关注 | 关键信息基础设施确定指南

  点击数:250  发布时间:2018-10-26 10:33
关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键词:行业运行的信息系统 ,关键信息基础设施 ,工业控制系统

一、什么是关键信息基础设施

关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

二、如何确定关键信息基础设施

关键信息基础设施的确定,通常包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。

(一)确定本地区、本部门、本行业的关键业务。

可参考下表,结合本地区、本部门、本行业实际梳理关键业务。

行业

关键业务

能源

电力

l  电力生产(含火电、水电、核电等)

l  电力传输

l  电力配送

石油石化

l  油气开采

l  炼化加工

l  油气输送

l  油气储存

煤炭

l  煤炭开采

l  煤化工

金融

l  银行运营

l  证券期货交易

l  清算支付

l  保险运营

交通

铁路

l  客运服务

l  货运服务

l  运输生产

l  车站运行

民航

l  空运交通管控

l  机场运行

l  订票、离港及飞行调度检查安排

l  航空公司运营

公路

l  公路交通管控

l  智能交通系统(一卡通、ETC收费等)

水运

l  水运公司运营(含客运、货运)

l  港口管理运营

l  航运交通管控

水利

l  水利枢纽运行及管控

l  长距离输水管控

l  城市水源地管控

医疗卫生

l  医院等卫生机构运行

l  疾病控制

l  急救中心运行

环境保护

l  环境监测及预警(水、空气、土壤、核辐射等)

工业制造

(原材料、装备、消费品、电子制造)

l  企业运营管理

l  智能制造系统(工业互联网、物联网、智能装备等)

l  危化品生产加工和存储管控(化学、核等)

l  高风险工业设施运行管控

市政

l  水、暖、气供应管理

l  城市轨道交通

l  污水处理

l  智慧城市运行及管控

电信与互联网

l  语音、数据、互联网基础网络及枢纽

l  域名解析服务和国家顶级域注册管理

l  数据中心/云服务

广播电视

l  电视播出管控

l  广播播出管控

政府部门

l  信息公开

l  面向公众服务

l  办公业务系统

(二)确定关键业务相关的信息系统或工业控制系统。

根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。

(三)认定关键信息基础设施。

对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。

A.网站类

符合以下条件之一的,可认定为关键信息基础设施:

1. 县级(含)以上党政机关网站。

2. 重点新闻网站。

3. 日均访问量超过100万人次的网站。

4. 一旦发生网络安全事故,可能造成以下影响之一的:

(1)影响超过100万人工作、生活;

(2)影响单个地市级行政区30%以上人口的工作、生活;

(3)造成超过100万人个人信息泄露;

(4)造成大量机构、企业敏感信息泄露;

(5)造成大量地理、人口、资源等国家基础数据泄露;

(6)严重损害政府形象、社会秩序,或危害国家安全。

5. 其他应该认定为关键信息基础设施。

B.平台类

符合以下条件之一的,可认定为关键信息基础设施:

1. 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。

2. 日均成交订单额或交易额超过1000万元。

3. 一旦发生网络安全事故,可能造成以下影响之一的:

(1)造成1000万元以上的直接经济损失;

(2)直接影响超过1000万人工作、生活;

(3)造成超过100万人个人信息泄露;

(4)造成大量机构、企业敏感信息泄露;

(5)造成大量地理、人口、资源等国家基础数据泄露;

(6)严重损害社会和经济秩序,或危害国家安全。

4.其他应该认定为关键信息基础设施。

C.生产业务类

符合以下条件之一的,可认定为关键信息基础设施:

1. 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。

2. 规模超过1500个标准机架的数据中心。

3. 一旦发生安全事故,可能造成以下影响之一的:

(1)影响单个地市级行政区30%以上人口的工作、生活;

(2)影响10万人用水、用电、用气、用油、取暖或交通出行等;

(3)导致5人以上死亡或50人以上重伤;

(4)直接造成5000万元以上经济损失;

(5)造成超过100万人个人信息泄露;

(6)造成大量机构、企业敏感信息泄露;

(7)造成大量地理、人口、资源等国家基础数据泄露;

(8)严重损害社会和经济秩序,或危害国家安全。

4.其他应该认定为关键信息基础设施。

不得不等:关键信息基础设施包含网站类、平台类、生产业务类各系统。平台及生产业务类系统定为关键信息基础设施比较容易理解,网站类定为“关基”也可以理解,但是试行稿中县级(含)以上党政机关网站可定为“关基”的应该是部门重要的党政机关,而且应当是少部分。在实际开展等保工作过程中目前很多县级单位基本都是二级系统,三级的还是比较少,甚至一些可以定三级的系统也没有去定三级,这在未来等保规范定级过程中应当注意,不少县级党政机关单位的系统也很重要,定三级甚至列为关键信息基础设施也没问题。如社保、公积金类核心系统、区域卫生平台系统。关键信息基础设施确定指南试行版没有找到官方的出处,不知道是哪个部门发布的,百度查了下从2016年6月份网上就有相关信息,这样算来有两年多的时间,不知道大家梳理好自己的关键信息基础设施了吗?

文章来源:中国信息安全

相关文章


热点新闻
推荐产品