关键信息基础设施十大知识点小结.docx

关键信息基础设施十大必备知识点 近期信安标委发布了《信息安全技术 关键信息基础设施边界确定方法》和《信息安全技术 关键信息基础设施安全防护能力评价方法》两个标准的征求意见稿，对关键信息基础设施边界确定和安全防护能力评价提出了相应规范要求。一哥根据两个标准整理了一些认为大家必须知道的关于关键信息基础设施的关键点，供大家学习与参考。 1、什么是关键业务 critical business？ 答：电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能，会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。 2、什么是关键信息基础设施 critical information infrastructure？ 答：支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上，可以是单个网络设施、信息系统，也可以是由多个网络设施、信息系统组成的集合。在本质上，属于关键业务的信息化部分，为关键业务提供信息化支撑。 3、什么是CII、CBI、CBIF? 答：CII：关键信息基础设施（critical information infrastructure） CBI：关键业务信息（critical business information） CBIF：关键业务信息流（critical business information flow） 4、什么是CII元素？ 答：一旦遭到攻击、丧失功能或者数据泄露会严重危害关键业务持续、稳定运行的网络设施、信息系统列为CII元素。 基础运行环境为关键业务提供运行的基础条件，也是关键业务持续、稳定运行不可或缺的组成部分，是否纳入CII边界识别范围由基础运行环境的信息化建设情况决定。如果基础运行环境也依赖信息化运行，应将基础运行环境纳入CII边界识别范围内；反之，如果基础运行环境仅依赖机械、人工等非信息化方式运行，不宜将基础运行环境纳入CII边界识别范围内。 基础运行环境中的安全设备不宜被列为CII元素。 关键信息基础设施边界识别流程是怎样的？ 答：CII边界识别流程具体包括关键业务基础情况梳理、关键业务信息化情况梳理、CII元素梳理、CII元素关键性评估和CII边界确定五个部分，如图1所示。 关键业务基础情况梳理 关键业务基础情况梳理 关键业务信息化情况梳理 CII元素梳理 施 CII元素关键性评估 非关键 CII边界确定 关键 图1 CII边界识别流程 关键信息基础设施安全防护能力评价模型包括哪些？ 答：关键信息基础设施安全防护能力评价模型包括能力级别、能力域和能力指标以及相应的能力评价方法，见图2。 图2 模型组成 关键信息基础设施安全防护能力等级有几个？ 答：关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估，包括3个能力等级，从能力等级1到能力等级3，逐级增高，能力等级之间为递进关系，高一级的能力要求包括所有低等级能力要求。能力等级及特征见表1。 表1 安全能力等级及特征 关键信息基础设施安全 防护能力等级 等级特征 能力等级1 能识别相关风险，防护措施成体系，能够开展检测评估活动，具备监测预警能力；能够按规定接受和报送相关信息；在突发事件发生后能应对并按计划恢复。 能力等级2 能清晰识别相关风险，防护措施有效，能够检测评估出主要安全风险，主动监测预警和态势感知，事件响应较为及时，业务能够及时恢复。 能力等级3 识别认定完整清晰，防护措施体系化、自动化高，能够及时检测评估出主要安全风险，使用自动化工具进行监测预警和态势感知，信息共享和协同程度高，事件响应及时有效，业务可近实时恢复。 能力域包含哪几个能力？ 答：能力域明确了运营者在关键信息基础设施安全防护所需具备的能力，包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力，每个安全能力包含若干能力指标，每个能力指标包含若干评价内容。 关键信息基础设施安全防护能力评价内容及方法是什么？ 答：关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和密码测评三部分。关键信息基础设施安全防护能力评价前，关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。然后，组织应按照评价内容和评价操作方法开展评价工作，给出对每项评价指标的判定结果和所处级别，得出每个能力域级别，综合5个能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别。 关键信息基础设施安全防护能力应综合考虑5个能力域级别与等级保护测评结果。对应能力等级1的关键信息基础设施等级保护测评结果应至少为中；对应能力等级2的关键信息基础设施等级保护测评结果应至少为良；对应能力等级3的关键信息基础设施等级保护测评结果应为优。 关键信息基础设施安全防护能力评价形式包