2024信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法_第1頁(yè)
2024信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法_第2頁(yè)
2024信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法_第3頁(yè)
2024信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法_第4頁(yè)
2024信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法_第5頁(yè)
已閱讀5頁(yè),還剩9頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法目 次前言 II1范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 14概述 2關(guān)鍵信息基礎(chǔ)設(shè)施類型 2邊界確定原理 2極限情況下要素識(shí)別原則 3邊界確定流程 3基本信息梳理 4關(guān)鍵信息基礎(chǔ)設(shè)施功能識(shí)別 4關(guān)鍵業(yè)務(wù)鏈與關(guān)鍵業(yè)務(wù)信息識(shí)別 5關(guān)鍵業(yè)務(wù)鏈識(shí)別 5關(guān)鍵業(yè)務(wù)信息識(shí)別 5關(guān)鍵業(yè)務(wù)信息流識(shí)別和資產(chǎn)識(shí)別 5一般識(shí)別步驟 5提供信息化共性服務(wù)的基礎(chǔ)通信網(wǎng)絡(luò)的識(shí)別步驟 6關(guān)鍵信息基礎(chǔ)設(shè)施要素識(shí)別 6資產(chǎn)歸集 6要素歸集 6關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定 7附錄A(資料性)關(guān)鍵信息基礎(chǔ)設(shè)施邊界記錄模板 8參考文獻(xiàn) 12I網(wǎng)絡(luò)安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法范圍安全保護(hù)的其他相關(guān)方使用。規(guī)范性引用文件(包括所有的修改單適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB/T39204—2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求術(shù)語(yǔ)和定義GB/T25069—2022、GB/T39204—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。[來(lái)源:GB/T39204-2022,3.1]3.2關(guān)鍵信息基礎(chǔ)設(shè)施要素criticalinformationinfrastructureelement支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的軟硬件資產(chǎn)及其描述信息。簡(jiǎn)稱,要素。注:描述信息包括但不限于該類網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)軟硬件資產(chǎn)的功能、部署信息、業(yè)務(wù)關(guān)系等。3.3關(guān)鍵信息基礎(chǔ)設(shè)施邊界criticalinformationinfrastructureboundary所有關(guān)鍵信息基礎(chǔ)設(shè)施要素的集合。3.4關(guān)鍵業(yè)務(wù)信息criticalbusinessinformation關(guān)鍵業(yè)務(wù)安全穩(wěn)定運(yùn)行不可或缺的電子信息。13.5關(guān)鍵業(yè)務(wù)信息流 criticalbusinessinformationflow關(guān)鍵業(yè)務(wù)信息從產(chǎn)生到終止,在網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)中的流動(dòng)軌跡。注:軌跡是指信息流通過(guò)節(jié)點(diǎn)和流動(dòng)方向等。3.6極限情況 extremeconditions遭遇到大規(guī)模、有組織、持續(xù)的網(wǎng)絡(luò)攻擊或嚴(yán)重自然災(zāi)害等,對(duì)網(wǎng)絡(luò)運(yùn)行環(huán)境、網(wǎng)絡(luò)運(yùn)行秩序產(chǎn)生系統(tǒng)造成影響的情況。3.7組件 component根據(jù)結(jié)構(gòu)或功能劃分的系統(tǒng)組成部分,仍然能實(shí)現(xiàn)獨(dú)立的子功能。[來(lái)源:ISO20890-1:2020,3.14]3.8關(guān)鍵業(yè)務(wù)流程 criticalbusinessprocess為了實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)所完成的一系列活動(dòng)。3.9關(guān)鍵業(yè)務(wù)鏈 criticalbusinesschain組織的一個(gè)或多個(gè)相互關(guān)聯(lián)的業(yè)務(wù)構(gòu)成的關(guān)鍵業(yè)務(wù)流程。[來(lái)源:GB/T39204-2022,3.3]概述關(guān)鍵信息基礎(chǔ)設(shè)施類型等。的集合,如網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)(含以上)的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)。邊界確定原理(以下簡(jiǎn)稱“邊界確定(小設(shè)備或服務(wù)單元)、網(wǎng)絡(luò)功能及其依賴的資源池識(shí)別軟硬件資產(chǎn)。2注不可或缺”業(yè)務(wù)功能、性能的影響進(jìn)行判斷。注“災(zāi)備系統(tǒng)素;關(guān)鍵業(yè)務(wù)信息流未流經(jīng)的“災(zāi)備系統(tǒng)”,則不納入關(guān)鍵信息基礎(chǔ)設(shè)施要素。極限情況下要素識(shí)別原則作部門要求,按照極限情況下保障最小化的原則劃定邊界,最小化要素識(shí)別原則如下:最小化運(yùn)行原則:保證關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行提供基本服務(wù)所需要的功能、性能。安全性。最小化資產(chǎn)原則:保證關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行的軟硬件資產(chǎn)集合的最小化。邊界確定流程邊界確定流程主要包括準(zhǔn)備階段、要素識(shí)別和邊界確定三個(gè)環(huán)節(jié)。準(zhǔn)備階段,包括:根據(jù)關(guān)鍵業(yè)務(wù)確定業(yè)務(wù)范圍;(人員、開(kāi)發(fā)人員等);信息收集和分析;(控制、資料準(zhǔn)備等)。要素識(shí)別階段,包括:基本信息梳理;關(guān)鍵信息基礎(chǔ)設(shè)施功能識(shí)別;關(guān)鍵業(yè)務(wù)鏈及其關(guān)鍵業(yè)務(wù)信息識(shí)別;關(guān)鍵業(yè)務(wù)信息流識(shí)別和資產(chǎn)識(shí)別;關(guān)鍵信息基礎(chǔ)設(shè)施要素識(shí)別。邊界確定,此環(huán)節(jié)在關(guān)鍵信息基礎(chǔ)設(shè)施要素基礎(chǔ)上確定邊界。1所示。3準(zhǔn)備階段基本信息梳理關(guān)鍵信息基礎(chǔ)設(shè)施功能識(shí)別準(zhǔn)備階段基本信息梳理關(guān)鍵信息基礎(chǔ)設(shè)施功能識(shí)別關(guān)鍵業(yè)務(wù)鏈與關(guān)鍵業(yè)務(wù)信息識(shí)別關(guān)鍵業(yè)務(wù)信息流識(shí)別和資產(chǎn)識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施要素識(shí)別系統(tǒng)功能架構(gòu)圖網(wǎng)絡(luò)拓?fù)鋱D關(guān)鍵業(yè)務(wù)信息清單、關(guān)鍵業(yè)務(wù)信息流圖過(guò)程文檔梳理、溝通和分析邊界確定圖1關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定實(shí)施流程梳理、溝通和分析邊界確定邊界確定工作是持續(xù)、動(dòng)態(tài)的,當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施所屬的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)發(fā)生改建、擴(kuò)建、所有人變更等較大變化時(shí)或關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大調(diào)整時(shí),需按要求重新開(kāi)展識(shí)別工作,確保關(guān)鍵信息基礎(chǔ)設(shè)施邊界的時(shí)效性。基本信息梳理(以下簡(jiǎn)稱“運(yùn)營(yíng)者梳理基本信息:(關(guān)鍵業(yè)務(wù)穩(wěn)定可靠運(yùn)行情況信息(極限情況下關(guān)鍵業(yè)務(wù)持續(xù)運(yùn)行情況信息單位名稱、單位地址等;數(shù)據(jù)資產(chǎn)信息梳理。包括數(shù)據(jù)類型、數(shù)據(jù)規(guī)模、安全性需求、重要程度、所屬關(guān)鍵業(yè)務(wù)等;提供租用網(wǎng)絡(luò)設(shè)施的運(yùn)營(yíng)者單位名稱、單位地址等。關(guān)鍵信息基礎(chǔ)設(shè)施功能識(shí)別識(shí)別步驟如下:4系統(tǒng)以及網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)的功能;關(guān)鍵信息基礎(chǔ)設(shè)施功能,包括常態(tài)化運(yùn)行和極限情況運(yùn)行的功能組成。關(guān)鍵業(yè)務(wù)鏈與關(guān)鍵業(yè)務(wù)信息識(shí)別關(guān)鍵業(yè)務(wù)鏈識(shí)別識(shí)別步驟如下:(出業(yè)務(wù)流程;程及其執(zhí)行順序;評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施功能或組成部分之間的業(yè)務(wù)流程對(duì)其后序關(guān)鍵信息基礎(chǔ)設(shè)施功能的影響,造成后序關(guān)鍵信息基礎(chǔ)設(shè)施功能喪失或性能下降的,該流程納入關(guān)鍵業(yè)務(wù)流程;識(shí)別組成關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵業(yè)務(wù)鏈;一步完善;形成關(guān)鍵業(yè)務(wù)鏈流程圖、系統(tǒng)功能架構(gòu)圖;針對(duì)提供信息化共性服務(wù)的基礎(chǔ)通信網(wǎng)絡(luò),在設(shè)計(jì)階段完成業(yè)務(wù)流程識(shí)別。關(guān)鍵業(yè)務(wù)信息識(shí)別識(shí)別步驟如下:(部分的輸入、輸出信息;根據(jù)輸入、輸出信息對(duì)關(guān)鍵業(yè)務(wù)的影響確定關(guān)鍵業(yè)務(wù)信息;息、輸出信息、不可或缺性判斷結(jié)果。關(guān)鍵業(yè)務(wù)信息流識(shí)別和資產(chǎn)識(shí)別一般識(shí)別步驟絡(luò)設(shè)施和信息系統(tǒng)的軟硬件資產(chǎn)。識(shí)別步驟如下:示;確定必需的節(jié)點(diǎn);(含容器/虛擬機(jī)清單,輸出節(jié)點(diǎn)硬件資產(chǎn)上部署的軟件資產(chǎn)信息,確定關(guān)鍵信息基礎(chǔ)設(shè)施軟硬件資產(chǎn);5形成關(guān)鍵業(yè)務(wù)信息流圖以及關(guān)鍵信息基礎(chǔ)設(shè)施軟硬件資產(chǎn)清單。提供信息化共性服務(wù)的基礎(chǔ)通信網(wǎng)絡(luò)的識(shí)別步驟識(shí)別步驟如下:所依賴的資源池識(shí)別對(duì)應(yīng)的軟硬件資產(chǎn);8.1c)-e)的內(nèi)容進(jìn)行識(shí)別。關(guān)鍵信息基礎(chǔ)設(shè)施要素識(shí)別資產(chǎn)歸集運(yùn)營(yíng)者依據(jù)業(yè)務(wù)功能對(duì)支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的軟硬件資產(chǎn)進(jìn)行歸集,對(duì)同一設(shè)備、系統(tǒng)、組件歸集。要素歸集息基礎(chǔ)設(shè)施要素清單(概表),可參見(jiàn)附錄A表2。資產(chǎn)信息、軟件相關(guān)信息等,可參見(jiàn)附錄A表3、表4。資產(chǎn)信息關(guān)鍵信息基礎(chǔ)設(shè)施要素的資產(chǎn)信息,主要包括:類型情況,包括但不限于網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲(chǔ)設(shè)備、服務(wù)器、工控設(shè)備、終端設(shè)備等;資產(chǎn)的名稱、品牌及型號(hào)、版本號(hào)、形態(tài)、用途;資產(chǎn)安全屬性;(應(yīng)用軟件應(yīng)明確開(kāi)發(fā)語(yǔ)言;資產(chǎn)開(kāi)放的端口及其端口上運(yùn)行的服務(wù)情況(公網(wǎng)開(kāi)放端口及服務(wù));IP(IP)信息及域名信息(包括公網(wǎng)域名);對(duì)應(yīng)的硬件資產(chǎn)信息(虛擬設(shè)備對(duì)應(yīng)的硬件資產(chǎn),云平臺(tái)的硬件設(shè)備明確到資源池級(jí)別)。部署信息網(wǎng)絡(luò)拓?fù)渲械倪壿嬑恢煤臀锢砦恢眯畔?。關(guān)系信息關(guān)鍵信息基礎(chǔ)設(shè)施要素與關(guān)鍵業(yè)務(wù)鏈、網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的關(guān)系信息,主要包括:支撐的關(guān)鍵業(yè)務(wù)鏈;所屬的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng);前序關(guān)系、后序關(guān)系;與其他系統(tǒng)關(guān)聯(lián)情況。6其他信息相關(guān)擴(kuò)展信息。關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定附錄A表1。包括下列主要內(nèi)容:基本信息絡(luò)設(shè)施信息等。要素信息鍵業(yè)務(wù)信息、關(guān)鍵業(yè)務(wù)信息流、要素清單等信息。識(shí)別時(shí)間7附 錄 A(資料性)關(guān)鍵信息基礎(chǔ)設(shè)施邊界記錄模板表A.1給出了關(guān)鍵信息基礎(chǔ)設(shè)施邊界記錄模板,表A.2給出來(lái)了關(guān)鍵信息基礎(chǔ)設(shè)施要素清單(概表)參考模板,表A.3關(guān)鍵信息基礎(chǔ)設(shè)施要素信息-硬件資產(chǎn)信息(詳表)參考模板,表A.4關(guān)鍵信息基礎(chǔ)設(shè)施要素信息-軟件資產(chǎn)信息(詳表)參考模板。表A.1關(guān)鍵信息基礎(chǔ)設(shè)施邊界(參考模板)識(shí)別時(shí)間:XXXX年XX月XX日關(guān)鍵信息基礎(chǔ)設(shè)施名稱網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的名稱基本信息運(yùn)營(yíng)者信息單位名稱單位地址單位性質(zhì)□政府機(jī)關(guān)□事業(yè)單位□國(guó)有企業(yè)□互聯(lián)網(wǎng)企業(yè)□其他單位負(fù)責(zé)人姓名職務(wù)國(guó)籍辦公電話首席網(wǎng)絡(luò)安全官姓名職務(wù)國(guó)籍辦公電話手機(jī)專門網(wǎng)絡(luò)安全管理機(jī)構(gòu)機(jī)構(gòu)名稱機(jī)構(gòu)負(fù)責(zé)人姓名辦公電話國(guó)籍手機(jī)機(jī)構(gòu)聯(lián)系人姓名辦公電話國(guó)籍手機(jī)關(guān)鍵信息基礎(chǔ)設(shè)施信息所屬行業(yè)領(lǐng)域所屬網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)所屬網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)類型云計(jì)算 ?移動(dòng)互聯(lián) ?物聯(lián)網(wǎng)工業(yè)控制系統(tǒng)?大數(shù)據(jù) ?區(qū)塊鏈容器責(zé)任關(guān)系:責(zé)任部門聯(lián)系方式相關(guān)人員8表A.1關(guān)鍵信息基礎(chǔ)設(shè)施邊界(參考模板)(續(xù))與關(guān)鍵業(yè)務(wù)的關(guān)系關(guān)鍵業(yè)務(wù)保護(hù)工作部門確定的關(guān)鍵業(yè)務(wù)業(yè)務(wù)運(yùn)行信息常態(tài)化運(yùn)行信息覆蓋地域、用戶規(guī)模、業(yè)務(wù)數(shù)據(jù)信息、資產(chǎn)規(guī)模、產(chǎn)量產(chǎn)值、業(yè)務(wù)規(guī)模等;本單位關(guān)鍵業(yè)務(wù)依賴的上下游業(yè)務(wù)信息;關(guān)鍵業(yè)務(wù)為其他行業(yè)提供服務(wù)的情況;極限情況運(yùn)行信息覆蓋地域、用戶規(guī)模、業(yè)務(wù)數(shù)據(jù)信息、資產(chǎn)規(guī)模、產(chǎn)量產(chǎn)值、業(yè)務(wù)規(guī)模等本單位關(guān)鍵業(yè)務(wù)依賴的上下游業(yè)務(wù)信息;本單位關(guān)鍵業(yè)務(wù)為其他行業(yè)提供服務(wù)的情況;涉及的其他運(yùn)營(yíng)單位單位名稱、單位地址數(shù)據(jù)資產(chǎn)信息數(shù)據(jù)資產(chǎn)數(shù)據(jù)類型、數(shù)據(jù)規(guī)模、安全性需求、重要程度、所屬關(guān)鍵業(yè)務(wù)租用網(wǎng)絡(luò)設(shè)施信息提供租用網(wǎng)絡(luò)設(shè)施的運(yùn)營(yíng)者單位名稱提供租用網(wǎng)絡(luò)設(shè)施的運(yùn)營(yíng)者單位地址關(guān)鍵信息基礎(chǔ)設(shè)施要素信息要素總計(jì)要素類型:硬件資產(chǎn)要素?cái)?shù)量:XX臺(tái)(套)要素類型:軟件資產(chǎn)要素?cái)?shù)量:XX臺(tái)(套)對(duì)應(yīng)關(guān)系關(guān)鍵業(yè)務(wù)以及極限情況下的關(guān)鍵業(yè)務(wù)與網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)功能對(duì)應(yīng)關(guān)系關(guān)鍵業(yè)務(wù)鏈關(guān)鍵業(yè)務(wù)鏈流程圖系統(tǒng)功能架構(gòu)系統(tǒng)功能架構(gòu)圖網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)鋱D及其介紹關(guān)鍵業(yè)務(wù)信息關(guān)鍵業(yè)務(wù)信息清單關(guān)鍵業(yè)務(wù)信息流關(guān)鍵業(yè)務(wù)信息流圖要素清單要素清單(概表)9表A.2關(guān)鍵信息基礎(chǔ)設(shè)施要素清單(概表)(參考模板)硬件類型設(shè)備類型所屬網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)設(shè)備數(shù)量軟件類型操作系統(tǒng)數(shù)據(jù)庫(kù)中間件應(yīng)用軟件......網(wǎng)絡(luò)設(shè)備路由器交換機(jī)…安全設(shè)備防火墻產(chǎn)品…存儲(chǔ)設(shè)備硬盤設(shè)備…服務(wù)器應(yīng)用服務(wù)器務(wù)器…工控設(shè)備PLCIPC…終端設(shè)備PC機(jī)移動(dòng)終端……………10A.3(詳表)(參考模板)XXX要素1資產(chǎn)信息資產(chǎn)類型資產(chǎn)名稱具體資產(chǎn)名稱品牌及型號(hào)形態(tài)(是否虛擬化設(shè)備)是/否用途安全屬性保密性、完整性、可用性軟件信息開(kāi)放端口及其對(duì)應(yīng)服務(wù)公網(wǎng)開(kāi)放端口及服務(wù)IP信息及域名信息資產(chǎn)的IP(包括對(duì)外IP)信息及域名信息(包括公網(wǎng)域名)根據(jù)參與關(guān)鍵業(yè)務(wù)處理時(shí)起相同功能、可相互替代的資產(chǎn)(節(jié)點(diǎn))進(jìn)行分類填寫。對(duì)應(yīng)的硬件資產(chǎn)虛擬設(shè)備對(duì)應(yīng)的硬

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論