1、信息安全技術關鍵信息基礎設施安全保障指標體系全國信息安全2020年4月19日文檔僅供參考國家標準信息安全技術關鍵信息基礎設施安全保障評價指標體 系編制說明.工作簡況任務來源根據國家標準化管理委員會 下達的國家標準制修訂計劃，國 家標準信息安全技術關鍵信息基礎設施安全保障評價指標體 系由大唐電信科技產業集團（電信科學技術研究院）主辦。關鍵信息基礎設正常運轉，關系國家安全、經濟發展、社會 穩定，隨著關鍵信息基礎設施逐漸向網絡化、泛在化、智能化發 展，網絡安全成為關鍵信息基礎設施的重要目標。世界主要國家 和地區高度重視，陸續出臺了相關戰略、規劃、立法以及實施方 案等，加大對關鍵信息基礎設施的保護力度

2、。近年來，隨著中國 網絡強國戰略的深化和實施，國家關鍵信息基礎設施在國民經濟 和社會發展中的基礎性、重要性、保障性、戰略性地位日益突 出，構建國家關鍵信息基礎設施安全保障體系已迫在眉睫，是當 前一項全局性、戰略性任務。4月19日，習近平總書記在網絡安全和信息化工作座談會上 指出，“金融、能源、電力、通信、交通等領域的關鍵信息基礎 設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是 可能遭到重點攻擊的目標。我們必須深入研究，采取有效措施， 切實做好國家關鍵信息基礎設施安全防護?！?月12日，中央2020年4月19日文檔僅供參考網絡安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總 局、國家

3、標準化管理委員會聯合印發關于加強國家網絡安全標 準化工作的若干意見（中網辦發文5號），要求“按照深 化標準化工作改革方案要求，整合精簡強制性標準，在國家關鍵 信息基礎設施保護、涉密網絡等領域制定強制性國家標準?！?11 月7日，全國人民代表大會常務委員會發布中華人民共和國網 絡安全法，明確指出“保護關鍵信息基礎設施免受攻擊、侵 入、干擾和破壞，依法懲治網絡違法犯罪活動，維護網絡空間安 全和秩序”。12月15日，國務院印發“十三五”國家信息化 規劃（國發73號），明確提出要構建關鍵信息基礎設施安 全保障體系。12月27日，國家互聯網信息辦公室發布國家網 絡空間安全戰略，要求“建立實施關鍵信息基礎

4、設施保護制 度，從管理、技術、人才、資金等方面加大投入，依法綜合施策，切實加強關鍵信息基礎設施安全防護。”7月10日，國家互聯網信息辦公室就關鍵信息基礎設施安全保護條例（征求意 見稿）公開征集意見。當前國外主要國家對關鍵信息基礎設施的保護起步較早，已 出臺關鍵信息基礎設施的相關戰略、規劃、法律、標準、技術、 監管等等一系列舉措，大力加強關鍵信息基礎設施安全建設，不 斷提升網絡安全保障能力。對于中國而言，一方面，中國在引進 外國先進技術、加快產業更新換代的同時，部分關鍵核心技術和2020年4月19日文檔僅供參考設備受制于她國，存在系統受控、信息泄露發現滯后等隱患，也 給關鍵信息基礎設施各領域帶來

5、許多安全隱患問題。另一方面， 中國關鍵信息基礎設施保護工作起步較晚、發展較慢，缺乏針對 性、指導性的標準體系，無法適應新形勢下的國際網絡安全環 境。本標準的制定主要為關鍵信息基礎設施的政府管理部門提供 態勢判斷和決策支持，為關鍵信息基礎設施的管理部門及運營單 位的信息安全管理工作提供支持和方法參考。編制目的本標準主要解決關鍵信息基礎設施網絡安全的評價問題。本 標準主要用于：評價中國關鍵信息基礎設施安全保障的現狀，包 括建設情況、運行情況以及所面臨的威脅等；為政府管理層的關 鍵信息基礎設施態勢判斷和宏觀決策提供支持；為各關鍵信息基 礎設施運營單位及管理部門的信息安全保障工作提供參考。主要工作過程

6、1、，項目組完成網絡安全保障評價指標體系階段性研究報 告。主要針對以下三個問題進行了深入研究：研究國外特別是美 國、歐盟、聯合國等國家、地區和國際組織在網絡安全保障評價 指標研究方面的資料，總結網絡安全保障評價的相關方法、指 標、規定和標準；研究新形勢、新技術條件下中國網絡安全保障 工作面臨的挑戰，分析中國網絡安全保障工作的新需求，對中國 與網絡安全保障評價有關的法規、制度、標準進行梳理和總結；2020年4月19日文檔僅供參考在理論研究和實踐調研的基礎上，研究提出中國網絡安全保障評 價指標體系和評價方法。2、12月-6月，項目組趕赴電力、民航、電信、中國銀行等 相關行業（企業）進行調研。3、1

7、月-7月，項目組根據項目要求開展了研討會，針對調 研結果中各行業在網絡安全評價中的成功經驗和出現的問題進行 總結。4、1月-9月，項目組與關鍵信息設施保護等進行工作對 接。5、1月-7月，項目組進行了廣泛研討，并咨詢了專家意 見：1月，對研究提出的網絡安全保障評價指標體系的初步框 架，召開專家咨詢會，聽取了崔書昆、李守鵬等專家的意見；6 月，召開專家會，聽取了中國電信基于大數據的網絡安全態勢評 價工作的介紹；7月，召開專家會聽取了關于民航、電信、互聯 網領域安全指標體系的研究現狀，與會專家對網絡安全保障評價 指標體系課題提出意見建議。6、8月-9月，與網絡安全檢查工作、關鍵信息基礎保護工 作進

8、行對接。7、1月-2月，與網絡安全檢查工作進行對接，采用指標體 系對相關檢查結果進行了統計測算，并撰寫評價報告。8、4月-8月，針對指標體系在網絡安全檢查工作中的成功2020年4月19日文檔僅供參考經驗和出現的問題進行總結，進一步更新了指標體系。9、9月-2月，與關鍵信息設施檢查辦進行對接，對指標體 系的實際應用進行了深入討論。3月，項目組在草案初稿的基礎上，召開行業專家會，形成草案修正稿。4月，在全國信息安全標準化技術委員會 第一次工作組會議周上，項目組申請國家標準制定項目立項。12、6月，“信息安全技術關鍵信息基礎設施安全保障指標 體系”標準制定項目正式立項。7月，項目組召開專家咨詢會，聽

9、取了李守鵬、魏軍、閔京華、韓正平、張立武等專家的意見。7月，在全國信息安全標準化技術委員會WG7第二次全體會議上，項目組廣泛聽取專家意見，形成征求意見稿。1.4,承擔單位起草單位：大唐電信科技產業集團（電信科學技術研究院）協作單位：國家信息中心、北京奇安信科技有限公司、北京 國舜科技股份有限公司、北京匡恩網絡科技有限責任公司、北京 天融信科技有限公司等。本部分主要起草人：韓曉露呂欣李陽畢鈺郭曉蕭等。2,編制原則和主要內容2020年4月19日文檔僅供參考2.1,編制原則為保證所建立的“關鍵信息基礎設施安全保障評價指標體 系”有一個客觀、統一的基礎，在評價指標體系的設計及指標的 選取過程中，主要遵

10、循以下原則：1、綜合性原則關鍵信息基礎設施安全保障評價指標體系建設是經過從整體 和全局上把握中國關鍵信息基礎設施安全保障體系的建設效果、 運行狀況和整體態勢，形成多維的、動態的、綜合的關鍵信息基 礎設施安全保障評價指標體系。因此，標準設計的首要原則是綜 合性。2、科學適用性原則關鍵信息基礎設施安全保障評價指標體系必須是在符合中國 國情、充分認識關鍵信息基礎設施安全保障評價指標體系的科學 基礎之上建立的。按照國家信息安全保障體系總目標的設計原 則，把關鍵信息基礎實施安全各構成要素作為一個有機整體來考 慮。指標體系必須符合理論上的完備性、科學性和正確性，即指 標概念必須具有明確完整的科學內涵。適用

11、性原則，就是指標體系應該能夠在時空上覆蓋中國關鍵 信息基礎設施安全保障評價的各個層面，滿足系統在完整性和全 面性方面的客觀要求。特別是必須考慮由于經濟、地區等原因造 成的各機構間發展狀況的差異，盡量做到不對基礎數據的收集工2020年4月19日文檔僅供參考作造成困擾。這一原則的關鍵在于，最精簡的指標體系全面反映 關鍵信息基礎設施安全保障的整體水平。3、導向性原則評價的目的不是單純評出名次及優劣的程度，更重要的是引 導和鼓勵被評價對象向正確的方向和目標發展，要引導中國關鍵 信息基礎設施安全的健康發展。4、可操作性強原則可操作性強直接關系到指標體系的落實與實施，包括數據的 易獲取性（具有一定的現實統

12、計基礎，所選的指標變量必須在現 實生活中是能夠測量得到的或可經過科學方法聚合生成的）、可 靠性（經過規范數據的來源、標準等保證數據的可靠與可信）、 易處理性（數據便于統計分析處理）以及結果的可用性（便于實 際操作，能夠服務于中國涉密信息系統安全評價的）等方面。5、定性定量結合原則在眾多指標中，有些因素是反映最終效果的定性指標，有些 是能夠經過項目運行過程得到實際數據的定量指標。對于評價最 終效果而言，指標體系中這兩方面的因素都不可或缺。但為了使 指標體系具有高度的操作性，必須在選取定性指標時，舍棄部分 與實施效果關系不大的非關鍵因素，而且盡量將關鍵的定性指標 融合到對權重分配的影響中去。該指標

13、設計的定性定量結合原則 就是將定性分析反映在權重上，定量分析反映在指標數據上。2020年4月19日文檔僅供參考6、可比性原則可比性是衡量關鍵信息基礎設施安全保障評價指標體系的實 際效果的客觀標準，是方案權威性的重要標志。關鍵信息基礎設 施安全保障評價指標應該既能夠橫向對比不同機構信息安全保障 水平的差異、又能夠縱向反映國家及各地區關鍵信息基礎設施安 全保障的歷史進程和發展趨勢。這一原則主要體現在對各級指標 的定義、量化和加權等方面。2.2.主要內容本標準概述了本標準各部分通用的基礎性概念，給出了關鍵 信息基礎設施安全保障指標體系設計的指標框架和評價方法。本 標準主要用于：評價中國關鍵信息基礎設

14、施安全保障的現狀，包 括建設情況、運行情況以及所面臨的威脅等；為政府管理層的關 鍵信息基礎設施態勢判斷和宏觀決策提供支持；為各關鍵信息基 礎設施運營單位及管理部門的信息安全保障工作提供參考。本標 準主要框架如下：刖言引言1范圍2規范性引用文件3術語和定義4指標體系2020年4月19日文檔僅供參考5指標釋義附錄A （規范性附錄）指標測量過程參考文獻本標準主要貢獻如下：1、明確了標準的目標讀者及其可能感興趣的內容指出標準主要由三個相互關聯的部分組成：第1部分包括1-3 節，描述了本標準的范圍和所使用的術語與定義，對關鍵信息基 礎設施、關鍵信息基礎設施安全保障、關鍵信息基礎設施安全保 障評價等概念進

15、行了闡釋；第2部分為第4節，詳細描述了關鍵 信息基礎設施安全保障指標體系的體系框架和指標；第3部分包 括第5節和附錄A，給出了關鍵信息基礎設施安全保障指標體系 各具體指標的衡量標準和量化方法，為體系的可操作性提供了保 證。2、給出了關鍵信息基礎設施的概念關鍵信息基礎設施是指關系國家安全、國計民生，一旦數據 泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益 的信息設施。中華人民共和國網絡安全法規定：國家對公共通信和信 息服務、能源、交通、水利、金融、公共服務、電子政務等重要 行業和領域，以及其它一旦遭到破壞、喪失功能或者數據泄露， 可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設

16、2020年4月19日文檔僅供參考施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信 息基礎設施的具體范圍和安全保護辦法由國務院制定。國家網絡空間安全戰略規定：國家關鍵信息基礎設施是 指關系國家安全、國計民生，一旦數據泄露、遭到破壞或者喪失 功能可能嚴重危害國家安全、公共利益的信息設施，包括但不限 于提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、 金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保 障、公用事業等領域和國家機關的重要信息系統，重要互聯網應 用系統等。3、指出關鍵信息基礎設施安全保障評價圍繞三個維度進行關鍵信息基礎設施安全保障評價圍繞三個維度進行，即建設 情況、運行能力和安全態勢，并依據關鍵信息基礎設施安全保障 對象和內容進行分析和分解，一級指標包括戰略保障指標、管理 保障指標、安全防護指標、安全監測指標、應急處理指標、信息 對抗指標、威脅指標、隱患指標、事件指標。4、給出了指標測量的一般過程關鍵信息基礎設施安全保障指標測量的一般過程描述了指標 如何依據測量對象的相關屬性設立基本測度，應用相應的測量方 法得出測量值，并經過分析模型將測量值折算成指標值，最終應 用于保障指標體系。關鍵信息基礎設施