國家標準征求意見稿資料一、工作簡況1.1任務來源根據國家標準化管理委員會2017年下達的國家標準制修訂計劃：《信息安全技術關鍵信息基礎設施網絡安全基本要求》，該標準北京賽西科技發展有限責任公司負責承辦，計劃號：20173585-T-469。該標準由全國信息安全標準化技術委員會歸口管理。1.2主要起草單位和工作組成員北京賽西科技發展有限責任公司主要負責起草，協作起草單位為中國電子技術標準化研究院、中國信息安全認證中心、中國信息安全測評中心、國家信息技術安全研究中心、國家工業信息安全發展研究中心、國家互聯網應急中心等。1.3主要工作過程標準制定的主要工作過程如下：1）成立編制組，形成標準申報材料2016年12月，全國信安標委秘書處聯合WG7召開關鍵信息基礎設施安全研討會，邀請專家研討《關鍵信息基礎設施網絡安全框架》標準，并討論關鍵信息基礎設施安全保護現狀；2017年1月，全國信安標委秘書處聯合WG7召開研討會，研討關鍵信息基礎設施安全保護標準化需求；2017年2月，中國電子技術標準化研究院內部討論標準框架。2017年2月，中國電子技術標準化研究院組建標準編制組，形成標準編制思路和提綱，并與中央網信辦溝通；2017年2月14日，中國電子技術標準化研究院邀請阿里、百度、騰訊、金融公司、電力公司等相關企業以及科研機構討論提綱；2017年2月-3月，編制組內部開展3次討論修改，形成標準草案；，并提交全國信安標委申報立項。2）形成標準草案2017年3月，標準草案征詢中央網信辦意見。2017年4月，中國電子技術標準化研究院邀請金融、能源、電力等行業相關企業以及相關測評機構討論標準草案；2017年4月，信安標委正式立項《關鍵信息基礎設施網絡安全保護基本要求》國家標準；2017年5-7月，編制組對《關鍵信息基礎設施網絡安全保護基本要求》進行修改完善，擬將標準題目修改為《關鍵信息基礎設施網絡安全保護基本要求》，制定普適性的保護要求，為各行業結合自身特點制定本行業的標準規范提供基礎和依據。2017年7月，信安標委WG7會議審議，征求到10條專家意見，并逐一修改完善。2017年8-9月，編制組召開兩次組內封閉會議，對標準進行集中修改，形成此版本。2017年10月，信安標委WG7會議審議，征集到23條專家意見，根據情況逐一修改完善。本次會議周，WG7形成推進到標準征求意見稿的會議決議。3）形成標準征求意見稿2017年10月會議周后，標準編制組根據會議周專家意見形成標準征求意見稿第一版。2017年12月，全國信安標委秘書處組織專家對征求意見稿審查，與會專家進一步提出了一件，編制組修改完善后形成征求意見稿第二版。二、標準編制原則和確定主要內容的論據及解決的主要問題本標準在編制過程中遵循了先進性和合理性原則。先進性原則體現在與國際同步。本標準在制定過程中主要參考了國外相關標準，并與國外標準的演進保持同步，本標準主要參考了NIST的《改善關鍵基礎設施網絡安全的框架》、ENISA的《數字服務提供商實施最低安全控制措施技術指南》和法國的《關鍵運營者強制性安全規則的通用措施集》。合理性原則體現在與國內實際情況相結合。落實《中華人民共和國網絡安全法》關于保護關鍵信息基礎設施的運行安全的要求，在國家等級保護制度基礎上，充分借鑒我國相關部門在重要領域網絡安全審查、網絡安全檢查等重點工作的成熟經驗，充分吸納國際社會在關鍵基礎設施安全保護方面的成功舉措，在等級保護基礎上，從識別認定、安全防護、檢測評估、監測預警、應急處置等環節，提出關鍵信息基礎設施保護要求，采取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞，切實加強關鍵信息基礎設施安全防護。隨著信息技術的迅猛發展，金融、能源、交通等重要領域的系統、設備以及服務越來越多的采用聯網的方式運行或通過互聯網提供服務，這些重要領域的系統為社會生產和居民生活提供基礎公共服務，用于保證國家或地區社會經濟活動正常進行的公共服務，且承載著大量的國家基礎數據、重要政務數據及公民個人信息，是網絡空間安全的命脈所在，一旦遭到破壞，會對國家安全、經濟穩定和公眾安全產生嚴重影響。近年來，國際上針對他國關鍵信息基礎設施的安全攻擊日趨激烈，給國家的關鍵信息基礎設施安全甚至國家安全造成重大威脅，保護本國關鍵信息基礎設施安全已經成國際社會關注的焦點，也成為各國維護國家網絡安全的首要任務。三、主要試驗[或驗證]情況分析標準編制組在編制過程中，廣泛聽取金融、電信、能源等領域專家和企業的意見。四、知識產權情況說明本標準不涉及專利。五、產業化情況、推廣應用論證和預期達到的經濟效果無。六、采用國際標準和國外先進標準情況本標準主要參考了NIST的《改善關鍵基礎設施網絡安全的框架》、ENISA的《數字服務提供商實施最低安全控制措施技術指南》和法國的《關鍵運營者強制性安全規則的通用措施集》。七、與現行相關法律、法規、規章及相關標準的協調性本標準為落實《中華人民共和國網絡安全法》關于保護關鍵信息基礎設施的運行安全的要求，落實《關鍵信息基礎設施安全保護條例》等的相關要求，本標準符合現有法律法規的要求。與相關標準的關系：《關鍵信息基礎設施網絡安全框架》作為基礎標準，闡明構成框架的基本要素及其關系，統一通用術語和定義；本標準作為基線類標準，對關鍵信息基礎設施運營者開展網絡安全保護工作提出最低要求；《關鍵信息基礎設施安全控制措施》作為實施類標準，根據基本要求提出相應的控制措施；《關鍵信息基礎設施安全檢查評估指南》作為測評類標準，依據基本要求明確關鍵信息基礎設施檢查評估的目的、流程、內容和結果；《關鍵信息基礎設施安全保障指標體系》作為測評類標準，依據檢查評估結果、日常安全檢測等情況對關鍵信息基礎設施安全保障狀況進行定量評價。八、重大分歧意見的處理經過和依據無。九、標準性質的建議根據本標準的性質，建議本標準為強制性標準。十、貫徹標準的要求和措施建議本標準規定了關鍵信息基礎設施網絡安全保護在識別認定、安全防護、檢測評估、監測預警、應急處置等環節的基本要求，適用于關鍵信息基礎設施的規劃設計、開發建設、運行維護、退出廢棄等階段。標準針對關鍵信息基礎設施運營者，因此，本標準貫徹實施時，應加強宣貫培訓。十一、替代或廢止現行相關標準的建議無。十二、其它應予說明的事項無。國家標準《信息安全技術關鍵信息基礎設施網絡安全基本要求》（征求意見稿）編制說明國家標準《信息安全技術關鍵信息基礎設施