第一篇：信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系-全國(guó)信息安全

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系》

編制說(shuō)明

1.工作簡(jiǎn)況 1.1.任務(wù)來(lái)源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2017年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系》由大唐電信科技產(chǎn)業(yè)集團(tuán)（電信科學(xué)技術(shù)研究院）主辦。

關(guān)鍵信息基礎(chǔ)設(shè)正常運(yùn)轉(zhuǎn)，關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定，隨著關(guān)鍵信息基礎(chǔ)設(shè)施逐漸向網(wǎng)絡(luò)化、泛在化、智能化發(fā)展，網(wǎng)絡(luò)安全成為關(guān)鍵信息基礎(chǔ)設(shè)施的重要目標(biāo)。世界主要國(guó)家和地區(qū)高度重視，陸續(xù)出臺(tái)了相關(guān)戰(zhàn)略、規(guī)劃、立法以及實(shí)施方案等，加大對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)力度。近年來(lái)，隨著我國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的深化和實(shí)施，國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施在國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的基礎(chǔ)性、重要性、保障性、戰(zhàn)略性地位日益突出，構(gòu)建國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系已迫在眉睫，是當(dāng)前一項(xiàng)全局性、戰(zhàn)略性任務(wù)。

2016年4月19日，總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出，“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。我們必須深入研究，采取有效措施，切實(shí)做好國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)?！?2016年8月12日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組辦公室、國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合印發(fā)《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見(jiàn)》（中網(wǎng)辦發(fā)文〔2016〕5號(hào)），要求“按照深化標(biāo)準(zhǔn)化工作改革方案要求，整合精簡(jiǎn)強(qiáng)制性標(biāo)準(zhǔn)，在國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、涉密網(wǎng)絡(luò)等領(lǐng)域制定強(qiáng)制性國(guó)家標(biāo)準(zhǔn)。”2016年11月7日，全國(guó)人民代表大會(huì)常務(wù)委員會(huì)發(fā)布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，明確指出“保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動(dòng)，維護(hù)網(wǎng)絡(luò)空間安全和秩序”。2016年12月15日，國(guó)務(wù)院印發(fā)《“十三五”國(guó)家信息化規(guī)劃》（國(guó)發(fā)〔2016〕73號(hào)），明確提出要構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。2016年12月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》，要求“建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度，從管理、技術(shù)、人才、資金等方面加大投入，依法綜合施策，切實(shí)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)?！?017年7月10日，國(guó)家互聯(lián)網(wǎng)信息辦公室就《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》公開(kāi)征集意見(jiàn)。

目前國(guó)外主要國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)起步較早，已出臺(tái)關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)戰(zhàn)略、規(guī)劃、法律、標(biāo)準(zhǔn)、技術(shù)、監(jiān)管等等一系列舉措，大力加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全建設(shè)，不斷提升網(wǎng)絡(luò)安全保障能力。對(duì)于我國(guó)而言，一方面，我國(guó)在引進(jìn)外國(guó)先進(jìn)技術(shù)、加快產(chǎn)業(yè)更新?lián)Q代的同時(shí)，部分關(guān)鍵核心技術(shù)和設(shè)備受制于他國(guó)，存在系統(tǒng)受控、信息泄露發(fā) 1

現(xiàn)滯后等隱患，也給關(guān)鍵信息基礎(chǔ)設(shè)施各領(lǐng)域帶來(lái)許多安全隱患問(wèn)題。另一方面，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作起步較晚、發(fā)展較慢，缺乏針對(duì)性、指導(dǎo)性的標(biāo)準(zhǔn)體系，無(wú)法適應(yīng)新形勢(shì)下的國(guó)際網(wǎng)絡(luò)安全環(huán)境。本標(biāo)準(zhǔn)的制定主要為關(guān)鍵信息基礎(chǔ)設(shè)施的政府管理部門提供態(tài)勢(shì)判斷和決策支持，為關(guān)鍵信息基礎(chǔ)設(shè)施的管理部門及運(yùn)營(yíng)單位的信息安全管理工作提供支持和方法參考。1.2.編制目的

本標(biāo)準(zhǔn)主要解決關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的評(píng)價(jià)問(wèn)題。本標(biāo)準(zhǔn)主要用于：評(píng)價(jià)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障的現(xiàn)狀，包括建設(shè)情況、運(yùn)行情況以及所面臨的威脅等；為政府管理層的關(guān)鍵信息基礎(chǔ)設(shè)施態(tài)勢(shì)判斷和宏觀決策提供支持；為各關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位及管理部門的信息安全保障工作提供參考。1.3.主要工作過(guò)程 1、2014年，項(xiàng)目組完成網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)體系階段性研究報(bào)告。主要針對(duì)以下三個(gè)問(wèn)題進(jìn)行了深入研究：研究國(guó)外特別是美國(guó)、歐盟、聯(lián)合國(guó)等國(guó)家、地區(qū)和國(guó)際組織在網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)研究方面的資料，總結(jié)網(wǎng)絡(luò)安全保障評(píng)價(jià)的相關(guān)方法、指標(biāo)、規(guī)定和標(biāo)準(zhǔn)；研究新形勢(shì)、新技術(shù)條件下我國(guó)網(wǎng)絡(luò)安全保障工作面臨的挑戰(zhàn)，分析我國(guó)網(wǎng)絡(luò)安全保障工作的新需求，對(duì)我國(guó)與網(wǎng)絡(luò)安全保障評(píng)價(jià)有關(guān)的法規(guī)、制度、標(biāo)準(zhǔn)進(jìn)行梳理和總結(jié)；在理論研究和實(shí)踐調(diào)研的基礎(chǔ)上，研究提出我國(guó)網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)體系和評(píng)價(jià)方法。2、2014年12月-2015年6月，項(xiàng)目組趕赴電力、民航、電信、中國(guó)銀行等相關(guān)行業(yè)（企業(yè)）進(jìn)行調(diào)研。3、2015年1月-2015年7月，項(xiàng)目組根據(jù)項(xiàng)目要求開(kāi)展了研討會(huì)，針對(duì)調(diào)研結(jié)果中各行業(yè)在網(wǎng)絡(luò)安全評(píng)價(jià)中的成功經(jīng)驗(yàn)和出現(xiàn)的問(wèn)題進(jìn)行總結(jié)。4、2015年1月-2015年9月，項(xiàng)目組與關(guān)鍵信息設(shè)施保護(hù)等進(jìn)行工作對(duì)接。5、2015年1月-2015年7月，項(xiàng)目組進(jìn)行了廣泛研討，并咨詢了專家意見(jiàn)：2015年1月，對(duì)研究提出的網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)體系的初步框架，召開(kāi)專家咨詢會(huì)，聽(tīng)取了崔書昆、李守鵬等專家的意見(jiàn)；2015年6月，召開(kāi)專家會(huì)，聽(tīng)取了中國(guó)電信基于大數(shù)據(jù)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)工作的介紹；2015年7月，召開(kāi)專家會(huì)聽(tīng)取了關(guān)于民航、電信、互聯(lián)網(wǎng)領(lǐng)域安全指標(biāo)體系的研究現(xiàn)狀，與會(huì)專家對(duì)網(wǎng)絡(luò)安全保障評(píng)價(jià)指標(biāo)體系課題提出意見(jiàn)建議。6、2015年8月-2015年9月，與2015年網(wǎng)絡(luò)安全檢查工作、關(guān)鍵信息基礎(chǔ)保護(hù)工作進(jìn)行對(duì)接。7、2016年1月-2016年2月，與網(wǎng)絡(luò)安全檢查工作進(jìn)行對(duì)接，采用指標(biāo)體系對(duì)相關(guān)檢查結(jié)果進(jìn)行了統(tǒng)計(jì)測(cè)算，并撰寫評(píng)價(jià)報(bào)告。8、2016年4月-2016年8月，針對(duì)指標(biāo)體系在網(wǎng)絡(luò)安全檢查工作中的成功經(jīng)驗(yàn)和出現(xiàn)的問(wèn)題進(jìn)行總結(jié)，進(jìn)一步更新了指標(biāo)體系。9、2016年9月-2017年2月，與關(guān)鍵信息設(shè)施檢查辦進(jìn)行對(duì)接，對(duì)指標(biāo)體系的實(shí)際應(yīng)

用進(jìn)行了深入討論。10、2017年3月，項(xiàng)目組在草案初稿的基礎(chǔ)上，召開(kāi)行業(yè)專家會(huì)，形成草案修正稿。11、2017年4月，在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2017年第一次工作組會(huì)議周上，項(xiàng)目組申請(qǐng)國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目立項(xiàng)。12、2017年6月，“信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系”標(biāo)準(zhǔn)制定項(xiàng)目正式立項(xiàng)。13、2017年7月，項(xiàng)目組召開(kāi)專家咨詢會(huì)，聽(tīng)取了李守鵬、魏軍、閔京華、韓正平、張立武等專家的意見(jiàn)。14、2017年7月，在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG7第二次全體會(huì)議上，項(xiàng)目組廣泛聽(tīng)取專家意見(jiàn)，形成征求意見(jiàn)稿。1.4.承擔(dān)單位

起草單位：大唐電信科技產(chǎn)業(yè)集團(tuán)（電信科學(xué)技術(shù)研究院）

協(xié)作單位：國(guó)家信息中心、北京奇安信科技有限公司、北京國(guó)舜科技股份有限公司、北京匡恩網(wǎng)絡(luò)科技有限責(zé)任公司、北京天融信科技有限公司等。

本部分主要起草人：韓曉露 呂欣 李陽(yáng) 畢鈺 郭曉蕭等。2.編制原則和主要內(nèi)容 2.1.編制原則

為保證所建立的“關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系”有一個(gè)客觀、統(tǒng)一的基礎(chǔ)，在評(píng)價(jià)指標(biāo)體系的設(shè)計(jì)及指標(biāo)的選取過(guò)程中，主要遵循以下原則：

1、綜合性原則

關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系建設(shè)是通過(guò)從整體和全局上把握我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的建設(shè)效果、運(yùn)行狀況和整體態(tài)勢(shì)，形成多維的、動(dòng)態(tài)的、綜合的關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系。因此，標(biāo)準(zhǔn)設(shè)計(jì)的首要原則是綜合性。

2、科學(xué)適用性原則

關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系必須是在符合我國(guó)國(guó)情、充分認(rèn)識(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系的科學(xué)基礎(chǔ)之上建立的。按照國(guó)家信息安全保障體系總目標(biāo)的設(shè)計(jì)原則，把關(guān)鍵信息基礎(chǔ)實(shí)施安全各構(gòu)成要素作為一個(gè)有機(jī)整體來(lái)考慮。指標(biāo)體系必須符合理論上的完備性、科學(xué)性和正確性，即指標(biāo)概念必須具有明確完整的科學(xué)內(nèi)涵。

適用性原則，就是指標(biāo)體系應(yīng)該能夠在時(shí)空上覆蓋我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)的各個(gè)層面，滿足系統(tǒng)在完整性和全面性方面的客觀要求。尤其是必須考慮由于經(jīng)濟(jì)、地區(qū)等原因造成的各機(jī)構(gòu)間發(fā)展?fàn)顩r的差異，盡量做到不對(duì)基礎(chǔ)數(shù)據(jù)的收集工作造成困擾。這一原則的關(guān)鍵在于，最精簡(jiǎn)的指標(biāo)體系全面反映關(guān)鍵信息基礎(chǔ)設(shè)施安全保障的整體水平。

3、導(dǎo)向性原則

評(píng)價(jià)的目的不是單純?cè)u(píng)出名次及優(yōu)劣的程度，更重要的是引導(dǎo)和鼓勵(lì)被評(píng)價(jià)對(duì)象向正確 的方向和目標(biāo)發(fā)展，要引導(dǎo)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全的健康發(fā)展。

4、可操作性強(qiáng)原則

可操作性強(qiáng)直接關(guān)系到指標(biāo)體系的落實(shí)與實(shí)施，包括數(shù)據(jù)的易獲取性（具有一定的現(xiàn)實(shí)統(tǒng)計(jì)基礎(chǔ)，所選的指標(biāo)變量必須在現(xiàn)實(shí)生活中是可以測(cè)量得到的或可通過(guò)科學(xué)方法聚合生成的）、可靠性（通過(guò)規(guī)范數(shù)據(jù)的來(lái)源、標(biāo)準(zhǔn)等保證數(shù)據(jù)的可靠與可信）、易處理性（數(shù)據(jù)便于統(tǒng)計(jì)分析處理）以及結(jié)果的可用性（便于實(shí)際操作，能夠服務(wù)于我國(guó)涉密信息系統(tǒng)安全評(píng)價(jià)的）等方面。

5、定性定量結(jié)合原則

在眾多指標(biāo)中，有些因素是反映最終效果的定性指標(biāo)，有些是能夠通過(guò)項(xiàng)目運(yùn)行過(guò)程得到實(shí)際數(shù)據(jù)的定量指標(biāo)。對(duì)于評(píng)價(jià)最終效果而言，指標(biāo)體系中這兩方面的因素都不可或缺。但為了使指標(biāo)體系具有高度的操作性，必須在選取定性指標(biāo)時(shí)，舍棄部分與實(shí)施效果關(guān)系不大的非關(guān)鍵因素，并且盡量將關(guān)鍵的定性指標(biāo)融合到對(duì)權(quán)重分配的影響中去。該指標(biāo)設(shè)計(jì)的定性定量結(jié)合原則就是將定性分析反映在權(quán)重上，定量分析反映在指標(biāo)數(shù)據(jù)上。

6、可比性原則

可比性是衡量關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)體系的實(shí)際效果的客觀標(biāo)準(zhǔn)，是方案權(quán)威性的重要標(biāo)志。關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)指標(biāo)應(yīng)該既可以橫向?qū)Ρ炔煌瑱C(jī)構(gòu)信息安全保障水平的差異、又能夠縱向反映國(guó)家及各地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障的歷史進(jìn)程和發(fā)展趨勢(shì)。這一原則主要體現(xiàn)在對(duì)各級(jí)指標(biāo)的定義、量化和加權(quán)等方面。2.2.主要內(nèi)容

本標(biāo)準(zhǔn)概述了本標(biāo)準(zhǔn)各部分通用的基礎(chǔ)性概念，給出了關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系設(shè)計(jì)的指標(biāo)框架和評(píng)價(jià)方法。本標(biāo)準(zhǔn)主要用于：評(píng)價(jià)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障的現(xiàn)狀，包括建設(shè)情況、運(yùn)行情況以及所面臨的威脅等；為政府管理層的關(guān)鍵信息基礎(chǔ)設(shè)施態(tài)勢(shì)判斷和宏觀決策提供支持；為各關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位及管理部門的信息安全保障工作提供參考。本標(biāo)準(zhǔn)主要框架如下：

前言 引言 1 范圍 規(guī)范性引用文件 3 術(shù)語(yǔ)和定義 4 指標(biāo)體系 5 指標(biāo)釋義

附錄A（規(guī)范性附錄）指標(biāo)測(cè)量過(guò)程 參考文獻(xiàn)

本標(biāo)準(zhǔn)主要貢獻(xiàn)如下：

1、明確了標(biāo)準(zhǔn)的目標(biāo)讀者及其可能感興趣的內(nèi)容

指出標(biāo)準(zhǔn)主要由三個(gè)相互關(guān)聯(lián)的部分組成：第1部分包括1-3節(jié)，描述了本標(biāo)準(zhǔn)的范圍和所使用的術(shù)語(yǔ)與定義，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施安全保障、關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)等概念進(jìn)行了闡釋；第2部分為第4節(jié)，詳細(xì)描述了關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系的體系框架和指標(biāo)；第3部分包括第5節(jié)和附錄A，給出了關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系各具體指標(biāo)的衡量標(biāo)準(zhǔn)和量化方法，為體系的可操作性提供了保證。

2、給出了關(guān)鍵信息基礎(chǔ)設(shè)施的概念

關(guān)鍵信息基礎(chǔ)設(shè)施是指關(guān)系國(guó)家安全、國(guó)計(jì)民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國(guó)家安全、公共利益的信息設(shè)施。

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定：國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》規(guī)定：國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施是指關(guān)系國(guó)家安全、國(guó)計(jì)民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國(guó)家安全、公共利益的信息設(shè)施，包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會(huì)保障、公用事業(yè)等領(lǐng)域和國(guó)家機(jī)關(guān)的重要信息系統(tǒng)，重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等。

3、指出關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)圍繞三個(gè)維度進(jìn)行

關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評(píng)價(jià)圍繞三個(gè)維度進(jìn)行，即建設(shè)情況、運(yùn)行能力和安全態(tài)勢(shì)，并依據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障對(duì)象和內(nèi)容進(jìn)行分析和分解，一級(jí)指標(biāo)包括戰(zhàn)略保障指標(biāo)、管理保障指標(biāo)、安全防護(hù)指標(biāo)、安全監(jiān)測(cè)指標(biāo)、應(yīng)急處置指標(biāo)、信息對(duì)抗指標(biāo)、威脅指標(biāo)、隱患指標(biāo)、事件指標(biāo)。

4、給出了指標(biāo)測(cè)量的一般過(guò)程

關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)測(cè)量的一般過(guò)程描述了指標(biāo)如何依據(jù)測(cè)量對(duì)象的相關(guān)屬性設(shè)立基本測(cè)度，應(yīng)用相應(yīng)的測(cè)量方法得出測(cè)量值，并通過(guò)分析模型將測(cè)量值折算成指標(biāo)值，最終應(yīng)用于保障指標(biāo)體系。關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)評(píng)價(jià)測(cè)量過(guò)程通過(guò)定性或定量的方式將測(cè)量對(duì)象進(jìn)行量化以實(shí)現(xiàn)評(píng)價(jià)測(cè)量對(duì)象的目的。3.其他事項(xiàng)說(shuō)明

a.在關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)指標(biāo)的體系建設(shè)和測(cè)量過(guò)程方面，試圖使所提出的指標(biāo)體系與測(cè)量過(guò)程具有一定的通用性，以便于指標(biāo)體系的推廣和擴(kuò)展；

b.考慮到指標(biāo)設(shè)計(jì)方面應(yīng)用的可擴(kuò)展性，在體系建設(shè)和測(cè)量過(guò)程之中，指標(biāo)體系可以根據(jù)實(shí)際評(píng)價(jià)對(duì)象的特性做出相應(yīng)的指標(biāo)調(diào)整，以完善指標(biāo)體系并得出合理公正的評(píng)價(jià)。

《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》標(biāo)準(zhǔn)編寫組

2017年8月

第二篇：關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例

(征求意見(jiàn)稿）

第一章 總則

第一條 為了保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，制定本條例。

第二條 在中華人民共和國(guó)境內(nèi)規(guī)劃、建設(shè)、運(yùn)營(yíng)、維護(hù)、使用關(guān)鍵信息基礎(chǔ)設(shè)施，以及開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，適用本條例。

第三條 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)堅(jiān)持頂層設(shè)計(jì)、整體防護(hù)，統(tǒng)籌協(xié)調(diào)、分工負(fù)責(zé)的原則，充分發(fā)揮運(yùn)營(yíng)主體作用，社會(huì)各方積極參與，共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。

第四條 國(guó)家行業(yè)主管或監(jiān)管部門按照國(guó)務(wù)院規(guī)定的職責(zé)分工，負(fù)責(zé)指導(dǎo)和監(jiān)督本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

國(guó)家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作和相關(guān)監(jiān)督管理工作。國(guó)務(wù)院公安、國(guó)家安全、國(guó)家保密行政管理、國(guó)家密碼管理等部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)相關(guān)網(wǎng)絡(luò)安全保護(hù)和監(jiān)督管理工作。

縣級(jí)以上地方人民政府有關(guān)部門按照國(guó)家有關(guān)規(guī)定開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

第五條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者（以下稱運(yùn)營(yíng)者）對(duì)本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全負(fù)主體責(zé)任，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，接受政府和社會(huì)監(jiān)督，承擔(dān)社會(huì)責(zé)任。

國(guó)家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營(yíng)者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。

第六條 關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

第七條 任何個(gè)人和組織發(fā)現(xiàn)危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的行為，有權(quán)向網(wǎng)信、電信、公安等部門以及行業(yè)主管或監(jiān)管部門舉報(bào)。

收到舉報(bào)的部門應(yīng)當(dāng)及時(shí)依法作出處理；不屬于本部門職責(zé)的，應(yīng)當(dāng)及時(shí)移送有權(quán)處理的部門。

有關(guān)部門應(yīng)當(dāng)對(duì)舉報(bào)人的相關(guān)信息予以保密，保護(hù)舉報(bào)人的合法權(quán)益。

第二章 支持與保障

第八條 國(guó)家采取措施，監(jiān)測(cè)、防御、處置來(lái)源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治網(wǎng)絡(luò)違法犯罪活動(dòng)。

第九條 國(guó)家制定產(chǎn)業(yè)、財(cái)稅、金融、人才等政策，支持關(guān)鍵信息基礎(chǔ)設(shè)施安全相關(guān)的技術(shù)、產(chǎn)品、服務(wù)創(chuàng)新，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，培養(yǎng)和選拔網(wǎng)絡(luò)安全人才，提高關(guān)鍵信息基礎(chǔ)設(shè)施的安全水平。

第十條 國(guó)家建立和完善網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系，利用標(biāo)準(zhǔn)指導(dǎo)、規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

第十一條 地市級(jí)以上人民政府應(yīng)當(dāng)將關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作納入地區(qū)經(jīng)濟(jì)社會(huì)發(fā)展總體規(guī)劃，加大投入，開(kāi)展工作績(jī)效考核評(píng)價(jià)。

第十二條 國(guó)家鼓勵(lì)政府部門、運(yùn)營(yíng)者、科研機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、行業(yè)組織、網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全合作。

第十三條 國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)設(shè)立或明確專門負(fù)責(zé)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的機(jī)構(gòu)和人員，編制并組織實(shí)施本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全規(guī)劃，建立健全工作經(jīng)費(fèi)保障機(jī)制并督促落實(shí)。

第十四條 能源、電信、交通等行業(yè)應(yīng)當(dāng)為關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件應(yīng)急處置與網(wǎng)絡(luò)功能恢復(fù)提供電力供應(yīng)、網(wǎng)絡(luò)通信、交通運(yùn)輸?shù)确矫娴闹攸c(diǎn)保障和支持。

第十五條 公安機(jī)關(guān)等部門依法偵查打擊針對(duì)和利用關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施的違法犯罪活動(dòng)。

第十六條 任何個(gè)人和組織不得從事下列危害關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng)和行為：

（一）攻擊、侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施；

（二）非法獲取、出售或者未經(jīng)授權(quán)向他人提供可能被專門用于危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的技術(shù)資料等信息；

（三）未經(jīng)授權(quán)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施開(kāi)展?jié)B透性、攻擊性掃描探測(cè)；

（四）明知他人從事危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動(dòng)，仍然為其提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲(chǔ)、通訊傳輸、廣告推廣、支付結(jié)算等幫助；

（五）其他危害關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng)和行為。

第十七條 國(guó)家立足開(kāi)放環(huán)境維護(hù)網(wǎng)絡(luò)安全，積極開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全領(lǐng)域的國(guó)際交流與合作。

第三章 關(guān)鍵信息基礎(chǔ)設(shè)施范圍

第十八條 下列單位運(yùn)行、管理的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的，應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍：

（一）政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；

（二）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；

（三）國(guó)防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

（四）廣播電臺(tái)、電視臺(tái)、通訊社等新聞單位；

（五）其他重點(diǎn)單位。

第十九條 國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別指南。

國(guó)家行業(yè)主管或監(jiān)管部門按照關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別指南，組織識(shí)別本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，并按程序報(bào)送識(shí)別結(jié)果。

關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定過(guò)程中，應(yīng)當(dāng)充分發(fā)揮有關(guān)專家作用，提高關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定的準(zhǔn)確性、合理性和科學(xué)性。

第二十條 新建、停運(yùn)關(guān)鍵信息基礎(chǔ)設(shè)施，或關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大變化的，運(yùn)營(yíng)者應(yīng)當(dāng)及時(shí)將相關(guān)情況報(bào)告國(guó)家行業(yè)主管或監(jiān)管部門。

國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)根據(jù)運(yùn)營(yíng)者報(bào)告的情況及時(shí)進(jìn)行識(shí)別調(diào)整，并按程序報(bào)送調(diào)整情況。

第四章 運(yùn)營(yíng)者安全保護(hù)

第二十一條 建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

第二十二條 運(yùn)營(yíng)者主要負(fù)責(zé)人是本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作第一責(zé)任人，負(fù)責(zé)建立健全網(wǎng)絡(luò)安全責(zé)任制并組織落實(shí)，對(duì)本單位關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作全面負(fù)責(zé)。

第二十三條 運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障關(guān)鍵信息基礎(chǔ)設(shè)施免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄漏或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，嚴(yán)格身份認(rèn)證和權(quán)限管理；

（二）采取技術(shù)措施，防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為；

（三）采取技術(shù)措施，監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密認(rèn)證等措施。

第二十四條 除本條例第二十三條外，運(yùn)營(yíng)者還應(yīng)當(dāng)按照國(guó)家法律法規(guī)的規(guī)定和相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，履行下列安全保護(hù)義務(wù)：

（一）設(shè)置專門網(wǎng)絡(luò)安全管理機(jī)構(gòu)和網(wǎng)絡(luò)安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查；

（二）定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；

（三）對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份，及時(shí)對(duì)系統(tǒng)漏洞等安全風(fēng)險(xiǎn)采取補(bǔ)救措施；

（四）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期進(jìn)行演練；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。

第二十五條 運(yùn)營(yíng)者網(wǎng)絡(luò)安全管理負(fù)責(zé)人履行下列職責(zé)：

（一）組織制定網(wǎng)絡(luò)安全規(guī)章制度、操作規(guī)程并監(jiān)督執(zhí)行；

（二）組織對(duì)關(guān)鍵崗位人員的技能考核；

（三）組織制定并實(shí)施本單位網(wǎng)絡(luò)安全教育和培訓(xùn)計(jì)劃；

（四）組織開(kāi)展網(wǎng)絡(luò)安全檢查和應(yīng)急演練，應(yīng)對(duì)處置網(wǎng)絡(luò)安全事件；

（五）按規(guī)定向國(guó)家有關(guān)部門報(bào)告網(wǎng)絡(luò)安全重要事項(xiàng)、事件。

第二十六條 運(yùn)營(yíng)者網(wǎng)絡(luò)安全關(guān)鍵崗位專業(yè)技術(shù)人員實(shí)行執(zhí)證上崗制度。

執(zhí)證上崗具體規(guī)定由國(guó)務(wù)院人力資源社會(huì)保障部門會(huì)同國(guó)家網(wǎng)信部門等部門制定。

第二十七條 運(yùn)營(yíng)者應(yīng)當(dāng)組織從業(yè)人員網(wǎng)絡(luò)安全教育培訓(xùn)，每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于1個(gè)工作日，關(guān)鍵崗位專業(yè)技術(shù)人員每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于3個(gè)工作日。

第二十八條 運(yùn)營(yíng)者應(yīng)當(dāng)建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估制度，關(guān)鍵信息基礎(chǔ)設(shè)施上線運(yùn)行前或者發(fā)生重大變化時(shí)應(yīng)當(dāng)進(jìn)行安全檢測(cè)評(píng)估。

運(yùn)營(yíng)者應(yīng)當(dāng)自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全性和可能存在的風(fēng)險(xiǎn)隱患每年至少進(jìn)行一次檢測(cè)評(píng)估，對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)進(jìn)行整改，并將有關(guān)情況報(bào)國(guó)家行業(yè)主管或監(jiān)管部門。

第二十九條 運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法進(jìn)行評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

第五章 產(chǎn)品和服務(wù)安全

第三十條 運(yùn)營(yíng)者采購(gòu)、使用的網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)安全專用產(chǎn)品，應(yīng)當(dāng)符合法律、行政法規(guī)的規(guī)定和相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。

第三十一條 運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)按照網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法的要求，通過(guò)網(wǎng)絡(luò)安全審查，并與提供者簽訂安全保密協(xié)議。

第三十二條 運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)外包開(kāi)發(fā)的系統(tǒng)、軟件，接受捐贈(zèng)的網(wǎng)絡(luò)產(chǎn)品，在其上線應(yīng)用前進(jìn)行安全檢測(cè)。

第三十三條 運(yùn)營(yíng)者發(fā)現(xiàn)使用的網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)的，應(yīng)當(dāng)及時(shí)采取措施消除風(fēng)險(xiǎn)隱患，涉及重大風(fēng)險(xiǎn)的應(yīng)當(dāng)按規(guī)定向有關(guān)部門報(bào)告。

第三十四條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行維護(hù)應(yīng)當(dāng)在境內(nèi)實(shí)施。因業(yè)務(wù)需要，確需進(jìn)行境外遠(yuǎn)程維護(hù)的，應(yīng)事先報(bào)國(guó)家行業(yè)主管或監(jiān)管部門和國(guó)務(wù)院公安部門。

第三十五條 面向關(guān)鍵信息基礎(chǔ)設(shè)施開(kāi)展安全檢測(cè)評(píng)估，發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等安全威脅信息，提供云計(jì)算、信息技術(shù)外包等服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)符合有關(guān)要求。

具體要求由國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定。

第六章 監(jiān)測(cè)預(yù)警、應(yīng)急處置和檢測(cè)評(píng)估

第三十六條 國(guó)家網(wǎng)信部門統(tǒng)籌建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警體系和信息通報(bào)制度，組織指導(dǎo)有關(guān)機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全信息匯總、分析研判和通報(bào)工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。

第三十七條 國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，及時(shí)掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況和安全風(fēng)險(xiǎn)，向有關(guān)運(yùn)營(yíng)者通報(bào)安全風(fēng)險(xiǎn)和相關(guān)工作信息。

國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)組織對(duì)安全監(jiān)測(cè)信息進(jìn)行研判，認(rèn)為需要立即采取防范應(yīng)對(duì)措施的，應(yīng)當(dāng)及時(shí)向有關(guān)運(yùn)營(yíng)者發(fā)布預(yù)警信息和應(yīng)急防范措施建議，并按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求向有關(guān)部門報(bào)告。

第三十八條 國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門、運(yùn)營(yíng)者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全信息共享機(jī)制，促進(jìn)網(wǎng)絡(luò)安全信息共享。

第三十九條 國(guó)家網(wǎng)信部門按照國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求，統(tǒng)籌有關(guān)部門建立健全關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急協(xié)作機(jī)制，加強(qiáng)網(wǎng)絡(luò)安全應(yīng)急力量建設(shè)，指導(dǎo)協(xié)調(diào)有關(guān)部門組織跨行業(yè)、跨地域網(wǎng)絡(luò)安全應(yīng)急演練。

國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)組織制定本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期組織演練，提升網(wǎng)絡(luò)安全事件應(yīng)對(duì)和災(zāi)難恢復(fù)能力。發(fā)生重大網(wǎng)絡(luò)安全事件或接到網(wǎng)信部門的預(yù)警信息后，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案組織應(yīng)對(duì)，并及時(shí)報(bào)告有關(guān)情況。

第四十條 國(guó)家行業(yè)主管或監(jiān)管部門應(yīng)當(dāng)定期組織對(duì)本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)以及運(yùn)營(yíng)者履行安全保護(hù)義務(wù)的情況進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，指導(dǎo)、督促運(yùn)營(yíng)者及時(shí)整改檢測(cè)評(píng)估中發(fā)現(xiàn)的問(wèn)題。

國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門開(kāi)展的抽查檢測(cè)工作，避免交叉重復(fù)檢測(cè)評(píng)估。

第四十一條 有關(guān)部門組織開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估，應(yīng)堅(jiān)持客觀公正、高效透明的原則，采取科學(xué)的檢測(cè)評(píng)估方法，規(guī)范檢測(cè)評(píng)估流程，控制檢測(cè)評(píng)估風(fēng)險(xiǎn)。

運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)有關(guān)部門依法實(shí)施的檢測(cè)評(píng)估予以配合，對(duì)檢測(cè)評(píng)估發(fā)現(xiàn)的問(wèn)題及時(shí)進(jìn)行整改。

第四十二條 有關(guān)部門組織開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估，可采取下列措施：

（一）要求運(yùn)營(yíng)者相關(guān)人員就檢測(cè)評(píng)估事項(xiàng)作出說(shuō)明；

（二）查閱、調(diào)取、復(fù)制與安全保護(hù)有關(guān)的文檔、記錄；

（三）查看網(wǎng)絡(luò)安全管理制度制訂、落實(shí)情況以及網(wǎng)絡(luò)安全技術(shù)措施規(guī)劃、建設(shè)、運(yùn)行情況；

（四）利用檢測(cè)工具或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)進(jìn)行技術(shù)檢測(cè)；

（五）經(jīng)運(yùn)營(yíng)者同意的其他必要方式。

第四十三條 有關(guān)部門以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)在關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估中獲取的信息，只能用于維護(hù)網(wǎng)絡(luò)安全的需要，不得用于其他用途。

第四十四條 有關(guān)部門組織開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估，不得向被檢測(cè)評(píng)估單位收取費(fèi)用，不得要求被檢測(cè)評(píng)估單位購(gòu)買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務(wù)。

第七章 法律責(zé)任

第四十五條 運(yùn)營(yíng)者不履行本條例第二十條第一款、第二十一條、第二十三條、第二十四條、第二十六條、第二十七條、第二十八條、第三十條、第三十二條、第三十三條、第三十四條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門依據(jù)職責(zé)責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

第四十六條 運(yùn)營(yíng)者違反本條例第二十九條規(guī)定，在境外存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)，或者向境外提供網(wǎng)絡(luò)數(shù)據(jù)的，由國(guó)家有關(guān)主管部門依據(jù)職責(zé)責(zé)令改正，給予警告，沒(méi)收違法所得，處五萬(wàn)元以上五十萬(wàn)元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

第四十七條 運(yùn)營(yíng)者違反本條例第三十一條規(guī)定，使用未經(jīng)安全審查或安全審查未通過(guò)的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的，由國(guó)家有關(guān)主管部門依據(jù)職責(zé)責(zé)令停止使用，處采購(gòu)金額一倍以上十倍以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

第四十八條 個(gè)人違反本條例第十六條規(guī)定，尚不構(gòu)成犯罪的，由公安機(jī)關(guān)沒(méi)收違法所得，處五日以下拘留，可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款；情節(jié)較重的，處五日以上十五日以下拘留，可以并處十萬(wàn)元以上一百萬(wàn)元以下罰款；構(gòu)成犯罪的，依法追究刑事責(zé)任。

單位有前款行為的，由公安機(jī)關(guān)沒(méi)收違法所得，處十萬(wàn)元以上一百萬(wàn)元以下罰款，并對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依照前款規(guī)定處罰。

違反本條例第十六條規(guī)定，受到刑事處罰的人員，終身不得從事關(guān)鍵信息基礎(chǔ)設(shè)施安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。

第四十九條 國(guó)家機(jī)關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本條例規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由其上級(jí)機(jī)關(guān)或者有關(guān)機(jī)關(guān)責(zé)令改正；對(duì)直接負(fù)責(zé)的主管人員和其他直接負(fù)責(zé)人員依法給予處分。

第五十條 有關(guān)部門及其工作人員有下列行為之一的，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員依法給予處分；構(gòu)成犯罪的，依法追究刑事責(zé)任：

（一）在工作中利用職權(quán)索取、收受賄賂；

（二）玩忽職守、濫用職權(quán)；

（三）擅自泄露關(guān)鍵信息基礎(chǔ)設(shè)施有關(guān)信息、資料及數(shù)據(jù)文件；

（四）其他違反法定職責(zé)的行為。

第五十一條 關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件，經(jīng)調(diào)查確定為責(zé)任事故的，除應(yīng)當(dāng)查明運(yùn)營(yíng)單位責(zé)任并依法予以追究外，還應(yīng)查明相關(guān)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)及有關(guān)部門的責(zé)任，對(duì)有失職、瀆職及其他違法行為的，依法追究責(zé)任。

第五十二條 境外的機(jī)構(gòu)、組織、個(gè)人從事攻擊、侵入、干擾、破壞等危害中華人民共和國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng)，造成嚴(yán)重后果的，依法追究法律責(zé)任；國(guó)務(wù)院公安部門、國(guó)家安全機(jī)關(guān)和有關(guān)部門并可以決定對(duì)該機(jī)構(gòu)、組織、個(gè)人采取凍結(jié)財(cái)產(chǎn)或者其他必要的制裁措施。

第八章 附則

第五十三條 存儲(chǔ)、處理涉及國(guó)家秘密信息的關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，還應(yīng)當(dāng)遵守保密法律、行政法規(guī)的規(guī)定。

關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理，還應(yīng)當(dāng)遵守密碼法律、行政法規(guī)的規(guī)定。

第五十四條 軍事關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，由中央軍事委員會(huì)另行規(guī)定。

第五十五條 本條例自****年**月**日起施行。

第三篇：信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)價(jià)指引-全國(guó)信息安全

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢

查評(píng)估指南》編制說(shuō)明

一、工作簡(jiǎn)況 1.1 任務(wù)來(lái)源

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求，關(guān)鍵信息基礎(chǔ)設(shè)施要求在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)，具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。網(wǎng)絡(luò)安全法中明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，此外規(guī)定了國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估。

為了落實(shí)網(wǎng)絡(luò)安全法要求，規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估相關(guān)方法、流程，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2016年立項(xiàng)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》國(guó)家標(biāo)準(zhǔn)，2016年7月，中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局下達(dá)《<信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南>國(guó)家標(biāo)準(zhǔn)制定》委托任務(wù)書，委托中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心開(kāi)展該標(biāo)準(zhǔn)的研制工作，并將本項(xiàng)目標(biāo)識(shí)為WG7 組重點(diǎn)標(biāo)準(zhǔn)。

《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》由中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心牽頭，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，國(guó)家信息技術(shù)安全研究中心、中國(guó)信息安全測(cè)評(píng)中心，工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所（更名為國(guó)家工業(yè)信息安全發(fā)展研究中心）等單位共同參與起草。1.2 主要工作過(guò)程

2017年1月至3月，《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》由中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心牽頭，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，國(guó)家信息技術(shù)安全研究中心、中國(guó)信息安全測(cè)評(píng)中心，工業(yè)和信息化部電子科學(xué)技術(shù)情報(bào)研究所等單位共同參與討論，討論研究指南的編制，并形成標(biāo)準(zhǔn)討論稿，向中央網(wǎng)信辦領(lǐng)導(dǎo)匯報(bào)標(biāo)準(zhǔn)編制進(jìn)展，并向全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提交項(xiàng)目申請(qǐng)。

2017年4月，標(biāo)準(zhǔn)通過(guò)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG7組會(huì)議討論。2017年4月，本標(biāo)準(zhǔn)獲得由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)。2017年4月，向中央網(wǎng)信辦領(lǐng)導(dǎo)匯報(bào)標(biāo)準(zhǔn)進(jìn)展工作，擬作為中央網(wǎng)信辦布置關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查工作的參考標(biāo)準(zhǔn)。

2016年5月，正式成立標(biāo)準(zhǔn)編制組，標(biāo)準(zhǔn)編制組由五家主要參與單位共同組成，集中討論集中辦公，討論標(biāo)準(zhǔn)的框架、方法論、具體的內(nèi)容等。

2016年5月25日，召開(kāi)第一次專家會(huì)，地點(diǎn)在中央網(wǎng)信辦，由項(xiàng)目組向中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局楊春艷副局長(zhǎng)、各相關(guān)處室負(fù)責(zé)同志及WG7專家進(jìn)行了匯報(bào)，5位WG7專家對(duì)標(biāo)準(zhǔn)提出了修改意見(jiàn)。

2016年6-7月，標(biāo)準(zhǔn)編制組繼續(xù)集中辦公，集中討論，并根據(jù)第一次專家會(huì)意見(jiàn)逐一進(jìn)行修訂，此外與其他安全廠商、科研單位進(jìn)行交流，就本標(biāo)準(zhǔn)指標(biāo)方法聽(tīng)取意見(jiàn)，并最終形成標(biāo)準(zhǔn)第二稿。

2016年7月18日，召開(kāi)第二次WG7專家會(huì)，由項(xiàng)目組向?qū)＜覅R報(bào)了標(biāo)準(zhǔn)項(xiàng)目進(jìn)展，以及根據(jù)第一次專家會(huì)議的專家意見(jiàn)修訂情況，5位WG7專家對(duì)標(biāo)準(zhǔn)提出了更進(jìn)一步的修改意見(jiàn)，隨后項(xiàng)目組召開(kāi)標(biāo)準(zhǔn)討論封閉會(huì)議，根據(jù)此次專家會(huì)意見(jiàn)對(duì)草案作了進(jìn)一步修訂，形成了第三稿。

2017年7月21日，參加WG7組會(huì)議，匯報(bào)了項(xiàng)目進(jìn)展和標(biāo)準(zhǔn)修訂情況，會(huì)議決議最終該標(biāo)準(zhǔn)可以進(jìn)入征求意見(jiàn)階段，并根據(jù)標(biāo)準(zhǔn)周答辯專家意見(jiàn)對(duì)標(biāo)準(zhǔn)草案進(jìn)行部分修訂，完善草案內(nèi)容。

二、編制原則和主要內(nèi)容 2.1 編制原則

根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》要求，關(guān)鍵信息基礎(chǔ)設(shè)施要求在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)，具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。網(wǎng)絡(luò)安全法中明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，此外規(guī)定了國(guó)家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè)，提出改進(jìn)措施，必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估。

關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南是落實(shí)網(wǎng)絡(luò)安全法要求，規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估相關(guān)方法、流程，定義了檢測(cè)評(píng)估的主要內(nèi)容，從而提升關(guān) 鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力。

本標(biāo)準(zhǔn)提供了關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估工作的方法、流程和內(nèi)容，定義了關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估所采用的方法，規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估工作準(zhǔn)備、實(shí)施、總結(jié)各環(huán)節(jié)的流程要求，以及在檢查評(píng)估具體要求和內(nèi)容。

本標(biāo)準(zhǔn)適用于指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)相關(guān)的人員開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估相關(guān)工作。

本標(biāo)準(zhǔn)可用于：

1）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位自行開(kāi)展安全檢測(cè)評(píng)估工作參考。2）網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施檢測(cè)評(píng)估工作參考。3）網(wǎng)絡(luò)安全檢測(cè)產(chǎn)品研發(fā)機(jī)構(gòu)研發(fā)檢查工具，創(chuàng)新安全應(yīng)用參考。本標(biāo)準(zhǔn)適用對(duì)象是關(guān)鍵息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位負(fù)責(zé)信息安全工作的實(shí)施者和其他實(shí)施安全檢測(cè)評(píng)估工作的相關(guān)人員。

2.2 主要內(nèi)容

關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估工作是依據(jù)國(guó)家有關(guān)法律與法規(guī)要求，參考國(guó)家和行業(yè)安全標(biāo)準(zhǔn)，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全要求，通過(guò)一定的方法和流程，對(duì)信息系統(tǒng)安全狀況進(jìn)行評(píng)估，最后給出檢查評(píng)估對(duì)象的整體安全狀況的報(bào)告。

檢查評(píng)估工作由合規(guī)檢查、技術(shù)檢測(cè)和分析評(píng)估三個(gè)主要方法組成，每個(gè)方法包含若干內(nèi)容和項(xiàng)目。

合規(guī)檢查

合規(guī)檢查是通過(guò)一定的手段驗(yàn)證檢查評(píng)估對(duì)象是否遵從國(guó)家相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)規(guī)定的強(qiáng)制要求，輸出是否合規(guī)的結(jié)論，對(duì)不合規(guī)的具體項(xiàng)目進(jìn)行說(shuō)明，采取的方法包括現(xiàn)場(chǎng)資料核實(shí)、人員訪談、配置核查等形式。

技術(shù)檢測(cè)

技術(shù)檢測(cè)分為主動(dòng)方式和被動(dòng)方式，主動(dòng)方式是采用專業(yè)安全工具，配合專業(yè)安全人員，選取合適的技術(shù)檢測(cè)接入點(diǎn)，通過(guò)漏洞掃描、滲透測(cè)試、社會(huì)工程學(xué)等常用的安全測(cè)試手段，采取遠(yuǎn)程檢測(cè)和現(xiàn)場(chǎng)檢測(cè)相結(jié)合的方式，發(fā)現(xiàn)其安全 性和可能存在的風(fēng)險(xiǎn)隱患，也可參考其他安全檢測(cè)資料和報(bào)告，對(duì)技術(shù)檢測(cè)結(jié)果進(jìn)行驗(yàn)證。

被動(dòng)方式是輔助監(jiān)測(cè)分析手段，通過(guò)選取合適的監(jiān)測(cè)接入點(diǎn)，部署相應(yīng)的監(jiān)測(cè)工具，實(shí)時(shí)監(jiān)測(cè)并分析檢查評(píng)估對(duì)象的安全狀況，發(fā)現(xiàn)其存在的安全漏洞、安全隱患。

兩種技術(shù)檢測(cè)方式最終輸出技術(shù)檢測(cè)結(jié)果。分析評(píng)估

分析評(píng)估是圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載業(yè)務(wù)特點(diǎn)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵屬性進(jìn)行識(shí)別和分析，依據(jù)技術(shù)檢測(cè)發(fā)現(xiàn)的安全隱患和問(wèn)題，參考風(fēng)險(xiǎn)評(píng)估方法，對(duì)關(guān)鍵屬性面臨的風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)分析，進(jìn)而對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的整體安全狀況的評(píng)估。

標(biāo)準(zhǔn)充分考慮了當(dāng)前已有的等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)、及其他行業(yè)安全標(biāo)準(zhǔn)，與正在制定的其他WG7系列標(biāo)準(zhǔn)一起，共同形成了支撐關(guān)鍵信息基礎(chǔ)設(shè)施安全保障的標(biāo)準(zhǔn)體系。本標(biāo)準(zhǔn)與其他國(guó)內(nèi)標(biāo)準(zhǔn)的關(guān)聯(lián)性分析：

GB/T 22081-2016《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)基本要求》 是本標(biāo)準(zhǔn)引用的標(biāo)準(zhǔn)之一，本標(biāo)準(zhǔn)在編制之初就深刻理解網(wǎng)絡(luò)安全法中“關(guān)鍵信息基礎(chǔ)設(shè)施要求在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)，”的要求，在合規(guī)檢查的內(nèi)容中重點(diǎn)強(qiáng)調(diào)了對(duì)等級(jí)保護(hù)制度落實(shí)情況的檢查。

GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范也是本標(biāo)準(zhǔn)引用的標(biāo)準(zhǔn)之一，本標(biāo)準(zhǔn)在第9節(jié)引入了風(fēng)險(xiǎn)評(píng)估的方法論，通過(guò)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵性分析，并根據(jù)合規(guī)檢查和技術(shù)檢測(cè)發(fā)現(xiàn)的問(wèn)題進(jìn)一步進(jìn)行風(fēng)險(xiǎn)分析，最后根據(jù)風(fēng)險(xiǎn)分析的結(jié)果定性分析出整體安全狀況的評(píng)價(jià)。

此外，正在制訂的標(biāo)準(zhǔn)草案《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求》定義了關(guān)鍵信息基礎(chǔ)設(shè)施，并對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)提出了具體的要求，而本標(biāo)準(zhǔn)中有專門的項(xiàng)是對(duì)改要求的驗(yàn)證，強(qiáng)調(diào)的是評(píng)估流程的標(biāo)準(zhǔn)化、評(píng)估內(nèi)容標(biāo)準(zhǔn)化，以及評(píng)估結(jié)果的標(biāo)準(zhǔn)化。

此外，正在制定的標(biāo)準(zhǔn)草案《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指 標(biāo)體系》與該標(biāo)準(zhǔn)關(guān)聯(lián)，該標(biāo)準(zhǔn)的輸出評(píng)估結(jié)果可以用于標(biāo)準(zhǔn)的量化計(jì)算。

三、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)外同類標(biāo)準(zhǔn)水平的對(duì)比情況，或與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

編制組在標(biāo)準(zhǔn)編制過(guò)程中，專門分析了美國(guó)NIST的安全評(píng)估方法，參考我國(guó)已有相關(guān)信息安全標(biāo)準(zhǔn)，綜合考慮制定了本標(biāo)準(zhǔn)。

四、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

本標(biāo)準(zhǔn)編制過(guò)程中未出現(xiàn)重大分歧。其他詳見(jiàn)意見(jiàn)匯總處理表。

五、國(guó)家標(biāo)準(zhǔn)作為強(qiáng)制性國(guó)家標(biāo)準(zhǔn)或推薦性國(guó)家標(biāo)準(zhǔn)的建議

建議作為推薦性國(guó)家標(biāo)準(zhǔn)發(fā)布實(shí)施。

六、其他事項(xiàng)說(shuō)明

本標(biāo)準(zhǔn)不涉及專利。

標(biāo)準(zhǔn)編制組 2017年7月

第四篇：信息安全技術(shù)

1、信息安全的概念，信息安全理念的三個(gè)階段（信息保護(hù)-5特性，信息保障-PDRR，綜合應(yīng)用-PDRR+管理）

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)得到保護(hù)，不受偶然的或者惡意的原因遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠地正常運(yùn)行，信息服務(wù)不中斷。

三階段：

1）信息保護(hù)階段（5特性）機(jī)密性、完整性、可用性、可控性、不可抵賴性

2）信息保障階段

PDRR模型：保護(hù)、檢測(cè)、相應(yīng)、恢復(fù)的有機(jī)結(jié)合。

3）綜合保護(hù)階段=PDRR+安全管理

2、ISC2的五重保護(hù)體系，信息安全體系-三個(gè)方面，信息安全技術(shù)體系

62.653、信息系統(tǒng)安全，等級(jí)保護(hù)，認(rèn)證

68.734、物理安全的概念，涉及的三個(gè)方面的內(nèi)容

785、災(zāi)難備份的概念，安全備份三要素，備份的方式、存儲(chǔ)技術(shù)

90.91.926、操作系統(tǒng)安全的概念，5大技術(shù)要求

106-1137、訪問(wèn)控制：概念，類型，控制過(guò)程

107.108.控制過(guò)程1148、安全審計(jì)的概念、作用

1139、風(fēng)險(xiǎn)評(píng)估的概念

15010、加密技術(shù)的一般概念，密碼體制及類型，公鑰體制的特點(diǎn)

172.174.11、信息加密傳輸、發(fā)送者身份認(rèn)證的實(shí)現(xiàn)方式。數(shù)字簽名、身份認(rèn)證、消息認(rèn)證、信息隱藏的概念。

177.188.187.189.12、PKI的概念和組成。

192.13、防火墻的概念、作用、特點(diǎn)、技術(shù)分類

211.212.213.22014、入侵檢測(cè)的概念、系統(tǒng)組成，四類主要技術(shù)

231.234.24115、VPN的概念、常用隧道協(xié)議，IPSec兩種封裝模式的特點(diǎn)、三個(gè)主要協(xié)議的作用，VPN的應(yīng)用模式

262.270.28116、信息安全職業(yè)道德主要關(guān)注的問(wèn)題

17、什么是計(jì)算機(jī)犯罪？有哪三種主要形式？

18、信息系統(tǒng)安全保護(hù)法律規(guī)范由哪三類內(nèi)容構(gòu)成？

19、信息系統(tǒng)安全等級(jí)保護(hù)分級(jí)的衡量標(biāo)準(zhǔn)是什么？相關(guān)的主要標(biāo)準(zhǔn)與政策有哪些？分別有什么作用？

第五篇：信息安全保障責(zé)任書

中國(guó)電信規(guī)范合同文本版本號(hào)ZGDX2009089

信息安全保障責(zé)任書

互聯(lián)網(wǎng)接入業(yè)務(wù)客戶（包括主機(jī)托管業(yè)務(wù)、虛擬主機(jī)業(yè)務(wù)、LAN專線業(yè)務(wù)等）以及信息源責(zé)任單位（即增值業(yè)務(wù)服務(wù)提供商簡(jiǎn)稱SP和增值業(yè)務(wù)內(nèi)容提供商簡(jiǎn)稱CP、應(yīng)用提供商AP、信息發(fā)布、傳播單位）接入中國(guó)電信股份有限公司山東分公司（以下簡(jiǎn)稱“山東電信”）的各業(yè)務(wù)內(nèi)容應(yīng)保證遵守以下各項(xiàng)規(guī)定：

息；二是擅自轉(zhuǎn)租行業(yè)短信端口群發(fā)信息。

第六條 接入中國(guó)電信移動(dòng)通信網(wǎng)、中國(guó)電信互聯(lián)網(wǎng)或相關(guān)業(yè)務(wù)平臺(tái)的wap網(wǎng)站、互聯(lián)網(wǎng)網(wǎng)站、短信、彩信及電話信息服務(wù)必須具備互聯(lián)網(wǎng)信息服務(wù)經(jīng)營(yíng)許可證及網(wǎng)站備案號(hào)。

第七條 保證不通過(guò)各種形式利用中國(guó)電信各業(yè)務(wù)系統(tǒng)為任何其他在合法約定之外的業(yè)務(wù)和服務(wù)代收費(fèi)。

第八條 不得以“家政服務(wù)”、“心理咨詢”等名義開(kāi)辦無(wú)特定內(nèi)容的人工聊天欄目。

第九條 從事電話信息服務(wù)的專業(yè)咨詢?nèi)藛T必須具備相應(yīng)的資質(zhì)，并在信息臺(tái)固定經(jīng)營(yíng)場(chǎng)所接聽(tīng)電話，不得將用戶電話呼轉(zhuǎn)到其他場(chǎng)所。

第十條 從事電話信息服務(wù)的所有人工服務(wù)要全程錄音，并保存至少6個(gè)月。

第十一條 在合作業(yè)務(wù)推廣過(guò)程中：

1、信息源責(zé)任單位應(yīng)保證業(yè)務(wù)、推廣渠道中無(wú)任何違法、違規(guī)、色情及低俗信息內(nèi)容；

2、禁止信息源責(zé)任單位利用廣告聯(lián)盟等第三方進(jìn)行合作業(yè)務(wù)的推廣；

第十二條 接入中國(guó)電信移動(dòng)通信網(wǎng)、中國(guó)電信互聯(lián)網(wǎng)或相關(guān)業(yè)務(wù)平臺(tái)的服務(wù)器未經(jīng)電信方同意，不得為第三方提供服務(wù)；服務(wù)器未經(jīng)電信方不得擅自轉(zhuǎn)租，否則轉(zhuǎn)租者承擔(dān)一切經(jīng)濟(jì)和刑事責(zé)任。

第十三條

1）網(wǎng)站備案

接入中國(guó)電信移動(dòng)通信網(wǎng)、中國(guó)電信互聯(lián)網(wǎng)或相關(guān)業(yè)務(wù)平臺(tái)的wap網(wǎng)站、互聯(lián)網(wǎng)網(wǎng)站必須具備互聯(lián)網(wǎng)信息服務(wù)經(jīng)營(yíng)許可證及網(wǎng)站備案號(hào)，必須嚴(yán)格遵循“先備案、后接入”的原則。未備案嚴(yán)禁接入，一經(jīng)發(fā)現(xiàn)未備案網(wǎng)站山東電信立即關(guān)停，網(wǎng)站業(yè)主承擔(dān)工業(yè)與信息化部、山東省通信管理局等主管單位的所有懲罰責(zé)任，如現(xiàn)金罰款、刑事責(zé)任等。

2）網(wǎng)站備案信息準(zhǔn)確性

依據(jù)《非經(jīng)營(yíng)性互聯(lián)網(wǎng)備案管理辦法》第二十三條規(guī)定，如備案信息不真實(shí)，山東電信有權(quán)關(guān)閉網(wǎng)站并注銷備案。接入中國(guó)電信移動(dòng)通信網(wǎng)、中國(guó)電信互聯(lián)網(wǎng)或相關(guān)業(yè)務(wù)平臺(tái)的wap網(wǎng)站、互聯(lián)網(wǎng)網(wǎng)站提交的所有備案信息真實(shí)有效，如備案信息發(fā)生變化時(shí)，需要及時(shí)到備案系統(tǒng)中提交更新信息，如因未及時(shí)更新而導(dǎo)致的備案信息不準(zhǔn)確，山東電信有權(quán)依法對(duì)接入網(wǎng)站進(jìn)行關(guān)閉處理。

第十四條 互聯(lián)網(wǎng)低俗內(nèi)容

一、表現(xiàn)或隱晦表現(xiàn)性行為、令人產(chǎn)生性聯(lián)想、具有挑逗性或者

侮辱性的內(nèi)容；

二、對(duì)人體性部位的直接暴露和描寫；

三、對(duì)性行為、性過(guò)程、性方式的描述或者帶有性暗示、性挑逗的語(yǔ)言；

四、對(duì)性部位描述、暴露，或者只用很小遮蓋物的內(nèi)容；

五、全身或者隱私部位未著衣物，僅用肢體遮蓋隱私部位的內(nèi)容；

六、帶有侵犯?jìng)€(gè)人隱私性質(zhì)的走光、偷拍、漏點(diǎn)等內(nèi)容；

七、以挑逗性標(biāo)題吸引點(diǎn)擊的；

八、相關(guān)部門禁止傳播的色情、低俗小說(shuō)，音視頻內(nèi)容，包括一些電影的刪節(jié)片段；

九、一夜情、換妻、SM等不正當(dāng)交友信息；

十、情色動(dòng)漫；

十一、宣揚(yáng)血腥暴力、惡意謾罵、侮辱他人等內(nèi)容；

十二、非法“性藥品”廣告和性病治療廣告；

十三、未經(jīng)他人允許或利用“人肉搜索”惡意傳播他人隱私信息。第十五條 若違反上述規(guī)定，山東電信視情節(jié)嚴(yán)重程度，有權(quán)要求互聯(lián)網(wǎng)接入業(yè)務(wù)客戶以及信息源責(zé)任單位交納伍仟到壹萬(wàn)元不等的違約金，并暫停業(yè)務(wù)接入，直至互聯(lián)網(wǎng)接入業(yè)務(wù)客戶以及信息源責(zé)任單位按照業(yè)務(wù)協(xié)議規(guī)定及《信息安全保障責(zé)任書》的要求完成整改后，方可再次接入。對(duì)于二次違規(guī)或首次違規(guī)造成嚴(yán)重后果的，一律禁止恢復(fù)接入服務(wù)，且不退還任何已交納費(fèi)用。

第十六條 此責(zé)任書經(jīng)互聯(lián)網(wǎng)接入業(yè)務(wù)客戶以及信息源責(zé)任單位簽署后生效，并由山東電信負(fù)責(zé)保管。

互聯(lián)網(wǎng)接入業(yè)務(wù)客戶以及信息源責(zé)任單位：

責(zé)任人：

（簽字、蓋章）

日期：