1、國家標準報批資料國家標準 信息安全技術關鍵信息基礎設施安全控制措施（征求意見稿）編制說明一、工作簡況1.1任務來源當前，我國關鍵信息基礎設施面臨的網絡安全形勢嚴峻復雜，網絡安全防控能力薄弱，難以有效應對網絡攻擊，網絡安全法國家網絡空間安全戰略等提出建立關鍵信息基礎設施安全保護制度。根據國務院的要求， 國家網信部門已會同有關部門起草了 關鍵信息基礎設施安全保護條例，目前正在征求意見。該條例明確了關鍵信息基礎設施的具體范圍，并提出了進一步的安全保護要求。但是，用于指導具體保護工作的標準體系尚不完善，亟需配套標準支撐。此外，我國正在推進全國關鍵信息基礎設施網絡安全檢查工作， 關鍵信息基礎設施運營者等

2、也需要相關技術標準作為指導。基于對網絡安全法及相關法律法規要求的細化落實，圍繞上述目標，結合目前已經開展的關鍵信息基礎設施網絡安全保護， 全國信息安全標準化委員會組織開展了系列標準的制定，包括信息安全技術 關鍵信息基礎設施網絡安全框架信息安全技術 關鍵信息基礎設施網絡安全保護基本要求信息安全技術 關鍵信息基礎設施安全控制措施 信息安全技術 關鍵信息基礎設施安全檢查評估指南信息安全技術 關鍵信息基礎設施安全保障指標體系等。其中，本標準作為信息安全技術 關鍵信息基礎設施網絡安全保護基本要求的配套標準，根據要求提出相應控制措施， 運營者開展安全保護工作時可在該標準中選取適用的控制措施。2017 年

3、4 月，本標準在全國信息安全標準化技術委員會第一次工作組“會議周”期間通過立項， 由中國信息安全研究院有限公司牽頭負責。2017 年 10 月，在全國信息安全標準化技術委員會第二次工作組“會議周” 進行匯報并通過會議決議可以進入征求意見階段，建議將標題修改為信息安全技術關鍵信息基礎設施安全控制措施 。會后， 編制組根據標準周答辯專家意見對標準草案進分修1國家標準報批資料訂，完善標準草案內容。1.2編制單位本標準由中國信息安全研究院有限公司牽頭，中國電子技術標準化研究院、中國電子技術標準化研究院、 國家工業信息安全發展研究中心、中國信息安全測評中心、國家信息技術安全研究中心、公安部三所、 中國科

4、學院軟件研究所等單位共同參與編制。1.3工作過程1.3.1成立編制組接到標準編制任務后， 中國信息安全研究院有限公司聯合關鍵信息基礎設施領域科研機構及測評機構組建標準編制組，編制組成員具有豐富的標準編制經驗、關鍵信息基礎設施安全保護領域研究經驗、信息系統安全控制標準研究經驗等。本標準編制組負責人為左曉棟，主要編制人員有周亞超、崔占華、楊晨、張弛、劉雨桁、王惠蒞、姚相振、許東陽、唐一鴻、劉蓓、許濤、蔡軍霞、程浩、王嘯天、劉迎、張格、唐旺、于盟等。1.3.2制定工作計劃編制組首先制定了編制工作計劃， 并確定了編制組人員例會安排以便及時溝通交流工作情況。1.3.3研究國內外政策標準資料該標準編制過程

5、中，主要研究參考了 NIST SP800-53 聯邦信息系統和組織的安全和隱私控制 NIST 增強關鍵基礎設施網絡安全的框架以及關鍵信息基礎設施安全保護條例（征求意見稿） 國家網絡安全事件應急預案 信息安全技術 數據出境安全評估指南 信息安全技術 個人信息安全規范 等政策規定和標準規范。1.3.4確定編制內容關鍵信息基礎設施運營者規模不同，對網絡安全工作的重視程度不一，技術強弱各異。制定統一的關鍵信息基礎設施安全控制措施有助于運營單位在網絡安全等級保護的基礎上，針對性的按需做好各關鍵信息基礎設施的安全保護工作。為此，標準編制組在確定標準內容時，一方面借鑒國外關鍵基礎設施保護要求，2國家標準報批

6、資料重點參考美國國家標準和技術研究院（NIST）發布的 SP 800-53 聯邦信息系統和組織機構安全控制建議（第四版，2013 年 4 月發布）、增強關鍵基礎設施網絡安全的框架（2014 年 2 月發布），另一方面深入研究我國網絡安全法、關鍵信息基礎設施安全保護條例（征求意見稿）等相關法律法規和政策文件中關鍵信息基礎設施的有關規定，將其轉化為安全控制措施。 針對風險識別、安全防護、檢測評估、監測預警、應急處置等五個環節，從資產識別、環境識別、訪問控制、數據保護、保護規程、人員安全、維護、審計、物理與環境保護、檢測規程、評估要求、持續監測、安全預警等方面提出關鍵信息基礎設施運營者應實現的安全控

7、制措施。1.3.5編制工作簡要過程按照項目進度要求，編制組人員首先對相關法律法規及國內外標準文件進行反復閱讀與理解， 查閱有關資料， 編寫標準編制提綱， 在完成對提綱進行交流和修改的基礎上，開始具體的編制工作。2017 年 2 月，研讀政策和標準文件，調研了解關鍵信息基礎設施安全保護情況以及存在的問題。參考NIST聯邦信息系統和組織機構安全控制建議，在網絡安全等級保護的基礎上結合網絡安全法 相關要求，提出關鍵信息基礎設施安全控制要求，形成標準草案第一稿。2017 年 3 月，編制組召開研討會 , 以前期成果為基礎，經多次內部討論和研究，組織完善草案內容，形成標準草案第二稿。2017 年 4 月

8、，標準通過全國信息安全標準化技術委員會WG7組會議討論，獲得全國信息安全標準化技術委員會立項。2017 年 5-8 月，標準編制組繼續研究討論，并與其他關鍵信息基礎設施運營單位進行交流，根據標準周上專家及參會企業意見對標準草案進行進一步修訂。2017 年 10 月 11 日，參加關鍵信息基礎設施相關標準專家評審會，會后編制組開會討論，根據專家意見進行修改標準草案內容。2017 年 10 月 16 日，在全國信息安全標準化技術委員會第二次工作組“會議周”進行匯報并通過會議決議可以進入征求意見階段，建議將標題修改為 信息安全技術關鍵信息基礎設施安全控制措施。會后，編制組根據標準周答辯3國家標準報批

9、資料專家意見對標準草案進行修訂，完善草案內容。2017 年 11 月至 2018 年 5 月，編制組完善標準內容，并根據專家評審會意見，對標準進行修改。二、編制原則和主要內容2.1編制原則本標準的研究與編制工作遵循以下原則：一是注重綜合性和適用性。 本標準在編制過程中， 一方面充分吸收國內外關鍵信息基礎設施安全保護經驗，參考美國 NISTSP800-53 聯邦信息系統和組織機構安全控制建議、 增強關鍵基礎設施網絡安全的框架等國外標準，一方面注重落實我國網絡安全法、 關鍵信息基礎設施安全保護條例（征求意見稿）及相關法律法規和政策文件中關鍵信息基礎設施的有關規定， 同時結合全國范圍關鍵信息基礎設施

10、網絡安全檢查工作成果， 保障標準內容涵蓋關鍵信息基礎設施安全控制的各個環節，且提出的控制要求符合我國實際。二是突出可操作性和實用性。 為了確保標準的可操作性和實用性， 標準編制從兩方面著手，一方面標準編制組廣泛吸收了網絡安全領域的國內多家科研機構、檢測機構等人員作為標準編制組成員； 另一方面標準制定過程中， 也不斷地梳理關鍵信息基礎設施的安全需求， 保障標準內容既符合產業發展現狀， 也與用戶的業務應用需求密切相關，為標準合理性和可操作性提供支撐。三是注重需求引導。 在編制標準過程中， 標準內容的確定不僅參照關鍵信息基礎設施保護工作現狀，還充分考慮了當前關鍵信息基礎設施面臨的安全威脅、政府部門、

11、企事業單位針對其安全保護的需求等， 著力促使本標準可供關鍵信息基礎設施保護工作部門、 關鍵信息基礎設施運營者以及關鍵信息基礎設施安全保護中的其他參與者參考。2.2主要內容本標準規定了關鍵信息基礎設施運營者在風險識別、安全防護、檢測評估、監測預警、應急處置等環節應實現的安全控制措施。適用于關鍵信息基礎設施的規劃設計、開發建設、運行維護、退出廢棄等階段，可供關鍵信息基礎設施保護工作部門、關鍵信息基礎設施運營者以及關鍵信息基礎設施安全保護中的其他參與者參考。4國家標準報批資料本標準研究提出關鍵信息基礎設施安全框架，分析關鍵信息基礎設施安全保護過程中所涉及的角色和職責， 提出不同的關鍵信息基礎設施保護

12、對象都應滿足的通用安全要求，主要包括系統開發與供應鏈安全、系統與通信保護、訪問控制、數據保護、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境保護等。針對當前關鍵信息基礎設施存在的安全問題，借鑒國際標準，根據網絡安全法等法律法規和政策文件，重點提出了有關供應鏈安全、組織與人員安全、跨境數據傳輸、個人信息安全等方面的要求。本標準將為加強關鍵信息基礎設施安全防護提供有力技術支撐，對提高我國關鍵信息基礎設施安全保障水平具有十分重要的意義，為實現國家網絡強國目標具有重要的戰略價值。三、知識產權情況說明本標準不涉及專利。四、采用國際標準和國外先進標準情況本標準充分參考

13、 ISO/IEC 27001:2013信息安全管理體系要求 、美國 NISTSP 800-53聯邦信息系統和組織機構安全控制建議 、增強關鍵基礎設施網絡安全的框架等國外標準，落實我國網絡安全法 、關鍵信息基礎設施安全保護條例（征求意見稿）及相關法律法規和政策文件中關鍵信息基礎設施的有關規定。五、與現行相關法律、法規、規章及相關標準的協調性基于對網絡安全法及相關法律法規要求的細化落實，圍繞上述目標，結合目前已經開展的關鍵信息基礎設施網絡安全保護， 全國信息安全標準化委員會組織開展了系列標準的制定，主要有以下五項標準。 關鍵信息基礎設施網絡安全框架作為基礎標準， 闡明構成框架的基本要素及其關系， 統一通用術語和定義；關鍵信息基礎設施網絡安全保護基本要求作為基線類標準，對關鍵信息基礎設施運營者開展網絡安全保護工作提出最低要求；本標準作為實施類標準，根據基本要求提出相應的控制措施； 關鍵信息基礎設施安全檢查評估指南作為測評類標準， 依據基本要求明確關鍵信息基礎設施檢查評估的目的、 流程、內容和結果；關鍵信息基礎設施安全保障指標體系作為測評類標準，依據檢查評估結果、日常安全檢測等情況對關鍵信息基礎設施安全保障狀況進行定量評價。5國家標準報批資料根據網絡安全法規定，本標準在網絡安全等級保護制度的基礎上，對關鍵信息基礎設施實行重點保護。因此，本標準與網絡安全等級保護標準GB/T22239-XX