“关键信息基础设施”边界在哪里?| 信安标委:关于国家标准《信息安全技术 关键信息基础设施边界确定方法》征求意见稿征求意见的通知
《密码法》规定“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护”。
提问
“关键信息基础设施”边界在哪里?
近日,信安标委发布了“国家标准《信息安全技术 关键信息基础设施边界确定方法》征求意见稿”。
小编摘抄了相关内容, 给大家科普一下“关键信息基础设施”、商用密码、边界的关系:
《密码法》关于“关键信息基础设施”的相关具体规定如下:
第二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
第三十七条 关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
关键信息基础设施的运营者违反本法第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
信安标委关于“国家标准《信息安全技术 关键信息基础设施边界确定方法》”的编制说明(部分)如下
近年来,保障关键信息基础设施持续、稳定运行已经成为我国网络安全工作的重中之重,识别关键信息基础设施成为关键信息基础设施保护工作的基础环节。目前制定中的关键信息基础设施国家标准有四个,分别是:《信息安全技术 关键信息基础设施保护要求》、《信息安全技术 关键信息基础设施控制措施》、《信息安全技术 关键信息基础设施检查评估指南》、《信息安全技术 关键信息基础设施安全保障指标体系》。四者分别从基础保护、安全控制、检查评估等方面进行了规范。但我国在关键信息基础设施边界识别方面还没有形成相应的具体规定,缺乏相应标准,导致关键信息基础设施边界识别工作存在一定乱象,检测、监测、设备审查的范围存在主观扩大、缩小甚至随意指定的现象,关键信息基础设施边界识别工作亟待规范。
通知全文
关于国家标准《信息安全技术 关键信息基础设施边界确定方法》征求意见稿征求意见的通知
2020-08-10
各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 关键信息基础设施边界确定方法》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2020年10月09日前反馈给信安标委秘书处。
联系人:王姣 13661025214 wangjiao@cesi.cn
全国信息安全标准化技术委员会秘书处
2020年08月10日
微信回复“813” ,获取如下全文:
标准文本:关键信息基础设施边界确定方法-标准文本.doc
编制说明:关键信息基础设施边界确定方法-编制说明.doc
意见汇总处理表:关键信息基础设施边界确定方法-意见汇总处理表.doc
* 工信部发文开展网安技术应用试点示范工作,重点提及商用密码应用
* 交通运输部发布交通领域新基建指导意见,要求切实推广商用密码技术应用
* 等保对象知多少
*【国家密码管理局】商用密码产品型号证书换发认证证书工作顺利完成
*【原创】密码服务支撑新基建:5GV2X中的密码