信息安全技术,关键信息基础设施边界确定方法编制说明

　国家标准《信息安全技术 关键信息基础设施 边界确定方法》（征求意见稿）

　编制说明 一、工作简况

　1.1

　任务 来源

　根据全国信息安全标准化技术委员会2019年标准制修订计划的安排，由国家信息技术安全研究中心负责主办国家标准《信息安全技术

　关键信息基础设施边界确定方法》的制定任务，该标准目前尚未有国标计划号。

　1.2 主要 起草单位和工作组成员

　国家信息技术安全研究中心主要负责起草，协作起草单位：国家能源局信息中心、中国移动通信集团有限公司、交通运输信息安全中心有限公司、华为技术有限公司、腾讯云技术（北京）有限责任公司、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心、阿里云计算有限公司、中国网络安全审查技术与认证中心、中国电子技术标准化研究院、浙江蚂蚁小微金融服务集团股份有限公司、中国互联网络信息中心、中电长城网际系统应用有限公司、中国信息安全测评中心、国家能源集团神华信息技术公司、中国信息通信研究院、中电数据服务有限公司、阿里巴巴（北京）软件服务有限公司。

　1.3 主要 工作过程

　标准制定的主要工作过程如下：

　1 1 ）成立编制组，提出技术方案

　2016 年 6 月，中央网信办以国家信息技术安全研究中心、中国互联网络信息中心、国家计算机网络应急技术处理协调中心、国家工业信息安全发展研究中心和中国信息安全测评中心为班底，组建国家关键信息基础设施安全检查办公室（以下简称检查办）。时年，为指导行业、地方开展关键信息基础设施检查工作，检查办组织力量开展关键信息基础设施边界识别研究，关键信息基础设施边界识别编制组正式成立。编制组在国内外相关工作基础之上，结合我国关键信息基础设施保护工作实际，先后制定了《关键信息基础设施边界识别方法》、《关键信息基础设施边界识别流程》和《关键信息基础设施保护基线》等文件。2017 年

　底，编制组对上述三个文件进一步整理、提炼，正式提出“基于业务信息流识别关键信息基础设施边界”的方法。

　2 ）实践验证、完善方案 2017-2018 年，在中央网信办指导下，云南网信办组织开展“省域关键信息基础设施综合试点”项目，对“基于业务信息流识别关键信息基础设施边界”的方案进行了实践和专家评审，编制组根据实践结果和专家意见对方案进行了修改、完善。

　3 3 ）提交标准申报材料、形成标准草案

　2018 年 12 月，国家能源局信息中心、交通运输信息安全中心有限公司、中国移动通信集团有限公司、华为技术有限公司、腾讯云技术（北京）有限责任公司、阿里云计算有限公司、中国网络安全审查技术与认证中心、浙江蚂蚁小微金融服务集团股份有限公司、中电长城网际系统应用有限公司、国家能源集团神华信息技术公司、中国信息通信研究院、中电数据服务有限公司、阿里巴巴（北京）软件服务有限公司以及中国电子技术标准化研究院等方案进一步研讨、修订，形成标准草案。2019 年 1 月申请国家标准，2019 年 4 月在宁波第一次信安标委会议周上被 WG7 工作组建议立项，2019 年 8 月被信安标委批准正式立项。

　2019 年 10 月 9 日，牵头单位组织召开专家评审会，编制组根据专家意见，进一步优化标准框架。

　2020 年 3 月 10 日，牵头单位通过线上的方式，征求编制组对标准文本的意见，处理外部专家对标准提出的修改建议，形成最新标准文本。

　2020 年 4 月 30 日，牵头单位对信安标委秘书处反馈的修改意见进行处理、答复。

　4 4 ）

　形成标准征求意见稿

　2020 年 5 月 12 日-5 月 15 日，WG7 召开 2020 年第一次全体会议，共有 184家成员单位的 211 名代表参加了本次会议，会议建议《信息安全技术 关键信息基础边界确定方法》形成征求意见稿。

　2020 年 6 月 17 日，WG7 召开标准征求意见稿审查会，共有 6 个单位 6 位专家参加会议，参会专家同意通过对该项标准的审查，建议标准编制组根据本次会议的意见修改后提交齐套公开征求意见的标准材料。

　二、 标准编制原则和确定主要内容的论据及解决的主要问题

　本标准在编制过程中遵循了先进性和合理性原则。

　先进性原则体现在充分借鉴国内外研究成果。本标准主要参考了美国《识别国家级别的关键基础设施和关键资源指南》、欧盟《关键基础设施资产和服务识别方法》，以及我国《关键信息基础设施边界识别方法》、《关键信息基础设施边界识别流程》和《关键信息基础设施保护基线》。

　合理性原则体现在方案得到了实际应用和验证。根据《中华人民共和国网络安全法》相关规定，在 2016 年国家检查办工作基础之上，基于业务信息流识别关键信息基础设施边界的技术方案经过三年实践、验证、完善：2017-2018 年，云南网信办组织开展“省域关键信息基础设施综合试点”，对方进行实际应用、验证、修改、完善；2018 年信安标委秘书处组织开展《信息安全技术 关键信息基础设施检查评估指南》试点工作，对方案进一步完善。

　近年来，保障关键信息基础设施持续、稳定运行已经成为我国网络安全工作的重中之重，识别关键信息基础设施成为关键信息基础设施保护工作的基础环节。目前制定中的关键信息基础设施国家标准有四个，分别是：《信息安全技术 关键信息基础设施保护要求》、《信息安全技术 关键信息基础设施控制措施》、《信息安全技术 关键信息基础设施检查评估指南》、《信息安全技术 关键信息基础设施安全保障指标体系》。四者分别从基础保护、安全控制、检查评估等方面进行了规范。但我国在关键信息基础设施边界识别方面还没有形成相应的具体规定，缺乏相应标准，导致关键信息基础设施边界识别工作存在一定乱象,检测、监测、设备审查的范围存在主观扩大、缩小甚至随意指定的现象，关键信息基础设施边界识别工作亟待规范。

　三 、 主要试验 [ [ 或验证] ] 情况分析 标准编制组在编制过程中，广泛听取能源、交通、金融、电信等领域专家和企业的意见。

　2016 年，国家关键信息基础设施检查办公室在国内外研究基础之上提出“基于业务信息流识别关键信息基础设施边界”的技术方案，并根据全国摸底大检查的实际情况，对方案进行修改、完善。

　2017-2018 年，在中央网信办指导下，云南网信办组织开展“省域关键信息

　基础设施综合试点”，对方进行实际应用、验证、修改、完善。

　四、知识产权情况说明

　本标准不涉及专利。

　五、 产业化情况、推广应用论证和预期达到的经济效果

　无。

　六、 采用国际标准和国外先进标准情况

　本标准主要参考了美国《识别国家级别的关键基础设施和关键资源指南》和欧盟《关键基础设施资产和服务识别方法》。

　七、 与现行相关法律、法规、规章及相关标准的协调性 本标准为落实《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》等相关要求，本标准符合现有法律法规的要求。与相关标准的关系：本标准作为识别认定类标准，用于识别关键信息基础设施边界，明确保护对象、确定保护范围，是所有关键信息基础设施安全标准得以实施的基础。

　八、 重大分歧意见的处理经过和依据

　无。

　九、标准性质的建议

　根据本标准的性质，建议本标准为推荐性标准。

　十、 贯彻标准的要求和措施建议

　本标准描述了关键信息基础设施形态组成和关键信息基础设施边界识别方法，给出了关键信息基础设施边界识别模型，提出了关键信息基础设施边界识别原则、流程，为开展关键信息基础设施边界识别工作提供一种方法性指南。本标准适用于关键信息基础设施运营者识别关键信息基础设施边界。因此，本标准贯彻实施时，应加强宣贯培训。

　十一、替代或 废止现行相关标准的建议

　无。

　十二、 其它应予说明的事项

　无。

　 《信息安全技术

　关键信息基础设施边界确定方法》编制工作组

　2020-7-1

相关热词搜索：边界 信息安全 基础设施