2021 年 8 月 17 日,《關鍵信息基礎設施安全保護條例》正式發布。標準是開展關鍵信息基礎設施安全保護工作的堅實基礎,國內外都在加緊開展相關標準建設工作。
一、國內標準化工作
(一)國內標準化工作背景
2016 年,《網絡安全法》發布,第三章第二節提出“關鍵信息基礎設施運行安全”,同年發布的《關于加強國家網絡安全標準化工作的若干意見》也明確提出加快開展關鍵信息基礎設施保護急需重點標準研制。為充分發揮標準化工作對國家網絡安全保障體系建設的支撐作用,全國信息安全標準化技術委員會組織開展了相關工作,一是組織開展了關鍵信息基礎設施安全標準體系研究,提出關鍵信息基礎設施安全標準體系框架和標準明細表;二是按照“急用先行”的原則開展了重點標準的研制。
(二)關鍵信息基礎設施安全標準體系研究
在標準體系研制上,需要貫徹落實《網絡安全法》和《關鍵信息基礎設施安全保護條例》要求,結合我國關鍵信息基礎設施安全保護現狀和發展需求,研究建立科學合理、持續優化的關鍵信息基礎設施安全標準體系,為編制關鍵信息基礎設施安全國家標準研制計劃提供依據,為各行業領域開展關鍵信息基礎設施保護、檢查等工作提供標準參考,為完善關鍵信息基礎設施安全保護提供標準支撐,充分發揮網絡安全標準對關鍵信息基礎設施安全保護工作的指導性、規范性和引領性作用。
目前,我國已經發布網絡安全國家標準 323 項,在研國家標準 100 項,這些標準都是國家開展關鍵信息基礎設施安全保護工作的堅實基礎。通過對《關鍵信息基礎設施安全保護條例》進行標準化需求分析,圍繞關鍵信息基礎設施安全保障體系建設各維度,在已有國家網絡安全標準的基礎上,從邊界識別、保護要求、控制措施、保障指標、應急體系、檢查評估,以及供應鏈安全、數據安全、信息共享、監測預警等方面系統推進標準研制工作,共同構建科學性、系統性、實用性的標準體系框架,用標準筑牢關鍵信息基礎設施安全保障體系建設的基礎。
(三)關鍵信息基礎設施重要標準研制
目前,全國信息安全標準化技術委員會在研關鍵信息基礎設施安全標準 9 項。其中,《信息安全技術 關鍵信息基礎設施安全保護要求》(報批稿)提出了關鍵信息基礎設施運營者安全保護工作開展的基礎安全要求,為運營者落實安全主體責任提供依據;《信息安全技術 關鍵信息基礎設施安全檢查評估指南》(報批稿)提出了關鍵信息基礎設施安全檢查評估工作的流程和指標,也為統籌協調和指導監督部門安全檢查評估工作提供技術支撐;《信息安全技術 關鍵信息基礎設施安全控制措施》(報批稿)提出了關鍵信息基礎設施運營者滿足安全保護要求的實施指南;《信息安全技術 關鍵信息基礎設施信息技術產品供應鏈安全要求》(報批稿)對關鍵信息基礎設施運營者加強供應鏈安全管理提出了要求;《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》(送審稿)和《信息安全技術 關鍵信息基礎設施安全保障指標》(報批稿)等標準為運營者有效開展自身安全能力建設、提高安全防護水平提供了標準化指導,同時也為保護工作部門掌握本行業本領域關鍵信息基礎設施安全保護態勢提供參考。此外,《信息安全技術 網絡安全態勢感知通用技術要求》(征求意見稿)、《信息安全技術 網絡安全預警指南》(GB/T 32924—2016)、《信息安全技術網絡安全信息共享指南》(征求意見稿)、信息安全技術網絡安全事件應急演練指南》(GB/T 38645—2020)等關鍵信息基礎設施支撐標準為建立各行業間監測預警、信息共享和應急演練協同機制提供重要技術基礎。
二、國外標準化情況
(一)美國
美國國家標準與技術研究院(NIST)于 2014 年發布了《改善關鍵基礎設施網絡安全的框架》,該框架定義了一套著眼于安全風險,應用于關鍵基礎設施的安全風險管控流程。框架并沒有提出新的安全要求,但是引用了 NIST 的特別出版物、國際標準、行業標準、團體標準等相關條款,同時還進一步考慮對《框架》的完善和對標準體系的擴充。2018 年,NIST 對《框架》進行了修訂,并強調文檔不僅僅適用于關鍵基礎設施,還適用于其他組織。
2017 年 12 月 5 日,NIST 發布了《提供關鍵信息基礎設施網絡安全路線圖 V1.1(草案)》。基于路線圖,提出了在關鍵基礎設施框架下一步工作中考慮的開發和協調一致的 12 個領域,包括網絡攻擊生命周期、網絡安全人員、網絡供應鏈風險管理、一致性評估、身份管理、隱私工程等。
為支撐框架的落地執行,美國能源部和國土安全部開發了 C2M2 模型,定義了 4 個能力成熟度級別該模型適用于各種類型的機構對其信息系統、工控系統等資產進行安全評估。模型定義了 10 個安全域,每個安全域分別從組織內網絡安全實踐的實現情況(方法層面)和安全實踐的制度化程度(管理層面)對組織安全能力進行評估。
(二)歐盟
在關鍵信息基礎設施方面,歐洲信息安全局(ENISA)相繼發布了多份研究報告和白皮書,用以指導歐盟層面關鍵信息基礎設施安全保護工作。其中,2014 年 12 月發布的《識別關鍵信息基礎設施服務和資產的方法論》,提出識別關鍵信息基礎設施中的服務和資產的步驟和方法;2016 年 12 月發布的《數字服務提供商實施最低安全控制措施技術指南》,提出了 27個安全目標、控制措施及對目前已有標準的映射。2020年和 2021 年發布了在 5G、電力方面的安全指導文件。此外,ENISA 還在互聯網基礎設施、ICS SCADA、智能電網、金融、健康、船舶等方面發布了相關規定。
三、標準化工作思考
關鍵信息基礎設施的安全保護是維護國家網絡安全的重中之重。在安全標準化方面,應堅持以總體國家安全觀為指引,立足新發展階段,不斷適應新興技術發展趨勢,以支撐國家關鍵信息基礎設施安全保護工作為目標,為全面構建關鍵信息基礎設施安全保障體系提供標準化支撐。
一是持續增強標準化頂層設計。關鍵信息基礎設施安全標準化工作應充分結合行業和領域需求,重點圍繞《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規要求的落地實施,以整體提高關鍵信息基礎設施運營者安全保護能力為主要目標,充分借鑒國際先進標準研制成果,加快推動供應鏈安全、監測預警、態勢感知、信息共享等重點領域標準研制,積極探索從業人員能力、網絡安全服務機構管理等缺失標準,建設完善關鍵信息基礎設施安全標準體系。
二是提高標準可應用性可操作性。在標準研制過程中組織產、學、研、用等單位共同參與,并選擇金融、能源、電信、交通、水利、衛生健康、國防軍工等重要行業和領域開展關鍵信息基礎設施的標準試點工作,邊研究邊編制,邊編制邊試用,邊試用邊改進,促進標準研制與行業實施緊密互動,全鏈條提升標準應用價值與實施效果。
三是多層次、多維度開展標準落地和使用。標準的生命力在于使用,衡量一個標準的價值關鍵是看其是否被廣泛應用,要在標準試用的基礎上,多層次、多維度強化關鍵信息基礎設施安全標準的實施落地和宣貫培訓。采取論壇演講、專門標準宣貫、專題研討等多種形式,加大標準宣貫培訓力度,提高標準在行業的普及落地和應用,支撐各行業各領域關鍵信息基礎設施安全保障工作。
