ICS 35.040
L80
中 华 人 民 共 和 国 国 家 标 准
GB/T XXXXX—XXXX
信息安全技术 关键信息基础设施网络安全
保护基本要求
Information security technology -Basic requirements for cybersecurity protection of
critical information infrastructure
(报批稿)
(本稿完成日期:2019-11-05)
XXXX - XX - XX 发布
XXXX - XX - XX 实施
目
次
GB/T XXXXX—XXXX
前言 .................................................................................. II
引言 ................................................................................. III
1 范围 ................................................................................. 1
2 规范性引用文件 ....................................................................... 1
3 术语和定义 ........................................................................... 1
4 安全保护基本原则 ..................................................................... 1
5 主要环节及活动 ....................................................................... 2
6 识别认定 ............................................................................. 2
6.1 业务识别 ......................................................................... 3
6.2 资产识别 ......................................................................... 3
6.3 风险分析 ......................................................................... 3
6.4 重大变更 ......................................................................... 3
7 安全防护 ............................................................................. 3
7.1 网络安全等级保护制度 ............................................................. 3
7.2 安全管理制度 ..................................................................... 3
7.3 安全管理机构 ..................................................................... 4
7.4 安全管理人员 ..................................................................... 4
7.5 安全通信网络 ..................................................................... 4
7.6 安全计算环境 ..................................................................... 5
7.7 安全建设管理 ..................................................................... 5
7.8 安全运维管理 ..................................................................... 6
8 检测评估 ............................................................................. 6
8.1 检测评估制度 ..................................................................... 6
8.2 检测评估方式和内容 ............................................................... 6
9 监测预警 ............................................................................. 7
9.1 监测预警制度 ..................................................................... 7
9.2 监测 ............................................................................. 7
9.3 预警 ............................................................................. 7
10 事件处置 ............................................................................ 8
10.1 事件管理制度 .................................................................... 8
10.2 应急预案 ........................................................................ 8
10.3 响应和处置 ...................................................................... 8
10.4 重新评估 ........................................................................ 9
参考文献 ............................................................................. 10
I
GB/T XXXXX—XXXX
前
言
本标准按照GB/T 1.1-2009《标准化工作导则 第1部分:标准的结构和编写》给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:北京赛西科技发展有限责任公司、中国电子技术标准化研究院、中国信息安全测
评中心、国家信息技术安全研究中心、国家互联网应急中心、公安部信息安全等级保护评估中心、公安
部第一研究所、国家工业信息安全发展研究中心、中国信息安全认证中心、中国互联网域名中心等。
本标准主要起草人:杨建军、姚相振、王惠莅、陈亮、宋璟、孙晓丽、周亚超、任卫红、孙军、袁
静、张新跃、任泽君等。
II
GB/T XXXXX—XXXX
引 言
为落实《中华人民共和国网络安全法》关于保护关键信息基础设施运行安全的要求,在国家网络安
全等级保护制度基础上,充分借鉴我国相关部门在重要领域开展网络安全审查、网络安全检查等重点工
作的成熟经验,充分吸纳国外在关键基础设施安全保护方面的成功举措,结合我国现有信息安全保障体
系等成果,从识别认定、安全防护、检测评估、监测预警、事件处置等环节,提出关键信息基础设施网
络安全保护基本要求,采取一切必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,
切实加强关键信息基础设施安全保护。
III
GB/T XXXXX—XXXX
信息安全技术 关键信息基础设施网络安全保护基本要求
1 范围
本标准规定了关键信息基础设施识别认定、安全防护、检测评估、监测预警、事件处置等环节的基
本要求。
本标准用于关键信息基础设施的规划设计、开发建设、运行维护、退役废弃等阶段的安全保护工作,
主要适用于关键信息基础设施运营者,也可供关键信息基础设施安全保护工作部门和关键信息基础设施
安全保护的其他参与者参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984 信息安全技术 信息安全风险评估规范
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB/T AAAA-AAAAA 信息安全技术 关键信息基础设施安全控制措施
3 术语和定义
GB/T 25069、GB/T 20984 中界定的以及下列术语和定义适用于本文件。
3.1
关键信息基础设施 critical information infrastructure
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其
他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。
4 安全保护基本原则
关键信息基础设施的安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则,建立
网络安全综合防御体系。
重 点 保 护 是 指 关 键 信 息 基 础 设 施 网 络 安 全 保 护 应 首 先 符 合 网 络 安 全 等 级 保 护 政 策 及 GB/T
22239-2019等标准相关要求,在此基础上加强关键信息基础设施关键业务的安全保护。
整体防护是指基于关键信息基础设施承载的业务,对业务所涉及的多个网络和信息系统(含工业控
制系统)等进行全面防护。
动态风控是指以风险管理为指导思想,根据关键信息基础设施所面临的安全风险对其安全控制措施
进行调整,以及时有效的防范应对安全风险。
1
GB/T XXXXX—XXXX
协同参与是指关键信息基础设施安全保护所涉及的利益相关方,共同参与关键信息基础设施的安全
保护工作。
5 主要环节及活动
本标准所指的关键信息基础设施运营者(以下简称运营者)负责关键信息基础设施的运行、管理,
对本组织关键信息基础设施安全负主体责任,履行网络安全保护义务,接受政府和社会监督,承担社会
责任。
关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环
节。图1所示为一般情况下的环节之间的关系图,当关键信息基础设施运行时,根据实际情况环节之间
的关系有所变动。
识别认定
安全防护
检测评估
监测预警
事件处置
图 1 关键信息基础设施网络安全保护各环节关系图
a)识别认定:运营者配合保护工作部门,按照相关规定开展关键信息基础设施识别和认定活动,
围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、风险识别等活动。本环节是开展安全防
护、检测评估、监测预警、事件处置等环节工作的基础。
b)安全防护:运营者根据已识别的安全风险,实施安全管理制度、安全管理机构、安全管理人员、
安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基
础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。
c)检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评
估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
d)监测预警:运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的
网络安全事件或威胁,提前或及时发出安全警示。
e)事件处置:对网络安全事件进行处置,并根据检测评估、监测预警环节发现的问题,运营者制
定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
本标准对关键信息基础设施运营者提出关键信息基础设施安全保护基本要求。为满足这些要求,运
营者需要采用相应安全控制措施,安全控制措施的选择可参考GB/T AAAAA-AAAA。
6 识别认定
2