《水利网络与信息安全建设技术规范编制说明》.pdfVIP

1 编制说明 一、工作简况 （一）任务来源 2017 年6 月1 日， 《中华人民共和国网络安全法》正式施行， 其中规定 “国家对公共通信和信息服务、能源、交通、水利、金融、 公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧 失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益 的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点 保护”。 目前，水利行业各单位开展信息系统的网络与信息安全体系建设 主要依据 《信息安全技术网络安全等级保护基本要求》等相关标准， 对于水利关键信息基础设施重要组成部分的水利工程控制系统网络 安全体系建设由于没有行业标准，完全凭建设单位意愿，建设内容不 规范，随意性很大，未达到网络安全防护的相关要求。 国家对关键信息基础设施网络安全提出了明确目标，但是如何达 到这些目标特别是水利关键信息基础设施如何达到要求没有给出明 确的方法，在实际操作中难以把握。因此急需出台水利关键信息基础 设施网络安全建设技术规范，针对水利关键信息基础设施实际情况， 结合当前及今后一段时期网络安全发展趋势，提出有针对性的水利关 键信息基础设施网络安全建设框架、内容及要求等。 2017 年，经我中心申请，水利部批准 《水利网络与信息安全建 设技术规范》 （以下简称 《规范》）制定立项，项目周期两年，于 2018 年启动了编制工作。其中，由水利部网络安全与信息化领导小 组主持该规范制定工作，水利部信息中心承担具体编制任务，参编单 位为水利部海河水利委员会水利信息中心。 2 （二）编制过程 2018 年5 月，组建编制组。 2018 年6-8 月，编制组收集国家和相关行业信息安全的政策法规、 技术标准等，对水利行业网络与信息安全建设情况进行现场调研，并 以调查表形式收集水利行业内相关单位意见。 2018 年9 月-2019 年3 月，编制组编制工作大纲，并按照大纲起 草各章节内容，对各章节统稿，讨论研究、补充调研，形成《规范（初 稿）》。 2019 8 年 月，水利部信息中心在北京组织召开大纲审查会。 2019 年9 月，根据大纲审查会意见，进一步修改完善《规范（初 稿）》，形成 《规范 （征求意见稿）》。 二、主要内容及来源依据 （一）主要内容 本标准依据《中华人民共和国网络安全法》和国家对关键信息基 础设施网络安全的相关要求，遵循 《网络安全等级保护基本要求》等 相关标准规范，结合水利关键信息基础设施实际情况，提出水利关键 信息基础设施网络安全建设总体要求，设计水利关键信息基础设施网 络安全技术体系框架，并从纵深防御能力建设、监测预警能力建设、 应急响应能力建设和安全运营能力建设和监督检查方法等方面规定 水利关键信息基础设施网络安全建设的内容及技术要求，对水利关键 信息基础设施网络安全技术体系规划、设计、建设、运营和监督检查 起到较好的指导作用。 （二）制定依据 1. 《中华人民共和国网络安全法》 2.水利部关于印发水利网络安全管理办法 （试行）的通知 （水信 3 息 〔2019〕233号） 3.水利部关于印发水利网络安全任务细化实化方案的通知（水信 息 〔2018〕212号） 4.GB 17859 计算机信息系统安全保护等级划分准则 5.GB/T 22239 信息安全技术 网络安全等级保护基本要求 6.GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 7.GB/T 25069 信息安全技术 术语 8.GB/T 25070 信息安全技术 网络安全等级保护安全设计技术 要求 9.GB/T 28448 信息安全技术 网络安全等级保护测评要求 10.GB/T 28449 信息安全技术 网络安全等级保护测评过程指南 11.GB/T 31167 信息安全技术 云计算服务安全指南 1