關(guān)鍵信息基礎(chǔ)設(shè)施十大知識點小結(jié)

關(guān)鍵信息基礎(chǔ)設(shè)施十大必備知識點近期信安標委發(fā)布了《信息平安技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》和《信息平安技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力評價方法》兩個標準的征求意見稿，對關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定和平安防護能力評價提出了相應(yīng)規(guī)范要求。一哥根據(jù)兩個標準整理了一些認為大家必須知道的關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵點，供大家學(xué)習(xí)與參考。1\什么是關(guān)鍵業(yè)務(wù)criticalbusiness?答：電信、廣播電視、能源、金融、交通運輸、水利、應(yīng)急管理、衛(wèi)生健康、社會保障、國防科技等行業(yè)和領(lǐng)域中一旦遭到破壞或者喪失功能，會嚴重危害國家平安、經(jīng)濟安全、社會穩(wěn)定、公眾健康和平安的業(yè)務(wù)。2、什么是關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure?答：支撐關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運行不可或缺的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)。在形態(tài)構(gòu)成上,可以是單個網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，也可以是由多個網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)組成的集合。在本質(zhì)上，屬于關(guān)鍵業(yè)務(wù)的信息化局部，為關(guān)鍵業(yè)務(wù)提供信息化支撐。3、什么是Cll、CBLCBIF?答：CII：關(guān)鍵信息基礎(chǔ)設(shè)施(criticalinformationinfrastructure)CBI：關(guān)鍵業(yè)務(wù)信息(criticalbusinessinformation)CBIF：關(guān)鍵業(yè)務(wù)信息流(criticalbusinessinformationflow)4、什么是ClI元素？答：一旦遭到攻擊、喪失功能或者數(shù)據(jù)泄露會嚴重危害關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運行的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)列為CH元素?；A(chǔ)運行環(huán)境為關(guān)鍵業(yè)務(wù)提供運行的基礎(chǔ)條件，也是關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運行不可或缺的組成局部，是否納入CII邊界識別范圍由基礎(chǔ)運行環(huán)境的信息化建設(shè)情況決定。如果基礎(chǔ)運行環(huán)境也依賴信息化運行，應(yīng)將基礎(chǔ)運行環(huán)境納入CH邊界識別范圍內(nèi)；反之，如果基礎(chǔ)運行環(huán)境僅依賴機械、人工等非信息化方式運行，不宜將基礎(chǔ)運行環(huán)境納入CH邊界識別范圍內(nèi)。基礎(chǔ)運行環(huán)境中的平安設(shè)備不宜被列為CII元素。5、關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別流程是怎樣的？答：CII邊界識別流程具體包括關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理、關(guān)鍵業(yè)務(wù)信息化情況梳理、CII元素梳理、CII元素關(guān)鍵性評估和CII邊界確定五個局部，如圖1所示。關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理關(guān)鍵業(yè)務(wù)信息化情況梳理CTI元素梳理非關(guān)鍵CII關(guān)鍵業(yè)務(wù)基礎(chǔ)情況梳理關(guān)鍵業(yè)務(wù)信息化情況梳理CTI元素梳理非關(guān)鍵關(guān)鍵CII邊界確定圖1CII邊界識別流程6、關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力評價模型包括哪些？答：關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力評價模型包括能力級別、能力域和能力指標以及相應(yīng)的能力評價方法，見圖2。能力級別能力域能力項能力域能力項能力域能力項別定

識認全護

安防資產(chǎn)識別

業(yè)務(wù)識別風(fēng)險識別供應(yīng)鏈管理

運維管理

機構(gòu)人員

平安制度

容災(zāi)備份

能力域能力項別定

識認全護

安防資產(chǎn)識別

業(yè)務(wù)識別風(fēng)險識別供應(yīng)鏈管理

運維管理

機構(gòu)人員

平安制度

容災(zāi)備份

邊界防護

數(shù)據(jù)平安

鑒別與授權(quán)應(yīng)急預(yù)案和演練圖2模型組成7、關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力等級有幾個？答：關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力依據(jù)5個能力域完成程度的高低進行分級評估，包括3個能力等級，從能力等級1到能力等級3,逐級增高，能力等級之間為遞進關(guān)系，高一級的能力要求包括所有低等級能力要求。能力等級及特征見表1。表1平安能力等級及特征關(guān)鍵信息基礎(chǔ)設(shè)施平安

防護能力等級等級特征能力等級1能力等級2能力等級1能力等級2能力等級3能清晰識別相關(guān)風(fēng)險，防護措施有效，能夠檢測評估出主要平安風(fēng)險,主動監(jiān)測預(yù)警和態(tài)勢感知，事件響應(yīng)較為及時，業(yè)務(wù)能夠及時恢復(fù)。識別認定完整清晰，防護措施體系化、自動化高，能夠及時檢測評估出主要平安風(fēng)險，使用自動化工具進行監(jiān)測預(yù)警和態(tài)勢感知，信息共享和協(xié)同程度高，事件響應(yīng)及時有效，業(yè)務(wù)可近實時恢復(fù)。8、能力域包含哪幾個能力？答：能力域明確了運營者在關(guān)鍵信息基礎(chǔ)設(shè)施平安防護所需具備的能力，包括識別認定、平安防護、檢測評估、監(jiān)測預(yù)警、事件處置5個方面的關(guān)鍵能力，每個平安能力包含假設(shè)干能力指標，每個能力指標包含假設(shè)干評價內(nèi)容。9、關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力評價內(nèi)容及方法是什么？答：關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力評價包括能力域級別評價、等級保護測評和密碼測評三局部。關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力評價前，關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)首先通過相應(yīng)等級的等級保護測評和相關(guān)密碼測評。然后，組織應(yīng)按照評價內(nèi)容和評價操作方法開展評價工作，給出對每項評價指標的判定結(jié)果和所處級別，得出每個能力域級別，綜合5個能力域級別以及等級保護測評結(jié)果得出關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力級別。關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力應(yīng)綜合考慮5個能力域級別與等級保護測評結(jié)果。對應(yīng)能力等級1的關(guān)鍵信息基礎(chǔ)設(shè)施等級保護測評結(jié)果應(yīng)至少為中；對應(yīng)能力等級2的關(guān)鍵信息基礎(chǔ)設(shè)施等級保護測評結(jié)果應(yīng)至少為良；對應(yīng)能力等級3的關(guān)鍵信息基礎(chǔ)設(shè)施等級保護測評結(jié)果應(yīng)為優(yōu)。10、關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力評價形式包括哪些？答：關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力評價形式包括兩種：運營者自評：由運營者自行對關(guān)鍵信息基礎(chǔ)設(shè)施平安防護情況進行評價。通過自評,掌握本組織平安防護現(xiàn)狀，并針對薄弱環(huán)節(jié)采取有效改進措施，最終到達改善和提高本組織關(guān)鍵信息基礎(chǔ)設(shè)施平安防護能力的目的。外部評價：由外部組織（例如，網(wǎng)絡(luò)平安服務(wù)機構(gòu)）按照能力等級和評價方法對平安防護情況進行評價，最終到達為運營者提供更客觀、更詳實、更專業(yè)的平