网络安全技术 关键信息基础设施安全保护能力指标体系.docx

《网络安全技术 关键信息基础设施安全保护能力指标体系.docx》由会员分享，可在线阅读，更多相关《网络安全技术 关键信息基础设施安全保护能力指标体系.docx（99页珍藏版）》请在优知文库上搜索。

1、ICS35030CSS1.80中华人民共和OBI家标准GB/TXXXXX-XXXX网络安全技术关键信息基础设施安全保护能力指标体系Cybersecuritytechno1.ogy-Indicatorsystemforsecurityprotectioncapabi1.ityofcritica1.informationinfrastructure（征求意见稿）（本稿完成日期：2024-06-25）在提交反g见时，请将您知道的相关*利连同支雌文件一并附上.XXXX-XX-XX发布XXXX-XX-XX实施q家市场监督管理总局出在马家标准化管理委员会发布GB/TXXXXX-XXXX目次前言11I范围1

2、2规范性引用文件13术语和定义14概述24I能力等级描述24.2能力指标概述35 SX类：安全管理55.1 类的说明55.2 管理规范（SMJSC）65.3 资源保障（SM_RGC）75.4 风险管理（SM_RMC）85.5 供应链安全（SM_SCC）86 SA类：系统架构106.1 类的说明106.2 架构安全（SA_BIS）106.3 业务连续性（SA_BeC）127 TP类：技术防妒137.1 类的说明137.2 网络基础设施防护（TPJiIP）137.3 边界安全防护（IP_BSPM7.4 4计算环境防妒（TP/EP）167.5 数据安全防护（TPJKP）188 SO类：安全运营198

3、.1 类的说明198.2 安全运维（S（1.Soe）198.3 态势超知（S（1.SAC）228.4 主动防御（S（1.PDC）238.5 事件处置（S（1.EDC）25附录A（资料性安全保护能力计分方法27附录B（资料性）能力组件计分示例30网录C（资料性某关键信刖基础设施运营者自评计分示例86参考文献888本文件按照GB/T1.12020匕标准化工作导则笫1部分:标准化文件的结构和起草规则S的规定起点。请注意本文件的某线内容可能涉及专利。本文件的发布机构不承担识别专利的贡仔。本文件全国网络安全标准化技术委员会（SAC/TC260提出并归口.本文件起草单位：中国交通通通估息中心、中国电子技术

4、标准化研究院、中国值息安全测评中心、国家信息技术安全研究中心、自然资源部信息中心、国家信息中心、中国金触认证中心、杭州安恒信息技术股份有限公司、深信服科技股份有限公司等。本文件主要起草人：姚相振、王惠莅、杜渐、顾炳中、邸丽清、孙晓丽、张强、伊玮珑、刘芮.战明、高强将、宋璟等.HI网络安全技术关键信息基础设施安全保护能力指标体系1病困本文件规定了关键信息基础设施安全保护能力指标体系，包括基本保护缓、强化保护级、战略保护级的安全保护能力指标.本文件适用于指导关键信息基础改修运营者对关世伯忠基础设施安全保护能力的建设，也可为保妒工作部门、国家监管部门以及第三方评估机构簪提供参考，2规葩性引用文件下列

5、文件中的内容通过文中的规莅性引用而构成本文件必不可少的余款,其中，注口期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件.其用新版本（包括所有的悻改单适用于本文件.GB/T22239-2019估息安全技术网络安全等级保护基本要求GB/T25069-2022信息安全技术术语GB/T32914-2023倍息安全技术网络安全服务能力要求GB/T39281-2022信息安全技术关犍信息基础设施安全保护要求GB/T42446-2023信息安全技术网络安全从业人员能力基本要求GB/T43697-2024数据安全技术数据分类分级规则GB/TXXXXX-AAAA网络安全技术关键信总基础设施边界确

6、定方法3术语和定义GB/T25069中界定的以及卜列术语和定义适用于本文件，3. 1关俄信息恭础设施CritiCa1.informationinfrastructure公共通信和信息服务、能源、交通、水利、金融、公共眼务、电子政务、国防科技工业等重要行业和领域.以及其他一只遭到破坏、丧失功能或拧数据泄殆,可能严加危害国家安全、国计民生、公共利曲的曳要网络设施、信息系蜕等.【来源：GB/T392012022,3.13.2极限情况extremeconditions遭遇到大规模、YfiI1.Wx持续的网络攻击或严曲自然灾杏等，对网络运行环境、网络运行秩序产生巨大、破坏性影响，包括但不限于通信设施、电

7、力、机房等环境因素遭到破坏对网络设施、信息系统造成影响.来源：GB/TXXXXX-AAAA,3.63.3网络弹性cyberrcsiIience网络存在不利条件、压力、攻击或失陷组件时，自身所应具有的预防、承受、恢笈和适应的能力，以保持系统功能和结构稳定，实现对重大网络安全事件的有序、有效应对,保证关键业务柩定运行.建I网格-Ifi由计总机或者其鲍佶息终增及相关设图A成的按JB定的规则和程序财信息遥行收集.存储.传输.交换、处理的廉统.来源：GB/TXXXXX-BBBB.3.13.4风险risk对目标的不f肯定性影响，注1：影峋是指与期望的偏悉（正向的或反向的）.注2:不确定性足时*去及其结果或

8、可能性的相关佰以、理解或知识缺乏的状态（即使是程:分的）.注314期就被表征为潜在的本态和后果.或存它们的出台.注4：W险的被改示为事态的后果（包括情形的改变）和区发生可饯性的3iff.注5：在怡息安全管理体系的语境下,信息安全风险可被示为对信息安全H标的不确定性影响.注6；信总安全风修j位特利用信,以资产或信总资产维的航j性时双班造成他害的潜力相关.来源:GB/T292462017,2.684概述4.1能力等级描述关键信息基础设施安全保护能力分为3级，由低到高分别为：基本保护缎、强化保护级、战略保护级.3个等级的能力描述如表1所示.基本保护级1重于满足相关法律法燥要求,系统能修常态化安全稳定

9、运行：强化保护被侧重于关键信息基础设施运营苻与保护工作部门形成安全防御共同体，保障业务稳定运行，形成综合防御和协同防御的能力；板略保护级侧由于关键信息葩础设施运营者、保护工作部门和国家层面二级协同，保障极限情况卜关键业务最小化运行，表1关键信息基础设施安全保护能力等级及描述能力等统能力等线描述韭本保护级满足关键信息基他设施安至保护.等级保护、密码应用.故拈安全等相关法律法规政策标准要求.系统值螭常态化安全稳定运行,能城保江关健业务待缴班务.“备魔方怏U与运行能力,能够实现效熨备份和恢现，媚保数据完整可用.强化保护at在主动防护、业务Ittt性、监测预警能方面进一步强化，能婚实现系统依舛性.在部

10、分功能先攻时，关Bi业务能纳安全6J定送行,便保障数据i可用I1.能防止数指IttiK或算改“能与保护工作部门办问我动.保Ki业务机定运行,初步H番和川国家保护资源徒力.战略保护is在面对国家级网络攻击、严呱自然灾害等极架情况时.外箔弹性应对.自适应初悔能力.1.确保关键业务以小化运行.具备自动快速恢复功能保证关犍业务可挣续提供服务.可依助国.京提供的相关济湖保业务检定运行、数据不泄羯,具名测淞处置能力.4.2能力指标载述4. 2.1能力指标结构描述本文件第5政至第8章给出了涵盖买行业（如公共通侑和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等），多系统（如工业控制系统、

11、公平台、大数据应用等）的关键隹总第础设施通用安全保护能力指标描述，能力指标采用“类-族-组件一层次化的结构来衣达。图1类-族组件层次关系示意图一个能力类包括若干个能力度,每个能力族包括若干个能力组件,每个能力组件包括若干指标项，指标项按照花本保护级、强化保护级和燧略保护徽分别描述。强化保护级和战略保护级分别是针对低一等级指标项的补充和强化，在实现强化保护纸和战略保护级时，其低一等级的能力要求应得到满足。有的指标项只列出了基本保护级,强化保护级指标限为“无这表明只需要满足基本保护级能力.对于战略保护级中指标项为“无”的，表明只儒要满足强化保妒级能力，能力类是爆通用的一如能力指标的组合，能力类的编

12、号为类别名称英文苜字母缩写。等个能力类包括若干个具有相同意图的能力欣，即能力族是在能力类别框架下进一步的分类，触个能力族被分配一个唯一的族名,其表示方式是所在类名的缩写,猿跟一个下划线,然后再加上与族名有关的：.个字母.徒个能力族包括一个或多个能力组件。组件的表达方式是在族名的缩写后面加一个点，然后根据祖件在族内的顺序从1开始编号，纲件的定义是困绕能力族的安全目的进行分类描述，这也是能力分级的基础.由于关键伯息基础设施的形态多样化，在实现能力指标项时可能会存在差异,为此，本文件在描述指标J时引入了“赋他”和“选择”这两种变城。如果各能力等级指标项的表述不足以表达关键信息基础设殛运营者对系统保护

13、的要求,运营者可以在类和族的框架下扩展相应的组件.扩展组件的表述应在需要扩展的族下面在族名缩写的后面补充“.EXT”后在对扩展组件排序，如需在管理规范能力旗下扩展组件，组件的名称可以命名为-SM_MSC1.EXT.1，运营者也可采取不扩展组件的方式，仪采取扩展既有组件下指标项的方式或针对既有指标项存在不适用的情况进行标注说明等方式4. 2.2能力指标体系构成能力指标体系包括4个类、14个族，52个组件（含扩展祖件），表2提供了各类能力指标项对应的基本保护级、强化保护级、战略保护级的指标项构成俏况。基于关键信息基础设牖所面临的威胁和时应的保护策略,本文件定义了4个类,分别为安全管理（SM）类、系

14、统结构（SA）类、技术防护（TP类和安全运营（SO）类,每个类的好择可以参照后续意节的类说明.表2能力指标体系构成表俺力狭力也件不力等At措行Im*Af*ft化SM：安全管理类SM-MSC：Wf1.!赛危雁力Sb1.MSC.I保护计划2OOSM_MSC.2制境策略4OOSM-MSC-3管理考核2OOSK1.RGC1.资源俣耀能力SK1.RGCi保护团队42OSM-RGC.2压础宽源保1OOSMRGC.3经费保城2OOSM-RMC14险管理能力SM-RMCI风险管理潴略3OOSM_RMC.2风险管理活勖4OOSM_SCC供应於安仝健力SM_SCC.I供应该安全管理4OOSM.SCC.2供应力安金管理4OOSM.SCC3达雉外包管理3OOSM-SCC4供血域风险预警“应急处科2OOSA1系统架构类SAJiIS:架构安全能力SA一BIS.I网络防护架构622SA-BIS_EXT.1云平台防护架构1OOSA_BIS.2通信显路与关键段冗余3IOSA-B1.S.3应用数据分两2OOSA_BCC：业务煌母性能力SA-BCC.1业务依慢性分析2OOSA-BCC