登录   |   注册
    准考证打印   论文投票   报考指南   论文辅导   软考培训   郑重申明  
您现在的位置:  首页 > 审核员考试学苑 > 信息安全管理体系审核员 > 复习指南 >> 正文
正文
哪些是关键信息基础设施?
来源:网络 作者:尚大教育 时间;2020-07-15 点击数: 尚大CCAA流群:296661694
最近全国各地公安部门的网络安全执法检查工作正在进行中,其中检查的重要内容之一就是摸清网络安全法中重点提到的关键信息基础设施,那么到底哪些是我们的关键信息基础设施呢,今天不得不等根据《网络安全法》和《国家网络空间安全战略》两个文件探讨总结下。网络安全法第三十一条指出: 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、
<尚大教育,教育至上,人才为大:sdedu.cc>

背景:
小尚君,最近收到ISMS信息安全管理体系审核员学员,反馈在学习《网络安全法》直播后,做相关考试真题发现以下的疑问:
原题:以下属于“关键信息基础设施”的是(   )

  1. 输配电骨干网监控系统
  2. 计算机制造企业 IDC 供电系统
  3. 高等院校网络接入设施
  4. 高铁信号控制系统

尚大教育-参考答案:ABCD
学员疑问:为什么不是ABD呢,高等院校网络接入设施是不是“关键信息基础设施”,《网络安全法》第三十一条指出: 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
好像没有写到教育呀?为什么是ABCD都是呢?
【尚大教育】答: 话不多说,下面引用 徐州市公安局的原文做参考,方便学员理解哪些是“关键信息基础设施”,看完原文相信大家就明白了,毕竟公安机关的同志走在一线执法,有更多的发言权。
发布:徐州市公安局  发布时间:2017-09-06 15:34:06  浏览次数:34585
原文网址:http://gaj.xz.gov.cn/72/19997.jhtml

最近全国各地公安部门的网络安全执法检查工作正在进行中,其中检查的重要内容之一就是摸清网络安全法中重点提到的关键信息基础设施,那么到底哪些是我们的关键信息基础设施呢,今天不得不等根据《网络安全法》和《国家网络空间安全战略》两个文件探讨总结下。网络安全法第三十一条指出: 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。这里明确说明的单位是:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务,这样的描述还是有点模糊,可以肯定的是:运营商、传媒、能源、交通、水利、金融行业的用户都是有关键信息基础设施的,那么是不是所有这类型的单位都有关键信息基础设施呢,不得不等认为也不是,首先得是这些单位的核心业务系统,里面存储了敏感信息或大量公民个人信息,第二应当是国家部委、省级和地级市这类型单位的这些核心业务系统,一旦遭受攻击,影响范围广,严重危害国家安全、国计民生及公共利益。

2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布的《国家网络空间安全战略》中指出:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。这次就更明确了一些单位,可以确定的是:公共通信运营商广播电视等基础信息网络,能源、交通、水利、金融、教育、科研、工业制造、医疗卫生、社会保障、公用事业、国家机关的重要信息系统和重要互联网应用系统。涉及到这些类型的单位肯定是关键信息基础设施单位。

综合这两块信息,不得不等再细化下最终拥有关键信息基础设施单位。公共通信运营商,广播电视等基础信息网络,这里主要指的是:移动、联通、电信、卫通、各地的广播电视台,有一点可以想象下:现在在线视频平台特别是影响大的平台未来必定也要纳入监管,纳入关键基础设施单位。能源、交通、水利、金融、教育、科研;这里相对比较容易理解,能源主要指的是电力行业,从发电端到电网到最终的收费端都在里面;交通和水利行业的核心业务系统,生产控制系统;教育不得不等认为应该是:至少地级市及以上教育部门都是,涉及到学生信息、招生录取信息的单位肯定是重点,重点高等院校都是,哪些是重点高等院校还需要再明确。金融:传统的银行、证券、保险,包括新兴的互联网金融。工业制造、医疗卫生、社会保障、公用事业,这里不得不等认为应该是:涉及到国家经济命脉的大型工业制造单位都是,央企、大型国企首当其冲,医疗卫生至少地级市及以上卫计委、疾控中心等有大量公民医疗数据的单位都是,在地级市及以上有重要影响力的三级医院HIS系统都是(应当以一个日均门诊量算,如门诊达到一个数字的就可以纳入),社会保障涉及到:社保单位、公积金单位、民政单位,同理,至少地级市及以上这类单位肯定是。公用事业:水、电、气、公共交通肯定是国家机关的重要信息系统:所有国字头的政府机关三级信息系统肯定是,省市两级的重要业务信息系统也是。重要互联网应用系统,这块不得不等认为应当是包含民营单位的重要互联网应用系统:如腾讯、阿里、苏宁、百度这类型对公众服务的信息系统应当是。重要互联网应用系统的特征是服务范围广,面向全省或全国进行服务,存储了大量公民个人基础信息,一旦造成破坏或泄露,影响范围广,对公共利益造成严重损害。电子政务外网的国家、省级、市级网络应纳入关键信息基础设施,对接入省级及以上的电子政务外网的单位信息系统应不低于三级信息系统进行防护建设。最后补充一点所有这些系统主要是地级市及以上这类型单位的核心系统,当然现在一些发达地区的县级市或区县一些系统涉及到的公民个人信息数据量也很大,建议纳入或者参照关键信息基础设施进行安全防护。

明确理清了哪些是关键信息基础设施,对于有关键信息基础设施的甲方单位就得将安全工作落实到位,对这些信息系统进行重点建设重点防护,确保风险最低,保障系统的安全。对于乙方单位来说,自己看看更适合从哪个行业做突破,为我国的网络安全事业舔砖加瓦。那如何建设防护关键信息基础设施呢?《网络安全法》指明了道路:关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。那么这些关键信息基础设施的等保等级至少是三级。

<尚大教育,教育至上,人才为大:sdedu.cc>
来顶一下
返回首页
返回首页
上一篇:学习标准--GB/T20988-2007 信息安全技术信息系统灾难恢复规范
下一篇:2019年ISO/IEC 27000标准族的进展
 相关文章
 
 
跟贴共
笔 名 :   验证码:
网友评论仅供其表达个人看法,并不表明尚大教育同意其观点或证实其描述
距离2021年5月22-23日审核员考试还有
尚大CCAA交流群:296661694