网络安全技术 关键信息基础设施边界确定方法编制说明.docx

国家标准网络安全技术关键信息基础设施边界确定方法（征求意见稿）编制说明一、工作简况1.1 任务来源根据国家标准化管理委员会2022年下达的国家标准制修订计划,6网络安全技术关键信息基础设施边界确定方法由国家信息技术安全研窕中心负员承办，国标计划号：20220603-T-469。本标准由全国网络安全标准化技术委员会归口管理。1.2 制定背景近年来，保障关键信息基础设施持续、桎定运行已经成为我国网络安全工作的重中之重，识别关键信息基础设施成为关键信息基础设施保护工作的基础环节.由于我国在关键信息基础设施边界确定方面缺乏相应标准，导致关键信息基础设施边界确定工作存在边界范国不准确、关键业务映射不一致、资产信息不完整或颗粒度不统一等问题，对后续关键信息基础设施认定和重点保护工作实施造成r较大困难，关键信息基础设施边界确定工作亟待规范。1.3 起草过程标准制定的主要工作过程如下：1）提交标准申报材料、形成标准草案2018年12月,国家信息技术安全研究中心基于多年的工作积累，联合相关单位，对关键信息基础设施边界确定方法进行研究，形成标准草案。2019年1月申请国家标准，2019年4月在宁波第次信安标委会议周上被WG7工作组建议立项，2019年8月被信安标委批准正式立项。2019年10月9日，国家信息技术安全研究中心组织召开专家评审会，编制组根据专家意见，进步优化标准框架。2020年3月10日，国家信息技术安全研究中心通过线上的方式，同编制组处理外部专家对标准提出的修改建议，形成好新标准文本。2020年4月30日，国家信息技术安全研究中心对信安标委秘书处反馈的修改意见进行处理、答或。2）形成标准征求意见稿2020年5月12日-5月15日，WG7召开2020年第一次全体会议，共有184家成员总位的211名代表参加了本次会议，会议建议6网络安全技术关键信息基础边界确定方法形成征求意见稿.2020年6月17日，WG7召开标准征求意见稿审查会，共有6个单位6位专家参加会议，与会专家同意通过对该项标准的审查，建议标准编制组根据本次会议的意见修改后提交整套公开征求意见的标准材料.2020年8月10日，通过信安标委官方网站公开征求意见。2021年1月12日，编制组召开专家评审会,根据专家意见修改标准文本。2021年4月18日，根据征集意见情况，编制组修改文本。3）获得计划号2022年8月，获得国家标准化管理委员会下发计划号：20220603-T-469.2022年9月2日，国家信息技术安全研究中心组织召开专家研讨会，编制组根据专家意见，进步优化标准框架。4）试点殴证、完善标准2023年II月到2024年4月，国家信息技术安全研究中心对4个行业开展标准试点验证工作。期间就网络安全技术关键信息基础设施边界确定方法（征求意见稿）向相关保护工作部门征求意见，并组织召开研讨交流会。经优化调整形成最新标准文本。二、标准编IW原则、主要内容及其确定依据2.1 标准编制原则本标准在编制过程中遵循了先进性和合理性原则。先进性原则体现在充分借鉴国内外研究成果.本标准主要参考r美国识别国家级别的关键基础设施和关庭资源指南、欧盟关键基础设施资产和服务识别方法以及我国信息安全技术关键信息基础设施安全保护要求讥合理性原则体现在试点工作中得到了实际应用和Ift证.2023年U月到2024年4月，国家信息技术安全研究中心对4个行业的关键信息基础设施边界开展试点验证工作，并根据验证情况对标准进行修改完善.2.2 主要内容及其确定依据本标准从保护视角出发，规定了关键信息基础设施边界确定方法、流程、步骤。为关键信息基础设淹运营者提供了基于信息流识别关键信息基础设施常态化和极限情况F的边界的一种方法，通过不可或缺性判定，理清功能、部署信息、业务关系等相关描述信息，对软硬件资产等进行归集，形成关键信息基础设施要素，最终由所有关键信息基的设施要素的集合形成关键信息基础设施边界。三、试验睑证的分析、缥述报告，技术经济论证，覆期的经济效益、社会效益和生态效益3.1 试酶验证的分析、综述报告编制组在编制过程中，广泛听取多个行业领域专家和企业的意见。并于2023年11月到2024年4月，由国家信息技术安全研究中心组织4个行业领域开展关他信息基础设施边界碑定方法试点验证工作，证明了采用基于信息流的方法确定边界具有科学性、合理性、适用性.根据试点情况进一步完善标准.3.2 技术经济论证本标准是在保护工作部门从行政管理范防认定了关键信息基础设施运营者及其运维的网络设施、信息系统基础上，从技术角度对构成关键信息基础设施的网络设施和信息系统的软件或硬件资产等要素做“细粒度”识别。3.3 预期的经济效益、社会效益和生态效益本标准适用于指导关键信息基础设施运营者确定关键信息施础设施边界，也可为关键信息基础设施安全保护的其他相关方参考。四、与国际、国外同类标准技术内容的对比情况，或者与潴试的国外样品、样机的有关数据对比情况无。五、以国际标准为基础的起草情况，以及是否合想引用或者采用国际国外标准，并说明未采用国际标准的原因本标准主要参考了美国识别国家级别的关键基础设施和关键资源指南和欧盟关键基础设施资产和服务识别方法讥六、与有关法律、行政法规及相关标准的关系本标准为落实&中华人民共和国网络安全法和©关键信息基础设施安全保护条例等相关要求，符合现有法律法规的要求。与相关标准的关系：本标准作为边界确定标准，用于识别关键信息基Sli设施边界，明确保护对象、确定保护范用，是所有关键信息鞋础设施安全标准汨以实施的基础。七、重大分歧意见的处理经过和依据无。八、涉及专利的有关说明本标准不涉及专利。九、实注国家标准的要求，以及的织措修、技术指修、过渡期和实施日期的建议等措施建议本标准给出了关键信息基础设施边界确定方法，给出了关键信息基础设施边界确定模型，提出了关展信息基础设施边界确定原则、流程、步骤等内容。木标准适用下关键信息基础设施运营者确定关键佶息基珈设施边界，也可为关键信息基础设施安全保护的其他相关方使用,因此，本标准贯彻实施时，应加强宣贯培训。十、其他应当说明的事项2024年3月，致函国家标准委申请调整标准名称前缀为“网络安全技术”,调整后标准名称为网络安全技术关键信息基础设施边界确定方法，归口单位:全国网络安全标准化技术委员会。6网络安全技术关键信息基础设施边界确定方法3标准编制组2024年5月14日