关键信息基础设施认定需要考虑哪些因素
关键信息基础设施认定需要考虑哪些因素?应该与信息系统等级保护定级有哪些不同,他们之间的关系如何?带着这些问题,今天对关键信息基础设施认定范围和边界谈一下个人理解。
信息系统等级保护定级
由图中可以看出,评估包括侵害客体、侵害程度的两个维度,侵害客体包含“公民、法人和其他组织的合法权益”、“社会秩序、公共利益”、“国家安全”,侵害程度包含“一般损害”“严重损害”“特别严重损害”。
其实业务信息、系统服务这二者,从本质上可以说是一回事,信息存储在系统中,信息被侵害同时系统肯定被侵害,系统被侵害的结果导致信息被侵害。如果较真儿的说系统被侵害,但是信息没有被侵害,这种情况要么侵害程度特别低,要么发生概率特别低,基本上可以不考虑。
另外,站在信息系统所属组织的立场,信息系统的侵害客体自己较难判定,侵害程度的定性描述也给定级带来一定的困难性。这两个方面的问题,在等级保护定级执行过程中,通过信息系统自主定级后由专家团队来评估后确定,从工作机制上巧妙的解决了非定量主观因素带来的问题。
信息系统等级保护定级中并没有考虑行业及业务属性,一是因为按规定所有系统都需要进行定级,没有必要从行业及业务出发进行梳理;二是在侵害客体中也隐含地包含了行业及业务属性及重要性。
关键信息基础设施确定指南
关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
关键信息基础设施的确定包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事故后可能造成的损失认定关键信息基础设施。
第二步根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关信息系统或工业控制系统,形成候选关键信息基础设施清单。
从关键业务出发这个思路非常的好,给出了关键业务参考列表也是很好的实践,同时对于认定关键信息基础设施的标准也比较详细、量化,具有比较强的可操作性。
该指南的方法是从行业/业务进行第一次筛选信息系统,然后根据认定标准进行第二次信息系统筛选,所以本质说关键信息基础设施的认定对象还是信息系统。
关键信息基础设施认定
业务范围在各行业主管/监管部门应该都有报备,如果开展新的业务类型也会及时进行相关的报备审批,所以由行业主管/监管部门牵头梳理业务清单,应该不会有太大难度。
在业务清单的基础上,暂时先不进行信息系统的筛选,而对哪些业务属于关键业务进行定义。这样可以防止某些支撑了关键业务,但信息系统认定标准未达到标准而没有纳入的问题。
关键业务的定义标准可以从业务类型(某些业务直接就是关键信息基础设施)、业务服务区域与人口范围、存储数据类型与数量、民众对服务的依赖程度以及出现问题后的影响程度等维度考虑。
在关键业务的基础上,打破原有信息系统的概念,只要是支撑此关键业务的包括物理环境、终端、网络、系统、应用等所有资产,以及相关的业务过程、岗位人员等都纳入关键信息基础设施中。
如果这样操作的话,关键信息基础设施可能包含等保4级、3级,甚至是2级、1级的信息系统,同时也将支撑信息系统的底层资产也纳入其中。至于纳入业务过程与岗位人员是为了监管要求落实以及监管检查的需要。
关键信息基础设施可能是比较庞大、宽泛的,同时其中包含的对象范围与类型可能也是动态变化的。初次报备并定期更新是无法满足未来的发展需求的,重点放在从宏观、中观上划定清楚其范围,而不是只强调微观单个信息资产,可能是可行的折中方案。
对于避免已有的重要资产漏报,可以通过与等级保护备案信息对比,以及采用行业资产测绘技术等方式,结合相关的业务范围定义,对关键信息基础设施信息完备性进行验证。
以上内容纯属基于个人理解进行的主观臆断,不具有任何意见及建议偏向,具体操作方法与标准指南,还是要以相关部门发布内容为准。请各位读者知晓。
扩展 · 本文相关链接