关键信息基础设施通常分为哪三类(快速了解什么是关键信息基础设施)
关键信息基础设施通常分为哪三类(快速了解什么是关键信息基础设施)二是确定支撑关键业务的信息系统或工业控制系统一是确定关键业务对于何为关键信息基础设施,《网络安全法》、《安全保护条例》以及《操作指南》中都是采用了“特定行业范围 严重危害后果”的方式来进行定义,因此在定义的同时,也会明确涉及一些特定的行业。详见下表:当单位的系统被确定为关键信息基础设施后请务必在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的确定,通常包括三个步骤:
什么是关键信息基础设施?
关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
如何界定关键信息基础设施的范围?
对于何为关键信息基础设施,《网络安全法》、《安全保护条例》以及《操作指南》中都是采用了“特定行业范围 严重危害后果”的方式来进行定义,因此在定义的同时,也会明确涉及一些特定的行业。详见下表:
当单位的系统被确定为关键信息基础设施后请务必在网络安全等级保护制度的基础上,实行重点保护。
关键信息基础设施的确定,通常包括三个步骤:
一是确定关键业务
二是确定支撑关键业务的信息系统或工业控制系统
三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。
(一)确定本地区、本部门、本行业的关键业务。
(二)确定关键业务相关的信息系统或工业控制系统。
根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管网监控系统等。
(三)认定关键信息基础设施。
对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
A.网站类
符合以下条件之一的,可认定为关键信息基础设施:
1. 县级(含)以上党政机关网站。
2. 重点新闻网站。
3. 日均访问量超过100万人次的网站。
4. 一旦发生网络安全事故,可能造成以下影响之一的:
(1)影响超过100万人工作、生活;
(2)影响单个地市级行政区30%以上人口的工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6)严重损害政府形象、社会秩序,或危害国家安全。
5. 其他应该认定为关键信息基础设施。
B.平台类
符合以下条件之一的,可认定为关键信息基础设施:
1. 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万。
2. 日均成交订单额或交易额超过1000万元。
3. 一旦发生网络安全事故,可能造成以下影响之一的:
(1)造成1000万元以上的直接经济损失;
(2)直接影响超过1000万人工作、生活;
(3)造成超过100万人个人信息泄露;
(4)造成大量机构、企业敏感信息泄露;
(5)造成大量地理、人口、资源等国家基础数据泄露;
(6)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
C.生产业务类
符合以下条件之一的,可认定为关键信息基础设施:
1. 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统。
2. 规模超过1500个标准机架的数据中心。
3. 一旦发生安全事故,可能造成以下影响之一的:
(1)影响单个地市级行政区30%以上人口的工作、生活;
(2)影响10万人用水、用电、用气、用油、取暖或交通出行等;
(3)导致5人以上死亡或50人以上重伤;
(4)直接造成5000万元以上经济损失;
(5)造成超过100万人个人信息泄露;
(6)造成大量机构、企业敏感信息泄露;
(7)造成大量地理、人口、资源等国家基础数据泄露;
(8)严重损害社会和经济秩序,或危害国家安全。
4.其他应该认定为关键信息基础设施。
关键信息基础设施运营者在安全保障方面有什么特殊要求?
借鉴学习:俄罗斯关键信息基础设施等级划分、保护规范细节
2018年2月8日,俄罗斯联邦政府通过第127号决议-《关于确认俄罗斯联邦关键信息基础设施客体等级划分的规定以及俄罗斯联邦关键信息基础设施客体重要性标准参数列表》。
该决议作为2018年1月1日生效的《俄罗斯联邦关键信息基础设施安全法》的附属性文件,由俄罗斯联邦国家总理梅德韦杰夫签署批准。决议内容包括等级划分规定、关键信息基础设施客体重要性标准参数列表以及划分的参数值。
1)等级划分规定
该决议明确了俄联邦关键信息基础设施客体的重要性等级划分工作的主要内容、明确在等级划分过程中所需要的基础资料、等级划分委员会的组成成员及工作流程,结论等内容的提交程序及时限规定。
2)关键信息基础设施客体重要性标准参数列表以及划分的参数值
该决议明确根据不同的参数设定重要性标准指标,分为三个区间,获得三个重要性等级-三级到一级,其重要程度依次增加。并且列表根据参数的种类分为社会、政治、经济、生态环境以及国家法制程序和国家安全、国防保障五个部分,每个部分有相应的参数描述以及每个描述相应的不同等级的参数值。根据需要划分等级的关键信息基础设施客体的具体种类及参数值,可确定相应的重要性等级。