信安标委发布两关于信息安全技术标准征求意见稿

首页 / 业界 / 政策 /  正文
来源:全国信息安全标准化技术委员会
发布于:2020-08-11
8月10日,全国信息安全标准化技术委员会发布《信息安全技术关键信息基础设施安全防护能力评价方法》(以下简称能力评价方法)和《信息安全技术关键信息基础设施边界确定方法》(以下简称边界确定方法)2项国家标准征求意见稿。

其中,《能力评价方法》明确定义关键信息基础设施安全防护能力评价包括:能力域级别评价、等级保护测评和密码测评三部分。



《能力评价方法》符合现有法律法规的要求,在现有国家标准项目《关键信息基础设施网络安全保护基本要求》和《关键信息基础设施安全控制措施》基础上制定,融合了与关键信息基础设施安全防护能力密切相关的《网络安全等级保护基本要求》中的部分条款作为评价内容,作为关键信息基础设施安全防护能力的一部分。

该标准描述了关键信息基础设施安全防护能力评价模型,给出了能力评价方法。
适用于关键信息基础设施运营者对自身安全能力进行评价,也可适用于网络安全服务机构对关键信息基础设施运营者安全能力进行评价。
适用于对关键信息基础设施运营者的安全管理,也可供关键信息基础设施保护工作部门和关键信息基础设施安全保护的其他参与者参考。

关键信息基础设施安全防护能力评价前,关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。

然后,组织应按照评价内容和评价操作方法开展评价工作,给出对每项评价指标的判定结果和所处级别,得出每个能力域级别,综合5个能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别。


通过关键业务基础情况梳理,明确关键业务运行框架、组织结构、业务特征、业务范围等信息;

通过关键业务信息化情况梳理,厘清关键业务信息化建设、信息化管理、信息化运维等信息,明确关键业务信息的种类和作用;

通过CII元素梳理,分析关键业务信息(CBI)整个生存周期内的流动轨迹(CBIF),梳理CBIF上的网络设施、信息系统,确定CII候选元素;

通过关键性评估,分析CII候选元素对关键业务重要程度,一旦遭到攻击、丧失功能或者数据泄露会严重危害关键业务持续、稳定运行的网络设施、信息系统列为CII元素;

最后,根据关键业务运行框架等基础信息,明确CII元素分布、部署情况,确定CII边界。