国家标准《信息安全技术 关键信息基础设施安全检查评估指南》编制说明
一、 工作简况 1.1 任务来源
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信息安全标准化技术委员会于2016年立项《信息安全技术 关键信息基础设施安全检查评估指南》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术 关键信息基础设施安全检查评估指南>国家标准制定》委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为WG7 组重点标准。
《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。 1.2 主要工作过程
2017年1月至3月,《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。
2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论。
1
2017年4月,本标准获得由全国信息安全标准化技术委员会立项。 2017年4月,向中央网信办领导汇报标准进展工作,拟作为中央网信办布置关键信息基础设施安全检查工作的参考标准。
2016年5月,正式成立标准编制组,标准编制组由五家主要参与单位共同组成,集中讨论集中办公,讨论标准的框架、方法论、具体的内容等。
2016年5月25日,召开第一次专家会,地点在中央网信办,由项目组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及WG7专家进行了汇报,5位WG7专家对标准提出了修改意见。
2016年6-7月,标准编制组继续集中办公,集中讨论,并根据第一次专家会意见逐一进行修订,此外与其他安全厂商、科研单位进行交流,就本标准指标方法听取意见,并最终形成标准第二稿。
2016年7月18日,召开第二次WG7专家会,由项目组向专家汇报了标准项目进展,以及根据第一次专家会议的专家意见修订情况,5位WG7专家对标准提出了更进一步的修改意见,随后项目组召开标准讨论封闭会议,根据此次专家会意见对草案作了进一步修订,形成了第三稿。
2017年7月21日,参加WG7组会议,汇报了项目进展和标准修订情况,会议决议最终该标准可以进入征求意见阶段,并根据标准周答辩专家意见对标准草案进行部分修订,完善草案内容。 二、 编制原则和主要内容 2.1 编制原则
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
关键信息基础设施安全检查评估指南是落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,定义了检测评估的主要内容,从而提升关
2
键信息基础设施的网络安全防护能力。
本标准提供了关键信息基础设施检查评估工作的方法、流程和内容,定义了关键信息基础设施检查评估所采用的方法,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及在检查评估具体要求和内容。
本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。
本标准可用于:
1)关键信息基础设施运营单位自行开展安全检测评估工作参考。 2)网络安全服务机构对关键信息基础设施实施检测评估工作参考。 3)网络安全检测产品研发机构研发检查工具,创新安全应用参考。 本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。
2.2 主要内容
关键信息基础设施检查评估工作是依据国家有关法律与法规要求,参考国家和行业安全标准,针对关键信息基础设施安全要求,通过一定的方法和流程,对信息系统安全状况进行评估,最后给出检查评估对象的整体安全状况的报告。
检查评估工作由合规检查、技术检测和分析评估三个主要方法组成,每个方法包含若干内容和项目。
合规检查
合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、人员访谈、配置核查等形式。
技术检测
技术检测分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现场检测相结合的方式,发现其安全
3
信息安全技术关键信息基础设施安全检查评价指引-全国信息安全
