1、1国家标准信息安全技术 关键信息基础设施安全检查评估指南编制说明一、 工作简况1.1 任务来源根据中华人民共和国网络安全法要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信
2、息安全标准化技术委员会于 2016 年立项信息安全技术 关键信息基础设施安全检查评估指南国家标准,2016 年 7 月,中央网信办网络安全协调局下达国家标准制定委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为 WG7 组重点标准。信息安全技术 关键信息基础设施安全检查评估指南由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。1.2 主要工作过程2017 年 1 月至 3 月, 信息安全技术 关键信息基础设施安全检查
3、评估指南由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。2017 年 4 月,标准通过全国信息安全标准化技术委员会 WG7 组会议讨论。22017 年 4 月,本标准获得由全国信息安全标准化技术委员会立项。2017 年 4 月,向中央网信办领导汇报标准进展工作,拟作为中央网信办布置关键信息基础设施安全检查工作的参考标准。2016 年 5 月,正式成立标准编制组
4、,标准编制组由五家主要参与单位共同组成,集中讨论集中办公,讨论标准的框架、方法论、具体的内容等。2016 年 5 月 25 日,召开第一次专家会,地点在中央网信办,由项目组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及 WG7 专家进行了汇报,5 位 WG7 专家对标准提出了修改意见。2016 年 6-7 月,标准编制组继续集中办公,集中讨论,并根据第一次专家会意见逐一进行修订,此外与其他安全厂商、科研单位进行交流,就本标准指标方法听取意见,并最终形成标准第二稿。2016 年 7 月 18 日,召开第二次 WG7 专家会,由项目组向专家汇报了标准项目进展,以及根据第一次专家会议的
5、专家意见修订情况,5 位 WG7 专家对标准提出了更进一步的修改意见,随后项目组召开标准讨论封闭会议,根据此次专家会意见对草案作了进一步修订,形成了第三稿。2017 年 7 月 21 日,参加 WG7 组会议,汇报了项目进展和标准修订情况,会议决议最终该标准可以进入征求意见阶段,并根据标准周答辩专家意见对标准草案进行部分修订,完善草案内容。二、 编制原则和主要内容2.1 编制原则根据中华人民共和国网络安全法要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网
6、络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。关键信息基础设施安全检查评估指南是落实网络安全法要求,规范关键信3息基础设施检测评估相关方法、流程,定义了检测评估的主要内容,从而提升关键信息基础设施的网络安全防护能力。本标准提供了关键信息基础设施检查评估工作的方法、流程和内容,定义了关键信息基础设施检查评估所采用的方法,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及在检查评估具体要求和内容。本标准适用于指
7、导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。本标准可用于:1)关键信息基础设施运营单位自行开展安全检测评估工作参考。2)网络安全服务机构对关键信息基础设施实施检测评估工作参考。3)网络安全检测产品研发机构研发检查工具,创新安全应用参考。 本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。2.2 主要内容关键信息基础设施检查评估工作是依据国家有关法律与法规要求,参考国家和行业安全标准,针对关键信息基础设施安全要求,通过一定的方法和流程,对信息系统安全状况进行评估,最后给出检查评估对象的整体安全状况的报
8、告。检查评估工作由合规检查、技术检测和分析评估三个主要方法组成,每个方法包含若干内容和项目。合规检查合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、人员访谈、配置核查等形式。技术检测4技术检测分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现场检测相结合的方式,发现其安全性和可能存在的风险隐患,也可参考其他安全检测资料和报告,对技术检测结果进行验证。被
9、动方式是辅助监测分析手段,通过选取合适的监测接入点,部署相应的监测工具,实时监测并分析检查评估对象的安全状况,发现其存在的安全漏洞、安全隐患。两种技术检测方式最终输出技术检测结果。分析评估分析评估是围绕关键信息基础设施承载业务特点,对关键信息基础设施的关键属性进行识别和分析,依据技术检测发现的安全隐患和问题,参考风险评估方法,对关键属性面临的风险进行风险分析,进而对关键信息基础设施的整体安全状况的评估。标准充分考虑了当前已有的等级保护相关标准、风险评估标准、及其他行业安全标准,与正在制定的其他 WG7 系列标准一起,共同形成了支撑关键信息基础设施安全保障的标准体系。本标准与其他国内标准的关联性
10、分析:GB/T 22081-2016信息安全技术信息系统等级保护基本要求 是本标准引用的标准之一,本标准在编制之初就深刻理解网络安全法中“关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护, ”的要求,在合规检查的内容中重点强调了对等级保护制度落实情况的检查。GB/T 20984-2007 信息安全技术 信息安全风险评估规范也是本标准引用的标准之一,本标准在第 9 节引入了风险评估的方法论,通过对关键信息基础设施的关键性分析,并根据合规检查和技术检测发现的问题进一步进行风险分析,最后根据风险分析的结果定性分析出整体安全状况的评价。此外,正在制订的标准草案信息安全技术关键信息基础设
11、施网络安全保5护要求定义了关键信息基础设施,并对关键信息基础设施保护提出了具体的要求,而本标准中有专门的项是对改要求的验证,强调的是评估流程的标准化、评估内容标准化,以及评估结果的标准化。此外,正在制定的标准草案信息安全技术关键信息基础设施安全保障指标体系与该标准关联,该标准的输出评估结果可以用于标准的量化计算。 。 三、 采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况编制组在标准编制过程中,专门分析了美国 NIST 的安全评估方法,参考我国已有相关信息安全标准,综合考虑制定了本标准。四、 重大分歧意见的处理经过和依据本标准编制过程中未出现重大分歧。其他详见意见汇总处理表。五、 国家标准作为强制性国家标准或推荐性国家标准的建议建议作为推荐性国家标准发布实施。六、 其他事项说明本标准不涉及专利。标准编制组2017 年 7 月
