信息安全技術關鍵信息基礎設施安全檢查評價指引-全國信息安全

1、國家標準信息安全技術 關鍵信息基礎設施安全檢查評估指南編制說明一、工作簡況1.1 任務來源 根據(jù)中華人民共和國網(wǎng)絡安全法要求，關鍵信息基礎設施要求在網(wǎng)絡 安全等級保護制度的基礎上， 實行重點保護， 具體范圍和安全保護辦法由國務院 制定。網(wǎng)絡安全法中明確要求關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡 安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估， 此外規(guī)定了國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門對關鍵信息基礎設施的安全風 險進行抽查檢測， 提出改進措施， 必要時可以委托網(wǎng)絡安全服務機構(gòu)對網(wǎng)絡存在 的安全風險進行檢測評估。為了落實網(wǎng)絡安全法要求，規(guī)范關鍵信息基礎設施檢測評估相關

2、方法、流 程，全國信息安全標準化技術委員會于 2016 年立項信息安全技術 關鍵信息基 礎設施安全檢查評估指南國家標準， 2016 年 7 月，中央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào) 局下達 信息安全技術 關鍵信息基礎設施安全檢查評估指南 國家標準制定 委托任務書， 委托中國互聯(lián)網(wǎng)絡信息中心開展該標準的研制工作， 并將本項目標 識為 WG7 組重點標準。信息安全技術 關鍵信息基礎設施安全檢查評估指南 由中國互聯(lián)網(wǎng)絡信 息中心牽頭， 國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心， 國家信息技術安全研究中 心、中國信息安全測評中心， 工業(yè)和信息化部電子科學技術情報研究所 （更名為 國家工業(yè)信息安全發(fā)展研究中心）等單位共同參

3、與起草。1.2 主要工作過程2017年 1月至 3月，信息安全技術 關鍵信息基礎設施安全檢查評估指南 由中國互聯(lián)網(wǎng)絡信息中心牽頭， 國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心， 國家信 息技術安全研究中心、 中國信息安全測評中心， 工業(yè)和信息化部電子科學技術情 報研究所等單位共同參與討論， 討論研究指南的編制， 并形成標準討論稿， 向中 央網(wǎng)信辦領導匯報標準編制進展， 并向全國信息安全標準化技術委員會提交項目 申請。2017年 4月，標準通過全國信息安全標準化技術委員會 WG7 組會議討論。2017年 4月，本標準獲得由全國信息安全標準化技術委員會立項。2017年 4月，向中央網(wǎng)信辦領導匯報標準進展工

4、作，擬作為中央網(wǎng)信辦布 置關鍵信息基礎設施安全檢查工作的參考標準。2016年 5月，正式成立標準編制組，標準編制組由五家主要參與單位共同 組成，集中討論集中辦公，討論標準的框架、方法論、具體的內(nèi)容等。2016年5月25日，召開第一次專家會， 地點在中央網(wǎng)信辦， 由項目組向中 央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局楊春艷副局長、各相關處室負責同志及 WG7 專家進行 了匯報，5位WG7專家對標準提出了修改意見。2016 年 6-7 月，標準編制組繼續(xù)集中辦公，集中討論，并根據(jù)第一次專家 會意見逐一進行修訂， 此外與其他安全廠商、 科研單位進行交流， 就本標準指標 方法聽取意見，并最終形成標準第二稿。2016年7

5、月18日，召開第二次 WG7專家會，由項目組向?qū)＜覅R報了標準 項目進展，以及根據(jù)第一次專家會議的專家意見修訂情況， 5 位 WG7 專家對標 準提出了更進一步的修改意見， 隨后項目組召開標準討論封閉會議， 根據(jù)此次專 家會意見對草案作了進一步修訂，形成了第三稿。2017 年 7 月 21 日，參加 WG7 組會議，匯報了項目進展和標準修訂情況， 會議決議最終該標準可以進入征求意見階段， 并根據(jù)標準周答辯專家意見對標準 草案進行部分修訂，完善草案內(nèi)容。二、編制原則和主要內(nèi)容2.1 編制原則 根據(jù)中華人民共和國網(wǎng)絡安全法要求，關鍵信息基礎設施要求在網(wǎng)絡 安全等級保護制度的基礎上， 實行重點保護，

6、具體范圍和安全保護辦法由國務院 制定。網(wǎng)絡安全法中明確要求關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡 安全服務機構(gòu)對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估， 此外規(guī)定了國家網(wǎng)信部門應當統(tǒng)籌協(xié)調(diào)有關部門對關鍵信息基礎設施的安全風 險進行抽查檢測， 提出改進措施， 必要時可以委托網(wǎng)絡安全服務機構(gòu)對網(wǎng)絡存在 的安全風險進行檢測評估。關鍵信息基礎設施安全檢查評估指南是落實網(wǎng)絡安全法要求，規(guī)范關鍵信息基礎設施檢測評估相關方法、 流程，定義了檢測評估的主要內(nèi)容， 從而提升關鍵信息基礎設施的網(wǎng)絡安全防護能力。本標準提供了關鍵信息基礎設施檢查評估工作的方法、流程和內(nèi)容，定義 了關鍵信息基礎設

7、施檢查評估所采用的方法， 規(guī)定了關鍵信息基礎設施檢查評估 工作準備、實施、總結(jié)各環(huán)節(jié)的流程要求，以及在檢查評估具體要求和內(nèi)容。本標準適用于指導關鍵信息基礎設施運營者、網(wǎng)絡安全服務機構(gòu)相關的人 員開展關鍵信息基礎設施檢查評估相關工作。本標準可用于：1）關鍵信息基礎設施運營單位自行開展安全檢測評估工作參考。2）網(wǎng)絡安全服務機構(gòu)對關鍵信息基礎設施實施檢測評估工作參考。3）網(wǎng)絡安全檢測產(chǎn)品研發(fā)機構(gòu)研發(fā)檢查工具，創(chuàng)新安全應用參考。 本標準適用對象是關鍵息基礎設施運營單位負責信息安全工作的實施者和 其他實施安全檢測評估工作的相關人員。2.2 主要內(nèi)容 關鍵信息基礎設施檢查評估工作是依據(jù)國家有關法律與法規(guī)要

8、求， 參考國家 和行業(yè)安全標準， 針對關鍵信息基礎設施安全要求， 通過一定的方法和流程， 對 信息系統(tǒng)安全狀況進行評估，最后給出檢查評估對象的整體安全狀況的報告。檢查評估工作由合規(guī)檢查、 技術檢測和分析評估三個主要方法組成， 每個方 法包含若干內(nèi)容和項目。合規(guī)檢查合規(guī)檢查是通過一定的手段驗證檢查評估對象是否遵從國家相關法律法規(guī)、 政策標準、 行業(yè)標準規(guī)定的強制要求， 輸出是否合規(guī)的結(jié)論， 對不合規(guī)的具體項 目進行說明，采取的方法包括現(xiàn)場資料核實、人員訪談、配置核查等形式。技術檢測 技術檢測分為主動方式和被動方式， 主動方式是采用專業(yè)安全工具， 配合專業(yè)安全人員，選取合適的技術檢測接入點，通過漏

9、洞掃描、滲透測試、社會工程 學等常用的安全測試手段， 采取遠程檢測和現(xiàn)場檢測相結(jié)合的方式， 發(fā)現(xiàn)其安全 性和可能存在的風險隱患， 也可參考其他安全檢測資料和報告， 對技術檢測結(jié)果 進行驗證。被動方式是輔助監(jiān)測分析手段， 通過選取合適的監(jiān)測接入點， 部署相應的監(jiān) 測工具，實時監(jiān)測并分析檢查評估對象的安全狀況， 發(fā)現(xiàn)其存在的安全漏洞、 安 全隱患。兩種技術檢測方式最終輸出技術檢測結(jié)果。分析評估分析評估是圍繞關鍵信息基礎設施承載業(yè)務特點， 對關鍵信息基礎設施的關 鍵屬性進行識別和分析， 依據(jù)技術檢測發(fā)現(xiàn)的安全隱患和問題， 參考風險評估方 法，對關鍵屬性面臨的風險進行風險分析， 進而對關鍵信息基礎設施

10、的整體安全 狀況的評估。標準充分考慮了當前已有的等級保護相關標準、風險評估標準、及其他行 業(yè)安全標準，與正在制定的其他 WG7 系列標準一起，共同形成了支撐關鍵信息 基礎設施安全保障的標準體系。本標準與其他國內(nèi)標準的關聯(lián)性分析：GB/T 22081-2016信息安全技術信息系統(tǒng)等級保護基本要求 是本標準 引用的標準之一， 本標準在編制之初就深刻理解網(wǎng)絡安全法中 “關鍵信息基礎設 施要求在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護， ”的要求，在合規(guī)檢 查的內(nèi)容中重點強調(diào)了對等級保護制度落實情況的檢查。GB/T 20984-2007 信息安全技術 信息安全風險評估規(guī)范也是本標準引用的 標準之一，

11、本標準在第 9 節(jié)引入了風險評估的方法論， 通過對關鍵信息基礎設施 的關鍵性分析， 并根據(jù)合規(guī)檢查和技術檢測發(fā)現(xiàn)的問題進一步進行風險分析， 最 后根據(jù)風險分析的結(jié)果定性分析出整體安全狀況的評價。此外，正在制訂的標準草案信息安全技術關鍵信息基礎設施網(wǎng)絡安全保 護要求定義了關鍵信息基礎設施， 并對關鍵信息基礎設施保護提出了具體的要 求，而本標準中有專門的項是對改要求的驗證， 強調(diào)的是評估流程的標準化、 評 估內(nèi)容標準化，以及評估結(jié)果的標準化 。此外，正在制定的標準草案信息安全技術關鍵信息基礎設施安全保障指標體系與該標準關聯(lián)，該標準的輸出評估結(jié)果可以用于標準的量化計算。 。三、采用國際標準和國外先進標準的程度，以及與國際、國外同類標準水平的對比情況，或與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況 編