標(biāo)準(zhǔn)助力關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)

  • 人閱讀
  • 2021-08-17 22:24:00

  • 來源:司法部官網(wǎng)

  • 相關(guān)關(guān)鍵詞

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院 楊建軍

關(guān)鍵信息基礎(chǔ)設(shè)施安全直接關(guān)系到國(guó)家安全、國(guó)計(jì)民生和公共利益,關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)成為維護(hù)國(guó)家網(wǎng)絡(luò)安全的重中之重。黨的十八大以來,以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全工作,習(xí)近平總書記在“4·19”講話中強(qiáng)調(diào)要加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。關(guān)鍵信息基礎(chǔ)設(shè)施安全也是網(wǎng)絡(luò)安全法的重要內(nèi)容,網(wǎng)絡(luò)安全法專門有一章節(jié)描述“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”總體要求,其中明確了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍以及保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的技術(shù)和管理要求,是關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的法律基礎(chǔ)。為進(jìn)一步推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè),2021年7月30日,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》)正式出臺(tái)。

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作是國(guó)家網(wǎng)絡(luò)安全保障體系建設(shè)的重要內(nèi)容,也是支撐網(wǎng)絡(luò)安全法、《條例》等法律法規(guī)落地實(shí)施的重要抓手。網(wǎng)絡(luò)安全法對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)、運(yùn)行或者服務(wù)以及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)等活動(dòng)的標(biāo)準(zhǔn)化提出了明確要求?!稐l例》也明確要求,國(guó)家制定和完善關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn),指導(dǎo)、規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是保障國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要技術(shù)要素。從關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別認(rèn)定、安全防護(hù)、檢查評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急處置等各個(gè)方面,都離不開標(biāo)準(zhǔn)的規(guī)范和引領(lǐng)。關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)標(biāo)準(zhǔn)為各行業(yè)各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別提供指導(dǎo),為提高運(yùn)營(yíng)者自身安全防護(hù)能力和水平提供技術(shù)支撐,為規(guī)范開展安全檢查與評(píng)估提供標(biāo)準(zhǔn)依據(jù),為統(tǒng)籌協(xié)調(diào)相關(guān)領(lǐng)域信息共享、監(jiān)測(cè)預(yù)警、應(yīng)急處置、考核評(píng)價(jià)等提供方法指引,為保障關(guān)鍵信息基礎(chǔ)設(shè)施全生命周期安全提供標(biāo)準(zhǔn)化支撐。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作為筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全屏障,維護(hù)國(guó)家網(wǎng)絡(luò)安全發(fā)揮越來越重要的作用。

一、美歐等率先啟動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)研制

隨著網(wǎng)絡(luò)和信息化的快速發(fā)展,關(guān)鍵信息基礎(chǔ)設(shè)施已成為各國(guó)的重要戰(zhàn)略資源,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)動(dòng)網(wǎng)絡(luò)攻擊成為敵對(duì)勢(shì)力蓄意破壞國(guó)家安全和社會(huì)穩(wěn)定的重要途徑。為保障國(guó)家安全和社會(huì)穩(wěn)定,美國(guó)、歐盟等積極制定出臺(tái)關(guān)鍵信息基礎(chǔ)設(shè)施安全法律法規(guī),早在2014年就啟動(dòng)了包含關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別、安全保護(hù)框架、要求和評(píng)估規(guī)范等內(nèi)容的標(biāo)準(zhǔn)化文件。

2014年美國(guó)發(fā)布了《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》。該框架定義了一套應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施安全的風(fēng)險(xiǎn)管控流程。為支撐該框架的落地執(zhí)行,美國(guó)能源部和國(guó)土安全部針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施開發(fā)了網(wǎng)絡(luò)安全能力成熟度模型(簡(jiǎn)稱“C2M2模型”),用于指導(dǎo)運(yùn)營(yíng)者對(duì)其信息系統(tǒng)、工控系統(tǒng)等信息資產(chǎn)進(jìn)行安全評(píng)估,并通過劃分安全域的方式,分別從內(nèi)部網(wǎng)絡(luò)安全實(shí)踐的實(shí)現(xiàn)情況(方法層面)和安全實(shí)踐的制度化程度(管理層面)對(duì)組織安全能力進(jìn)行評(píng)估。

歐洲網(wǎng)絡(luò)與信息安全局(ENISA)于2014年發(fā)布《識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)和資產(chǎn)的方法論》,給出了識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施中服務(wù)和資產(chǎn)的方法。隨后,又先后發(fā)布了《保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的考量、分析和建議》《數(shù)字服務(wù)提供商實(shí)施最低安全控制措施技術(shù)指南》等技術(shù)指導(dǎo)文件,就關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域開展公私合作、安全事件演練、風(fēng)險(xiǎn)評(píng)估、信息共享和建立控制措施等提出標(biāo)準(zhǔn)化建議。此外,ENISA還在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、工控系統(tǒng)、智能電網(wǎng)、金融、健康醫(yī)療、船舶等領(lǐng)域發(fā)布了相關(guān)安全規(guī)定。

二、我國(guó)加快布局關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系

全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(以下簡(jiǎn)稱“全國(guó)信安標(biāo)委”)作為網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)的統(tǒng)一技術(shù)歸口組織,積極落實(shí)網(wǎng)絡(luò)安全法、《條例》等法律法規(guī)要求,緊密圍繞關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè),推動(dòng)了9項(xiàng)相關(guān)標(biāo)準(zhǔn)的研制工作,實(shí)現(xiàn)了標(biāo)準(zhǔn)“從無到有”的突破。

《條例》從深入推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)統(tǒng)籌協(xié)調(diào)機(jī)制、識(shí)別認(rèn)定范圍、加強(qiáng)安全防護(hù)指導(dǎo)與監(jiān)督、保障安全防護(hù)重要環(huán)節(jié)、提升運(yùn)營(yíng)者安全能力等方面描述了關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的藍(lán)圖。全國(guó)信安標(biāo)委在充分考慮我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全特性的基礎(chǔ)上,圍繞安全保障體系建設(shè)各維度,從邊界識(shí)別、保護(hù)要求、控制措施、保障指標(biāo)、應(yīng)急體系、檢查評(píng)估以及供應(yīng)鏈安全、數(shù)據(jù)安全、信息共享、監(jiān)測(cè)預(yù)警等方面系統(tǒng)開展標(biāo)準(zhǔn)研制與標(biāo)準(zhǔn)試點(diǎn)工作,用標(biāo)準(zhǔn)筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)的基礎(chǔ)。

其中,《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》站在運(yùn)營(yíng)者的角度,對(duì)開展安全保護(hù)工作提出了安全基本要求,為運(yùn)營(yíng)者落實(shí)安全主體責(zé)任提供依據(jù);《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》提出了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估的流程和指標(biāo);《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法》《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》等標(biāo)準(zhǔn)提出了運(yùn)營(yíng)者加強(qiáng)安全保護(hù)的措施手段,為有效開展自身安全能力建設(shè)、提高安全防護(hù)水平提供了全方位、系統(tǒng)化、層次化的標(biāo)準(zhǔn)化指導(dǎo)。此外,《信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南》《信息安全技術(shù) 網(wǎng)絡(luò)安全信息共享指南》《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求》等關(guān)鍵信息基礎(chǔ)設(shè)施支撐標(biāo)準(zhǔn)為建立各行業(yè)間信息共享和應(yīng)急演練協(xié)同機(jī)制提供了重要技術(shù)基礎(chǔ)。

同時(shí),全國(guó)信安標(biāo)委積極發(fā)揮標(biāo)準(zhǔn)化價(jià)值,積極探索關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作實(shí)踐新模式,選取金融、能源、交通、電信、衛(wèi)生健康等行業(yè)20余家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者聯(lián)合開展標(biāo)準(zhǔn)試點(diǎn),對(duì)標(biāo)準(zhǔn)技術(shù)條款的可行性、合理性、完備性和科學(xué)性進(jìn)行綜合驗(yàn)證,有效提高了標(biāo)準(zhǔn)質(zhì)量,初步摸清了相關(guān)行業(yè)的安全防護(hù)底數(shù)。

三、開創(chuàng)新形勢(shì)下關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)化新成果

當(dāng)今世界正經(jīng)歷百年未有之大變局,不穩(wěn)定不確定因素日益增多、國(guó)際格局復(fù)雜多變,網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作應(yīng)堅(jiān)持以總體國(guó)家安全觀為指引,立足新發(fā)展階段,不斷適應(yīng)新興技術(shù)發(fā)展趨勢(shì),以支撐國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等網(wǎng)絡(luò)安全工作為重點(diǎn),持續(xù)創(chuàng)新一批標(biāo)準(zhǔn)化工作新成果,為全面構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系提供標(biāo)準(zhǔn)化支撐。

一是持續(xù)增強(qiáng)標(biāo)準(zhǔn)化頂層設(shè)計(jì)。關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)化工作應(yīng)充分結(jié)合行業(yè)和領(lǐng)域需求,重點(diǎn)圍繞網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等法律法規(guī)要求的落地實(shí)施,以整體提高關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者安全保護(hù)能力為主要目標(biāo),充分借鑒國(guó)際先進(jìn)標(biāo)準(zhǔn)研制成果,加快推動(dòng)監(jiān)測(cè)預(yù)警、態(tài)勢(shì)感知、信息共享等重點(diǎn)領(lǐng)域標(biāo)準(zhǔn)研制。

二是筑牢新型基礎(chǔ)設(shè)施標(biāo)準(zhǔn)根基。“新基建”是數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化深度融合的產(chǎn)物,相關(guān)重要行業(yè)的“新基建”作為關(guān)鍵信息基礎(chǔ)設(shè)施重要組成,應(yīng)嚴(yán)格落實(shí)網(wǎng)絡(luò)安全“三同步”原則。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作既要充分考慮“新基建”新型安全風(fēng)險(xiǎn),又要與已有網(wǎng)絡(luò)安全標(biāo)準(zhǔn)做好配套銜接。以事件管理、信息共享、應(yīng)急響應(yīng)、供應(yīng)鏈安全標(biāo)準(zhǔn)等為支撐,以安全管理、安全技術(shù)、安全測(cè)評(píng)標(biāo)準(zhǔn)等為補(bǔ)充,重點(diǎn)針對(duì)“新基建”中新技術(shù)新應(yīng)用提出標(biāo)準(zhǔn)化要求,奠定新型基礎(chǔ)設(shè)施建設(shè)標(biāo)準(zhǔn)基石,共同支撐各行業(yè)各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作。

三是營(yíng)造標(biāo)準(zhǔn)化工作良性生態(tài)。關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的構(gòu)建需要壓實(shí)運(yùn)營(yíng)者的主體責(zé)任,還需要與產(chǎn)、學(xué)、研單位的通力協(xié)作。新形勢(shì)下網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作要鼓勵(lì)更多的網(wǎng)絡(luò)安全企業(yè)、高校、科研院所等參與到關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)化工作中,打通技術(shù)、產(chǎn)業(yè)、學(xué)術(shù)等環(huán)節(jié)形成標(biāo)準(zhǔn)化合力,深入推動(dòng)金融、能源、電信、交通、水利、衛(wèi)生健康、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)試點(diǎn)工作,促進(jìn)標(biāo)準(zhǔn)研制與行業(yè)實(shí)施緊密互動(dòng),全鏈條提升標(biāo)準(zhǔn)應(yīng)用價(jià)值與實(shí)施效果,營(yíng)造共筑網(wǎng)絡(luò)安全防線的良性生態(tài)。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2021-08-17
標(biāo)準(zhǔn)助力關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)
標(biāo)準(zhǔn)助力關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè),中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院楊建軍關(guān)鍵信息基礎(chǔ)設(shè)施安全直接關(guān)系到國(guó)家安全、國(guó)計(jì)民生和公共利益,關(guān)鍵信息基

長(zhǎng)按掃碼 閱讀全文