关键信息安全基础设施

关键信息安全基础设施（精选6篇）

关键信息安全基础设施 第1篇

国家标准《信息安全技术 关键信息基础设施安全检

查评估指南》编制说明

一、工作简况 1.1 任务来源

根据《中华人民共和国网络安全法》要求，关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

为了落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，全国信息安全标准化技术委员会于2016年立项《信息安全技术 关键信息基础设施安全检查评估指南》国家标准，2016年7月，中央网信办网络安全协调局下达《<信息安全技术 关键信息基础设施安全检查评估指南>国家标准制定》委托任务书，委托中国互联网络信息中心开展该标准的研制工作，并将本项目标识为WG7 组重点标准。

《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所（更名为国家工业信息安全发展研究中心）等单位共同参与起草。1.2 主要工作过程

2017年1月至3月，《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心、中国信息安全测评中心，工业和信息化部电子科学技术情报研究所等单位共同参与讨论，讨论研究指南的编制，并形成标准讨论稿，向中央网信办领导汇报标准编制进展，并向全国信息安全标准化技术委员会提交项目申请。

2017年4月，标准通过全国信息安全标准化技术委员会WG7组会议讨论。2017年4月，本标准获得由全国信息安全标准化技术委员会立项。2017年4月，向中央网信办领导汇报标准进展工作，拟作为中央网信办布置关键信息基础设施安全检查工作的参考标准。

2016年5月，正式成立标准编制组，标准编制组由五家主要参与单位共同组成，集中讨论集中办公，讨论标准的框架、方法论、具体的内容等。

2016年5月25日，召开第一次专家会，地点在中央网信办，由项目组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及WG7专家进行了汇报，5位WG7专家对标准提出了修改意见。

2016年6-7月，标准编制组继续集中办公，集中讨论，并根据第一次专家会意见逐一进行修订，此外与其他安全厂商、科研单位进行交流，就本标准指标方法听取意见，并最终形成标准第二稿。

2016年7月18日，召开第二次WG7专家会，由项目组向专家汇报了标准项目进展，以及根据第一次专家会议的专家意见修订情况，5位WG7专家对标准提出了更进一步的修改意见，随后项目组召开标准讨论封闭会议，根据此次专家会意见对草案作了进一步修订，形成了第三稿。

2017年7月21日，参加WG7组会议，汇报了项目进展和标准修订情况，会议决议最终该标准可以进入征求意见阶段，并根据标准周答辩专家意见对标准草案进行部分修订，完善草案内容。

二、编制原则和主要内容 2.1 编制原则

根据《中华人民共和国网络安全法》要求，关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。

关键信息基础设施安全检查评估指南是落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，定义了检测评估的主要内容，从而提升关 键信息基础设施的网络安全防护能力。

本标准提供了关键信息基础设施检查评估工作的方法、流程和内容，定义了关键信息基础设施检查评估所采用的方法，规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求，以及在检查评估具体要求和内容。

本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。

本标准可用于：

1）关键信息基础设施运营单位自行开展安全检测评估工作参考。2）网络安全服务机构对关键信息基础设施实施检测评估工作参考。3）网络安全检测产品研发机构研发检查工具，创新安全应用参考。本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。

2.2 主要内容

关键信息基础设施检查评估工作是依据国家有关法律与法规要求，参考国家和行业安全标准，针对关键信息基础设施安全要求，通过一定的方法和流程，对信息系统安全状况进行评估，最后给出检查评估对象的整体安全状况的报告。

检查评估工作由合规检查、技术检测和分析评估三个主要方法组成，每个方法包含若干内容和项目。

合规检查

合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求，输出是否合规的结论，对不合规的具体项目进行说明，采取的方法包括现场资料核实、人员访谈、配置核查等形式。

技术检测

技术检测分为主动方式和被动方式，主动方式是采用专业安全工具，配合专业安全人员，选取合适的技术检测接入点，通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段，采取远程检测和现场检测相结合的方式，发现其安全 性和可能存在的风险隐患，也可参考其他安全检测资料和报告，对技术检测结果进行验证。

被动方式是辅助监测分析手段，通过选取合适的监测接入点，部署相应的监测工具，实时监测并分析检查评估对象的安全状况，发现其存在的安全漏洞、安全隐患。

两种技术检测方式最终输出技术检测结果。分析评估

分析评估是围绕关键信息基础设施承载业务特点，对关键信息基础设施的关键属性进行识别和分析，依据技术检测发现的安全隐患和问题，参考风险评估方法，对关键属性面临的风险进行风险分析，进而对关键信息基础设施的整体安全状况的评估。

标准充分考虑了当前已有的等级保护相关标准、风险评估标准、及其他行业安全标准，与正在制定的其他WG7系列标准一起，共同形成了支撑关键信息基础设施安全保障的标准体系。本标准与其他国内标准的关联性分析：

GB/T 22081-2016《信息安全技术信息系统等级保护基本要求》 是本标准引用的标准之一，本标准在编制之初就深刻理解网络安全法中“关键信息基础设施要求在网络安全等级保护制度的基础上，实行重点保护，”的要求，在合规检查的内容中重点强调了对等级保护制度落实情况的检查。

GB/T 20984-2007 信息安全技术 信息安全风险评估规范也是本标准引用的标准之一，本标准在第9节引入了风险评估的方法论，通过对关键信息基础设施的关键性分析，并根据合规检查和技术检测发现的问题进一步进行风险分析，最后根据风险分析的结果定性分析出整体安全状况的评价。

此外，正在制订的标准草案《信息安全技术关键信息基础设施网络安全保护要求》定义了关键信息基础设施，并对关键信息基础设施保护提出了具体的要求，而本标准中有专门的项是对改要求的验证，强调的是评估流程的标准化、评估内容标准化，以及评估结果的标准化。

此外，正在制定的标准草案《信息安全技术关键信息基础设施安全保障指 标体系》与该标准关联，该标准的输出评估结果可以用于标准的量化计算。

三、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况

编制组在标准编制过程中，专门分析了美国NIST的安全评估方法，参考我国已有相关信息安全标准，综合考虑制定了本标准。

四、重大分歧意见的处理经过和依据

本标准编制过程中未出现重大分歧。其他详见意见汇总处理表。

五、国家标准作为强制性国家标准或推荐性国家标准的建议

建议作为推荐性国家标准发布实施。

六、其他事项说明

本标准不涉及专利。

标准编制组 2017年7月

关键信息安全基础设施 第2篇

(征求意见稿）

第一章 总则

第一条 为了保障关键信息基础设施安全，根据《中华人民共和国网络安全法》，制定本条例。

第二条 在中华人民共和国境内规划、建设、运营、维护、使用关键信息基础设施，以及开展关键信息基础设施的安全保护，适用本条例。

第三条 关键信息基础设施安全保护坚持顶层设计、整体防护，统筹协调、分工负责的原则，充分发挥运营主体作用，社会各方积极参与，共同保护关键信息基础设施安全。

第四条 国家行业主管或监管部门按照国务院规定的职责分工，负责指导和监督本行业、本领域的关键信息基础设施安全保护工作。

国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。

县级以上地方人民政府有关部门按照国家有关规定开展关键信息基础设施安全保护工作。

第五条 关键信息基础设施的运营者（以下称运营者）对本单位关键信息基础设施安全负主体责任，履行网络安全保护义务，接受政府和社会监督，承担社会责任。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

第六条 关键信息基础设施在网络安全等级保护制度基础上，实行重点保护。

第七条 任何个人和组织发现危害关键信息基础设施安全的行为，有权向网信、电信、公安等部门以及行业主管或监管部门举报。

收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。

第二章 支持与保障

第八条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动。

第九条 国家制定产业、财税、金融、人才等政策，支持关键信息基础设施安全相关的技术、产品、服务创新，推广安全可信的网络产品和服务，培养和选拔网络安全人才，提高关键信息基础设施的安全水平。

第十条 国家建立和完善网络安全标准体系，利用标准指导、规范关键信息基础设施安全保护工作。

第十一条 地市级以上人民政府应当将关键信息基础设施安全保护工作纳入地区经济社会发展总体规划，加大投入，开展工作绩效考核评价。

第十二条 国家鼓励政府部门、运营者、科研机构、网络安全服务机构、行业组织、网络产品和服务提供者开展关键信息基础设施安全合作。

第十三条 国家行业主管或监管部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作的机构和人员，编制并组织实施本行业、本领域的网络安全规划，建立健全工作经费保障机制并督促落实。

第十四条 能源、电信、交通等行业应当为关键信息基础设施网络安全事件应急处置与网络功能恢复提供电力供应、网络通信、交通运输等方面的重点保障和支持。

第十五条 公安机关等部门依法侦查打击针对和利用关键信息基础设施实施的违法犯罪活动。

第十六条 任何个人和组织不得从事下列危害关键信息基础设施的活动和行为：

（一）攻击、侵入、干扰、破坏关键信息基础设施；

（二）非法获取、出售或者未经授权向他人提供可能被专门用于危害关键信息基础设施安全的技术资料等信息；

（三）未经授权对关键信息基础设施开展渗透性、攻击性扫描探测；

（四）明知他人从事危害关键信息基础设施安全的活动，仍然为其提供互联网接入、服务器托管、网络存储、通讯传输、广告推广、支付结算等帮助；

（五）其他危害关键信息基础设施的活动和行为。

第十七条 国家立足开放环境维护网络安全，积极开展关键信息基础设施安全领域的国际交流与合作。

第三章 关键信息基础设施范围

第十八条 下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围：

（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；

（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；

（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；

（四）广播电台、电视台、通讯社等新闻单位；

（五）其他重点单位。

第十九条 国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。

国家行业主管或监管部门按照关键信息基础设施识别指南，组织识别本行业、本领域的关键信息基础设施，并按程序报送识别结果。

关键信息基础设施识别认定过程中，应当充分发挥有关专家作用，提高关键信息基础设施识别认定的准确性、合理性和科学性。

第二十条 新建、停运关键信息基础设施，或关键信息基础设施发生重大变化的，运营者应当及时将相关情况报告国家行业主管或监管部门。

国家行业主管或监管部门应当根据运营者报告的情况及时进行识别调整，并按程序报送调整情况。

第四章 运营者安全保护

第二十一条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

第二十二条 运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人，负责建立健全网络安全责任制并组织落实，对本单位关键信息基础设施安全保护工作全面负责。

第二十三条 运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障关键信息基础设施免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取、篡改：

（一）制定内部安全管理制度和操作规程，严格身份认证和权限管理；

（二）采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；

（三）采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密认证等措施。

第二十四条 除本条例第二十三条外，运营者还应当按照国家法律法规的规定和相关国家标准的强制性要求，履行下列安全保护义务：

（一）设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；

（四）制定网络安全事件应急预案并定期进行演练；

（五）法律、行政法规规定的其他义务。

第二十五条 运营者网络安全管理负责人履行下列职责：

（一）组织制定网络安全规章制度、操作规程并监督执行；

（二）组织对关键岗位人员的技能考核；

（三）组织制定并实施本单位网络安全教育和培训计划；

（四）组织开展网络安全检查和应急演练，应对处置网络安全事件；

（五）按规定向国家有关部门报告网络安全重要事项、事件。

第二十六条 运营者网络安全关键岗位专业技术人员实行执证上岗制度。

执证上岗具体规定由国务院人力资源社会保障部门会同国家网信部门等部门制定。

第二十七条 运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

第二十八条 运营者应当建立健全关键信息基础设施安全检测评估制度，关键信息基础设施上线运行前或者发生重大变化时应当进行安全检测评估。

运营者应当自行或委托网络安全服务机构对关键信息基础设施的安全性和可能存在的风险隐患每年至少进行一次检测评估，对发现的问题及时进行整改，并将有关情况报国家行业主管或监管部门。

第二十九条 运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照个人信息和重要数据出境安全评估办法进行评估；法律、行政法规另有规定的，依照其规定。

第五章 产品和服务安全

第三十条 运营者采购、使用的网络关键设备、网络安全专用产品，应当符合法律、行政法规的规定和相关国家标准的强制性要求。

第三十一条 运营者采购网络产品和服务，可能影响国家安全的，应当按照网络产品和服务安全审查办法的要求，通过网络安全审查，并与提供者签订安全保密协议。

第三十二条 运营者应当对外包开发的系统、软件，接受捐赠的网络产品，在其上线应用前进行安全检测。

第三十三条 运营者发现使用的网络产品、服务存在安全缺陷、漏洞等风险的，应当及时采取措施消除风险隐患，涉及重大风险的应当按规定向有关部门报告。

第三十四条 关键信息基础设施的运行维护应当在境内实施。因业务需要，确需进行境外远程维护的，应事先报国家行业主管或监管部门和国务院公安部门。

第三十五条 面向关键信息基础设施开展安全检测评估，发布系统漏洞、计算机病毒、网络攻击等安全威胁信息，提供云计算、信息技术外包等服务的机构，应当符合有关要求。

具体要求由国家网信部门会同国务院有关部门制定。

第六章 监测预警、应急处置和检测评估

第三十六条 国家网信部门统筹建立关键信息基础设施网络安全监测预警体系和信息通报制度，组织指导有关机构开展网络安全信息汇总、分析研判和通报工作，按照规定统一发布网络安全监测预警信息。

第三十七条 国家行业主管或监管部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警和信息通报制度，及时掌握本行业、本领域关键信息基础设施运行状况和安全风险，向有关运营者通报安全风险和相关工作信息。

国家行业主管或监管部门应当组织对安全监测信息进行研判，认为需要立即采取防范应对措施的，应当及时向有关运营者发布预警信息和应急防范措施建议，并按照国家网络安全事件应急预案的要求向有关部门报告。

第三十八条 国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构建立关键信息基础设施网络安全信息共享机制，促进网络安全信息共享。

第三十九条 国家网信部门按照国家网络安全事件应急预案的要求，统筹有关部门建立健全关键信息基础设施网络安全应急协作机制，加强网络安全应急力量建设，指导协调有关部门组织跨行业、跨地域网络安全应急演练。

国家行业主管或监管部门应当组织制定本行业、本领域的网络安全事件应急预案，并定期组织演练，提升网络安全事件应对和灾难恢复能力。发生重大网络安全事件或接到网信部门的预警信息后，应立即启动应急预案组织应对，并及时报告有关情况。

第四十条 国家行业主管或监管部门应当定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测，提出改进措施，指导、督促运营者及时整改检测评估中发现的问题。

国家网信部门统筹协调有关部门开展的抽查检测工作，避免交叉重复检测评估。

第四十一条 有关部门组织开展关键信息基础设施安全检测评估，应坚持客观公正、高效透明的原则，采取科学的检测评估方法，规范检测评估流程，控制检测评估风险。

运营者应当对有关部门依法实施的检测评估予以配合，对检测评估发现的问题及时进行整改。

第四十二条 有关部门组织开展关键信息基础设施安全检测评估，可采取下列措施：

（一）要求运营者相关人员就检测评估事项作出说明；

（二）查阅、调取、复制与安全保护有关的文档、记录；

（三）查看网络安全管理制度制订、落实情况以及网络安全技术措施规划、建设、运行情况；

（四）利用检测工具或委托网络安全服务机构进行技术检测；

（五）经运营者同意的其他必要方式。

第四十三条 有关部门以及网络安全服务机构在关键信息基础设施安全检测评估中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

第四十四条 有关部门组织开展关键信息基础设施安全检测评估，不得向被检测评估单位收取费用，不得要求被检测评估单位购买指定品牌或者指定生产、销售单位的产品和服务。

第七章 法律责任

第四十五条 运营者不履行本条例第二十条第一款、第二十一条、第二十三条、第二十四条、第二十六条、第二十七条、第二十八条、第三十条、第三十二条、第三十三条、第三十四条规定的网络安全保护义务的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

第四十六条 运营者违反本条例第二十九条规定，在境外存储网络数据，或者向境外提供网络数据的，由国家有关主管部门依据职责责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十七条 运营者违反本条例第三十一条规定，使用未经安全审查或安全审查未通过的网络产品或者服务的，由国家有关主管部门依据职责责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

第四十八条 个人违反本条例第十六条规定，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款；构成犯罪的，依法追究刑事责任。

单位有前款行为的，由公安机关没收违法所得，处十万元以上一百万元以下罚款，并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。

违反本条例第十六条规定，受到刑事处罚的人员，终身不得从事关键信息基础设施安全管理和网络运营关键岗位的工作。

第四十九条 国家机关关键信息基础设施的运营者不履行本条例规定的网络安全保护义务的，由其上级机关或者有关机关责令改正；对直接负责的主管人员和其他直接负责人员依法给予处分。

第五十条 有关部门及其工作人员有下列行为之一的，对直接负责的主管人员和其他直接责任人员依法给予处分；构成犯罪的，依法追究刑事责任：

（一）在工作中利用职权索取、收受贿赂；

（二）玩忽职守、滥用职权；

（三）擅自泄露关键信息基础设施有关信息、资料及数据文件；

（四）其他违反法定职责的行为。

第五十一条 关键信息基础设施发生重大网络安全事件，经调查确定为责任事故的，除应当查明运营单位责任并依法予以追究外，还应查明相关网络安全服务机构及有关部门的责任，对有失职、渎职及其他违法行为的，依法追究责任。

第五十二条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门、国家安全机关和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

第八章 附则

第五十三条 存储、处理涉及国家秘密信息的关键信息基础设施的安全保护，还应当遵守保密法律、行政法规的规定。

关键信息基础设施中的密码使用和管理，还应当遵守密码法律、行政法规的规定。

第五十四条 军事关键信息基础设施的安全保护，由中央军事委员会另行规定。

关键信息安全基础设施 第3篇

关键词：网络安全,关键信息基础设施保护,风险管理

1 引言

2005年,日本发布第一版《关键信息基础设施信息安全措施行动计划》,指导政府、关键信息基础设施运营单位以及其他利益相关方,开展关键信息基础设施保护工作。同年,为配合该计划落地实施,日本信息安全规则理事会发布《保护关键基础设施免遭IT中断和确保关键基础设施供应商业务连续性必要决策的基本方向》。2009年,第二版《关键信息基础设施信息安全措施行动计划》发布,确定了关键信息基础设施保护基本措施和建立公私信息共享的框架,明确了“对环境变化的响应”政策,以应对不断变化的社会和技术环境。2015年5月25日,日本网络安全战略总部完成了第二次修订工作,将《关键信息基础设施信息安全措施行动计划》更名为《关键信息基础设施保护基本政策(第三版)》(以下简称《基本政策》),《基本政策》反映了为适应不断变化的社会和技术环境以及日益精密和复杂的网络攻击,而做出的适当反应。

《基本政策》中对关键信息基础设施运营者需要采取的措施和国家层面采取的行动,给出了较为详细的描述,对我国正在开展的关键信息基础设施保护工作有较好的参考作用。

2《基本政策》的保护目的、原则和范围

2.1 目的

日本关键信息基础设施保护的目的是:保障关键信息基础设施持续正常稳定运行,避免由于自然灾害、网络攻击或其他原因造成的IT中断事件影响公共福祉和社会经济活动,所有利益相关方应采取有效措施,尽可能减少IT风险,确保关键信息基础设施有能力从IT中断中迅速恢复。

2.2 基本原则

(1)关键信息基础设施运营者应承担社会责任,采取有效措施确保关键信息基础设施持续稳定提供服务,并持续改进保障措施,提升措施的有效性。

(2)政府应为关键信息基础设施运营者开展保护工作提供必要支持。

(3)关键信息基础设施运营者应当与其他利益相关方建立协作机制,以应对单个运营者无法处置的威胁。

关键信息基础设施运营者的保障措施和国家保护行动之间的配合关系如图1所示。关键信息基础设施运营者通过确定安全保护政策和业务安全规则,规划正常情况和IT中断情况下能够调配的资源,制定关键信息基础设施保护在设计、开发、实施、维护等各阶段需采取的技术措施、操作措施,在关键信息基础设施运营过程中予以实施并做好监控,出现IT中断情况时采取计划的应对措施进行恢复。在此过程中,通过核查和审计实施过程、研究分析环境变化、参与学习和培训等手段判断所采取措施的合理性,不断修正保护计划和措施,实现持续提升的PDCA循环。国家在关键信息基础设施运营者开展计划、实施和检查的各个环节中给予充分支持和配合,包括提供安全规则制定指导、充分的信息共享、提供风险识别和分析的支持,以及组织演习和培训以加提高运营者事件响应能力。同时,国家行动还包括人力、技术等保护基础的加强、公众联系和国际合作、标准的制定和推荐,以及对运营者开展的各项活动进行相关调查,获取信息以供政策改进分析之用。

2.3 保护范围

日本《基本政策》中确定存在关键信息基础设施的领域共有13个,包括:信息和通信服务、金融服务、航空服务、铁路服务、电力供应服务、供气服务、政府和行政服务、医疗服务、供水服务、物流服务、化学工业、信用卡服务、石油工业。

其中,信用卡服务、化工工业和石油工业是在第三版《基本政策》中新增加的。

3《基本政策》具体措施

3.1 持续提升关键信息基础设施保护能力

日本内阁秘书处制定安全规则的指导方针,并持续对指导方针进行审查,确认指导方针适合关键信息基础设施运营者网络安全管理的PDCA循环,并能够与其他原则配合,使关键信息基础设施保护能力加强。

同时,关键信息基础设施运营者按照措施的重要性,持续不断地以PDCA循环执行保护措施。

3.2 建立信息共享机制

根据《基本政策》要求,日本内阁秘书处制定了“从关键信息基础设施运营者共享至国家信息安全中心(NISC)的信息”、“信息从NISC共享至关键信息基础设施运营者”、“信息共享至NISC的事件和原因种类”等政策附件,建立了正常情况下的信息共享机制和IT危机下的信息共享机制,定义了关键信息基础设施运营者、CEPTOAR(关键信息基础设施运营者中提供信息共享和分析负责的机构)、CEPTOAR理事会、关键信息基础设施保护责任部门、内阁秘书处、NISC在一般情况下和危机情况下的信息共享责任。共享的信息包括“主动预防IT中断”、“预防损害传播和从IT中断中快速恢复”和“通过分析预防复发分析和识别中断的原因”等方面。

IT危机期间的信息共享,是《基本政策》中特别增加的。信息安全规则理事会(ISPC)将灾难预防相关部门增加到第一版和第二版《行动计划》执行期间已经建立起的信息共享机制当中。

3.3 通过跨部门演习增强事件响应能力

《基本政策》特别强调了通过实施跨部门的演习,并在演习中实施有效的培训,增强关键信息基础设施的IT中断响应能力,建立完善IT中断处置机制。通过演习可以暴露各方存在的联络不畅、协调不一致等问题,并通过演习进行有效的培训,形成联络机制,达到“形成跨部门威胁的共同意识”、“通过了解其他部门的反应情况改善本部门的反应能力”和“运用政策使公私信息共享更有效”的目标。

3.4 推动运营者和国家两级风险管理

《基本政策》强调关键信息基础设施经营者应结合本单位业务连续性的要求,制定网络安全风险管理工作目标,制定具体工作计划并在单位内实施,并将应对IT故障的措施纳入风险管理工作计划。

日本内阁秘书处制定关键信息基础设施保护相关国际标准的应用指南,供关键信息基础设施运营者在风险管理中使用。对于关键信息基础设施运营者难以把握的活动,如跨部门的研究分析和观点交流等,由内阁秘书处负责,并共享研究分析的结果,提供跨部门交流的机会,以支持关键信息基础设施运营者实施风险管理。内阁秘书处还负责分析环境发生的变化、主要关键信息基础设施状况、技术发展趋势等。内阁秘书处还应进行相互依赖性分析,包括由于环境变化或新关键信息基础设施部门加入而导致的相互依存关系的变化。

3.5 加强公共宣传、国际合作、标准认证等基础工作

日本内阁秘书处开展公关,通过简讯、网站、讲座等手段,使公众了解关键信息基础设施保护基本政策,从容应对各种情况,获得最广泛的合作;继续加强国际合作,通过双边、区域间和多边框架,为运营者获取典型案例、最佳实践等;为关键信息基础设施保护发布参考书,系统地安排有关的标准和指南,对国际标准提供应用指南,推动第三方认证和评估等。

3.6 详述利益相关方应采取的行动

《基本政策》中,详细列出了各利益相关方,包括内阁秘书处、关键信息基础设施保护责任部门、信息安全相关部门、危机管理部门、关键信息基础设施运营者、CEPTOAR、CEPTOAR理事会、关键信息基础设施保护支撑机构和网络空间相关运营者。

《基本政策》详细规定了各利益相关方在各项措施中应采取的行动。其中,内阁秘书处的工作包括安全规则指南的编制和修订、收集和分享信息、规划跨部门演习、研究改进跨部门演习的措施、发布风险管理国际标准的指南、开展宣传等公关活动、提供最佳实践案例、支持第三方加强设备和系统控制系统的认证等,充分体现了国家在关键信息基础设施保护上所做的努力。

3.7 对《基本政策》持续改进

为了保证《基本政策》对关键信息基础设施保护的适用性,每年将对《基本政策》的实施情况进行评估和验证,每三年修订一次。

4 对我国开展关键信息基础设施保护的启示

4.1 开展国家关键信息基础设施认定工作

应该尽快开展国家关键信息基础设施的认定工作。包括:发布关键信息基础设施认定指南,建立关键信息基础设施清单,使各行业、企业明确所辖或所运营设施的重要性。清单应采取动态维护机制,按照设施承载业务的重要性、风险严重程度、相互依赖性、环境变化等多方面因素的变化,不断调整清单。

4.2 调动关键信息基础设施运营者保护工作的积极性

统筹和规范各部门、各地区针对关键信息基础设施的各类检查,通过检查结果的分析,为设施运营者提供威胁防护最佳实践的信息。从人力、技术、资金、环境等方面支持关键信息基础设施运营者加强网络安全保护能力,做好设施所依赖的电力、通信等基础设施保障。

4.3 国家层面积极承担信息共享责任

在国家层面建立信息共享机制,汇聚分析行业、运营者、网络安全专业技术机构及其他信息情报源提供威胁信息、防护知识,向相关方定向预警通报,使各方以尽可能多的得到必要信息,开展风险防范。

4.4 建立并推进以风险管理为核心的网络安全保护理念

建立对网络安全风险持续管控的动态保护理念,由国家出面建立关键信息基础设施风险管理框架,制修订相关标准。国家、行业及设施运营者分别建立不同层次的风险管理框架,确定优先保护措施,投入国家资源贯彻实施。通过建立评价指标、安全检查、攻防演练等方式评价措施有效性,持续调整措施,提升防护水平,降低安全风险发生的概率。

参考文献

[1]日本网络安全战略总部.关键信息基础设施保护基本政策(第三版)[EB/OL].[2015-05-25].www.nisc.go.jp/eng/pdf/actionplan_ci_eng_v3.pdf.

[2]王舒毅.日本网络安全战略:发展、特点及借鉴[J].中国行政管理,2015(01):152-159.

[3]栗硕.日本网络安全建设析论[J].国际研究参考,2015(12):28-34.

关键信息安全基础设施 第4篇

刘利民指出，为贯彻落实刘延东同志在全国教育信息化工作电视电话会议上的指示精神，大力提升教育信息化水平，今年3月，教育部印发了《教育信息化十年发展规划（2011—2020年）》，提出用10年左右的时间“使我国教育信息化整体上接近国际先进水平”；今年6月，教育部发布国家教育“十二五”规划，提出要加快实施教育信息化战略，不断提高各级各类学校信息化、现代化水平。

刘利民强调，教育信息化的基础在学校，关键靠校长、教师。我们必须大力推进学校信息化能力建设，在基础教育领域，提高所有学校在信息基础设施、教学资源、软件工具等方面的基本配置水平，全面提升应用能力，推进信息技术与教学融合、培养学生信息化环境下的学习能力。他希望每一位中小学校长，勇敢地去做一个迎接教育信息化大潮的实践者和引领者，推动中国教育的现代化早日实现。

（来源：中国教育报）

浙江台州：尝试公办教师到民工子弟学校当特派员

新学期开学，浙江台州经济开发区求真学校来了一位“特殊老师”。这位来自公办学校的老师到求真学校后有个特殊身份——“教育管理特派员”，负责督促学校规范化办学。

据台州经济开发区教育分局局长姚振方介绍，台州经济开发区有两所民工子弟学校，分别是求真学校和志远学校。两所学校规模比较大，学生均上千人。为了提高两校的管理水平、教育质量，也为了推动教育均衡发展，该局出台了教育管理特派员政策，每年选派公办学校老师赴民工子弟学校进行支管。

政策出台后，经过挑选，王云德、林珏玲两位老师分别被派到求真学校和志远学校当特派员。一年后，两人交换学校，再支管一年。据了解，两位老师原在白云小學担任中层干部，教学经验丰富。到民工子弟学校后，两人要帮助民工子弟学校建立完善的规章制度：每学期至少听40节课，听课后提出具体指导意见，以提高民工子弟学校老师的教学质量；督促学校做好食堂、校车等安全工作等。

据悉，民工子弟学校教育特派员制度为台州市首创。教育管理特派员支管两年，由开发区教育分局及接受支管的学校进行考核，开发区教育分局设立支管奖，凡年度考核合格的，由分局统一发放。支管期间表现优秀的，在职称晋升、评先评优、提拔重用等方面优先考虑。

（来源：光明日报）

福建福州：下发通知明确规定中学生每天在校活动时间

福州市教育局日前下发通知要求，严格遵守中学日常作息规定，对学生每天在校活动实行总量控制。初中、高中每天在校活动时间分别不超过7小时、8小时。寄宿生晚自习时间，初中不得超过2个课时，普通高中不得超过3个课时。学校不得组织走读生集体到校晚自习。

福州市教育局要求，全市统一取消初三、高三年级周末补课和高二升高三年级的暑期补课，学校和教师均不得占用双休日、节假日、寒暑假和课外休息时间组织学生上课或集体补课。

同时，福州市规定，学生每天课外作业量初中阶段不超过1.5小时，高中阶段应控制在2小时以内，严格执行中学进校教辅材料使用管理规定。

福州市要求，严格执行科学、艺术、技术、综合实践活动课程、学校课程及文体活动等方面的课时规定，并确保学生每天体育锻炼1小时。学校在高二年级之前不对学生进行文理倾向分科分班。学校课程表向社会公示，接受社会和家长的监督。

关键信息安全基础设施 第5篇

本系列针对关键信息基础设施安全条款和法律责任加以解读。这部分条款，提出了关键信息基础设施的范围，明确了与网络安全等级保护制度的关系，规定了关键信息基础设施保护的主要内容，以及在数据留存和提供方面的要求。

【第三十一条】

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。解读

本条款定义了关键信息基础设施的范围，强调了必须落实网络安全等级保护制度，并进行重点保护。国务院将制定相应的关键信息基础设施安全保护办法。【第三十二条】

按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。解读

本条款说明了要制定关键信息基础设施安全规划，和谁来负责制定规划。【第三十三条】

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。解读：

本条款说明了如何建设关键信息基础设施，强调了安全技术实施的三同步原则。适用法律责任：【第五十九条】 【第三十四条】

除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。解读：

本条款规定了关键信息基础设施的保护要求高于第二十一条的网络安全等级保护制度要求；同时强调了背景审查、教育培训和考核、容灾备份、应急预案和演练。

适用法律责任：【第五十九条】 【第三十五条】

关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。解读

本条款规定了采购网络产品和服务的非常态的国家安全审查要求。适用法律责任：【第六十五条】 【第三十六条】

关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。解读

本条款的核心是明确外包服务安全，强调签订安全保密协议。适用法律责任：【第五十九条】 【第三十七条】

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。解读

本条款是关键信息基础设施的一项核心条款，其关键是个人信息和重要数据境内存储和对数据跨境提供的专门要求；目标是解决个人信息和重要数据的数据安全问题，而对重要数据的解读虽然目前还没有明确的分类，相信未来会有相应的规定出台。

适用法律责任：【第六十六条】 【第三十八条】

关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。解读

本条款的关键词是等级测评，风险评估，渗透测试。适用法律责任：【第五十九条】 【第三十九条】

国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。解读

本条款规定了国家网信部门关于承担统筹协调的工作要求。

具体法律责任条款

【第五十九条】 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。【第六十五条】 关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

关键信息安全基础设施 第6篇

为保证我公司系统网络与信息安全，进一步加强网络管理工作，有效地防范蓄意攻击、破坏网络信息系统及传播、粘贴非法信息等突发紧急事件的发生。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则，将工作落实到人。公司成立信息安全检查工作组，负责公司网络安全检查工作，主要采取各处室自查和对部分处室抽查相结合的方式，开展网络安全清理检查工作。现将具体情况汇报如下：

一、现状与风险

随着公司系统信息化建设的发展，以计算机网络为依托的办公格局已初步形成。集团​—公司—部门的三级局域网络已经建立。目前使用交换机30台，生产厂商为华为和H3C，服务器为IBM，联网计算机设备563台。网络与信息系统已成为整个工业生产系统的重要组成部分，成为企业重要基础设施。在工业信息化建设不断蓬勃发展的同时，网络与信息安全的风险也逐渐显露。

一是随着工业生产事业的发展，业务系统的要求，各级部门实现了联网与信息交换。

二是网络与信息系统中的关键设备如主机、路由器、以及操作系统等部分采用盗版或国外产品，存在着较大的安全隐患。

三是系统内计算机应用操作人员水平参差不齐，加上由于经费不足，安全防护设备与技术手段不尽如人意。

二、建立健全网络与信息安全组织机构

为了确保网络与信息安全工作得到重视和措施能及时落实，我公司成立了网络与信息安全领导小组：

组长：党委书记

董事长

副组长：班子其他成员

常务副组长：信息化总经理

成员：公司各部门负责人

网络安全责任人：信息化大数据办公室主任

领导小组下设办公室，具体负责日常工作，主任由信息化大数据办公室主任担任。

三、建立健全网络与信息安全岗责体系和规章制度

网络与信息安全办公室负责对以机关名义在内、外网站上发布信息的审查和监控;信息处负责网站的维护和技术支持以及其它各类应用信息系统的监控和维护;财务处负责相关资金支持;机关服务中心负责电力、空调、防火、防雷等基础设施的监控和维护。

网络与信息安全办公室负责在发生紧急事件时协调开展工作，并根据事件的严重程度起草向领导小组、公安部门或上级有关部门的报告或向全系统的通报;并负责各类网站、各应用系统、数据库系统的监控防范、应急处置和数据、系统恢复工作，以及网络系统的安全防范、应急处置和网络恢复工作及安全事件的事后追查。为做好内部系统网络安全自查工作，大数据中心在X月X日，通过视频培训，对全系统网管员进行网络安全知识培训,并对网络安全自查工作进行部署。建立健全了各种安全制度，包括(1)日志管理制度;(2)安全审计制度;(3)数据保护、安全备份、灾难恢复计划;(4)计算机机房及其他重要区域的出入制度;(5)硬件、软件、网络、媒体的使用及维护制度;(6)帐户、密码、通信保密的管理制度;(7)有害数据及计算机病毒预防、发现、报告及清除管理制度。(8)个人计算机使用及管理规定。

四、存在的问题

在自查过程中我们也发现了一些不足，同时结合实际，今后要在以下几个方面进行整改。

(一)安全意识还需加强。

要继续加强对广大职工使用网络的安全意识教育，提高做好安全工作的主动性和自觉性。

(二)设备维护、更新应及时。

要加大对线路、系统等的及时维护和保养，同时，针对信息技术的飞快发展的特点，需加大更新力度。

(三)安全工作的水平还有待提高。

对信息安全的管护还处于初级水平，要提高安全工作的现代化水平，有利于我们进一步加强对计算机信息系统安全的防范和保密工作。

(四)加强计算机安全意识教育和防范技能训练，充分认识到计算机泄密案件的严重性。

把计算机安全保护知识真正融于实际工作中，而不是记在纸上;人防与技防结合，把计算机安全保护的技术措施看作是保护信息安全的一道看不见的屏障。

(五)工作机制有待完善。

创新安全工作机制，是信息工作新形势的必然要求，这有利于提高机关网络信息工作的运行效率，有利于办公秩序的进一步规范。

五、整改措施

(一)局域网安装了防火墙。

同时对每台计算机配置安装了公司统一配置的金山毒霸杀毒软件，针对注册号户数不够的情况，向集团又申请了一些注册号，现网络版金山毒霸软件可以同时上线600台计算机，基本满足了公司办公需要。全公司X台电脑定期安装系统补丁，加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。

(二)涉密计算机和局域网内所有计算机都强化口令设置，要求开机密码、公文处理口令必须字母与数字混合不少于8位。

同时，计算机相互共享之间设有身份认证和访问控制。

(三)内网计算机没有违规上国际互联网及其他的信息网的现象。

(四)安装了针对移动存储设备的专业杀毒软件，对移动存储设备接入计算机前必须须进行病毒扫描，对于经常接收外来数据的部门单位计算机都配备使用U盘病毒隔离器。

(五)对服务器上的应用、服务、端口和链接都进行了安全检查并加固处理。

(六)没有通过电子政务外网、互联网邮箱、限时通信工具等处理、传递、转发涉密或敏感信息的现象。

(七)制定了详细应急预案，并随着信息化程度的深入，结合各部门实际，并在以后不断完善。