關于
全部分類
新思路 | 深度解讀《關鍵信息基礎設施安全防護能力評價方法》(征求意見稿)(上)
- 分類:公司新聞
- 作者:
- 來源:
- 發布時間:2020-08-24 09:39
- 訪問量:
【概要描述】網御星云解讀《關鍵信息基礎設施安全防護能力評價方法》
新思路 | 深度解讀《關鍵信息基礎設施安全防護能力評價方法》(征求意見稿)(上)
【概要描述】網御星云解讀《關鍵信息基礎設施安全防護能力評價方法》
- 分類:公司新聞
- 作者:
- 來源:
- 發布時間:2020-08-24 09:39
- 訪問量:
詳情
全球關鍵基礎設施領域網絡攻擊加劇,各國關鍵信息基礎設施成為網絡戰爭主戰場。今年4月27日中國12部委聯合發布《網絡安全審查辦法》,要求關鍵信息基礎設施運營者采購網絡產品和服務應當進行安全審查。
關鍵業務是電信、廣播電視、能源、金融、交通運輸、水利、應急管理、衛生健康、社會保障和國防科技等行業,這些領域一旦遭到破壞或者喪失功能,會嚴重危害國家安全、經濟安全、社會穩定和公眾健康和安全的業務。
關鍵信息基礎設施是支撐關鍵業務持續、穩定運行不可或缺的網絡設施、信息系統。在形態構成上,可以是單個網絡設施、信息系統,也可以是由多個網絡設施、信息系統組成的集合。在本質上,屬于關鍵業務的信息化部分,為關鍵業務提供信息化支撐。
關鍵信息基礎設施安全防護能力是關鍵信息基礎設施運營者采取網絡安全措施措施保障其業務穩定、持續運行的能力。
《關鍵信息基礎設施安全防護能力評價方法》介紹
到目前為止,《關鍵信息基礎設施安全防護能力評價方法》,正在向“能力域”邁進。能力域明確了運營者在關鍵信息基礎設施安全防護所需具備的能力,包括識別認定、安全防護、檢測評估、監測預警和事件處置5個方面的關鍵能力,每個安全能力包含若干能力指標,每個能力指標包含若干評價內容。
關鍵信息基礎設施安全防護能力評價形式包括:運營者自評和服務機構評價。
關鍵信息基礎設施安全防護能力評價模型包括:能力級別、能力域和能力指標以及相應的能力評價方法、模型,如下圖所示:
《關鍵信息基礎設施安全防護能力評價方法》指出,關鍵信息基礎設施應首先通過相應等級的等級保護測評和相關密碼測評。然后,組織應按照評價內容和評價操作方法開展評價工作,給出對每項評價指標的判定結果和所處級別,得出每個能力域級別,綜合5個能力域級別以及等級保護測評結果,得出關鍵信息基礎設施安全防護能力級別。
關鍵信息基礎設施安全防護能力依據5個能力域完成程度的高低進行分級評估,包括3個能力等級。能力等級之間為遞進關系,高一級的能力要求包括所有低等級能力要求。能力等級及特征,如下表所示:
識別認定能力域包括:業務識別、資產識別及風險識別等能力項,能力評估內容如下表所示:
安全防護能力域包括:鑒別與授權、數據安全、邊界防護和容災備份等能力項,能力評估內容如下表所示:
安全防護能力域還包括:安全制度、機構人員、運維管理及供應鏈管理等能力項,能力評估內容如下表所示:
以上是《關鍵信息基礎設施安全防護能力評價方法》的初步介紹,接下來還將推出能力指標評價的相應解讀,敬請期待!
關鍵詞:
掃二維碼用手機看
