2021 年 8 月 17 日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式發(fā)布。標(biāo)準(zhǔn)是開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的堅(jiān)實(shí)基礎(chǔ)，國(guó)內(nèi)外都在加緊開展相關(guān)標(biāo)準(zhǔn)建設(shè)工作。

　　一、國(guó)內(nèi)標(biāo)準(zhǔn)化工作

　　（一）國(guó)內(nèi)標(biāo)準(zhǔn)化工作背景

　　2016 年，《網(wǎng)絡(luò)安全法》發(fā)布，第三章第二節(jié)提出“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全”，同年發(fā)布的《關(guān)于加強(qiáng)國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》也明確提出加快開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)急需重點(diǎn)標(biāo)準(zhǔn)研制。為充分發(fā)揮標(biāo)準(zhǔn)化工作對(duì)國(guó)家網(wǎng)絡(luò)安全保障體系建設(shè)的支撐作用，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織開展了相關(guān)工作，一是組織開展了關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系研究，提出關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系框架和標(biāo)準(zhǔn)明細(xì)表；二是按照“急用先行”的原則開展了重點(diǎn)標(biāo)準(zhǔn)的研制。

　　（二）關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系研究

　　在標(biāo)準(zhǔn)體系研制上，需要貫徹落實(shí)《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求，結(jié)合我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)現(xiàn)狀和發(fā)展需求，研究建立科學(xué)合理、持續(xù)優(yōu)化的關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系，為編制關(guān)鍵信息基礎(chǔ)設(shè)施安全國(guó)家標(biāo)準(zhǔn)研制計(jì)劃提供依據(jù)，為各行業(yè)領(lǐng)域開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、檢查等工作提供標(biāo)準(zhǔn)參考，為完善關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)提供標(biāo)準(zhǔn)支撐，充分發(fā)揮網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的指導(dǎo)性、規(guī)范性和引領(lǐng)性作用。

　　目前，我國(guó)已經(jīng)發(fā)布網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn) 323 項(xiàng)，在研國(guó)家標(biāo)準(zhǔn) 100 項(xiàng)，這些標(biāo)準(zhǔn)都是國(guó)家開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的堅(jiān)實(shí)基礎(chǔ)。通過(guò)對(duì)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》進(jìn)行標(biāo)準(zhǔn)化需求分析，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)各維度，在已有國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的基礎(chǔ)上，從邊界識(shí)別、保護(hù)要求、控制措施、保障指標(biāo)、應(yīng)急體系、檢查評(píng)估，以及供應(yīng)鏈安全、數(shù)據(jù)安全、信息共享、監(jiān)測(cè)預(yù)警等方面系統(tǒng)推進(jìn)標(biāo)準(zhǔn)研制工作，共同構(gòu)建科學(xué)性、系統(tǒng)性、實(shí)用性的標(biāo)準(zhǔn)體系框架，用標(biāo)準(zhǔn)筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)的基礎(chǔ)。

　　（三）關(guān)鍵信息基礎(chǔ)設(shè)施重要標(biāo)準(zhǔn)研制

　　目前，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在研關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn) 9 項(xiàng)。其中，《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（報(bào)批稿）提出了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者安全保護(hù)工作開展的基礎(chǔ)安全要求，為運(yùn)營(yíng)者落實(shí)安全主體責(zé)任提供依據(jù)；《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》（報(bào)批稿）提出了關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估工作的流程和指標(biāo)，也為統(tǒng)籌協(xié)調(diào)和指導(dǎo)監(jiān)督部門安全檢查評(píng)估工作提供技術(shù)支撐；《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》（報(bào)批稿）提出了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者滿足安全保護(hù)要求的實(shí)施指南；《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》（報(bào)批稿）對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者加強(qiáng)供應(yīng)鏈安全管理提出了要求；《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法》（送審稿）和《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)》（報(bào)批稿）等標(biāo)準(zhǔn)為運(yùn)營(yíng)者有效開展自身安全能力建設(shè)、提高安全防護(hù)水平提供了標(biāo)準(zhǔn)化指導(dǎo)，同時(shí)也為保護(hù)工作部門掌握本行業(yè)本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)態(tài)勢(shì)提供參考。此外，《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求》（征求意見稿）、《信息安全技術(shù) 網(wǎng)絡(luò)安全預(yù)警指南》（GB/T 32924—2016）、《信息安全技術(shù) 網(wǎng)絡(luò)安全信息共享指南》（征求意見稿）、信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南》（GB/T 38645—2020）等關(guān)鍵信息基礎(chǔ)設(shè)施支撐標(biāo)準(zhǔn)為建立各行業(yè)間監(jiān)測(cè)預(yù)警、信息共享和應(yīng)急演練協(xié)同機(jī)制提供重要技術(shù)基礎(chǔ)。

　　二、國(guó)外標(biāo)準(zhǔn)化情況

　?。ㄒ唬┟绹?guó)

　　美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）于 2014 年發(fā)布了《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》，該框架定義了一套著眼于安全風(fēng)險(xiǎn)，應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)管控流程?？蚣懿]有提出新的安全要求，但是引用了 NIST 的特別出版物、國(guó)際標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)等相關(guān)條款，同時(shí)還進(jìn)一步考慮對(duì)《框架》的完善和對(duì)標(biāo)準(zhǔn)體系的擴(kuò)充。2018 年，NIST 對(duì)《框架》進(jìn)行了修訂，并強(qiáng)調(diào)文檔不僅僅適用于關(guān)鍵基礎(chǔ)設(shè)施，還適用于其他組織。

　　2017 年 12 月 5 日，NIST 發(fā)布了《提供關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全路線圖 V1.1（草案）》?；诼肪€圖，提出了在關(guān)鍵基礎(chǔ)設(shè)施框架下一步工作中考慮的開發(fā)和協(xié)調(diào)一致的 12 個(gè)領(lǐng)域，包括網(wǎng)絡(luò)攻擊生命周期、網(wǎng)絡(luò)安全人員、網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理、一致性評(píng)估、身份管理、隱私工程等。

　　為支撐框架的落地執(zhí)行，美國(guó)能源部和國(guó)土安全部開發(fā)了 C2M2 模型，定義了 4 個(gè)能力成熟度級(jí)別該模型適用于各種類型的機(jī)構(gòu)對(duì)其信息系統(tǒng)、工控系統(tǒng)等資產(chǎn)進(jìn)行安全評(píng)估。模型定義了 10 個(gè)安全域，每個(gè)安全域分別從組織內(nèi)網(wǎng)絡(luò)安全實(shí)踐的實(shí)現(xiàn)情況（方法層面）和安全實(shí)踐的制度化程度（管理層面）對(duì)組織安全能力進(jìn)行評(píng)估。

　　（二）歐盟

　　在關(guān)鍵信息基礎(chǔ)設(shè)施方面，歐洲信息安全局（ENISA）相繼發(fā)布了多份研究報(bào)告和白皮書，用以指導(dǎo)歐盟層面關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。其中，2014 年 12 月發(fā)布的《識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)和資產(chǎn)的方法論》，提出識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施中的服務(wù)和資產(chǎn)的步驟和方法；2016 年 12 月發(fā)布的《數(shù)字服務(wù)提供商實(shí)施最低安全控制措施技術(shù)指南》，提出了 27個(gè)安全目標(biāo)、控制措施及對(duì)目前已有標(biāo)準(zhǔn)的映射。2020年和 2021 年發(fā)布了在 5G、電力方面的安全指導(dǎo)文件。此外，ENISA 還在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、ICS SCADA、智能電網(wǎng)、金融、健康、船舶等方面發(fā)布了相關(guān)規(guī)定。

　　三、標(biāo)準(zhǔn)化工作思考

　　關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)是維護(hù)國(guó)家網(wǎng)絡(luò)安全的重中之重。在安全標(biāo)準(zhǔn)化方面，應(yīng)堅(jiān)持以總體國(guó)家安全觀為指引，立足新發(fā)展階段，不斷適應(yīng)新興技術(shù)發(fā)展趨勢(shì)，以支撐國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作為目標(biāo)，為全面構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系提供標(biāo)準(zhǔn)化支撐。

　　一是持續(xù)增強(qiáng)標(biāo)準(zhǔn)化頂層設(shè)計(jì)。關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)化工作應(yīng)充分結(jié)合行業(yè)和領(lǐng)域需求，重點(diǎn)圍繞《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)要求的落地實(shí)施，以整體提高關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者安全保護(hù)能力為主要目標(biāo)，充分借鑒國(guó)際先進(jìn)標(biāo)準(zhǔn)研制成果，加快推動(dòng)供應(yīng)鏈安全、監(jiān)測(cè)預(yù)警、態(tài)勢(shì)感知、信息共享等重點(diǎn)領(lǐng)域標(biāo)準(zhǔn)研制，積極探索從業(yè)人員能力、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)管理等缺失標(biāo)準(zhǔn)，建設(shè)完善關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系。

　　二是提高標(biāo)準(zhǔn)可應(yīng)用性可操作性。在標(biāo)準(zhǔn)研制過(guò)程中組織產(chǎn)、學(xué)、研、用等單位共同參與，并選擇金融、能源、電信、交通、水利、衛(wèi)生健康、國(guó)防軍工等重要行業(yè)和領(lǐng)域開展關(guān)鍵信息基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)試點(diǎn)工作，邊研究邊編制，邊編制邊試用，邊試用邊改進(jìn)，促進(jìn)標(biāo)準(zhǔn)研制與行業(yè)實(shí)施緊密互動(dòng)，全鏈條提升標(biāo)準(zhǔn)應(yīng)用價(jià)值與實(shí)施效果。

　　三是多層次、多維度開展標(biāo)準(zhǔn)落地和使用。標(biāo)準(zhǔn)的生命力在于使用，衡量一個(gè)標(biāo)準(zhǔn)的價(jià)值關(guān)鍵是看其是否被廣泛應(yīng)用，要在標(biāo)準(zhǔn)試用的基礎(chǔ)上，多層次、多維度強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)的實(shí)施落地和宣貫培訓(xùn)。采取論壇演講、專門標(biāo)準(zhǔn)宣貫、專題研討等多種形式，加大標(biāo)準(zhǔn)宣貫培訓(xùn)力度，提高標(biāo)準(zhǔn)在行業(yè)的普及落地和應(yīng)用，支撐各行業(yè)各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作。