《信息安全技术 关键信息基础设施网络安全应急体系框架-编制说明.docx》由会员分享,可在线阅读,更多相关《信息安全技术 关键信息基础设施网络安全应急体系框架-编制说明.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、国家标准信息安全技术关键信息基础设施网络安全应急体系框架(征求意见稿)编制说明一、工作简况1.1任务来源根据国家标准化管理委员会2021年下达的国家标准制修订计划:信息安 全技术关键信息基础设施网络安全应急体系框架,国标计划号: 20210094-T-496,由腾讯科技(北京)有限公司负责起草,由全国信息安全标准 化技术委员会归口管理.1. 2主要起草单位和工作组成员腾讯科技(北京)有限公司负责起草,国家工业信息安全发展研究中心、中 国信息通信研究院、中国电子技术标准化研究院、国家计算机网络应急技术处理 协调中心、公安部第三研究所、中国网络安全审查技术与认证中心、国家应急管 理部大数据中心、国
2、家能源局信息中心、中国移动通信集团有限公司、华为技术 有限公司、阿里云计算有限公司、北京百度网讯科技有限公司、中国科学院信息 工程研究所、国家信息中心、国家信息技术安全研究中心、中国工业互联网研究 院、中国软件评测中心、中国交通通信信息中心、国家计算机网络应急技术处理 协调中心云南分中心、陕西省网络与信息安全测评中心、北京快手科技有限公司、 北京天融信网络安全技术有限公司、成都卫士通信息产业股份有限公司、北京路 云天网络安全技术研究院有限公司、北京升鑫网络科技有限公司等单位共同参与 了该标准的起草工作。1. 3主要工作过程标准制定的主要工作过程如下:(1)标准申报立项2020年1月至2020年
3、5月,编制团队对国内外网络安全应急响应技术开展 调研,结合我国关键信息基础设施网络安全应急相关标准政策现状,起草并经多 次召开研讨会修改,形成了适用于指导关键信息基础设施运营者建设网络安全应 急体系的标准草案。按照信安标委2020年国家标准项目申报要求提交了国家标 准制定项目立项申请。(2)草案阶段2020年6月,标准编制组在信安标委WG7会议周上汇报标准技术方案、研 制思路,并根据与会专家意见组织研讨,重点突出关键信息基础设施网络安全应 急响应的特征,形成了包括总体架构、机构设立、资产识别、监测预警、应急响 应、事后恢复与总结、信息共享与事件报送、预防保障和应急预案等内容的标准 草案。根据全
4、国信息安全标准化技术委员会关于2020年网络安全标准项目立 项的通知(信安字2020 15号)通知,本标准正式获批为2020年网络安全 标准制定项目。2020年9月至12月,完成公开征集标准参编单位,经过遴选40余家相关 企事业单位加入标准编制组。召开标准研制启动会、全体编制组研讨会、重点参 编单位研讨会,围绕标准适用范围不断完善。2021年1月至8月,编制组参加全国信安标委第一次会议周,在WG7工作 组汇报并与到场专家进行研讨,按照会议周意见以及信安标委秘书处组织的专 家会意见进行了修改完善。8月27日,完成WG7工作组投票,工作组形成转为 征求意见稿的意见。(3)征求意见稿2021年9月-
5、12月,编制组参加WG7召开的进度评审会,并召开多次专家 研讨会,在标准适用范围、适用对象、应急响应细节等方面不断优化。2022年3月11日,参加征求意见稿专家审查会,根据专家及成员单位意见 聚焦标准重点需要解决的问题,如“网络安全信息共享”与“重大网络安全事件 报送”,以及事件分级分类等,编制组根据专家意见修改完善标准文本2022年7月13日,参加征求意见稿专家审查会,编制组根据专家建议,补 充完善关键信息基础设施网络安全重点关注的三个方面:业务安全、数据安全和 供应链安全,标准文本与上述三个方面呼应。2022年10月10 0,组织专家研讨会,根据专家意见调整“监测预警”和 “预防保障”之间
6、的关系,进一步优化“业务应急响应”、“数据应急响应”和 “供应链应急响应”的描述方式,形成当前标准征求意见稿。2022年10月31日,参加专家评审会,根据专家意见进一步完善框架体系, 体现框架元素之间的关系,突出应急预案的作用,形成当前征求意见稿。二、标准编制原则和确定主要内容的论据及解决的主要问题2.1标准编制原则(1)普适性原则本标准充分立足我国关键信息基础设施安全保护现状,结合国际先进实践经 验,提出普适性的关键信息基础设施网络安全应急体系框架。(2)合规性原则本标准遵从关键信息基础设施安全保护有关法律法规的规定,标准条款内容 符合我国法律法规和相关政策要求。1.1 一致性原则本标准与国
7、内外相关技术标准协调一致,与我国在研关键信息基础设施标准 相互补充。1.2 确定主要内容的依据本标准旨从总体架构、机构设立、资产识别、监测预警、应急响应、事后恢 复与总结、信息共享与事件报送、预防保障和应急预案等方面,指导关键信息基 础设施运营者建设网络安全应急体系、开展网络安全应急活动。(1)关键信息基础设施的重要性体现在所支持的业务的重要性上。随着信息技术快速发展,不同运营者、不同业务模块之间开始紧密耦合、相 互支撑,跨行业、跨领域、跨地域、跨部门的互联互通已成为普遍现象,业务链 上的任一环节发生网络安全事件或者遭到攻击,都可能影响业务安全运行,应急 处置变得复杂和困难,基于信息系统的网络
8、安全应急已经不足以保障关键业务安 全,尤其是对于关键信息基础设施运营者来说。因此,需要从业务安全方面指导 运营者建设网络安全应急体系。(2)关键信息基础设施数据应急要求亟待加强。数据是关键信息基础设施支持关键业务的重要“纽带”,也是网络攻击的重 点,数据泄露(丢失)、数据被篡改、数据被损毁、数据违规使用或者滥用等各 类数据安全事件场景层出不穷,亟待制定数据专项应急处置措施。(3)供应链安全越发重要,在网络安全事件发生期间,如何保障供应链不中断成为重点需求。近期,国内供应链安全问题不断出现,针对重要零部件,建立多级库存联动 +安全库存多重保障,保持供应弹性储备并自动补货;跟踪供应链受突发事件干
9、扰和危害情况,降低事件影响并防止进一步蔓延;确保应急响应期间可以得到必 须零部件紧急供应,避免关键信息基础设施供应链中断等方面亟待标准规范。(4)网络安全信息共享、重大网络安全事件报送,对我国关键信息基础设 施网络安全应急处置具有重要意义。通过网络安全信息共享,加强网络安全信息资源有效和合法利用,及时获取 网络安全威胁、事件、最佳实践等信息,对关键信息基础设施安全保护至关重要。 因此,建立关键信息基础设施网络安全应急体系,实现网络安全信息共享和重大 事件报送,及时预防和处置各类网络安全事件,对保障关键业务安全稳定运行、 维护国家安全具有重要意义。(5)国外网络安全应急处置机制相对完善,对我国具
10、有较好的借鉴意义。国外通过机构设立、机制建设、标准制定等手段,形成了比较成熟的网络安 全应急体系,对我国具有较好的借鉴意义:ISO 22325:2016 Security and resilience - Emergency management - Guidelines for capability assessment.Software Engineering Institute at Carneige Mellon. Incident Management Capability Metrics.U. S. Department of Homeland Security. National
11、 Cyber Incident Response Plan.ENISA. Study on CSIRT Maturity - Evaluation Process.RAND Europe. Developing Cybersecurity Capacity - A proof-of-concept implementation guide.NIST 800161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations.1.3 解决的主要问题本文件解决的主要问题是建设网络安全
12、应急体系框架,全面提升关键信息基 础设施风险识别和应急处置水平,包括:(1)明确重点监测目标、确定重点监测范围:识别关键业务安全稳定运行 不可或缺的网络设施、信息系统,厘清上述网络设施、信息系统与关键业务之间 的支撑作用、依赖关系,确定重点监测目标和监测范围,制定容灾备份清单。在 此基础之上,进一步厘清cn数据和cn供应链情况,建立相应台账并定期更新, 作为应急响应的参考依据。(2)提升事前、事中、事后全流程管理水平:在网络安全事件发生前,通 过技术监测、情报收集等手段,发现cn面临的网络安全风险和威胁并降低事件 发生的概率;网络安全事件发生后,启动应急响应,快速定位问题并终止紧急状 态;网络
13、安全事件得到控制后,开展后期处置,将cii恢复到事前运行状态并进 行总结分析。(3)促进信息共享和事件报送,提升协同联动能力:当发现或发生网络安 全事件或威胁时,通过信息共享接口向国家网信部门、公安部门、保护工作部门、 网络安全服务机构和CII运营者内部相关部门及时共享。对于重大网络安全事件, 通过事件报告接口向国家网信部门、公安部门和保护工作部门报告。三、主要试验情况分析目前编制组成员包括了国内2家主要网络安全应急支撑机构,6家金融、能 源、通信、交通等领域关键信息基础设施运营者,8家网络安全服务机构,10 家网络安全服务公司和1家重点科研院所,上述参编单位根据长期一线的实践经 验,提出了具
14、有符合性和可操作性的技术方案,并在实践中不断调整、完善,下 一步将积极推动标准试用工作,进一步提升标准可应用性。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果随着计算技术的普及和推广,信息化已经开始影响业务的方方面面,加之 业务上下游相互依赖、相互支撑,不同业务主体之间彼此交叉,跨行业、跨领域 已经成为普遍现象。因此,网络安全应急作为保障关键业务持续、稳定运行的重 要环节,不再是某个运营者或者某个行业内部的职责,需要行业之间、运营者之 间联动协调。例如,用户终端、运营商通道、电商平台、第三方金融支付等任何 环节发生网络安全事件,都有可能威胁到用户财产安全
15、,保障用户资金安全早已 不是银行一家的职责。再例如,电视台、运营商网络、CDN分发、用户终端系统等任一环节发生网络故障,都会影响网络直播业务的正常运行。然而,从2007 年我国颁布中华人民共和国突发事件应对法直到2016年中华人民共和国 网络安全法正式实施,我国的网络安全应急体系还处在运营者“零散式”的单 打独斗状态。因此,建设网络安全应急体系框架,信息共享,保障关键业务安全、 数据安全和供应链安全已成为适应当前新形势的需要。六、采用国际标准和国外先进标准情况本标准为自主制定,目前并未有专门针对关键信息基础设施网络安全应急体 系框架方面的标准。七、与现行相关法律、法规、规章及相关标准的协调性本
16、标准为落实中华人民共和国网络安全法和关键信息基础设施安全保 护条例等相关要求,本标准符合现有法律法规的要求。信息安全技术关键 信息基础设施安全保护要求提出了关键信息基础设施网络安全应急基本要求, 信息安全技术关键信息基础实施边界确定方法提出了 CII资产识别方法, 用于确定重点保障目标和灾备清单,信息安全技术网络安全信息共享指南(制定中)给出了网络安全信息共享实施方案,信息安全技术 网络安全监测 基本要求与实施指南给出了网络安全风险监测方案,本标准在上述基础之上, 提出了实现关键信息基础设施网络安全协同应急的体系框架。八、重大分歧意见的处理经过和依据无。九、标准性质的建议根据本标准的性质,建议本标准为推荐性标准。十、贯彻标准的要求和措施建议本标准提出了关键信息基础设施网络安全应急体系框架,包括角色、职责和 协同应急要素机制,适用于建设关键信息基础设施网络安全协同应急体系,也可 供关键信息基础设施安全保护相关方参考。因此,本标准贯彻实施时,应加强宣 贯培训。十一、替代或废止现行相关标准的建议无。十二、其它应予说明的事项无。信息安全技术无。信息安全技术关键信息基础设施网络安全应急体系框架编制工作组2022-11-09