关键信息基础设施认定需要考虑哪些因素

关键信息基础设施认定是进行关键信息基础设施安全保护的基础和前提,在《关键信息基础设施安全保护条例》政策吹风会中,关键信息基础设施认定工作已经作为后续的工作任务之一。

关键信息基础设施认定需要考虑哪些因素?应该与信息系统等级保护定级有哪些不同,他们之间的关系如何?带着这些问题,今天对关键信息基础设施认定范围和边界谈一下个人理解。

信息系统等级保护定级

等级保护定级以信息系统为单位进行,等保2.0中对定级对象进行了扩展,除了原有信息系统外,像云计算平台这些对象也需要定级。在定级对象和范围边界方面,基本上是可以划分清楚的。
等级保护定级标准由两个维度进行评定,需要对业务信息安全保护等级、系统服务安全保护等级分别进行评定,信息系统安全等级取二者中的高等级。具体评定标准矩阵如下:
业务信息安全保护等级评定:
系统服务安全保护等级评定:

由图中可以看出,评估包括侵害客体、侵害程度的两个维度,侵害客体包含“公民、法人和其他组织的合法权益”、“社会秩序、公共利益”、“国家安全”,侵害程度包含“一般损害”“严重损害”“特别严重损害”。

其实业务信息、系统服务这二者,从本质上可以说是一回事,信息存储在系统中,信息被侵害同时系统肯定被侵害,系统被侵害的结果导致信息被侵害。如果较真儿的说系统被侵害,但是信息没有被侵害,这种情况要么侵害程度特别低,要么发生概率特别低,基本上可以不考虑。

另外,站在信息系统所属组织的立场,信息系统的侵害客体自己较难判定,侵害程度的定性描述也给定级带来一定的困难性。这两个方面的问题,在等级保护定级执行过程中,通过信息系统自主定级后由专家团队来评估后确定,从工作机制上巧妙的解决了非定量主观因素带来的问题。

信息系统等级保护定级中并没有考虑行业及业务属性,一是因为按规定所有系统都需要进行定级,没有必要从行业及业务出发进行梳理;二是在侵害客体中也隐含地包含了行业及业务属性及重要性。

关键信息基础设施确定指南

在2017年发布的《关键信息基础设施确定指南(试行)》中,关键信息基础设施被定义为面向公众提供的网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、社会、文化、国防、环境以及人民生命财产造成严重损失。

关键信息基础设施包括网站类,如党政机关网站、企事业单位网站、新闻网站等;平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。

关键信息基础设施的确定包括三个步骤,一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事故后可能造成的损失认定关键信息基础设施。

第一步确定关键业务过程,指南给出了各个行业的关键业务参考列表,具体内容可以参见下方截图:

第二步根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关信息系统或工业控制系统,形成候选关键信息基础设施清单。

第三步对候选清单中的信息系统或工业控制系统进行关键信息基础设施认定。认定按网站、平台、业务系统三类给出了参考标准:
网站类:
平台类:
业务系统类:

从关键业务出发这个思路非常的好,给出了关键业务参考列表也是很好的实践,同时对于认定关键信息基础设施的标准也比较详细、量化,具有比较强的可操作性。

该指南的方法是从行业/业务进行第一次筛选信息系统,然后根据认定标准进行第二次信息系统筛选,所以本质说关键信息基础设施的认定对象还是信息系统。

关键信息基础设施认定

从以上篇幅的内容来看,关键信息基础设施的认定,还是需要以行业/业务为出发点,但业务的颗粒度还需要进一步的细化,并且要解决业务类型动态变化的问题。

业务范围在各行业主管/监管部门应该都有报备,如果开展新的业务类型也会及时进行相关的报备审批,所以由行业主管/监管部门牵头梳理业务清单,应该不会有太大难度。

在业务清单的基础上,暂时先不进行信息系统的筛选,而对哪些业务属于关键业务进行定义。这样可以防止某些支撑了关键业务,但信息系统认定标准未达到标准而没有纳入的问题。

关键业务的定义标准可以从业务类型(某些业务直接就是关键信息基础设施)、业务服务区域与人口范围、存储数据类型与数量、民众对服务的依赖程度以及出现问题后的影响程度等维度考虑。

在关键业务的基础上,打破原有信息系统的概念,只要是支撑此关键业务的包括物理环境、终端、网络、系统、应用等所有资产,以及相关的业务过程、岗位人员等都纳入关键信息基础设施中。

如果这样操作的话,关键信息基础设施可能包含等保4级、3级,甚至是2级、1级的信息系统,同时也将支撑信息系统的底层资产也纳入其中。至于纳入业务过程与岗位人员是为了监管要求落实以及监管检查的需要。

关键信息基础设施可能是比较庞大、宽泛的,同时其中包含的对象范围与类型可能也是动态变化的。初次报备并定期更新是无法满足未来的发展需求的,重点放在从宏观、中观上划定清楚其范围,而不是只强调微观单个信息资产,可能是可行的折中方案。

对于避免已有的重要资产漏报,可以通过与等级保护备案信息对比,以及采用行业资产测绘技术等方式,结合相关的业务范围定义,对关键信息基础设施信息完备性进行验证。

以上内容纯属基于个人理解进行的主观臆断,不具有任何意见及建议偏向,具体操作方法与标准指南,还是要以相关部门发布内容为准。请各位读者知晓。

优秀书籍推荐,点击链接购买

扩展  ·  本文相关链接

· 等级保护的发展以及在关键信息基础设施行业推广

· 《关键信息基础设施安全保护条例》发布,后续准备梳理与总结的系列关键点

· 针对滴滴被安全审查事件,我想表达的几个风险管理观点

(0)

相关推荐