2023年关键信息基础设施安全保护条例.docx

关键信息根底设施平安保护条例 国家标准信息平安技术关键信息根底设施平安保障评价指标体系 编制说明 1.工作简况1.1.任务来源 根据国家标准化管理委员会2023年下达的国家标准制修订方案，国家标准信息平安技术关键信息根底设施平安保障评价指标体系由大唐电信科技产业集团（电信科学技术研究院）主办。 关键信息根底设正常运转，关系国家平安、经济开展、社会稳定，随着关键信息根底设施逐渐向网络化、泛在化、智能化开展，网络平安成为关键信息根底设施的重要目标。世界主要国家和地区高度重视，陆续出台了相关战略、规划、立法以及实施方案等，加大对关键信息根底设施的保护力度。近年来，随着我国网络强国战略的深化和实施，国家关键信息根底设施在国民经济和社会开展中的根底性、重要性、保障性、战略性地位日益突出，构建国家关键信息根底设施平安保障体系已迫在眉睫，是当前一项全局性、战略性任务。 2023年4月19日，习近平总书记在网络平安和信息化工作座谈会上指出，“金融、能源、电力、通信、交通等领域的关键信息根底设施是经济社会运行的神经中枢，是网络平安的重中之重，也是可能遭到重点攻击的目标。我们必须深入研究，采取有效措施，切实做好国家关键信息根底设施平安防护。〞2023年8月12日，中央网络平安和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合印发关于加强国家网络平安标准化工作的假设干意见（中网办发文（2023）5号），要求“按照深化标准化工作改革方案要求，整合精简强制性标准，在国家关键信息根底设施保护、涉密网络等领域制定强制性国家标准。〞2023年11月7日，全国人民代表大会常务委员会发布中华人民共和国网络平安法，明确指出“保护关键信息根底设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间平安和秩序〞。2023年12月15日，国务院印发“十三五〞国家信息化规划（国发（2023）73号），明确提出要构建关键信息根底设施平安保障体系。2023年12月27日，国家互联网信息办公室发布国家网络空间平安战略，要求“建立实施关键信息根底设施保护制度，从管理、技术、人才、资金等方面加大投入，依法综合施策，切实加强关键信息根底设施平安防护。〞2023年7月2023日，国家互联网信息办公室就关键信息根底设施平安保护条例（征求意见稿）公开征集意见。 目前国外主要国家对关键信息根底设施的保护起步较早，已出台关键信息根底设施的相关战略、规划、法律、标准、技术、监管等等一系列举措，大力加强关键信息根底设施平安建设，不断提升网络平安保障能力。对于我国而言，一方面，我国在引进外国先进技术、加快产业更新换代的同时，局部关键核心技术和设备受制于他国，存在系统受控、信息泄露发1 现滞后等隐患，也给关键信息根底设施各领域带来许多平安隐患问题。另一方面，我国关键信息根底设施保护工作起步较晚、开展较慢，缺乏针对性、指导性的标准体系，无法适应新形势下的国际网络平安环境。本标准的制定主要为关键信息根底设施的政府管理部门提供态势判断和决策支持，为关键信息根底设施的管理部门及运营单位的信息平安管理工作提供支持和方法参考。 1.2.编制目的 本标准主要解决关键信息根底设施网络平安的评价问题。本标准主要用于：评价我国关键信息根底设施平安保障的现状，包括建设情况、运行情况以及所面临的威胁等；为政府管理层的关键信息根底设施态势判断和宏观决策提供支持；为各关键信息根底设施运营单位及管理部门的信息平安保障工作提供参考。 1.3.主要工作过程 1、2023年，工程组完成网络平安保障评价指标体系阶段性研究报告。主要针对以下三个问题进行了深入研究：研究国外特别是美国、欧盟、联合国等国家、地区和国际组织在网络平安保障评价指标研究方面的资料，总结网络平安保障评价的相关方法、指标、规定和标准；研究新形势、新技术条件下我国网络平安保障工作面临的挑战，分析我国网络平安保障工作的新需求，对我国与网络平安保障评价有关的法规、制度、标准进行梳理和总结；在理论研究和实践调研的根底上，研究提出我国网络平安保障评价指标体系和评价方法。 2、2023年12月-2023年6月，工程组赶赴电力、民航、电信、中国银行等相关行业（企业）进行调研。 3、2023年1月-2023年7月，工程组根据工程要求开展了研讨会，针对调研结果中各行业在网络平安评价中的成功经验和出现的问题进行总结。 4、2023年1月-2023年9月，工程组与关键信息设施保护等进行工作对接。 5、2023年1月-2023年7月，工程组进行了广泛研讨，并咨询了专家意见：2023年1月，对研究提出的网络平安保障评价指标体系的初步框架，召开专家咨询会，听取了崔书昆、李守鹏等专家的意见；2023年6月，召开专家会，听取了中国电信基于大数据的网络平安态势评价工作的介绍；2023年7月，召开专家会听取了关于民航、电信、互联网领域平安指标体系的研究现状，与会专家对网络平安保障评价指标体系课题提出意见建议。 6、2023年8月-2023年9月，与2023年网络平安检查工作、关键信息根底保护工作进行对接。 7、2023年1月-2023年2月，与网络平安检查工作进行对接，采用指标体系对相关检查结果进行了统计测算，并撰写评价报告。 8、2023年4月-2023年8月，针对指标体系在网络平安检查工作中的成功经验和出现的问题进行总结，进一步更新了指标体系。 9、2023年9月-2023年2月，与关键信息设施检查办进行对接，对指标体系的实际应 用进行了深入讨论。 2023、2023年3月，工程组在草案初稿的根底上，召开行业专家会，形成草案修正稿。 11、2023年4月，在全国信息平安标准化技术委员会2023年第一次工作组会议周上，工程组申请国家标准制定工程立项。 12、2023年6月，“信息平安技术关键信息根底设施平安保障指标体系〞标准制定工程正式立项。 13、2023年7月，工程组召开专家咨询会，听取了李守鹏、魏军、闵京华、韩正平、张立武等专家的意见。 14、2023年7月，在全国信息平安标准化技术委员会wg7第二次全体会议上，工程组广泛听取专家意见，形成征求意见稿。 1.4.承担单位 起草单位：大唐电信科技产业集团（电信科学技术研究院） 协作单位。国家信息中心、北京奇安信科技、北京国舜科技股份、北京匡恩网络科技有限责任公司、北京天融信科技等。 本局部主要起草人。韩晓露吕欣李阳毕钰郭晓萧等。 2.编制原那么和主要内容2.1.编制原那么 为保证所建立的“关键信息根底设施平安保障评价指标体系〞有一个客观、统一的根底，在评价指标体系的设计及指标的选取过程中，主要遵循以下原那么： 1、综合性原那么 关键信息根底设施平安保障评价指标体系建设是通过从整体和全局上把握我国关键信息根底设施平安保障体系的建设效果、运行状况和整体态势，形成多维的、动态的、综合的关键信息根底设施平安保障评价指标体系。因此，标准设计的首要原那么是综合性。 2、科学适用性原那么 关键信息根底设施平安保障评价指标体系必须是在符合我国国情、充分认识关键信息根底设施平安保障评价指标体系的科学根底之上建立的。按照国家信息平安保障体系总目标的设计原那么，把关键信息根底实施平安各构成要素作为一个有机整体来考虑。指标体系必须符合理论上的完备性、科学性和正确性，即指标概念必须具有明确完整的科学内涵。 适用性原那么，就是指标体系应该能够在时空上覆盖我国关键信息根底设施平安保障评价的各个层面，满足系统在完整性和全面性方面的客观要求。尤其是必须考虑由于经济、地区等原因造成的各机构间开展状况的差异，尽量做到不对根底数据的收集工作造成困扰。这一原那么的关键在于，最精简的指标体系全面反映关键信息根底设施平安保障的整体水平。 3、导向性原那么 评价的目的不是单纯评知名次及优劣的程度，更重要的是引导和鼓励被评价对象向正确 的方向和目标开展，要引导我国关键信息根底设施平安的健康开展。 4、可操作性强原那么 可操作性强直接关系到指标体系的落实与实施，包括数据的易获取性（具有一定的现实统计根底，所选的指标变量必须在现实生活中是可以测量得到的或可通过科学方法聚合生成的）、可靠性（通过标准数据的来源、标准等保证数据的可靠与可信）、易处理性（数据便于统计分析处理）以及结果的可用性（便于实际操作，能够效劳于我国涉密信息系统平安评价的）等方面。 5、定性定量结合原那么 在众多指标中，有些因素是反映最终效果的定性指标，有些是能够通过工程运行过程得到实际数据的定量指标。对于评价最终效果而言，指标体系中这两方面的因素都不可或缺。但为了使指标体系具有高度的操作性，必须在选取定性指标时，舍弃局部与实施效果关系不大的非关键因素，并且尽量将关键的定性指标融合到对权重分配的影响中去。该指标设计的定性定量结合原那么就是将定性分析反映在权重上，定量分析反映在指标数据上。 6、可比性原那么 可比性是衡量关键信息根底设施平安保障评价指标体系的实际效果的客观标准，是方案权威性的重要标志。关键信息根底设施平安保障评价指标应该既可以横向比照不同机构信息平安保障水平的差异、又能够纵向反映国家及各地区关键信息根底设施平安保障的历史进程和开展趋势。这一原那么主要表达在对各级指标的定义、量化和加权等方面。 2.2.主要内容 本标准概述了本标准各局部通用的根底性概念，给出了关键信息根底设施平安保障指标体系设计的指标框架和评价方法。本标准主要用于：评价我国关键信息根底设施平安保障的现状，包括建设情况、运行情况以及所面临的威胁等；为政府管理层的关键信息根底设施态势判断和宏观决策提供支持；为各关键信息根底设施运营单位及管理部门的信息平安保障工作提供参考。本标准主要框架如下： 前言引言1范围 2标准性引用文件3术语和定义4指标体系5指标释义 附录a（标准性附录）指标测量过程参考文献 本标准主要奉献如下： 1、明确了标准的目标读者及其可能感兴趣的内容 指出标准主要由三个相互关联的局部组成。第1局部包括1-3节，描述了本标准的范围和所使用的术语与定义，对关键信息根底设施、关键信息根底设施平安保障、关键信息根底设施平安保障评价等概念进行了阐释；第2局部为第4节，详细描述了关键信息根底设施平安保障指标体系的体系框架和指标；第3局部包括第5节和附录a，给出了关键信息根底设施平安保障指标体系各具体指标的衡量标准和量化方法，为体系的可操作性提供了保证。 2、给出了关键信息根底设施的概念 关键信息根底设施是指关系国家平安、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家平安、公共利益的信息设施。 中华人民共和国网络平安法规定。国家对公共通信和信息效劳、能源、交通、水利、金融、公共效劳、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家平安、国计民生、公共利益的关键信息根底设施，在网络平安等级保护制度的根底上，实行重点保护。关键信息根底设施的具体范围和平安保护方法由国务院制定。 国家网络空间平安战略规定。国家关键信息根底设施是指关系国家平安、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家平安、公共利益的信息设施，包括但不限于提供公共通信、播送电视传输等效劳的根底信息网