信息安全技术关键信息基础设施安全保障指标体系-全国信息安全

国家标准信息安全技术 关键信息基础设施安全保障评价指标体系编制说明1.工作简介1.1。任务来源根据国家标准化管理委员会2017年发布的国家标准修订计划，国家标准信息安全技术 关键信息基础设施安全保障评价指标体系由大唐电信科技产业集团(电信科技研究院)主办。关键信息基础设施的正常运行关系到国家安全、经济发展和社会稳定。随着关键信息基础设施向网络化、泛在化和智能化的逐步发展，网络安全已经成为关键信息基础设施的重要目标。世界主要国家和地区对此高度重视，先后出台了相关战略、计划、立法和实施计划等。加强对关键信息基础设施的保护。近年来，随着我国网络强国战略的深化和实施，国家重点信息基础设施在国民经济和社会发展中的基础性、重要性、保障性和战略性地位日益凸显。建设国家重点信息基础设施安全体系迫在眉睫，这是当前的一项全球性战略任务。2016年4月19日，习近平总书记在网络安全与信息化研讨会上指出，“金融、能源、电力、通信、交通等领域的关键信息基础设施。是经济和社会运行的神经中枢，是网络安全的重中之重，也是可能遭受重点攻击的目标。我们必须进行深入研究，采取有效措施，有效保护国家的关键信息基础设施。”2016年8月12日，中央网络安全与信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合发布关于加强国家网络安全标准化工作的若干意见(中国网络办发20165号文件)，要求“按照深化标准化工作改革方案的要求，整合和精简强制性标准，制定国家重点信息基础设施和涉密网络保护领域的强制性国家标准。”2016年11月7日，全国人大常委会发布第中华人民共和国网络安全法号文件，明确提出“保护关键信息基础设施免受攻击、入侵、干扰和破坏，依法惩处网络犯罪，维护网络空间安全和秩序。”2016年12月15日，国务院发布“十三五”国家信息化规划(国发201673号)，明确提出建设重点信息基础设施安全体系。2016年12月27日，国家互联网信息办公室发布国家网络空间安全战略，要求“建立和实施重点信息基础设施保护体系，加大管理、技术、人才、资金等方面的投入，依法全面落实政策，切实加强重点信息基础设施安全保护。”2017年7月10日，国家互联网信息办公室在关键信息基础设施安全保护条例（征求意见稿）公开征求意见。目前，国外主要国家已经开始对关键信息基础设施进行早期保护，并出台了战略、计划、法律、标准、技术、监管等一系列措施。涉及重点信息基础设施，大力加强重点信息基础设施安全建设，不断提高网络安全能力。对我国来说，一方面，在引进国外先进技术、加快产业升级的同时，一些关键核心技术和设备受制于其他国家，存在系统控制、信息泄漏发现滞后等隐患，也给关键信息基础设施的各个领域带来了许多潜在的安全问题。另一方面，我国重点信息基础设施保护工作起步较晚，发展缓慢，缺乏有针对性和指导性的标准体系，无法适应新形势下的国际网络安全环境。本标准的制定主要为重点信息基础设施的政府管理部门提供态势判断和决策支持，为重点信息基础设施的管理部门和运营单位的信息安全管理提供支持和方法参考。1.2。准备目的本标准主要解决关键信息基础设施的网络安全评估。本标准主要用于评估当前的1.2014年，项目组完成了网络安全评估指标体系的阶段性研究报告。本文主要围绕以下三个问题展开：研究国外，特别是美国、欧盟、联合国等国家、地区和国际组织在网络安全评估指标研究方面的数据，总结网络安全评估的相关方法、指标、法规和标准；研究新形势、新技术条件下中国网络安全工作面临的挑战，分析中国网络安全工作的新要求，梳理和总结中国网络安全评估的相关法律、法规和标准；在理论研究和实践调查的基础上，提出了我国网络安全保障的评价指标体系和评价方法。2.2014年12月至2015年6月，项目组赴电力、民航、电信、中国银行等相关行业(企业)进行调研。3.从2015年1月至2015年7月，项目组根据项目要求，根据研究成果，开展了一次研讨会，总结各行业在网络安全评估方面的成功经验和问题。4.从2015年1月到2015年9月，项目团队将致力于保护关键信息设施。5.2015年1月至2015年7月，项目组进行了广泛的讨论和专家咨询，2015年1月，就研究提出的网络安全评估指标体系初步框架召开了专家咨询会议，听取了崔树坤、李守鹏等专家的意见。2015年6月，召开专家会议，听取中国电信基于大数据的网络安全形势评估介绍。2015年7月，举行了一次专家会议，听取民航、电信和互联网安全指标体系的研究状况。与会专家就网络安全评估指标体系的课题提出了意见和建议。6.2015年8月至2015年9月，将与2015年网络安全检查和重点信息基础保护对接。7.2016年1月至2016年2月，联系网络安全检查工作，利用指标体系计算相关检查结果，并撰写评估报告。8.从2016年4月到2016年8月，通过总结网络安全检查的成功经验和存在的问题，进一步更新了指标体系。9.2016年9月至2017年2月，与重点信息设施检查办公室对接，深入探讨指标体系的实际应用。10.2017年3月，项目组在初稿的基础上召开行业专家会议，形成修订稿。11.2017年4月，在2017年国家信息安全标准化技术委员会第一个工作组会议周，项目组申请了一个国家标准制定项目。12.2017年6月，“信息安全技术关键信息基础设施安全指标体系”标准制定项目正式成立。13.2017年7月，项目组召开专家咨询会，听取了李守鹏、魏军、闵景华、韩正平、张等专家的意见。14.2017年7月，在国家信息安全标准化技术委员会工作组第二次全体会议上，项目组广泛听取专家意见，形成征求意见稿。1.4。承办单位起草单位：大唐电信科技产业集团(电信科技研究院)协作单位：国家信息中心、北京前进科技有限公司、北京国顺科技有限公司、北京全恩网络科技有限公司、北京田蓉科技有限公司等。本部分主要起草人：韩、李阳、毕宇、等。2.准备原则和主要内容2.1。汇编原则为确保所建立的“关键信息基础设施安全评估指标体系”有一个客观统一的依据，在评估指标体系的设计和指标的选择上主要遵循以下原则：1.综合原则重点信息基础设施安全评价指标体系的构建，是通过把握我国重点信息基础设施的建设效果、运行状况和总体情况，形成多维、动态、全面的重点信息基础设施安全评价指标体系关键信息基础设施安全评价指标体系必须建立在符合中国国情的科学基础上，充分理解关键信息基础设施安全评价指标体系。根据国家信息安全保障体系总体目标的设计原则，将关键信息基础实施安全的所有构成要素视为一个有机整体。指标体系必须符合理论的完整性、科学性和正确性，即指标概念必须具有清晰完整的科学内涵。适用性原则是指标体系应能够覆盖中国关键信息基础设施安全评估的所有方面，在时间和空间上满足系统完整性和全面性的客观要求。特别是，有必要考虑到由于经济、区域和其他原因，各机构发展状况的差异，并尽量避免干扰基本数据的收集。这一原则的关键是，最简单的指标体系充分反映了关键信息基础设施的总体安全水平。3.指导原则评估的目的不仅仅是评估排名和卓越程度，更重要的是引导和鼓励被评估对象朝着正确的方向和目标发展，引导中国关键信息基础设施安全健康发展。4.可操作性强的原则可操作性强直接关系到指标体系的实施和实施，包括数据的可获取性(具有一定的现实统计基础，所选择的指标变量必须在现实生活中可测量或可通过科学方法生成)、可靠性(通过标准化的数据源、标准等来确保数据的可靠性和可信度)。)、易处理性(数据便于统计分析和处理)和结果的可用性(便于实际操作并能为中国涉密信息系统的安全评估服务)等。5、定性和定量相结合的原则在众多指标中，有些是反映最终效果的定性指标，有些是通过项目运行过程获得实际数据的定量指标。为了评价最终效果，指标体系中的两个因素都是不可缺少的。但是，为了使指标体系具有高度的可操作性，在选择定性指标时，有必要剔除一些与实施效果无关的非关键因素，并尝试将关键的定性指标纳入对权重分配的影响中。指标设计中定性与定量相结合的原则是体现对权重的定性分析和对指标数据的定量分析。6.可比性原则可比性是衡量关键信息基础设施安全评估指标体系实际效果的客观标准，是项目权威性的重要标志。关键信息基础设施安全评价指标不仅要能够横向比较不同组织的信息安全水平差异，还要能够纵向反映国家和地区关键信息基础设施安全的历史进程和发展趋势。这一原则主要体现在各级指标的定义、量化和加权上。2.2。主要内容本标准概述了本标准各部分常用的基本概念，给出了关键信息基础设施安全指标体系设计的指标框架和评价方法。本标准主要用于评估中国关键信息基础设施的安全现状，包括建设、运行和面临的威胁。为政府管理的关键信息基础设施情况判断和宏观决策提供支持；为重点信息基础设施运营单位和管理部门的信息安全工作提供参考。本标准的主要框架如下：前言介绍1范围2规范性参考文件3术语和定义4指标体系5索引解释附录A(规范性附录)指标测量流程参考该标准的主要贡献如下：1.阐明标准的目标读者以及他们可能感兴趣的内容需要指出的是，该标准主要由三个相互关联的部分组成：第一部分包括第1-3节，描述了该标准的范围以及所使用的术语和定义，并解释了关键信息基础设施、关键信息基础设施安全保证、关键信息基础设施安全保证评估等概念。第二部分是第4节，详细描述了关键信息基础设施安全保障指标体系的体系框架和指标。第三部分包括第五节和附录a，给出了关键信息基础设施安全保障指标体系各具体指标的衡量标准和量化方法，保证了体系的可操作性。2.给出了关键信息基础设施的概念关键信息基础设施是指关系到国家安全、国民经济和人民生活的信息设施，一旦数据被泄露、破坏或失去功能，可能会严重危及国家安全和公共利益。中华人民共和国网络安全法规定，国家将在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的网络安全等级保护体系的基础上，以及其他一旦遭到破坏、功能丧失或数据泄露，可能严重危及国家安全、国计民生和公共利益的关键信息基础设施的基础上，实施重点保护。重点信息基础设施的具体范围和安全保护措施由国务院制定。国家网络空间安全战略规定，国家重点信息基础设施是指涉及国家安全、国民经济和人民生活，在数据泄露、损坏或功能丧失时可能严重危害国家安全和公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络、能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公共事业等领域的重要信息系统以及重要的互联网应用系统。3.指出关键信息基础设施的安全评估是围绕三个维度进行的关键信息基础设施的安全评估围绕建设、运行能力和安全态势三个维度进行，并根据关键信息基础设施的安全对象和内容进行分析和分解。一级指标包括战略安全指标、管理安全指标、安全防护指标、安全监控指标、应急响应指标、信息对策指标、威胁指标、隐患指标和事件指标。4.给出了指标测量的一般过程关键信息基础设施安全保障指标测量的一般过程描述了指标如何根据测量对象的相关属性建立基本度量，通过应用相应的测量方法获得测量值，通过分析模型将测量值转化为指标值，最后将指标值应用到保障指标体系中。关