关键信息基础设施确定指南(试行)
附件1
关键信息基础设施确定指南
(试行)
一、什么是关键信息基础设施
关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施
关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类
符合以下条件之一的,可认定为关键信息基础设施:
1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:
(1)影响超过100万人工作、生活;
(2)影响单个地市级行政区30%以上人口的工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6)严重损害政府形象、社会秩序,或危害国家安全。
5. 其他应该认定为关键信息基础设施。
B.平台类
符合以下条件之一的,可认定为关键信息基础设施:
1. 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。
2. 日均成交订单额或交易额超过1000万元。
3. 一旦发生网络安全事故,可能造成以下影响之一的:
(1)造成1000万元以上的直接经济损失;
(2)直接影响超过1000万人工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
C.生产业务类
符合以下条件之一的,可认定为关键信息基础设施:
1. 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相
关的城市管理系统。
2. 规模超过1500个标准机架的数据中心。
3. 一旦发生安全事故,可能造成以下影响之一的:
(1)影响单个地市级行政区30%以上人口的工作、生活;
(2)影响10万人用水、用电、用气、用油、取暖或交通出行等;
(3)导致5人以上死亡或50人以上重伤;
(4)直接造成5000万元以上经济损失;
(5)造成超过100万人个人信息泄露;
(6)造成大量机构、企业敏感信息泄露;
(7)造成大量地理、人口、资源等国家基础数据泄露;
(8)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
关键信息基础设施安全保护应把握几个要点
关键信息基础设施安全保护应把握几个要点 (来源:《中国信息安全》2017年第8期,作者:闫晓丽) 关键信息基础设施是国家的重要资产,《网络安全法》明确规定要对其实行重点保护。为落实法律要求,2017年7月10日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,划定了关键信息基础设施的保护范围,明确了各相关部门的安全保护职责,规定了安全保护的基本制度。对关键信息基础设施进行安全保护是各国通行的做法,美欧很早就建立了相关制度,采取了一系列措施,形成了一定的做法和经验。当前,我国正加快构建关键信息基础设施安全保护体系,应把握好几个要点。 一、界定关键信息基础设施概念 这是对关键信息基础设施进行安全保护的前提。国际上有关键基础设施和关键信息基础设施两个概念。关键基础设施是指对国家至关重要的系统和资产,一旦遭受破坏或毁灭,将对国家安全、经济命脉、公民的健康安全等造成严重损害,如2001年美国《爱国者法》和2004年欧盟《保护关键基础设施打击恐怖主义》的规定。关键信息基础设施是指对关键基础设施自身至关重要或者其运行必不可少的信息通信系统,这些系统处理、接收、存储电子信息,如2011年美国国土安全部《安全网络未来蓝图:国土安全企业网络安全战略》和2005年《欧盟关键基础设施保护项目绿皮书》的规定。近年来,随着信息技术的普及和广泛应用,关键基础设施保护重点从物理保护转向网络安全保护,关键基础设施和关键信息基础设施之间的界限日益模糊。我国《关键信息基础设施安全保护条例(征求意见稿)》采用关键信息基础设施的概念,是符合这一趋势的。 二、明确关键信息基础设施具体范畴
关键信息基础设施确定指南(试行)
附件1 关键信息基础设施确定指南 (试行) 一、什么是关键信息基础设施 关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。 关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。 二、如何确定关键信息基础设施 关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认
定关键信息基础设施。 (一)确定本地区、本部门、本行业的关键业务。 可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。 根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。 (三)认定关键信息基础设施。 对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。 A.网站类 符合以下条件之一的,可认定为关键信息基础设施: 1. 县级(含)以上党政机关网站。 2. 重点新闻网站。 3. 日均访问量超过100万人次的网站。 4. 一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地市级行政区30%以上人口的工作、生
关键信息基础设施确定指南(试行稿)
关键信息基础设施确定指南 (试行) 一、什么是关键信息基础设施 关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。 关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。 二、如何确定关键信息基础设施 关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。 (一)确定本地区、本部门、本行业的关键业务。 可参考下表,结合本地区、本部门、本行业实际梳理关
键业务。
(二)确定关键业务相关的信息系统或工业控制系统。 根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。 (三)认定关键信息基础设施。 对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。 A.网站类 符合以下条件之一的,可认定为关键信息基础设施: 1. 县级(含)以上党政机关网站。 2. 重点新闻网站。 3. 日均访问量超过100万人次的网站。 4. 一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地市级行政区30%以上人口的工作、生活; (3)造成超过100万人个人信息泄露; (4)造成大量机构、企业敏感信息泄露;
关键信息基础设施
关键信息基础设施的概念及关键性 目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施 (CII)的关系问题。在对CII的研究中发现,国际社会虽然对 CI有着基本的共识,但对CII的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的范围也随之不断扩大。 1.国际社会CI与CII的相关概念 (1)关键基础设施相关概念 国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。 1.美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。 2.欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。 4.德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中 IT部分的总和。 5.荷兰明确规定,对于社会不可或缺的,其损坏速度造成全国性紧急状 态,或者会在更长时间内对社会产生不良影响的基础设施,为CI 0 6.英国将关键国家基础设施(CNI )界定为由不间断向国家提供基本服务来说不可
关键信息基础设施
关键信息基础设施
关键信息基础设施的概念及关键性 目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施(CII)的关系问题。在对CII的研究中发现,国际社会虽然对CI有着基本的共识,但对CII的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的范围也随之不断扩大。 1. 国际社会CI与CII的相关概念 (1)关键基础设施相关概念 国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。 1. 美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。 2. 欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。 4. 德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中IT部分的总和。 5. 荷兰明确规定,对于社会不可或缺的,其损坏速度造成全国性紧急状态,或者会在更长时间内对社会产生不良影响的基础设施,为CI。
关键信息基础设施,安全保护条例
关键信息基础设施安全保护条例 (征求意见稿) 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。 县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。 第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。 第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。 收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密,保护举报人的合法权益。 第二章支持与保障
第八条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动。 第九条国家制定产业、财税、金融、人才等政策,支持关键信息基础设施安全相关的技术、产品、服务创新,推广安全可信的网络产品和服务,培养和选拔网络安全人才,提高关键信息基础设施的安全水平。 第十条国家建立和完善网络安全标准体系,利用标准指导、规范关键信息基础设施安全保护工作。 第十一条地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划,加大投入,开展工作绩效考核评价。 第十二条国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。 第十三条国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员,编制并组织实施本行业、本领域的网络安全规划,建立健全工作经费保障机制并督促落实。 第十四条能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。 第十五条公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。 第十六条任何个人和组织不得从事下列危害关键信息基础设施的活动和行为: (一)攻击、侵入、干扰、破坏关键信息基础设施; (二)非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息; (三)未经授权对关键信息基础设施开展渗透性、攻击性扫描探测; (四)明知他人从事危害关键信息基础设施安全的活动,仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助; (五)其他危害关键信息基础设施的活动和行为。 第十七条国家立足开放环境维护网络安全,积极开展关键信息基础设施安全领域的国际交流与合作。 第三章关键信息基础设施范围
关键信息基础设施的概念及关键性研究.
关键信息基础设施的概念及关键性研究 2015年07月23日10:15 来源:中国经济网 [打印本稿] [字号大中小] [手机看新闻] 目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施(CII)的关系问题。在对CII的研究中发现,国际社会虽然对CI有着基本的共识,但对CII 的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的范围也随之不断扩大。 1. 国际社会CI与CII的相关概念 (1)关键基础设施相关概念 国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。 1. 美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。 2. 欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。 4. 德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中IT部分的总和。
关键信息基础设施安全保护条例
编订:__________________ 单位:__________________ 时间:__________________ 关键信息基础设施安全保 护条例 Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8673-41 关键信息基础设施安全保护条例 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家网信部门负责统筹协调关键信息基础设施安
全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。 县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。 第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。 第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。 收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
信息安全技术关键信息基础设施安全检查评价指引全国信息安全
国家标准《信息安全技术关键信息基础设施安全检 查评估指南》编制说明 一、工作简况 1.1任务来源 根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。 为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信息安全标准化技术委员会于2016年立项《信息安全技术关键信息基础设施安全检查评估指南》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术关键信息基础设施安全检查评估指南>国家标准制定》委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为WG7 组重点标准。 《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。 1.2主要工作过程 2017年1月至3月,《信息安全技术关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。 2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论。
信息安全技术关键信息基础设施安全控制措施
国家标准《信息安全技术关键信息基础设施安全控制措施》(征求意见稿)编制说明 一、工作简况 1.1 任务来源 当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网络安全防控能力薄弱,难以有效应对网络攻击,《网络安全法》《国家网络空间安全战略》等提出建立关键信息基础设施安全保护制度。根据国务院的要求,国家网信部门已会同有关部门起草了《关键信息基础设施安全保护条例》,目前正在征求意见。该条例明确了关键信息基础设施的具体范围,并提出了进一步的安全保护要求。但是,用于指导具体保护工作的标准体系尚不完善,亟需配套标准支撑。此外,我国正在推进全国关键信息基础设施网络安全检查工作,关键信息基础设施运营者等也需要相关技术标准作为指导。 基于对《网络安全法》及相关法律法规要求的细化落实,围绕上述目标,结合目前已经开展的关键信息基础设施网络安全保护,全国信息安全标准化委员会组织开展了系列标准的制定,包括《信息安全技术关键信息基础设施网络安全框架》《信息安全技术关键信息基础设施网络安全保护基本要求》《信息安全技术关键信息基础设施安全控制措施》《信息安全技术关键信息基础设施安全检查评估指南》《信息安全技术关键信息基础设施安全保障指标体系》等。其中,本标准作为《信息安全技术关键信息基础设施网络安全保护基本要求》的配套标准,根据要求提出相应控制措施,运营者开展安全保护工作时可在该标准中选取适用的控制措施。 2017年4月,本标准在全国信息安全标准化技术委员会第一次工作组“会议周”期间通过立项,由中国信息安全研究院有限公司牵头负责。2017年10月,在全国信息安全标准化技术委员会第二次工作组“会议周”进行汇报并通过会议决议可以进入征求意见阶段,建议将标题修改为《信息安全技术关键信息基础设施安全控制措施》。会后,编制组根据标准周答辩专家意见对标准草案进分修
关键信息基础设施网络安全检查总结报告
关键信息基础设施网络安全检查总结报 告XX 关键信息基础设施网络安全检查总结报告XX 根据**市网络与信息安全协调小组印发《**市20**年网络与信息安全检查方案》要求,结合实际,认真对我市信息系统安 全进行了检查,现将检查情况报告如下: 一、网络与信息安全状况总体评价 今年来,市、局高度重视信息安全工作,把信息安全 工作列入重要议事日程,为规范信息公开工作,落实好信息 安全的相关规定,成立了信息安全工作领导小组,落实了管 理机构,由专门的信息化公室负责信息安全的日常管理工作, 明确了信息安全的主管领导、分管领导和具体管理人员。 相继建立健全了日常信息管理、信息安全防护管理等 相关工作制度,加强了信息安全教育工作,信息安全工作领 导小组定期或不定期地对我市信息安全工作进行检查,对查 找出的问题及时进行整改,进一步规范了信息安全工作,确 保了信息安全工作的有效开展,全市信息安全工作取得了新 进展。 二、20**年网络与信息安全主要工作情况 (一)加强领导,明确职责,抓好网络与信息安全组织 管理工作。为规范、加强信息安全工作,市领导高度重视, 把该项工作列为重点工作任务,成立了由主管市长为组长,
分管信息工作的局级领导为副组长,各相关市直单位为成员 的信息安全工作领导小组。做到了分工明确,责任到人,形 成了主管领导负总责,具体管理人负主责,分级管理,一级 抓一级,层层抓落实的领导体制和工作机制,切实把信息安 全工作落到实处。 (二)做好网络与信息安全日常管理工作。根据工作实 际,我局建立健全了信息系统安全状况自查制度、信息系统 安全责任制、计算机及网络保密管理等相关制度,使信息安 全工作进一步规范化和制度化。 (三)落实好网络与信息安全防护管理。健全完善了非 涉密计算机保密管理制度、非涉密移动储存介质保密等管理 制度。在计算机上安装了防火墙,同时配置安装了专业杀毒 软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密 等方面的有效性。网络终端没有违规上国际互联网及其他的 信息网的现象,单位未安装无线网络等无线设备,并安装了 针对移动存储设备的专业杀毒软件。 (四)制定信息安全应急管理机制。结合实际,我市初 步建立应急预案,建立了电子公文和信息报送办理制度(试行)和电子公文和信息报送岗位责任制,严格文件的收发, 完善了清点、修理、编号、签收制度;信息管理员及时对系统和软件进行更新,对重要文件、信息资源做到及时备份, 数据恢复。
关键信息基础设施安全保护条例
编号:SM-ZD-88431 关键信息基础设施安全保 护条例 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:____________________ 审核:____________________ 批准:____________________ 本文档下载后可任意修改
关键信息基础设施安全保护条例 简介:该制度资料适用于公司或组织通过程序化、标准化的流程约定,达成上下级或不同的人员之间形成统一的行动方针,从而协调行动,增强主动性,减少盲目性,使工作有条不紊地进行。文档可直接下载或修改,使用时请详细阅读内容。 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责
关键信息基础设施
For personal use only in study and research; not for commercial use 螁关键信息基础设施的概念及关键性 蒈目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施(CII)的关系问题。在对CII的研究中发现,国际社会虽然对CI有着基本的共识,但对CII的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的范围也随之不断扩大。 膆1.国际社会CI与CII的相关概念 蒃(1)关键基础设施相关概念 袁国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键 性在于关系国计民生,为社会提供不可缺少的产品和服务。
衿1.美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。 蚄2.欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。 节4.德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中IT部分的总和。 羁5.荷兰明确规定,对于社会不可或缺的,其损坏速度造成全国性紧急状态, 或者会在更长时间内对社会产生不良影响的基础设施,为CI。 羆6.英国将关键国家基础设施(CNI )界定为由不间断向国家提供基本服务来说不可或缺的关键元素组成的国家基础设施。没有这些元素,就不能提供基本服务,英国将遭受严重的经济损害、巨大的社会破坏乃至严重的生命威胁。 莆虽然国际社会对CI中的关键性有着基本的共识,但由于其难以量化的特性, 在具体实施认定层面中还是出现了大量的分歧。 (2)国际社会CII相关概念
《网络安全法》解读系列之四——关键信息基础设施安全要求
《网络安全法》解读系列之四--关键信息基础设施安全要求 本系列针对关键信息基础设施安全条款和法律责任加以解读。这部分条款,提出了关键信息基础设施的范围,明确了与网络安全等级保护制度的关系,规定了关键信息基础设施保护的主要内容,以及在数据留存和提供方面的要求。 【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。解读 本条款定义了关键信息基础设施的范围,强调了必须落实网络安全等级保护制度,并进行重点保护。国务院将制定相应的关键信息基础设施安全保护办法。 【第三十二条】 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。 解读 本条款说明了要制定关键信息基础设施安全规划,和谁来负责制定规划。
【第三十三条】 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。 解读: 本条款说明了如何建设关键信息基础设施,强调了安全技术实施的三同步原则。 适用法律责任:【第五十九条】 【第三十四条】 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务: (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练; (五)法律、行政法规规定的其他义务。 解读: 本条款规定了关键信息基础设施的保护要求高于第二十一条的网络安全等级保护制度要求;同时强调了背景审查、教育培训和考核、容灾备份、应急预案和演练。 适用法律责任:【第五十九条】 【第三十五条】 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
关键信息基础设施认定指南
关键信息基础设施认定指南 一、什么是关键信息基础设施 关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。 关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、广播电视播控系统等。 二、如何确定关键信息基础设施 关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。 (一)确定本地区、本部门、本行业的关键业务 可参考下表,结合本地区、本部门、本行业实际梳理关键
(二)确定关键业务相关的信息系统或工业控制系统 根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息
系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。 (三)认定关键信息基础设施 对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。 A.网站类 符合以下条件之一的,可认定为关键信息基础设施: 1.县级(含)以上党政机关网站。 2.所有新闻网站。 3.日均访问量超过100万人次的网站。 4.一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地市级行政区30%以上人口的工作、生活; (3)造成超过100万人个人信息泄露; (4)造成大量机构、企业敏感信息泄露; (5)造成大量地理、人口、资源等国家基础数据泄露; (6)严重损害政府形象、社会秩序,或危害国家安全。 5.其他应该认定为关键信息基础设施。 B.平台类 符合以下条件之一的,可认定为关键信息基础设施: 1.注册用户数超过1000万,或活跃用户(每日至少登录一次)数超过100万。 2.日均成交订单额或交易额超过1000万元。 3.一旦发生网络安全事故,可能造成以下影响之一的: (1)造成1000万元以上的直接经济损失; (2)直接影响超过1000万人工作、生活;
关键信息基础设施的概念及关键性研究
关键信息基础设施的概念及关键性研究
————————————————————————————————作者: ————————————————————————————————日期:
关键信息基础设施的概念及关键性研究 2015年07月23日10:15来源:中国经济网 [打印本稿] [字号大中小] [手机看新闻] 目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施(CII)的关系问题。在对CII的研究中发现,国际社会虽然对CI有着基本的共识,但对CII 的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的范围也随之不断扩大。 1.国际社会CI与CII的相关概念 (1)关键基础设施相关概念 国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。 1.美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。 2. 欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI 保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。 4. 德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中IT部分的总和。
关键信息基础设施安全保护条例(新编版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 关键信息基础设施安全保护条 例(新编版) Safety management is an important part of production management. Safety and production are in the implementation process
关键信息基础设施安全保护条例(新编版) 第一章总则 第一条为了保障关键信息基础设施安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施,以及开展关键信息基础设施的安全保护,适用本条例。 第三条关键信息基础设施安全保护坚持顶层设计、整体防护,统筹协调、分工负责的原则,充分发挥运营主体作用,社会各方积极参与,共同保护关键信息基础设施安全。 第四条国家行业主管或监管部门按照国务院规定的职责分工,负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。 国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、
国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。 县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。 第五条关键信息基础设施的运营者(以下称运营者)对本单位关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会责任。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 第六条关键信息基础设施在网络安全等级保护制度基础上,实行重点保护。 第七条任何个人和组织发现危害关键信息基础设施安全的行为,有权向网信、电信、公安等部门以及行业主管或监管部门举报。 收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 有关部门应当对举报人的相关信息予以保密,保护举报人的合
关键信息基础设施认定办法 登记表 自查表
资料1 关键信息基础设施确定指南 (试行) 一、什么是关键信息基础设施 关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。 关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。 二、如何确定关键信息基础设施 关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。 (一)确定本地区、本部门、本行业的关键业务。
可参考下表,结合本地区、本部门、本行业实际梳理关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。 根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。 (三)认定关键信息基础设施。 对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。 A.网站类 符合以下条件之一的,可认定为关键信息基础设施: 1. 县级(含)以上党政机关网站。 2. 重点新闻网站。 3. 日均访问量超过100万人次的网站。 4. 一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地市级行政区30%以上人口的工作、生活; (3)造成超过100万人个人信息泄露;
关键信息基础设施
关键信息基础设施 一、简单介绍 目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施(CII)的关系问题。在对CII的研究中发现,国际社会虽然对CI 有着基本的共识,但对CII的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的围也随之不断扩大。 二、关键基础设施相关概念 国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。 1.国际社会CI相关概念 a. 美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国
家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。 b. 欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。 c. 德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中IT部分的总和。 d. 荷兰明确规定,对于社会不可或缺的,其损坏速度造成全国性紧急状态,或者会在更长时间对社会产生不良影响的基础设施,为CI。 e. 英国将关键国家基础设施(CNI)界定为由不间断向国家提供基本服务来说不可或缺的关键元素组成的国家基础设施。没有这些元素,就不能提供基本服务,英国将遭受严重的经济损害、巨大的社会破坏乃至严重的生命威胁。
《网络安全法》解读系列之四——关键信息基础设施安全要求
网络安全法》解读系列之四--关键信息基础设施安全要求本系列针对关键信息基础设施安全条款和法律责任加以解读。这部分条款,提出了关键信息基础设施的范围,明确了与网络安全等级保护制度的关系,规定了关键信息基础设施保护的主要内容,以及在数据留存和提供方面的要求。 【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。 解读 本条款定义了关键信息基础设施的范围,强调了必须落实网络安全等级保护制度,并进行重点保护。国务院将制定相应的关键信息基础设施安全保护办法。 【第三十二条】 按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并 组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。 解读 本条款说明了要制定关键信息基础设施安全规划,和谁来负责制定规划。
【第三十三条】建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。 解读: 本条款说明了如何建设关键信息基础设施,强调了安全技术实施的三同步原则。适用法律责任:【第五十九条】 【第三十四条】除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期进行演练; (五)法律、行政法规规定的其他义务。 解读:本条款规定了关键信息基础设施的保护要求高于第二十一条的网络安全等级保护制度要求;同时强调了背景审查、教育培训和考核、容灾备份、应急预案和演练。 适用法律责任:【第五十九条】 【第三十五条】关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国 家网信部门会同国务院有关部门组织的国家安全审查。 解读 本条款规定了采购网络产品和服务的非常态的国家安全审查要求。 适用法律责任:【第六十五条】 【第三十六条】
- 关键信息基础设施确定范围方案
- 关键信息基础设施确定步骤+关键信息基础设施使用手册
- 关键信息基础设施确定等附件-山西水利厅
- 关键信息基础设施网络安全检查总结报告(20200422123304)
- 关键信息基础设施定义
- 关键信息基础设施安全保护条例
- 关键信息基础设施定义
- 关键信息基础设施
- 关键信息基础设施确定指引
- 关键信息基础设施安全保护条例实用版
- (完整word版)关键信息基础设施确定指南(试行)
- 关键信息基础设施
- 关键信息基础设施确定指南(试行稿)
- 关键信息基础设施安全保护条例
- 关键信息基础设施
- 关键信息基础设施的概念及关键性研究.
- 关键信息基础设施定义
- 关键信息基础设施确定指南(试行)
- 关键信息基础设施确定指南
- 关键信息基础设施确定指南(试行稿)