近期,信安标委发布了《信息安全技术 关键信息基础设施边界确定方法》和《信息安全技术 关键信息基础设施安全防护能力评价方法》两个标准的征求意见稿,对关键信息基础设施边界确定和安全防护能力评价提出了相应规范要求。根据两个标准的意见稿为大家整理了关于关键信息基础设施(以下简称“关基“)必知的十大关键点,供大家学习与参考。
一、什么是关键业务 critical business?
答:电信、广播电视、能源、金融、交通运输、水利、应急管理、卫生健康、社会保障、国防科技等行业和领域中一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全的业务。
二、什么是“关基” critical information infrastructure?
答:支撑关键业务持续、稳定运行不可或缺的网络设施、信息系统。在形态构成上,可以是单个网络设施、信息系统,也可以是由多个网络设施、信息系统组成的集合。在本质上,属于关键业务的信息化部分,为关键业务提供信息化支撑。
三、什么是CII、CBI、CBIF?
答:CII:关键信息基础设施(critical information infrastructure)
CBI:关键业务信息(critical business information)
CBIF:关键业务信息流(critical business information flow)
四、什么是CII元素?
答:一旦遭到攻击、丧失功能或者数据泄露会严重危害关键业务持续、稳定运行的网络设施、信息系统列为CII元素。
基础运行环境为关键业务提供运行的基础条件,也是关键业务持续、稳定运行不可或缺的组成部分,是否纳入CII边界识别范围由基础运行环境的信息化建设情况决定。如果基础运行环境也依赖信息化运行,应将基础运行环境纳入CII边界识别范围内;反之,如果基础运行环境仅依赖机械、人工等非信息化方式运行,不宜将基础运行环境纳入CII边界识别范围内。
基础运行环境中的安全设备不宜被列为CII元素。
五、“关基”边界识别流程是怎样的?
答:CII边界识别流程具体包括关键业务基础情况梳理、关键业务信息化情况梳理、CII元素梳理、CII元素关键性评估和CII边界确定五个部分,如下图所示:
六、 “关基”安全防护能力评价模型包括哪些?
答:关键信息基础设施安全防护能力评价模型包括能力级别、能力域和能力指标以及相应的能力评价方法,如下图:
七、 “关基”安全防护能力等级有几个?
答:关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估,包括3个能力等级,从能力等级1到能力等级3,逐级增高,能力等级之间为递进关系,高一级的能力要求包括所有低等级能力要求。能力等级及特征如下图:
八、能力域包含哪几个能力?
答:能力域明确了运营者在关键信息基础设施安全防护所需具备的能力,包括识别认定、安全防护、检测评估、监测预警、事件处置5个方面的关键能力,每个安全能力包含若干能力指标,每个能力指标包含若干评价内容。
九、“关基”安全防护能力评价内容及方法是什么?
答:关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和密码测评三部分。关键信息基础设施安全防护能力评价前,关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。然后,组织应按照评价内容和评价操作方法开展评价工作,给出对每项评价指标的判定结果和所处级别,得出每个能力域级别,综合5个能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别。
关键信息基础设施安全防护能力应综合考虑5个能力域级别与等级保护测评结果。对应能力等级1的关键信息基础设施等级保护测评结果应至少为中;对应能力等级2的关键信息基础设施等级保护测评结果应至少为良;对应能力等级3的关键信息基础设施等级保护测评结果应为优。
十、“关基”安全防护能力评价形式包括哪些?
答:关键信息基础设施安全防护能力评价形式包括两种:
运营者自评:由运营者自行对关键信息基础设施安全防护情况进行评价。通过自评,掌握本组织安全防护现状,并针对薄弱环节采取有效改进措施,最终达到改善和提高本组织关键信息基础设施安全防护能力的目的。