
2. 国家安全信息基础设施的安全关系到国家的安全。
国家政务、军事、经济等重要部门的信息系统一旦遭到攻击或者破坏,将对国家的稳定和安全带来巨大威胁。
黑客入侵银行信息系统,导致金融体系崩溃,将给国家经济带来严重后果。
3. 经济发展信息基础设施的安全问题也直接影响到经济的发展。
现代社会离不开互联网和数字化技术,无论是电子商务、金融交易还是企业信息化,其都依赖于信息基础设施的安全。
如果信息基础设施不受安全保护,将会给商业活动和金融交易带来不稳定性,阻碍经济的发展。
三、信息基础设施安全保护要求为了保护信息基础设施的安全,降低风险并应对各种威胁,以下是关键的安全保护要求:1. 认识威胁和风险需要全面认识威胁和风险,了解各种潜在的攻击方式和可能的安全漏洞。
只有深入了解威胁,才能采取相应的措施来进行预防和应对。
2. 数据加密数据加密是保护信息安全的重要手段之一。
对于敏感信息,特别是个人和机密信息,应该采用强大的加密算法,确保数据在传输和存储过程中不被窃取或篡改。
3. 安全审计安全审计是监测和评估信息基础设施安全的重要方法。
对加强关键信息基础设施安全保护工作的建议
加强关键信息基础设施安全保护工作的建议随着信息化、智能化的发展,关键信息基础设施的重要性日益突显。
为了保障国家安全和社会稳定,加强关键信息基础设施安全保护工作势在必行。
在此背景下,我们有必要提出一些建议,以期在加强安全保护工作的过程中更加高效、系统地应对挑战。
一、明确责任,强化监管1. 完善相关法律法规,明确关键信息基础设施安全保护的责任主体和监管机构。
建立健全相关制度和标准,明确各方的权责,形成有力的监管体系。
2. 落实企业主体责任,鼓励企业加大投入,提升安全防护水平。
加强政府监管,对企业进行定期检查和评估,确保安全措施的有效执行。
二、加强技术建设,提升安全防护能力1. 加大对关键信息基础设施的技术研发和应用推广投入,引导企业加强自主创新,提升安全防护技术水平。
2. 推动关键信息基础设施运行商建立健全的安全保护机制,加强漏洞修复和安全更新措施,防范网络攻击和数据泄露风险。
三、强化人才培养,提高安全意识1. 发展相关专业人才,加强对关键信息基础设施安全保护的技术支撑和人才储备。
鼓励高校开设相关专业课程,引导学生关注安全防护领域。
2. 组织针对从业人员的安全培训和演练,提高从业人员的安全防范意识和应急处置能力。
促进安全文化的建立,形成全社会关注安全、共同维护安全的良好氛围。
四、加强国际合作,共同维护网络安全1. 深化与国际组织、外国政府以及企业的合作,共同推进关键信息基础设施安全保护规范和标准的制定和执行。
加强信息共享,提高网络攻击和数据泄露的预警能力。
2. 参与全球网络治理和安全合作,推动国际多边和双边合作机制的建立和完善,共同应对网络安全威胁和挑战。
关键信息基础设施安全保护工作是一项系统工程,需要政府、企业、学术界和社会各界共同参与,形成合力。
我们应该以科学的态度对待这项工作,认真研究和探索有效的保护措施,不断完善相关制度和技术手段,切实加强关键信息基础设施的安全保护,为国家安全和社会稳定提供坚实保障。
信息安全技术 关键信息基础设施安全保护要求
信息安全技术关键信息基础设施安全保护要求1. 引言1.1 概述在数字化时代,信息安全问题日益突出,特别是对于关键信息基础设施的保护要求更加迫切。
关键信息基础设施包括电力、交通、通信等重要领域的核心系统和网络。
这些系统和网络的安全性直接关系到国家经济发展、社会稳定以及人民生活的正常运行。
本文将深入探讨关键信息基础设施安全保护的要求,并分析了其重要性和面临的威胁。
同时,将介绍一些可行的安全保护措施和技术解决方案,以帮助各个部门、企事业单位提升关键信息基础设施的安全性。
1.2 文章结构本文分为五个部分进行论述。
首先,在引言部分概述了文章所涉及的问题,并说明了文章结构。
接下来,将详细介绍关键信息基础设施安全保护的要求,包括定义关键信息基础设施、重要性和威胁、以及相应的安全保护要求。
随后,在第三部分中探讨了信息安全技术在解决这些问题上所起到的作用,并分析了关键挑战和难点。
为了提供实用的解决方案,本文还将推荐一些解决方案和措施。
第四部分将重点介绍实施关键信息基础设施安全保护的重要策略和方法。
具体而言,我们将讨论制定完善的安全政策和管理体系、建立强大的身份认证与访问控制机制以及加强网络和系统防护措施。
最后,在结论部分对本文进行总结,并提出未来研究方向和发展趋势。
1.3 目的本文旨在提高人们对于关键信息基础设施安全保护问题的认识,并向相关领域提供一些建议性的措施和技术方案,以应对日益增长的威胁和风险。
通过深入理解关键信息基础设施的定义、重要性和面临的挑战,我们可以更好地保护这些关键系统与网络,确保其稳定运行,并为未来发展提供良好的环境。
2. 关键信息基础设施安全保护要求:2.1 定义关键信息基础设施:关键信息基础设施(Critical Information Infrastructure,CII)是指在国家中具有重要性和战略意义的信息系统、网络以及其他相关设施。
这些基础设施涉及能源、交通、金融、通信等领域,一旦遭到破坏或失效,将对国家的经济、社会和国防安全产生严重影响。
关键基础设施信息安全措施行动计划
关键基础设施信息安全措施行动计划全文共四篇示例,供读者参考第一篇示例:随着信息化的飞速发展,关键基础设施信息安全问题日益凸显。
关键基础设施是指对国家安全、经济社会发展和人民生活具有重要影响的重要基础设施,如能源、交通、通信、金融、水利、医疗、政府等。
因其涵盖范围广泛、影响深远,一旦遭受信息安全攻击,将对国家的安全和社会的稳定造成严重危害。
为保障关键基础设施的信息安全,制定一份关于关键基础设施信息安全措施行动计划势在必行。
要做好信息安全的风险评估与防范。
通过对关键基础设施进行全面的信息安全风险评估,识别潜在的安全威胁和漏洞,并制定相应的防范措施和预案。
建立健全的信息安全管理体系和流程,确保信息安全政策的全面实施,加强安全审计和监督检查,及时发现并处置安全事件。
要加强对关键基础设施的技术保障。
采用先进的信息安全技术和设备,加强网络安全防护和强化系统防御能力。
建立网络安全事件应急响应机制,及时处置安全事件,最大程度减少信息安全损失。
加强对关键信息基础设施的实时监控和检测,提高信息安全防护水平。
进一步,要加强对人员的管理和培训。
建立信息安全人员培训计划,提高关键基础设施从业人员的信息安全意识和能力。
加强对关键基础设施从业人员的安全管理,对其进行定期的安全教育和培训,提高其安全意识和素质。
建立健全的信息安全人员考核机制,加强对从业人员的信息安全管理。
要加强对关键基础设施的法律监管和国际合作。
建立健全的信息安全法律法规体系,完善信息安全产业标准,推动信息安全技术的研发和应用。
加强国际信息安全合作,共同打击跨国网络犯罪,维护网络安全和国家利益。
上述所提的关键基础设施信息安全措施行动计划是保障关键基础设施信息安全的基础和关键环节。
只有采取科学有效的措施,建立健全的信息安全体系,才能有效保障关键基础设施的安全运行,维护国家安全和社会稳定。
希望相关部门和机构认真贯彻执行,切实加强信息安全防范和管理,促进我国关键基础设施信息安全水平的不断提升。
信息安全技术 关键信息基础设施安全保护基本要求
信息安全技术:关键信息基础设施安全保护基本要求在当今数字化快速发展的社会中,信息安全技术已经成为了保障关键信息基础设施安全的重要手段。
关键信息基础设施包括电力系统、交通运输系统、水利系统、金融系统等,其安全与国家安全和人民生活息息相关。
保护关键信息基础设施安全对于社会稳定和经济发展具有重要意义。
本文将从信息安全技术角度出发,探讨关键信息基础设施安全保护的基本要求。
一、物理安全保护关键信息基础设施的物理安全是保障其安全的基础。
在建设关键信息基础设施时,应考虑其地理位置、建筑结构、周边环境等因素,采取防火、防水、防盗等安全措施,以确保设施的稳定运行和安全使用。
应建立健全的监控系统,对设施进行24小时不间断的监控和巡视,发现问题及时解决,确保设施的物理安全。
二、数据加密与保护关键信息基础设施中的数据传输和存储涉及到大量的敏感信息,因此对数据的加密和保护尤为重要。
采用安全可靠的加密算法对数据进行加密,确保数据在传输和存储过程中不被窃取和篡改。
建立严格的数据权限控制机制,对不同级别的数据进行分类和管理,确保数据的安全和完整性。
三、网络安全防护关键信息基础设施中的网络系统是其运行和管理的核心,因此网络安全的防护至关重要。
建立防火墙、入侵检测、流量监测等网络安全设施,对网络进行实时监控和防护,及时发现并应对网络攻击和威胁。
另外,加强对网络设备和系统的安全管理,定期进行安全漏洞扫描和修复,确保网络系统的安全稳定运行。
四、应急响应与恢复即使做了充分的安全预防,也无法完全杜绝安全事故的发生。
建立完善的安全应急响应机制和灾难恢复计划显得尤为重要。
在安全事故发生时,能够迅速做出反应,采取有效措施减少损失,尽快恢复设施的正常运行,对保障关键信息基础设施的安全至关重要。
个人观点当前,信息安全技术在关键信息基础设施安全中的作用日益凸显。
随着科技的不断进步,新的安全威胁也在不断涌现,因此加强对关键信息基础设施的安全保护势在必行。
关键信息基础设施安全防护五大对策措施
关键信息基础设施安全防护五大对策措施关键信息基础设施安全防护五大对策措施随着信息化进程的不断推进,关键信息基础设施的重要性越来越凸显。
为了确保关键信息基础设施的安全,必须采取一系列有效的防护措施。
下面就是五大对策措施:1. 安全管理制度建立建立健全的安全管理制度是确保关键信息基础设施安全的前提条件。
该制度应包括安全责任制、安全管理规范、安全检查与评估等内容。
此外,还应加强员工教育和培训,提高员工的安全意识和技能。
2. 网络边界防护网络边界防护是指通过网络边界设备对入侵行为进行监测和拦截,以保障网络系统的正常运行。
该措施主要包括设置防火墙、入侵检测系统、反病毒软件等技术手段。
3. 数据加密技术数据加密技术可以有效地保护数据在传输和存储过程中不被窃取或篡改。
该技术可以采用对称加密算法或非对称加密算法实现。
此外,还可以采用数字签名、身份认证等技术手段来保障数据的安全。
4. 应急响应机制建立健全的应急响应机制是防范关键信息基础设施安全事件的重要手段。
该机制应包括预警、监测、处置等环节。
此外,还应加强与相关部门和企业之间的协作,形成联防联控的合力。
5. 安全审计与评估安全审计与评估可以帮助企业及时发现并解决安全问题,提高关键信息基础设施的安全性。
该措施主要包括定期进行安全漏洞扫描和渗透测试,对系统进行风险评估和漏洞修复等工作。
综上所述,关键信息基础设施安全防护五大对策措施包括建立安全管理制度、网络边界防护、数据加密技术、应急响应机制以及安全审计与评估。
只有采取这些有效的措施,才能够确保关键信息基础设施的稳定运行和数据的安全性。
关键信息基础设施安全防护五大对策措施
关键信息基础设施安全防护五大对策措施一、引言随着信息化时代的到来,关键信息基础设施的重要性日益凸显。
然而,随之而来的是各种网络安全威胁,如黑客攻击、病毒感染、信息泄漏等。
为了保护关键信息基础设施的安全,我们需要采取一系列对策措施。
本文将介绍关键信息基础设施安全防护的五大对策措施。
二、物理安全措施物理安全措施是保护关键信息基础设施安全的基础。
以下是几个重要的物理安全措施:2.1 安全设施的建设•在关键信息基础设施的周边建设高墙、围栏等物理屏障,限制外部人员进出;•安装视频监控系统,实时监测设施的安全情况;•设立门禁系统,只允许经过身份验证的人员进入关键区域。
2.2 保护关键设备•安装温度和湿度监测设备,避免关键设备受到过热或过湿的影响;•定期备份关键设备的数据,并将备份数据存放在安全的地方,以防数据丢失。
三、网络安全措施除了物理安全措施外,还需要采取网络安全措施来保护关键信息基础设施的安全。
3.1 防火墙的使用•配置防火墙来监控网络流量,阻止未经授权的访问;•更新防火墙规则,及时屏蔽新的网络威胁。
3.2 加密通信•使用加密的通信协议,确保数据在传输过程中不被窃取或篡改;•配置安全的虚拟专用网络(VPN)来加密数据传输。
3.3 强化网络设备的安全性•更新网络设备的固件和软件版本,以修复已知的漏洞;•配置网络设备的访问控制列表(ACL),只允许授权用户访问网络设备。
3.4 安全性审计•定期进行安全性审计,检测和修复可能存在的安全漏洞;•监控关键信息基础设施的网络活动,及时发现异常行为。
四、数据安全措施关键信息基础设施中的数据是最重要的资产,为了保护数据的安全,需要采取以下措施:4.1 数据备份与恢复•定期对关键数据进行备份,并将备份数据存放在安全可靠的地方;•测试备份数据的可恢复性,以确保在数据丢失或损坏时能够迅速恢复数据。
4.2 数据加密与访问控制•对重要的数据进行加密,确保即使在数据泄漏的情况下也无法被解密;•实施严格的访问控制措施,只允许授权用户访问敏感数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家标准《信息安全技术关键信息基础设施安全控制措施》(征求意见稿)编制说明一、工作简况1.1 任务来源当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网络安全防控能力薄弱,难以有效应对网络攻击,《网络安全法》《国家网络空间安全战略》等提出建立关键信息基础设施安全保护制度。
根据国务院的要求,国家网信部门已会同有关部门起草了《关键信息基础设施安全保护条例》,目前正在征求意见。
该条例明确了关键信息基础设施的具体范围,并提出了进一步的安全保护要求。
但是,用于指导具体保护工作的标准体系尚不完善,亟需配套标准支撑。
此外,我国正在推进全国关键信息基础设施网络安全检查工作,关键信息基础设施运营者等也需要相关技术标准作为指导。
基于对《网络安全法》及相关法律法规要求的细化落实,围绕上述目标,结合目前已经开展的关键信息基础设施网络安全保护,全国信息安全标准化委员会组织开展了系列标准的制定,包括《信息安全技术关键信息基础设施网络安全框架》《信息安全技术关键信息基础设施网络安全保护基本要求》《信息安全技术关键信息基础设施安全控制措施》《信息安全技术关键信息基础设施安全检查评估指南》《信息安全技术关键信息基础设施安全保障指标体系》等。
其中,本标准作为《信息安全技术关键信息基础设施网络安全保护基本要求》的配套标准,根据要求提出相应控制措施,运营者开展安全保护工作时可在该标准中选取适用的控制措施。
2017年4月,本标准在全国信息安全标准化技术委员会第一次工作组“会议周”期间通过立项,由中国信息安全研究院有限公司牵头负责。
2017年10月,在全国信息安全标准化技术委员会第二次工作组“会议周”进行汇报并通过会议决议可以进入征求意见阶段,建议将标题修改为《信息安全技术关键信息基础设施安全控制措施》。
会后,编制组根据标准周答辩专家意见对标准草案进分修订,完善标准草案内容。
1.2 编制单位本标准由中国信息安全研究院有限公司牵头,中国电子技术标准化研究院、中国电子技术标准化研究院、国家工业信息安全发展研究中心、中国信息安全测评中心、国家信息技术安全研究中心、公安部三所、中国科学院软件研究所等单位共同参与编制。
1.3 工作过程1.3.1 成立编制组接到标准编制任务后,中国信息安全研究院有限公司联合关键信息基础设施领域科研机构及测评机构组建标准编制组,编制组成员具有丰富的标准编制经验、关键信息基础设施安全保护领域研究经验、信息系统安全控制标准研究经验等。
本标准编制组负责人为左晓栋,主要编制人员有周亚超、崔占华、杨晨、张弛、刘雨桁、王惠莅、姚相振、许东阳、唐一鸿、刘蓓、许涛、蔡军霞、程浩、王啸天、刘迎、张格、唐旺、于盟等。
1.3.2 制定工作计划编制组首先制定了编制工作计划,并确定了编制组人员例会安排以便及时沟通交流工作情况。
1.3.3 研究国内外政策标准资料该标准编制过程中,主要研究参考了《NIST SP800-53 联邦信息系统和组织的安全和隐私控制》《NIST 增强关键基础设施网络安全的框架》以及《关键信息基础设施安全保护条例(征求意见稿)》《国家网络安全事件应急预案》《信息安全技术数据出境安全评估指南》《信息安全技术个人信息安全规范》等政策规定和标准规范。
1.3.4 确定编制内容关键信息基础设施运营者规模不同,对网络安全工作的重视程度不一,技术强弱各异。
制定统一的关键信息基础设施安全控制措施有助于运营单位在网络安全等级保护的基础上,针对性的按需做好各关键信息基础设施的安全保护工作。
为此,标准编制组在确定标准内容时,一方面借鉴国外关键基础设施保护要求,重点参考美国国家标准和技术研究院(NIST)发布的《SP 800-53联邦信息系统和组织机构安全控制建议》(第四版,2013年4月发布)、《增强关键基础设施网络安全的框架》( 2014年2月发布),另一方面深入研究我国《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》等相关法律法规和政策文件中关键信息基础设施的有关规定,将其转化为安全控制措施。
针对风险识别、安全防护、检测评估、监测预警、应急处置等五个环节,从资产识别、环境识别、访问控制、数据保护、保护规程、人员安全、维护、审计、物理与环境保护、检测规程、评估要求、持续监测、安全预警等方面提出关键信息基础设施运营者应实现的安全控制措施。
1.3.5 编制工作简要过程按照项目进度要求,编制组人员首先对相关法律法规及国内外标准文件进行反复阅读与理解,查阅有关资料,编写标准编制提纲,在完成对提纲进行交流和修改的基础上,开始具体的编制工作。
2017年2月,研读政策和标准文件,调研了解关键信息基础设施安全保护情况以及存在的问题。
参考NIST《联邦信息系统和组织机构安全控制建议》,在网络安全等级保护的基础上结合《网络安全法》相关要求,提出关键信息基础设施安全控制要求,形成标准草案第一稿。
2017年3月,编制组召开研讨会,以前期成果为基础,经多次内部讨论和研究,组织完善草案内容,形成标准草案第二稿。
2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论,获得全国信息安全标准化技术委员会立项。
2017年5-8月,标准编制组继续研究讨论,并与其他关键信息基础设施运营单位进行交流,根据标准周上专家及参会企业意见对标准草案进行进一步修订。
2017年10月11日,参加关键信息基础设施相关标准专家评审会,会后编制组开会讨论,根据专家意见进行修改标准草案内容。
2017年10月16日,在全国信息安全标准化技术委员会第二次工作组“会议周”进行汇报并通过会议决议可以进入征求意见阶段,建议将标题修改为《信息安全技术关键信息基础设施安全控制措施》。
会后,编制组根据标准周答辩专家意见对标准草案进行修订,完善草案内容。
2017年11月至2018年5月,编制组完善标准内容,并根据专家评审会意见,对标准进行修改。
二、编制原则和主要内容2.1 编制原则本标准的研究与编制工作遵循以下原则:一是注重综合性和适用性。
本标准在编制过程中,一方面充分吸收国内外关键信息基础设施安全保护经验,参考美国NIST《SP 800-53联邦信息系统和组织机构安全控制建议》、《增强关键基础设施网络安全的框架》等国外标准,一方面注重落实我国《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》及相关法律法规和政策文件中关键信息基础设施的有关规定,同时结合全国范围关键信息基础设施网络安全检查工作成果,保障标准内容涵盖关键信息基础设施安全控制的各个环节,且提出的控制要求符合我国实际。
二是突出可操作性和实用性。
为了确保标准的可操作性和实用性,标准编制从两方面着手,一方面标准编制组广泛吸收了网络安全领域的国内多家科研机构、检测机构等人员作为标准编制组成员;另一方面标准制定过程中,也不断地梳理关键信息基础设施的安全需求,保障标准内容既符合产业发展现状,也与用户的业务应用需求密切相关,为标准合理性和可操作性提供支撑。
三是注重需求引导。
在编制标准过程中,标准内容的确定不仅参照关键信息基础设施保护工作现状,还充分考虑了当前关键信息基础设施面临的安全威胁、政府部门、企事业单位针对其安全保护的需求等,着力促使本标准可供关键信息基础设施保护工作部门、关键信息基础设施运营者以及关键信息基础设施安全保护中的其他参与者参考。
2.2 主要内容本标准规定了关键信息基础设施运营者在风险识别、安全防护、检测评估、监测预警、应急处置等环节应实现的安全控制措施。
适用于关键信息基础设施的规划设计、开发建设、运行维护、退出废弃等阶段,可供关键信息基础设施保护工作部门、关键信息基础设施运营者以及关键信息基础设施安全保护中的其他参与者参考。
本标准研究提出关键信息基础设施安全框架,分析关键信息基础设施安全保护过程中所涉及的角色和职责,提出不同的关键信息基础设施保护对象都应满足的通用安全要求,主要包括系统开发与供应链安全、系统与通信保护、访问控制、数据保护、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员、物理与环境保护等。
针对当前关键信息基础设施存在的安全问题,借鉴国际标准,根据《网络安全法》等法律法规和政策文件,重点提出了有关供应链安全、组织与人员安全、跨境数据传输、个人信息安全等方面的要求。
本标准将为加强关键信息基础设施安全防护提供有力技术支撑,对提高我国关键信息基础设施安全保障水平具有十分重要的意义,为实现国家网络强国目标具有重要的战略价值。
三、知识产权情况说明本标准不涉及专利。
四、采用国际标准和国外先进标准情况本标准充分参考ISO/IEC 27001:2013《信息安全管理体系要求》、美国NIST《SP 800-53联邦信息系统和组织机构安全控制建议》、《增强关键基础设施网络安全的框架》等国外标准,落实我国《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》及相关法律法规和政策文件中关键信息基础设施的有关规定。
五、与现行相关法律、法规、规章及相关标准的协调性基于对《网络安全法》及相关法律法规要求的细化落实,围绕上述目标,结合目前已经开展的关键信息基础设施网络安全保护,全国信息安全标准化委员会组织开展了系列标准的制定,主要有以下五项标准。
《关键信息基础设施网络安全框架》作为基础标准,阐明构成框架的基本要素及其关系,统一通用术语和定义;《关键信息基础设施网络安全保护基本要求》作为基线类标准,对关键信息基础设施运营者开展网络安全保护工作提出最低要求;本标准作为实施类标准,根据基本要求提出相应的控制措施;《关键信息基础设施安全检查评估指南》作为测评类标准,依据基本要求明确关键信息基础设施检查评估的目的、流程、内容和结果;《关键信息基础设施安全保障指标体系》作为测评类标准,依据检查评估结果、日常安全检测等情况对关键信息基础设施安全保障状况进行定量评价。
根据《网络安全法》规定,本标准在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护。
因此,本标准与网络安全等级保护标准GB/T 22239-XXXX《信息安全技术信息系统安全等级保护基本要求》不矛盾、不冲突、不重复,未修改或降低等级保护标准所规定的要求。
六、重大分歧意见的处理经过和依据《信息安全技术关键信息基础设施安全控制措施》编制过程中未出现重大分歧。
七、标准性质的建议建议《信息安全技术关键信息基础设施安全控制措施》作为推荐性国家标准发布实施。
八、替代或废止现行相关标准的建议无。
九、其它应予说明的事项无。
国家标准《信息安全技术关键信息基础设施安全控制措施》编制工作组2018-05-22。