信息安全技术关键信息基础设施安全控制措施.docx

国家标准报批资料 国家标准报批资料 PAGE PAGE 1 国家标准《 信息安全技术 关键信息基础设施安全控制措施》（征求意见稿）编制说明 一、工作简况 任务来源 当前，我国关键信息基础设施面临的网络安全形势严峻复杂， 网络安全防控能力薄弱，难以有效应对网络攻击，《网络安全法》《国家网络空间安全战略》 等提出建立关键信息基础设施安全保护制度。 根据国务院的要求， 国家网信部门已会同有关部门起草了 《关键信息基础设施安全保护条例》 ，目前正在征求意见。该条例明确了关键信息基础设施的具体范围，并提出了进一步的安全保护要求。 但是，用于指导具体保护工作的标准体系尚不完善，亟需配套标准支撑。此外， 我国正在推进全国关键信息基础设施网络安全检查工作， 关键信息基础设施运营者等也需要相关技术标准作为指导。 基于对《网络安全法》及相关法律法规要求的细化落实，围绕上述目标，结 合目前已经开展的关键信息基础设施网络安全保护， 全国信息安全标准化委员会组织开展了系列标准的制定，包括《信息安全技术 关键信息基础设施网络安全框架》《信息安全技术 关键信息基础设施网络安全保护基本要求》《信息安全 技术 关键信息基础设施安全控制措施》 《信息安全技术 关键信息基础设施安全检查评估指南》《信息安全技术 关键信息基础设施安全保障指标体系》等。其中，本标准作为《信息安全技术 关键信息基础设施网络安全保护基本要求》的配套标准， 根据要求提出相应控制措施， 运营者开展安全保护工作时可在该标准中选取适用的控制措施。 2017 年 4 月，本标准在全国信息安全标准化技术委员会第一次工作组“会 议周”期间通过立项， 由中国信息安全研究院有限公司牵头负责。 2017 年 10 月， 在全国信息安全标准化技术委员会第二次工作组 “会议周” 进行汇报并通过会议决议可以进入征求意见阶段，建议将标题修改为《信息安全技术 关键信息基础设施安全控制措施》 。会后， 编制组根据标准周答辩专家意见对标准草案进分修 订，完善标准草案内容。 编制单位 本标准由中国信息安全研究院有限公司牵头，中国电子技术标准化研究院、 中国电子技术标准化研究院、 国家工业信息安全发展研究中心、 中国信息安全测评中心、国家信息技术安全研究中心、 公安部三所、 中国科学院软件研究所等单位共同参与编制。 工作过程 成立编制组 接到标准编制任务后， 中国信息安全研究院有限公司联合关键信息基础设施领域科研机构及测评机构组建标准编制组，编制组成员具有丰富的标准编制经 验、关键信息基础设施安全保护领域研究经验、 信息系统安全控制标准研究经验 等。 本标准编制组负责人为左晓栋，主要编制人员有周亚超、崔占华、杨晨、张弛、刘雨桁、王惠莅、姚相振、许东阳、唐一鸿、刘蓓、许涛、蔡军霞、程浩、王啸天、刘迎、张格、唐旺、于盟等。 制定工作计划 编制组首先制定了编制工作计划， 并确定了编制组人员例会安排以便及时沟通交流工作情况。 研究国内外政策标准资料 该标准编制过程中，主要研究参考了《 NIST SP800-53 联邦信息系统和组织的安全和隐私控制》《 NIST 增强关键基础设施网络安全的框架》以及《关键信息基础设施安全保护条例（征求意见稿）》 《国家网络安全事件应急预案》 《信息安全技术 数据出境安全评估指南》 《信息安全技术 个人信息安全规范》 等政策规定和标准规范。 确定编制内容 关键信息基础设施运营者规模不同， 对网络安全工作的重视程度不一， 技术强弱各异。制定统一的关键信息基础设施安全控制措施有助于运营单位在网络安 全等级保护的基础上，针对性的按需做好各关键信息基础设施的安全保护工作。为此，标准编制组在确定标准内容时，一方面借鉴国外关键基础设施保护要求， 重点参考美国国家标准和技术研究院（ NIST）发布的《 SP 800-53 联邦信息系统和组织机构安全控制建议》（第四版， 2013 年 4 月发布）、《增强关键基础设 施网络安全的框架》（ 2014 年 2 月发布），另一方面深入研究我国《网络安全法》、《关键信息基础设施安全保护条例（征求意见稿）》等相关法律法规和政 策文件中关键信息基础设施的有关规定， 将其转化为安全控制措施。 针对风险识别、安全防护、检测评估、监测预警、应急处置等五个环节，从资产识别、环境 识别、访问控制、数据保护、保护规程、人员安全、维护、审计、物理与环境保 护、检测规程、评估要求、持续监测、安全预警等方面提出关键信息基础设施运 营者应实现的安全控制措施。 编制工作简要过程 按照项目进度要求， 编制组人员首先对相关法律法规及国内外标准文件进行反复阅读与理解， 查阅有关资料， 编写标准编制提纲， 在完成对提纲进行交流和修改的基础上，开始具体的编制工作。 2017 年 2 月