收藏
下载资源

标准名称-全国信息安全标准化技术委员会

上传人:ss****gk 文档编号:233075911 上传时间:2022-01-01 格式:DOCX 页数:38 大小:72.12KB
返回 下载 相关 举报
标准名称-全国信息安全标准化技术委员会_第1页
第1页 / 共38页
标准名称-全国信息安全标准化技术委员会_第2页
第2页 / 共38页
标准名称-全国信息安全标准化技术委员会_第3页
第3页 / 共38页
标准名称-全国信息安全标准化技术委员会_第4页
第4页 / 共38页
标准名称-全国信息安全标准化技术委员会_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《标准名称-全国信息安全标准化技术委员会》由会员分享,可在线阅读,更多相关《标准名称-全国信息安全标准化技术委员会(38页珍藏版)》请在金锄头文库上搜索。

1、ICS点击此处添加中国标准文献分类号OB中华人民共和家标准GB/T XXXXXXXXX信息安全技术关键信息基础设施安全保障指标体系Information security technology - Indicator system of critical informationinfrastructure security assurance点击此处添加与国际标准一致性程度的标识XXXX - XX - XX 实施XXXX - XX - XX 发布:WTOTIWI 发希前言2弓丨 言31范围42规范性引用文件43术语和定义44扌旨标体系55指标释义7附录A (规范性附录)指标测量过程11参考文献

2、37本标准按照GB/T1. 12009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口。本标准起草单位:大唐电信科技产业集团(电信科学技术研究院)、国家信息中心、北京奇安信科 技有限公司、北京国舜科技股份有限公司、北京匡恩网络科技有限责任公司、北京天融信科技有限公司 等。本标准主要起草人:韩晓露吕欣李阳毕饪郭晓萧等。随着信息技术广泛应用和网络空间兴起发展,极大促进了经济社会繁荣进步,但同时网络空间安全 形势也日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险 与挑战。世界主要国家和地区高度重视网络空间安全,陆续出台了相关战

3、略、规划、立法以及实施方案等, 并开始加大对关键信息基础设施的保护力度。随着我国网络强国战略的深化和实施,关键信息基础设施 在国民经济和社会发展中的基础性、重要性、保障性、战略性地位也日益突出,我国国家网络空间安 全战略提出要加强对国家关键信息基础设施的保护,并指出国家关键信息基础设施是指关系国家安全、 国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括 但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、 工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。 保护关键信息基

4、础设施的正常运转,关系国家安全、经济发展、社会稳定,也是政府、企业和全社会的 共同责任。目前我国关键信息基础设施安全保障体系有待完善,缺少评判关键信息基础设施安全保障相关工作 是否有效的测量方法与指标体系,难以评价和比较不同关键信息基础设施的安全保障情况。本标准依据 国家对关键信息基础设施安全保障工作的相关要求,提出了关键信息基础设施安全保障指标体系及测量 方法,有助于不断提升我国关键信息基础设施安全保障水平。信息安全技术关键信息基础设施安全保障指标体系1范围本标准规定了用于开展关键信息基础设施安全保障的指标及其释义。本标准适用于关键信息基础设施安全保障评价工作,为政府管理部门的信息安全态势判

5、断和宏观决 策提供支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 209882007信息安全技术信息系统灾难恢复规范GB/T 250692010信息安全技术术语GB/T 31495. 1-2015信息安全技术 信息安全保障指标体系及评价方法第1部分:概念和模型 GB/T 31495. 2-2015信息安全技术 信息安全保障指标体系及评价方法第2部分:指标体系 GB/T 31495. 32

6、015信息安全技术 信息安全保障指标体系及评价方法第3部分:实施指南 GB/T XXXXXXXXX信息安全技术 关键信息基础设施网络安全框架GB/T XXXXXXXXX信息安全技术关键信息基础设施网络安全保护要求3术语和定义GB/T 250692010、GB/T 31495. 12015、GB/T 31495. 22015和GB/T 31495. 32015中界定的以 及下列术语和定义适用于本文件。3. 1 关键信息基础设施 critical i nformat i o n infrastructure指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共 利益

7、的信息设施。注:中华人民共和国网络安全法规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电 子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民 生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的 具体范围和安全保护办法由国务院制定。注:国家网络空间安全战略规定:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到 破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输 等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业

8、制造、医疗卫生、社会保障、公用事业 等领域和国家机关的重要信息系统,重要互联网应用系统等。3. 2 关键信息基础设施安全保障critical information infrastructure secur i ty assurance对关键信息基础设施的安全属性及功能、效率进行保障的一系列适当行为或过程。改写GB/T 31495. 12015定义3. 1信息安全保障3. 3 关键信息基础设施安全保障评价 eva I uat i on of critical i nformat i on infrastructure secur i ty assurance收集关键信息基础设施安全安全保障证据

9、,并获得信息安全保障值的过程和途径。 改写GB/T 31495. 12015定义3. 2信息安全保障评价4指标体系4. 1指标层次GB/T 31495. 22015中的4.1 “指标层级”适用。4. 2指标体系框架以GB/T 31495. 22015中4. 2 “指标体系框架”为基础,结合关键信息基础设施的特征,关键信息 基础设施安全保障指标体系框架表述如下:关悝佶息基础设族安全保障捋标体系图1关键信息基础设施安全保障指标体系框架关键信息基础设施安全保障指标体系框架对应关键信息基础设施安全保障指标体系的一级指标和 二级指标。一级指标依据GB/T 31495. 1-2015中图1提出的信息安全保

10、障的三个环节(即保障措施、保障能力 和保障效果)设计,建设情况指标用于评价保障措施,运行能力指标用于评价保障能力,安全态势指标 用于评价保障效果。二级指标依据关键信息基础设施安全保障对象和內容对一级指标进行分析和分解后设计。建设情况 指标下设3项二级指标,分别为战略保障指标、管理保障指标。运行能力指标下设4项二级指标,分别为 安全防护指标、安全监测指标、应急处置指标、信息对抗指标。安全态势指标下设3项二级指标,分别 为威胁指标、隐患指标、事件指标。4.3指标体系框架描述4. 3. 1建设情况指标GB/T 31495. 22015中的4. 3. 1 “建设情况指标”适用,并相应地进一步表述如下:

11、 建设情况指标主要评价关键信息基础设施安全保障措施的建设情况。4.3. 1.1战略保障指标GB/T 31495. 22015中的4. 3.2 “战略保障措施指标”适用,并相应地进一步表述如下:信息安全保障中的“战略”是指为了完成信息安全保障的使命、功能、任务等,由信息安全主管部 门制定的信息安全发展战略、五年规划、中长期发展计划等文件的通称。战略保障指标主要评价关键信 息基础设施安全保障相关战略和规划的制定情况等。4. 3. 1.2管理保障指标GB/T 31495. 22015中的4. 3.3 “管理保障措施指标”适用,并相应地进一步表述如下:信息安全保障中的“管理”是指为了完成信息安全保障的

12、使命、功能、任务等,所采用政策法规、 管理方法、管理职责、管理标准的通称。管理保障指标主要评价与关键信息基础设施安全保障相关的规 章制度制定情况、法规标准体系建设情况、组织机构与责任制建设情况、专业人才队伍保障情况、资金 投入保障情况等方面。4. 3.2运行能力指标GB/T 31495. 22015中的4. 3. 5 “运行能力指标”适用,并相应地进一步表述如下: 运行能力指标主要评价关键信息基础设施安全保障体系的运行能力。4. 3. 2. 1安全防护指标GB/T 31495. 22015中的4. 3. 6 “安全防护能力指标”适用,并相应地进一步表述如下:安全防护指标主要评价关键信息基础设施

13、安全保障措施防护攻击和破坏行为的有效性,包括系统级 安全测评情况、网络信任体系建设情况等。4. 3. 2. 2安全监测指标GB/T 31495. 22015中的4. 3.7 “隐患发现能力指标”适用,并相应地进一步表述如下:安全监测指标主要评价关键信息基础设施安全保障措施信息共享与通报、安全风险评估活动开展情 况、隐患监测活动开展情况等。4. 3. 2. 3应急处置指标GB/T 31495. 22015中的4. 3.8 “应急处置能力指标”适用,并相应地进一步表述如下:应急处置指标主要评价关键信息基础设施安全保障措施应对安全事件的有效性,包括对安全事件的 预警和响应能力,以及在出现危险、事故、

14、侵害后的恢复能力。4. 3. 2. 4信息对抗指标GB/T 31495. 22015中的4. 3.9 “信息对抗能力指标”适用,并相应地进一步表述如下: 信息对抗指标主要评价关键信息基础设施安全保障措施应对大规模网络攻击的有效性。4. 3.3安全态势指标GB/T 31495. 22015中的4. 3. 10 “安全态势指标”适用,并相应地进一步表述如下: 安全态势指标主要评价关键信息基础设施安全保障体系的态势情况。4. 3. 3. 1威胁指标威胁指标主要评价对关键信息基础设施造成安全威胁的情况。4. 3. 3. 2隐患指标隐患指标主要评价目前对关键信息基础设施安全可能导致负面结果的各种隐患情况

15、。4. 3. 3. 3事件指标事件指标主要评价关键信息基础设施当前安全状态,主要考察关键信息基础设施发生网络安全事件 的情况。网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设 施故障、灾害性事件和其他网络安全事件。4.4指标在4. 2和4. 3给出的指标体系框架的约束下,表1给出了关键信息基础设施安全保障指标体系。关键 信息基础设施安全保障指标体系包含由3个一级指标和10个二级指标构成的指标框架以及26个三级指 标,三级指标为可用于测量的底层指标,附录A给出了三级指标测量方法。表1关键信息基础设施安全保障指标体系一级指标二级指标三级指标建设情况指标战略保障指标规划指标管理保障指标制度指标标准指标组织机构建设与责任制指标专业人才队伍指标资金投入指标运行能力指标安全防护指标系统级安全测评指标网络信任体系指标安全监测指标信息共享与通报指标风险评估指标隐患监测指标应急处置指标应急预案指标灾难备份指标安全处置指标信息对抗指标防御能力指标安全态势指标威胁指标安全威胁指标隐患指标安全隐患指标事件指标有害程序事件安全态势指标网络攻击事件安全态势指标信息

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号