关键信息基础设施认定办法登记表自查表.doc-道客多多

资源描述

1、 1 资料 1关键信息基础设施确定指南（试行）一、什么是关键信息基础设施关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。关键信息基础设施包括网站类，如党政机关网站、企事业单位网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。二、如何确定关键信息基

2、础设施关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。（一）确定本地区、本部门、本行业的关键业务。 2 可参考下表，结合本地区、本部门、本行业实际梳理关键业务。行业关键业务电力电力生产（含火电、水电、核电等）电力传输电力配送石油石化油气开采炼化加工油气输送油气储存能源煤炭煤炭开采煤化工金融银行运营证券期货交易清算支付保险运营铁路客运服务货运服务运输生产车站运行民航空运交通管控机场

3、运行订票、离港及飞行调度检查安排航空公司运营公路公路交通管控智能交通系统（一卡通、ETC 收费等）交通水运水运公司运营（含客运、货运）港口管理运营航运交通管控水利水利枢纽运行及管控长距离输水管控城市水源地管控医疗卫生医院等卫生机构运行疾病控制急救中心运行环境保护环境监测及预警（水、空气、土壤、核辐射等）工业制造（原材料、装备、消费品、电子制造）企业运营管理智能制造系统（工业互联网、物联网、智能装备等）危化品生产加工和存储管控（化学、核等）高风险工业设施运行管控市政水、暖、气供应管理城市轨道交通污水处理智慧城市运行及管控电信与互联网语音、数据、互联

4、网基础网络及枢纽域名解析服务和国家顶级域注册管理数据中心/云服务 3 广播电视电视播出管控广播播出管控政府部门信息公开面向公众服务办公业务系统（二）确定关键业务相关的信息系统或工业控制系统。根据关键业务，逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制系统，形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等；市政供水相关的水厂生产控制系统、供水管网监控系统等。（三）认定关键信息基础设施。对候选关键信息基础设施清单中的信息系统或工业控制系统，根据本地区、本部门、本行业实际，参照以下标准认定关键信息基础设施。A.网站类符合以下条件之一的，

5、可认定为关键信息基础设施：1. 县级（含）以上党政机关网站。2. 重点新闻网站。3. 日均访问量超过 100 万人次的网站。4. 一旦发生网络安全事故，可能造成以下影响之一的：（1）影响超过 100 万人工作、生活；（2）影响单个地市级行政区 30%以上人口的工作、生活；（3）造成超过 100 万人个人信息泄露； 4 （4）造成大量机构、企业敏感信息泄露；（5）造成大量地理、人口、资源等国家基础数据泄露；（6）严重损害政府形象、社会秩序，或危害国家安全。5. 其他应该认定为关键信息基础设施。B.平台类符合以下条件之一的，可认定为关键信息基础设施：1. 注册用户数超过 1000 万，或活跃用户（

6、每日至少登陆一次）数超过 100 万。2. 日均成交订单额或交易额超过 1000 万元。3. 一旦发生网络安全事故，可能造成以下影响之一的：（1）造成 1000 万元以上的直接经济损失；（2）直接影响超过 1000 万人工作、生活；（3）造成超过 100 万人个人信息泄露；（4）造成大量机构、企业敏感信息泄露；（5）造成大量地理、人口、资源等国家基础数据泄露；（6）严重损害社会和经济秩序，或危害国家安全。4.其他应该认定为关键信息基础设施。C.生产业务类符合以下条件之一的，可认定为关键信息基础设施：1. 地市级以上政府机关面向公众服务的业务系统，或与医疗、安防、消防、应急指挥、生产调度、交通指

7、挥等相关的城市管理系统。 5 2. 规模超过 1500 个标准机架的数据中心。3. 一旦发生安全事故，可能造成以下影响之一的：（1）影响单个地市级行政区 30%以上人口的工作、生活；（2）影响 10 万人用水、用电、用气、用油、取暖或交通出行等；（3）导致 5 人以上死亡或 50 人以上重伤；（4）直接造成 5000 万元以上经济损失；（5）造成超过 100 万人个人信息泄露；（6）造成大量机构、企业敏感信息泄露；（7）造成大量地理、人口、资源等国家基础数据泄露；（8）严重损害社会和经济秩序，或危害国家安全。4.其他应该认定为关键信息基础设施。 6 资料 2关键信息基础设施登记表填表单位（盖章

8、）：设施名称(全称)：单位全称组织机构代码单位地址省（自治区、直辖市）地（区、市、州、盟）县（区、市、旗）邮政编码：行政区划代码 1：单位类型党政机关事业单位社会团体国有及国有控股企业民营企业其它：法人代表/单位主要负责人 2姓名：职务：固定电话：主管单位信息上一级主管单位无有主管单位全称：设施主要负责人姓名：职务：手机：固定电话：网络安全管理部门及负责人是否已明确网络安全管理部门：是否负责人：职务：手机：固定电话：联系方式运维单位及联系人运维单位全称：运维联系人：手机： 1按照中华人民共和国行政区划代码（GB/T 2260

9、-2007）规定填写。2无法人代表的单位可填写单位主要负责人。 7 设施类型 3网站类，日均访问量：万次党政机关网站新闻信息网站事业单位网站社会团体网站国有企业网站其他：平台类，注册用户数 4：万人即时通信网络购物，日均成交订单额：万元网络交易，日均交易额：万元网络支付，日均交易额：万元其他，平台类型：生产业务类与危险品的生产、运输、仓储等直接关联功能描述（描述该设施所承载的主要功能，服务范围，以及设施对关键业务的支撑作用。）网页入口信息 5域名： IP 地址： ICP 备案号：设施特征是否实时运行：是否是否面向社会公众提供服务：是否基本信息影响分析发生网络安全事故

10、，可能导致以下后果（可多选）：影响单个地市级行政区 30%以上人口的工作、生活；直接影响 1000 万人工作、生活；影响 10 万人用水、用电、用气、用油、取暖或交通出行等；导致 5 人以上死亡或 50 人以上重伤；3根据附件 1 的关键信息基础设施确定指南的分类原则进行确定。4不需要用户注册的平台直接填“0” 。5网站和平台类填写网址；生产业务类填写用户登录入口信息；无用户登录入口，可填写后台管理系统登录入口信息。如无域名、ICP 备案号，可不填写。 8 影响分析造成 1000 万元以上直接经济损失；造成超过 100 万人个人信息泄露；造成大量机构、企业敏感信息泄露；造成大量地理、人口、资源

11、等国家基础数据 6泄露；严重损害社会和经济秩序，或危害国家安全。其他，影响程度描述：投入情况2015 年信息化建设（含运维）总投入（万元）：，其中网络安全总投入（万元）：基本信息信息技术产品国产化率服务器数量：台国产化率：存储设备数量：台国产化率：路由器数量：台国产化率：交换机数量：台国产化率：服务器操作系统数量：套国产化率：数据库管理系统数量：套国产化率：数据内容（可多选）收集或存储个人信息，涉及万人收集或存储商业数据，涉及个机构收集或存储国家基础数据，涉及数据内容存储位置全部境内存储有数据境外存储，主要存储地 7 数据集中全

12、国数据集中省级数据集中无数据集中与境外信息系统数据交换存在不存在数据存储数据加密数据存储与传输均加密数据存储与传输均未加密仅数据存储加密仅数据传输加密6指人口信息资源、法人单位信息资源、自然资源和空间地理信息资源、电子证照信息资源、社会信用信息资源等国家基础性信息资源。7填写存储地国际长途区号，如美国为 001，日本为 0081 9 网络运行环境与互联网物理隔离与互联网连接，互联网接入口数量：个运行环境托管情况未托管托管主要托管地 8：托管单位（全称）：托管方式：主机托管虚拟主机/云计算其它运行维护运维模式自行运维外包运维主要运维厂商全称：境内厂商境外厂商运维方

13、式：现场运维远程运维网设施风险评估 9对国外产品和服务的依赖程度：高中低面临的网络安全威胁程度：高中低网络安全防护能力：高中低8如在国内，填写行政区划编码，如在国外，填写所在国国际长途区号，如美国为 001，日本为 0081。9评估方法：一、对国外产品和服务的依赖程度1. 高：国外停止产品更新升级、终止技术支持等服务后，关键信息基础设施无法运行。2. 中：国外停止产品更新升级、终止技术支持等服务后，关键信息基础设施能够运行，但功能、性能等受较大影响。3. 低：国外停止产品更新升级、终止技术支持等服务后，关键信息基础设施能够正常运转或受影响较小。二、面临的网络安全威胁程度

14、1.关键信息基础设施具有下述特征之一的，为高安全威胁：（1）连接互联网，采用远程在线方式进行运维或对国外产品和服务高度依赖；（2）跨地区联网运行或网络规模大、用户多，采用远程在线方式进行运维或对国外产品和服务高度依赖；（3）存在其他可能导致设施中断或运行受严重影响、大量敏感信息泄露等威胁。 10 安全漏洞管理定期对系统漏洞进行检查分析：是否网络安全监测无自主监测委托第三方监测，监测机构全称：云防护措施采用云防护服务，服务商全称：未采用云防护服务应急措施网络安全应急预案：已制定未制定网络安全应急演练：本年度已开展本年度未开展灾备情况（可多选）数据灾备 RPO 10：系统灾备 R

15、TO 11：无灾备措施络安全状况网络安全状况网络安全事件2015 年发生的网络安全事件次数：次，其中由于软硬件故障导致的事件次数：次2015 年检测发现的高危漏洞数：个用途身份认证访问控制电子签名传输保护存储保护密钥管理安全审计其他商用密码使用情况密码设备使用了（台套）密码设备其中，取得国家密码管理局审批型号的数量（台套）未取得审批型号的国内产品数量（台套）2.具有下述特征之一的，为中安全威胁：（1）连接互联网，对国外产品和服务中度依赖；（2）跨地区联网运行或网络规模大、用户多，对国外产品和服务中度依赖；（3）存在其他可能导致设施运行受较大影响、敏感信息泄露等威胁。

16、3.具有下述特征之一的，为低安全威胁：（1）连接互联网，对国外产品和服务依赖度低；（2）跨地区联网运行或网络规模大、用户多，对国外产品和服务依赖度低；（3）存在其他可能导致设施运行受影响、信息泄露等威胁。三、网络安全防护能力1.高：经组织专业技术力量进行攻击测试，不能通过互联网进入或控制设施。2.中：经组织专业技术力量进行攻击测试，能够通过互联网进入或控制设施，但进入或控制系统的难度较高。3.低：经组织专业技术力量进行攻击测试，能够轻易通过互联网进入或控制设施。 11 国外产品数量（台套）未使用密码设备10RPO（ Recovery Point Objective）是指灾难发生后，容灾系统能

17、把数据恢复到灾难发生前时间点的数据，是衡量灾难发生后会丢失多少生产数据的指标。可简单的描述为设施能容忍的最大数据丢失量。11RTO（Recovery Time Objective）则是指灾难发生后，从关键信息基础设施宕机导致业务停顿之刻开始，到业务恢复运营所需要的时间间隔。可简单的描述为设施能容忍的恢复时间。 12 资料 3网络安全自查表一、单位基本情况单位名称组织机构代码网络安全专职工作人员本单位网络安全专职工作人员总数：_网络安全专职工作人员缺口：_二、信息系统基本情况信息系统数量信息系统总数（包括本单位自行运维和委托其他单位运维的信息系统）：_个其中: 网站数：业务系统数：办公系

18、统数（含邮件系统）：本年度新投入运行信息系统数量：_个互联网接入互联网接入口总数：_接入中国联通接入口数量：_ 接入中国电信接入口数量：_ 其他：_接入口数量：_ 门户网站域名：_.cn 域名 NS 记录：_.cn 域名 A 记录：_IP 地址段：_主要协议/端口：_接入运营商：_接入带宽：_CDN 提供商：_三、网络安全责任制落实情况负责网络安全管理工作的单位领导负责网络安全管理工作的单位领导：已明确未明确姓名：_职务：_是否本单位主要负责同志：是否负责网络安全管理工作的内设机构负责网络安全负责网络安全管理工作的内设机构：已明确未明确机构名称：_负责人：_职

19、务：_ 13 管理工作的内设机构联系人：_办公电话：_移动电话：_网络安全责任制度建设和落实情况网络安全责任制度：已建立未建立网络安全检查责任：已明确未明确本年度网络安全检查专项经费：已落实，_万无专项经费四、网络安全日常管理情况人员管理重点岗位人员安全保密协议：全部签订部分签订均未签订人员离岗离职安全管理规定：已制定未制定外部人员访问机房等重要区域审批制度：已建立未建立信息资产管理信息资产管理制度：已建立未建立设备维修维护和报废管理：已建立管理制度，且记录完整已建立管理制度，但记录不完整未建立管理制度经费保障上一年度信息化总投入：_万元，网络安全实际投入：_万元，其中采购网

20、络安全服务比例：_本年度信息化总预算（含网络安全预算）：_万元，网络安全预算：_万元，其中采购网络安全服务比例：_五、网络安全防护情况网络边界安全防护网络安全防护设备部署（可多选）：防火墙入侵检测设备安全审计设备防病毒网关抗拒绝服务攻击设备 Web 应用防火墙其它设备安全策略配置：使用默认配置根据需要配置网络访问日志：留存日志未留存日志无线网络安全防护本单位使用无线路由器数量：无线路由器用途：访问互联网：个访问业务/办公网络：个安全防护策略（可多选）： 14 无线网络安全防护采取身份鉴别措施采取地址过滤措施未设置安全防护策略无线路由器使用默认管理地址情况：存在不存在无线路由

21、器使用默认管理口令情况：存在不存在电子邮件安全防护建设方式：自行建设由上级单位统一管理使用第三方服务邮件服务提供商帐户数量：个注册管理：须经审批登记任意注册注销管理：人员离职后，及时注销无管理措施口令管理：使用技术措施控制口令强度位数要求：4 位 6 位 8 位其他：复杂度要求：数字字母特殊字符更换频次要求：强制定期更换，更换频次：无强制更换要求没有采取技术措施控制口令强度安全防护：（可多选）采取数字证书采取反垃圾邮件措施其他：终端计算机安全防护管理方式：集中统一管理（可多选）规范软硬件安装统一补丁升级统一病毒防护统一安全审计对移动存储介质接入实施控制统一身份管

22、理分散管理接入互联网安全控制措施：有控制措施（如实名接入、绑定计算机 IP 和 MAC 地址等）无控制措施 15 终端计算机安全防护接入办公系统安全控制措施：有控制措施（如实名接入、绑定计算机 IP 和 MAC 地址等）无控制措施移动存储介质安全防护管理方式：集中管理，统一登记、配发、收回、维修、报废、销毁未采取集中管理方式信息销毁：已配备信息消除和销毁设备未配备信息消除和销毁设备漏洞修复情况漏洞检测周期：每月每季度每年不进行漏洞检测2015 年自行发现漏洞数量：个收到漏洞风险通报数量：个其中已得到处置的漏洞风险数量：个六、网络安全应急工作情况已制定 2015 年修订情况：修订

23、未修订未制定应急预案2015 年应急预案启动次数：应急演练2015 年已开展，演练次数：，其中实战演练数： 2015 年未开展应急技术队伍本部门所属外部服务机构无七、网络安全教育培训情况培训次数 2015 年开展网络安全教育培训（非保密培训）的次数：_培训人数2015 年参加网络安全教育培训的人数：_占本单位总人数的比例：_八、技术产品使用情况品牌联想曙光浪潮华为 IBM HP DELL Oracle数量服务器其他：1. 品牌_，数量_ 16 服务器 2. 品牌_，数量_使用国产 CPU 的台数：_使用国产操作系统的台数：_品牌联想长城方正清华同方华硕宏基数量终端

24、计算机（含笔记本）其他：1. 品牌_，数量_2. 品牌_，数量_使用国产 CPU 的台数：_使用国产操作系统的台数：_使用 Windows XP/7/8 的台数：_安装国产字处理软件的台数：_安装国产防病毒软件的台数：_品牌金仓达梦 Oracle DB2 SQLServer Access MySQL数量数据库管理系统其他：1. 品牌_，数量 _2. 品牌_，数量 _品牌华为中兴锐捷网络 H3C Cisco Juniper数量路由器其他：1. 品牌_，数量_2. 品牌_，数量_品牌华为中兴锐捷网络 H3C Cisco Juniper数量交换机其他：1. 品牌_，数量_2.

25、品牌_，数量_存储设备总台数：_ 17 品牌：_ 数量：_品牌：_ 数量：_邮件系统总数：_品牌：_ 数量：_品牌：_ 数量：_九、商用密码使用情况密码功能用途（可多选）：身份认证访问控制电子签名安全审计传输保护存储保护密钥管理密码机数量：_ 密码系统数量：_智能 IC 卡数量：_ 智能密码钥匙数量：_动态令牌数量：_所采用的密码算法：对称算法：SM1 SM4 SM7 AES DES 3DES非对称算法：SM2 SM9 RSA1024 RSA2048 杂凑算法：SM3 SHA-1 SHA-256 SHA-384 SHA-512 MD5其它：_十、本年度技术检测及网络安全事

26、件情况渗透测试进行渗透测试的系统数量：其中，可以成功控制的系统数量：恶意代码 1检测进行病毒木马等恶意代码检测的服务器台数：_其中，存在恶意代码的服务器台数：_进行病毒木马等恶意代码检测的终端计算机台数：_其中，存在恶意代码的终端计算机台数：_技术检测情况技术检测情况安全漏洞检测结果进行漏洞扫描的服务器台数：_其中，存在高风险漏洞 2的服务器台数：_进行漏洞扫描的终端计算机台数：_1本表所称恶意代码，是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。 18 其中，存在高风险漏洞的终端计算机台数：_网络安全事

27、件情况监测到的网络攻击次数：其中：本单位遭受 DDoS 攻击次数：被嵌入恶意代码次数：网络安全事件次数：其中：服务中断次数：信息泄露次数：网页被篡改次数：十一、信息技术外包服务机构情况（包括参与技术检测的外部专业机构）机构名称机构性质国有单位民营企业外资企业合资企业外包服务机构 1服务内容系统集成系统运维风险评估安全检测安全加固应急支持数据存储数据分析灾难备份安全监测流量清洗其他机构名称机构性质国有单位民营企业外资企业合资企业外包服务机构 2服务内容系统集成系统运维风险评估安全检测安全加固应急支持数据存储数据分析灾难备份安全监测流量清洗其他2本表所称高风险漏洞，是指计算机硬件、软件或信息系统中存在的严重安全缺陷，利用这些缺陷可完全控制或部分控制计算机及信息系统，对计算机及信息系统实施攻击、破坏、信息窃取等行为。

展开阅读全文

关键信息基础设施认定办法 登记表 自查表.doc

关键信息基础设施认定办法登记表自查表.doc