文档介绍：ICS 
L80
中华人民共和国国家标准
GB/T XXXXX—XXXX
     
信息安全技术关键信息基础设施网络安全保护基本要求
Information security technology - Cybersecurity protection requirements of critical information infrastructure
在提交反馈意见时,请将您知道的相关专利连同支持文件一并附上。
(征求意见稿)
(本稿完成日期:2018-03-18)
XXXX - XX - XX发布
XXXX - XX - XX实施
目  次
前言 II
引言 III
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 关键信息基础设施安全保护基本要求 1
概述 1
识别认定 2
安全防护 2
检测评估 3
监测预警 4
应急处置 4
附录A(资料性附录) 安全保密协议模版 5
参考文献 7
前  言
本标准按照GB/T -2009《标准化工作导则第1部分:标准的结构和编写》给出的规则起草。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:北京赛西科技发展有限责任公司、中国电子技术标准化研究院、中国信息安全认证中心、中国信息安全测评中心、国家信息技术安全研究中心、国家工业信息安全发展研究中心、国家互联网应急中心等。
本标准主要起草人:
引  言
随着信息技术的迅猛发展,金融、能源、交通等重要领域的系统、设备以及服务越来越多的采用联网的方式运行或通过网络提供服务,这些重要领域的系统为社会生产和居民生活提供基础公共服务,用于保证国家或地区社会经济活动正常进行的公共服务,且承载着大量的国家基础数据、重要政务数据及公民个人信息,是网络空间安全的命脉所在,一旦遭到破坏,会对国家安全、经济稳定和公众安全产生严重影响。近年来,国际上针对他国关键信息基础设施的安全攻击日趋激烈,给国家的关键信息基础设施安全甚至国家安全造成重大威胁,保护本国关键信息基础设施安全已经成国际社会关注的焦点,也成为各国维护国家网络安全的首要任务。
为落实《网络安全法》关于保护关键信息基础设施的运行安全的要求,在国家等级保护制度基础上,充分借鉴我国相关部门在重要领域网络安全审查、网络安全检查等重点工作的成熟经验,充分吸纳国外在关键基础设施安全保护方面的成功举措,结合我国现有针对传统信息系统的信息安全保障体系等成果,在等级保护基础上,从识别认定、安全防护、检测评估、监测预警、应急处置等环节,提出关键信息基础设施网络安全保护要求,采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏,切实加强关键信息基础设施安全防护。
《关键信息基础设施网络安全框架》作为基础标准,阐明构成框架的基本要素及其关系,统一通用术语和定义;本标准作为基线类标准,对关键信息基础设施运营者开展网络安全保护工作提出最低要求;《关键信息基础设施安全控制措施》作为实施类标准,根据基本要求提出相应的控制措施;《关键信息基础设施安全检查评估指南》作为测评类标准,依据基本要求明确关键信息基础设施检查评估的目的、流程、内容和结果;《关键信息基础设施安全保障指标体系》作为测评类标准,依据检查评估结果、日常安全检测等情况对关键信息基础设施安全保障状况进行定量评价。
信息安全技术关键信息基础设施网络安全保护基本要求
范围
本标准规定了对关键信息基础设施运营者在识别认定、安全防护、检测评估、监测预警、应急处置等环节的基本要求。
本标准适用于关键信息基础设施的规划设计、开发建设、运行维护、退出废弃等阶段。
规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984 信息安全技术信息安全风险评估规范
GB/T 25069-2010 信息安全技术术语
GB/T 29246-2017 信息技术安全技术信息安全管理体系概述和词汇
GB/T XXXXX-XXXX 信息安全技术网络产品和服务通用安全要求
术语和定义
GB/T 25069-2010、GB/T 20984-2007中界定的以及下列术语和定义适用于本文件。
关键信息基础设施 Critical Information Infrastructure
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。