ICS
中 华 人 民 共 和 国 国 家 标 准
GB/T XXXXX—XXXX
信息安全技术
关键信息基础设施网络安全框架
Information security technology
Framework For Critical Information Infrastructure Protection
点击此处添加与国际标准一致性程度的标识
文稿版次选择
2016-07
XXXX - XX - XX 发布
XXXX - XX - XX 实施
GB/T XXXXX—XXXX
目 次
前言…………………………………………………………………………………………………….II
1 范围…………………………………………………………………………………………………..1
2 规范性引用文件……………………………………………………………………………………..1
3 术语和定义…………………………………………………………………………………………..1
4 关键信息基础设施的界定…………………………………………………………………………..2
5 关键信息基础设施网络安全框架…………………………………………………………………..2
6 关键信息基础设施网络安全保护要求……………………………………………………………..3
I
GB/T XXXXX—XXXX
前 言
本标准按照 GB/T 1.1-2009 给出的规则起草。
本标准由中央网信办提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:中国信息安全认证中心、解放军信息安全测评中心、中国电子技术标准化研究院、
中科院大学、公安部三所、国家电力监督管理委员会信息中心、国家电网调度控制中心、国家互联网应
急中心、国家信息技术安全研究中心、中国人民银行中国金融电子化公司。
本标准主要起草人:
II
GB/T XXXXX—XXXX
信息安全技术 关键信息基础设施网络安全框架
1 范围
本标准规定了关键信息基础设施网络安全保护框架和基本要求。
本标准适用于关键信息基础设施网络安全保护相关的技术活动和管理活动。
2 规范性引用文件
下列文件中的有关条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所
有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方
研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T22080-2008 信息技术 安全技术 信息安全管理体系 要求
3 术语和定义
3.1 关键信息基础设施
对国家至关重要的物理或虚拟的系统和资产,这些系统和资产一旦遭到破坏、丧失功能或者数据泄
露,可能严重危害国家安全、国计民生、公共利益。
3.2 网络安全
指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处
于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
3.3 信息安全风险
由于对信息或信息系统的未经授权的访问、使用、泄露、中断、修改或破坏,对机构运行(包括任
务、功能、形象、声誉)、机构资产、个人、其他机构和国家带来的风险。
3.4 风险管理
管理因信息系统的运行对机构运行(包括任务、功能、形象或声誉)、机构资产、个人、其他机构
和国家带来的风险的过程,包括:
a)为风险有关的活动创建环境;
b)风险评估;
c)响应确定的风险;
d)持续监控风险。
3.5 风险监控
1
持续关注机构的风险环境、风险管理计划以及相关的活动,以支持风险决策。
3.6 安全需求
根据适用的法律、法规、规章、政策、标准、规定、规程或任务(或业务)需要,为确保信息系统
或机构处理、存储或传播信息的保密性、完整性和可用性所需满足的要求。
GB/T XXXXX—XXXX
3.7 关键保护对象
构成关键信息基础设施的关键网络、系统和资产。
4 关键信息基础设施的界定
4.1 界定原则
确定关键信息基础设施范围时,应考虑如下原则:
a) 一旦遭到破坏,会对国家安全、国计民生或公共利益产生严重影响;
b) 一旦遭到破坏,会对关键领域业务稳定、持续运行的性能产生严重影响;
c) 一旦遭到破坏,会对关键领域数据安全产生严重影响。
4.2 关键领域
对于社会运行具有重要意义,一旦停运或受损将造成严重供应不足或危及国家安全、公共安全的行
业或领域,包括:能源、信息与通信、交通运输、卫生保健、供水、食品以和金融保险部门等。
5.关键信息基础设施网络安全框架
5.1 框架概述
关键信息基础设施网络安全框架基于风险管理的思想,通过识别、保护、监测、响应和恢复五个方
面的安全要求,管理关键信息基础设施的网络安全风险。框架使用风险管理流程,使组织了解并优先处
理网络安全问题,通过识别关键保护对象及其风险,按照对象的重要程度和风险等级提出分类分级的保
护、监测、响应和恢复要求,选择安全控制措施、建立安全基线,通过满足这些要求将网络安全风险控
制在可接受的水平。
5.2 识别
组织应采取措施识别和定义风险控制的范围和类别,并获得在风险可接受程度内运营基础设施的批
准或授权。措施包括:
a)关键保护对象识别
b)风险识别
c)风险评估
d)测评认证
5.3 保护
组织应制定并实施安全控制,以确保关键服务活动。安全控制包括:
a)访问控制
b)数据安全
c)信息保护程序
2
GB/T XXXXX—XXXX
d)维护
e)保护技术
5.4 监测
组织应针对已识别的物理和网络安全风险进行跟踪和监控,确保安全事件发现的及时性,为响应和
恢复机制提供支持。包括:
a)持续性风险监测
b)监测技术与机制
c)安全审计
5.5 响应
组织应针对安全风险和事件采取应对措施,将风险控制在可接受的程度,并使确定的主管机构和人
员了解确定的安全风险、事件和应急程序。包括:
a)应急响应
b)风险信息共享
c)培训和演练
5.6 恢复
组织应采取措施将因灾难或安全事件而受损的关键信息基础设施功能和服务尽快恢复到正常状态,
以减少灾难或安全事件造成的影响。包括:
a)灾难恢复
b)业务连续性管理
6 关键信息基础设施网络安全要求
6.1 识别要求
6.1.1 关键保护对象识别
应根据网络、系统和资产的重要程度,建立分类、分级的关键保护对象清单,并根据业务需求确定
对象的安全保护目标。
6.1.2 风险识别
应结合安全方针和目标,识别在操作层面和外部层面的潜在风险,尤其需要关注可能影响控制措施
有效性的风险因素。这些风险因素不仅仅限于技术层面,管理和法规层面的风险因素也应当纳入考量范
畴。
6.1.3 风险评估
应通过风险评估确定风险边界,分析识别的风险产生的可能性和造成的负面影响,由于在CIIP过程
中的很多风险难以得到量化,因此有必要采用多样化的风险评估方法。
6.1.4 测评认证
3
应通过测评认证验证拟部署的信息技术产品和服务是否满足风险评估确立的安全基线。应通过测评
认证形成第三方的确定性结论,用以判断拟部署的信息技术产品和服务是否具有技术、管理和程序性的
保障措施,是否能够在可接受的风险程度内运行该系统。
GB/T XXXXX—XXXX
6.2 保护要求
6.2.1 访问控制
应基于业务和网络安全要求,建立访问控制策略,避免网络、系统和资产免受未经授权的访问。
6.2.2 数据安全
应通过实施适当的技术、管理和法律控制措施实现数据的保密性、完整性和可用性,包括对静态和
动态数据的保护,实现数据的完整性、保密性和可用性。
6.2.3 信息保护程序
应建立安全管理流程和程序,明确信息保护的目的、范围、角色、职责、管理承诺和协调机制,包
括明确:
——信息技术/工业控制系统的最低安全要求;
——实施系统开发生命周期的管理体系;
——建立变更控制程序;
——制定人力资源方面的网络安全措施等。
6.2.4 维护
应制定并实施系统升级和运行维护的措施,尤其要对未经授权的访问和变更行为进行管理和控制,
应对CII资产的运行维护进行记录,特别是远程维护过程。
6.2.5 保护技术
应系统规划并使用适当的保护技术,并对具体的技术安全解决方案进行管理,确保系统安全与系统
恢复能力。
6.3 监测要求
6.3.1 持续性风险监测
应规划并实施动态的风险监控、预防、控制过程,对关键信息基础设施的风险进行持续性监控。应
制定持续性监测策略、实施信息安全持续性监测项目,增强组织威胁和漏洞发现意识,并确保组织实施
安全控制的有效性。这种风险监控并不以安全事件为基础,而是常态性的监控。
6.3.2 监测技术与机制
应建立明确的监测技术和流程指引,将监测过程中各主体的职责明确化,引导责任部门选择可适用
的监测技术提升监测效果。这些技术和机制应能够实现信息安全风险的预警与监测功能,并对安全控制
措施进行监测。
6.3.3 安全审计
4