收藏
下载资源

标准《信息安全技术 关键信息基础设施安全保障指标体系

上传人:南琴 文档编号:128744668 上传时间:2020-04-21 格式:DOC 页数:38 大小:510KB
返回 下载 相关 举报
标准《信息安全技术 关键信息基础设施安全保障指标体系_第1页
第1页 / 共38页
标准《信息安全技术 关键信息基础设施安全保障指标体系_第2页
第2页 / 共38页
标准《信息安全技术 关键信息基础设施安全保障指标体系_第3页
第3页 / 共38页
标准《信息安全技术 关键信息基础设施安全保障指标体系_第4页
第4页 / 共38页
标准《信息安全技术 关键信息基础设施安全保障指标体系_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《标准《信息安全技术 关键信息基础设施安全保障指标体系》由会员分享,可在线阅读,更多相关《标准《信息安全技术 关键信息基础设施安全保障指标体系(38页珍藏版)》请在金锄头文库上搜索。

1、ICS点击此处添加中国标准文献分类号中华人民共和国国家标准GB/T XXXXXXXXX信息安全技术 关键信息基础设施安全保障指标体系Information security technology - Indicator system of critical information infrastructure security assurance点击此处添加与国际标准一致性程度的标识XXXX - XX - XX发布XXXX - XX - XX实施 目 次前 言2引 言31 范围42 规范性引用文件43 术语和定义44 指标体系55 指标释义8附录A (规范性附录) 指标测量过程11参考文献37

2、前 言本标准按照GB/T1.12009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本标准起草单位:大唐电信科技产业集团(电信科学技术研究院)、国家信息中心、北京奇安信科技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司等。本标准主要起草人:韩晓露 吕欣 李阳 毕钰 郭晓萧等。引 言随着信息技术广泛应用和网络空间兴起发展,极大促进了经济社会繁荣进步,但同时网络空间安全形势也日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。世界主要国家和地区高度重视网络空间安全,陆续出台了

3、相关战略、规划、立法以及实施方案等,并开始加大对关键信息基础设施的保护力度。随着我国网络强国战略的深化和实施,关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位也日益突出,我国国家网络空间安全战略提出要加强对国家关键信息基础设施的保护,并指出国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。保护关键信息基础设施的

4、正常运转,关系国家安全、经济发展、社会稳定,也是政府、企业和全社会的共同责任。目前我国关键信息基础设施安全保障体系有待完善,缺少评判关键信息基础设施安全保障相关工作是否有效的测量方法与指标体系,难以评价和比较不同关键信息基础设施的安全保障情况。本标准依据国家对关键信息基础设施安全保障工作的相关要求,提出了关键信息基础设施安全保障指标体系及测量方法,有助于不断提升我国关键信息基础设施安全保障水平。信息安全技术 关键信息基础设施安全保障指标体系1 范围本标准规定了用于开展关键信息基础设施安全保障的指标及其释义。本标准适用于关键信息基础设施安全保障评价工作,为政府管理部门的信息安全态势判断和宏观决策

5、提供支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 209882007信息安全技术信息系统灾难恢复规范GB/T 250692010信息安全技术术语GB/T 31495.12015信息安全技术信息安全保障指标体系及评价方法 第1部分:概念和模型GB/T 31495.22015信息安全技术信息安全保障指标体系及评价方法 第2部分:指标体系GB/T 31495.32015信息安全技术信息安全保

6、障指标体系及评价方法 第3部分:实施指南GB/T XXXXXXXXX信息安全技术关键信息基础设施网络安全框架GB/T XXXXXXXXX信息安全技术关键信息基础设施网络安全保护要求3 术语和定义GB/T 250692010、GB/T 31495.12015、GB/T 31495.22015和GB/T 31495.32015中界定的以及下列术语和定义适用于本文件。3.1 关键信息基础设施 critical information infrastructure指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施。注: 中华人民共和国网络安全法规定:国

7、家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。注: 国家网络空间安全战略规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要

8、信息系统,重要互联网应用系统等。3.2 关键信息基础设施安全保障 critical information infrastructure security assurance对关键信息基础设施的安全属性及功能、效率进行保障的一系列适当行为或过程。改写GB/T 31495.12015 定义3.1 信息安全保障3.3 关键信息基础设施安全保障评价 evaluation of critical information infrastructure security assurance收集关键信息基础设施安全安全保障证据,并获得信息安全保障值的过程和途径。改写GB/T 31495.12015 定义3.

9、2 信息安全保障评价4 指标体系4.1 指标层次GB/T 31495.22015中的4.1“指标层级”适用。4.2 指标体系框架以GB/T 31495.22015中4.2“指标体系框架”为基础,结合关键信息基础设施的特征,关键信息基础设施安全保障指标体系框架表述如下:图1 关键信息基础设施安全保障指标体系框架关键信息基础设施安全保障指标体系框架对应关键信息基础设施安全保障指标体系的一级指标和二级指标。一级指标依据GB/T 31495.12015中图1提出的信息安全保障的三个环节(即保障措施、保障能力和保障效果)设计,建设情况指标用于评价保障措施,运行能力指标用于评价保障能力,安全态势指标用于评

10、价保障效果。二级指标依据关键信息基础设施安全保障对象和内容对一级指标进行分析和分解后设计。建设情况指标下设3项二级指标,分别为战略保障指标、管理保障指标。运行能力指标下设4项二级指标,分别为安全防护指标、安全监测指标、应急处置指标、信息对抗指标。安全态势指标下设3项二级指标,分别为威胁指标、隐患指标、事件指标。4.3 指标体系框架描述4.3.1 建设情况指标GB/T 31495.22015中的4.3.1“建设情况指标”适用,并相应地进一步表述如下:建设情况指标主要评价关键信息基础设施安全保障措施的建设情况。4.3.1.1 战略保障指标GB/T 31495.22015中的4.3.2“战略保障措施

11、指标”适用,并相应地进一步表述如下:信息安全保障中的“战略”是指为了完成信息安全保障的使命、功能、任务等,由信息安全主管部门制定的信息安全发展战略、五年规划、中长期发展计划等文件的通称。战略保障指标主要评价关键信息基础设施安全保障相关战略和规划的制定情况等。4.3.1.2 管理保障指标GB/T 31495.22015中的4.3.3“管理保障措施指标”适用,并相应地进一步表述如下:信息安全保障中的“管理”是指为了完成信息安全保障的使命、功能、任务等,所采用政策法规、管理方法、管理职责、管理标准的通称。管理保障指标主要评价与关键信息基础设施安全保障相关的规章制度制定情况、法规标准体系建设情况、组织

12、机构与责任制建设情况、专业人才队伍保障情况、资金投入保障情况等方面。4.3.2 运行能力指标GB/T 31495.22015中的4.3.5“运行能力指标”适用,并相应地进一步表述如下:运行能力指标主要评价关键信息基础设施安全保障体系的运行能力。4.3.2.1 安全防护指标GB/T 31495.22015中的4.3.6“安全防护能力指标”适用,并相应地进一步表述如下:安全防护指标主要评价关键信息基础设施安全保障措施防护攻击和破坏行为的有效性,包括系统级安全测评情况、网络信任体系建设情况等。4.3.2.2 安全监测指标GB/T 31495.22015中的4.3.7“隐患发现能力指标”适用,并相应地

13、进一步表述如下:安全监测指标主要评价关键信息基础设施安全保障措施信息共享与通报、安全风险评估活动开展情况、隐患监测活动开展情况等。4.3.2.3 应急处置指标GB/T 31495.22015中的4.3.8“应急处置能力指标”适用,并相应地进一步表述如下:应急处置指标主要评价关键信息基础设施安全保障措施应对安全事件的有效性,包括对安全事件的预警和响应能力,以及在出现危险、事故、侵害后的恢复能力。4.3.2.4 信息对抗指标GB/T 31495.22015中的4.3.9“信息对抗能力指标”适用,并相应地进一步表述如下:信息对抗指标主要评价关键信息基础设施安全保障措施应对大规模网络攻击的有效性。4.

14、3.3 安全态势指标GB/T 31495.22015中的4.3.10“安全态势指标”适用,并相应地进一步表述如下:安全态势指标主要评价关键信息基础设施安全保障体系的态势情况。4.3.3.1 威胁指标威胁指标主要评价对关键信息基础设施造成安全威胁的情况。4.3.3.2 隐患指标隐患指标主要评价目前对关键信息基础设施安全可能导致负面结果的各种隐患情况。4.3.3.3 事件指标事件指标主要评价关键信息基础设施当前安全状态,主要考察关键信息基础设施发生网络安全事件的情况。网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件。4.4 指标

15、在4.2和4.3给出的指标体系框架的约束下,表1给出了关键信息基础设施安全保障指标体系。关键信息基础设施安全保障指标体系包含由3个一级指标和10个二级指标构成的指标框架以及26个三级指标,三级指标为可用于测量的底层指标,附录A给出了三级指标测量方法。表1 关键信息基础设施安全保障指标体系一级指标二级指标三级指标建设情况指标战略保障指标规划指标管理保障指标制度指标标准指标组织机构建设与责任制指标专业人才队伍指标资金投入指标运行能力指标安全防护指标系统级安全测评指标网络信任体系指标安全监测指标信息共享与通报指标风险评估指标隐患监测指标应急处置指标应急预案指标灾难备份指标安全处置指标信息对抗指标防御能力指标安全态势指标威胁指标安全威胁指标隐患指标安全隐患指标事件指标有害程序事件安全态势指标网络攻击事件安全态势指标信息破坏事件安全态势指标信息内容安全事件安全态势指标设备设施故障事件安全态势指标灾害性事件安全态势

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号