一、什么是關鍵信息基礎設施
關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統,且這些系統一旦發生網絡安全事故,會影響重要行業正常運行,對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。
關鍵信息基礎設施包括網站類,如黨政機關網站、企事業單位網站、新聞網站等;平臺類,如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺;生產業務類,如辦公和業務系統、工業控制系統、大型數據中心、云計算平臺、電視轉播系統等。
二、如何確定關鍵信息基礎設施
關鍵信息基礎設施的確定,通常包括三個步驟,一是確定關鍵業務,二是確定支撐關鍵業務的信息系統或工業控制系統,三是根據關鍵業務對信息系統或工業控制系統的依賴程度,以及信息系統發生網絡安全事件后可能造成的損失認定關鍵信息基礎設施。
(一)確定本地區、本部門、本行業的關鍵業務。
可參考下表,結合本地區、本部門、本行業實際梳理關鍵業務。
行業 | 關鍵業務 | |
能源 | 電力 | l 電力生產(含火電、水電、核電等) l 電力傳輸 l 電力配送 |
石油石化 | l 油氣開采 l 煉化加工 l 油氣輸送 l 油氣儲存 | |
煤炭 | l 煤炭開采 l 煤化工 | |
金融 | l 銀行運營 l 證券期貨交易 l 清算支付 l 保險運營 | |
交通 | 鐵路 | l 客運服務 l 貨運服務 l 運輸生產 l 車站運行 |
民航 | l 空運交通管控 l 機場運行 l 訂票、離港及飛行調度檢查安排 l 航空公司運營 | |
公路 | l 公路交通管控 l 智能交通系統(一卡通、ETC收費等) | |
水運 | l 水運公司運營(含客運、貨運) l 港口管理運營 l 航運交通管控 | |
水利 | l 水利樞紐運行及管控 l 長距離輸水管控 l 城市水源地管控 | |
醫療衛生 | l 醫院等衛生機構運行 l 疾病控制 l 急救中心運行 | |
環境保護 | l 環境監測及預警(水、空氣、土壤、核輻射等) | |
工業制造 (原材料、裝備、消費品、電子制造) | l 企業運營管理 l 智能制造系統(工業互聯網、物聯網、智能裝備等) l 危化品生產加工和存儲管控(化學、核等) l 高風險工業設施運行管控 | |
市政 | l 水、暖、氣供應管理 l 城市軌道交通 l 污水處理 l 智慧城市運行及管控 | |
電信與互聯網 | l 語音、數據、互聯網基礎網絡及樞紐 l 域名解析服務和國家頂級域注冊管理 l 數據中心/云服務 | |
廣播電視 | l 電視播出管控 l 廣播播出管控 | |
政府部門 | l 信息公開 l 面向公眾服務 l 辦公業務系統 | |
(二)確定關鍵業務相關的信息系統或工業控制系統。
根據關鍵業務,逐一梳理出支撐關鍵業務運行或與關鍵業務相關的信息系統或工業控制系統,形成候選關鍵信息基礎設施清單。如電力行業火電企業的發電機組控制系統、管理信息系統等;市政供水相關的水廠生產控制系統、供水管網監控系統等。
(三)認定關鍵信息基礎設施。
對候選關鍵信息基礎設施清單中的信息系統或工業控制系統,根據本地區、本部門、本行業實際,參照以下標準認定關鍵信息基礎設施。
A.網站類
符合以下條件之一的,可認定為關鍵信息基礎設施:
1. 縣級(含)以上黨政機關網站。
2. 重點新聞網站。
3. 日均訪問量超過100萬人次的網站。
4. 一旦發生網絡安全事故,可能造成以下影響之一的:
(1)影響超過100萬人工作、生活;
(2)影響單個地市級行政區30%以上人口的工作、生活;
(3)造成超過100萬人個人信息泄露;
(4)造成大量機構、企業敏感信息泄露;
(5)造成大量地理、人口、資源等國家基礎數據泄露;
(6)嚴重損害政府形象、社會秩序,或危害國家安全。
5. 其他應該認定為關鍵信息基礎設施。
B.平臺類
符合以下條件之一的,可認定為關鍵信息基礎設施:
1. 注冊用戶數超過1000萬,或活躍用戶(每日至少登陸一次)數超過100萬。
2. 日均成交訂單額或交易額超過1000萬元。
3. 一旦發生網絡安全事故,可能造成以下影響之一的:
(1)造成1000萬元以上的直接經濟損失;
(2)直接影響超過1000萬人工作、生活;
(3)造成超過100萬人個人信息泄露;
(4)造成大量機構、企業敏感信息泄露;
(5)造成大量地理、人口、資源等國家基礎數據泄露;
(6)嚴重損害社會和經濟秩序,或危害國家安全。
4.其他應該認定為關鍵信息基礎設施。
C.生產業務類
符合以下條件之一的,可認定為關鍵信息基礎設施:
1. 地市級以上政府機關面向公眾服務的業務系統,或與醫療、安防、消防、應急指揮、生產調度、交通指揮等相關的城市管理系統。
2. 規模超過1500個標準機架的數據中心。
3. 一旦發生安全事故,可能造成以下影響之一的:
(1)影響單個地市級行政區30%以上人口的工作、生活;
(2)影響10萬人用水、用電、用氣、用油、取暖或交通出行等;
(3)導致5人以上死亡或50人以上重傷;
(4)直接造成5000萬元以上經濟損失;
(5)造成超過100萬人個人信息泄露;
(6)造成大量機構、企業敏感信息泄露;
(7)造成大量地理、人口、資源等國家基礎數據泄露;
(8)嚴重損害社會和經濟秩序,或危害國家安全。
4.其他應該認定為關鍵信息基礎設施。
不得不等:關鍵信息基礎設施包含網站類、平臺類、生產業務類各系統。平臺及生產業務類系統定為關鍵信息基礎設施比較容易理解,網站類定為“關基”也可以理解,但是試行稿中縣級(含)以上黨政機關網站可定為“關基”的應該是部門重要的黨政機關,而且應當是少部分。在實際開展等保工作過程中目前很多縣級單位基本都是二級系統,三級的還是比較少,甚至一些可以定三級的系統也沒有去定三級,這在未來等保規范定級過程中應當注意,不少縣級黨政機關單位的系統也很重要,定三級甚至列為關鍵信息基礎設施也沒問題。如社保、公積金類核心系統、區域衛生平臺系統。關鍵信息基礎設施確定指南試行版沒有找到官方的出處,不知道是哪個部門發布的,百度查了下從2016年6月份網上就有相關信息,這樣算來有兩年多的時間,不知道大家梳理好自己的關鍵信息基礎設施了嗎?
文章來源:中國信息安全
