信息安全技术关键信息基础设施网络安全保护基本要求报批稿【2019.11.5】.pdf
《信息安全技术关键信息基础设施网络安全保护基本要求报批稿【2019.11.5】.pdf》由会员分享,可在线阅读,更多相关《信息安全技术关键信息基础设施网络安全保护基本要求报批稿【2019.11.5】.pdf(16页珍藏版)》请在启牛文库网上搜索。
1、ICS 35.040 L80 中 华 人 民 共 和 国 国 家 标 准中 华 人 民 共 和 国 国 家 标 准 GB/T XXXXXXXXX 信息安全技术 关键信息基础设施网络安全保护基本要求 Information security technology-Basic requirements for cybersecurity protection of critical information infrastructure (报批稿)(本稿完成日期:2019-11-05)XXXX-XX-XX 发布 XXXX-XX-XX 实施 GB/T XXXXXXXXX I 目 次 前言.II 引言.
2、III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 安全保护基本原则.1 5 主要环节及活动.2 6 识别认定.2 6.1 业务识别.3 6.2 资产识别.3 6.3 风险分析.3 6.4 重大变更.3 7 安全防护.3 7.1 网络安全等级保护制度.3 7.2 安全管理制度.3 7.3 安全管理机构.4 7.4 安全管理人员.4 7.5 安全通信网络.4 7.6 安全计算环境.5 7.7 安全建设管理.5 7.8 安全运维管理.6 8 检测评估.6 8.1 检测评估制度.6 8.2 检测评估方式和内容.6 9 监测预警.7 9.1 监测预警制度.7 9.2 监测.7 9.3
3、 预警.7 10 事件处置.8 10.1 事件管理制度.8 10.2 应急预案.8 10.3 响应和处置.8 10.4 重新评估.9 参考文献 .10 GB/T XXXXXXXXX II 前 言 本标准按照GB/T 1.1-2009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:北京赛西科技发展有限责任公司、中国电子技术标准化研究院、中国信息安全测评中心、国家信息技术安全研究中心、国家互联网应急中心、公安部信息安全等级保护评估中心、公安部第一研究所、国家工业信息安全发展研究中心、中国信息安全认证中心
4、、中国互联网域名中心等。本标准主要起草人:杨建军、姚相振、王惠莅、陈亮、宋璟、孙晓丽、周亚超、任卫红、孙军、袁静、张新跃、任泽君等。GB/T XXXXXXXXX III 引 言 为落实中华人民共和国网络安全法关于保护关键信息基础设施运行安全的要求,在国家网络安全等级保护制度基础上,充分借鉴我国相关部门在重要领域开展网络安全审查、网络安全检查等重点工作的成熟经验,充分吸纳国外在关键基础设施安全保护方面的成功举措,结合我国现有信息安全保障体系等成果,从识别认定、安全防护、检测评估、监测预警、事件处置等环节,提出关键信息基础设施网络安全保护基本要求,采取一切必要措施保护关键信息基础设施业务连续运行,
5、及其重要数据不受破坏,切实加强关键信息基础设施安全保护。GB/T XXXXXXXXX 1 信息安全技术 关键信息基础设施网络安全保护基本要求 1 范围 本标准规定了关键信息基础设施识别认定、安全防护、检测评估、监测预警、事件处置等环节的基本要求。本标准用于关键信息基础设施的规划设计、开发建设、运行维护、退役废弃等阶段的安全保护工作,主要适用于关键信息基础设施运营者,也可供关键信息基础设施安全保护工作部门和关键信息基础设施安全保护的其他参与者参考。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所
6、有的修改单)适用于本文件。GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T AAAA-AAAAA 信息安全技术 关键信息基础设施安全控制措施 3 术语和定义 GB/T 25069、GB/T 20984 中界定的以及下列术语和定义适用于本文件。3.1 关键信息基础设施 critical information infrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能
7、严重危害国家安全、国计民生、公共利益的信息设施。4 安全保护基本原则 关键信息基础设施的安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则,建立网络安全综合防御体系。重点保护是指关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及GB/T 22239-2019等标准相关要求,在此基础上加强关键信息基础设施关键业务的安全保护。整体防护是指基于关键信息基础设施承载的业务,对业务所涉及的多个网络和信息系统(含工业控制系统)等进行全面防护。动态风控是指以风险管理为指导思想,根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整,以及时有效的防范应对安全风险。GB/T XXXX
8、XXXXX 2 协同参与是指关键信息基础设施安全保护所涉及的利益相关方,共同参与关键信息基础设施的安全保护工作。5 主要环节及活动 本标准所指的关键信息基础设施运营者(以下简称运营者)负责关键信息基础设施的运行、管理,对本组织关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节。图1所示为一般情况下的环节之间的关系图,当关键信息基础设施运行时,根据实际情况环节之间的关系有所变动。图 1 关键信息基础设施网络安全保护各环节关系图 a)识别认定:运营者配合保护工作部门,按照相
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2019.11.5