《重要信息系统具体范围和识别指南》编制说明

1湖南省地方标准《重要信息系统具体范围和识别指南》（征求意见稿）编制说明一、任务来源《重要信息系统具体范围和识别指南》地方标准是经湖南省市场监督管理局批准列入《湖南省市场监督管理局关于下达2023年度地方标准制修订项目第2批增补立项计划的通知》湖南省委网络安全和信息化委员会办公室提出并归口，由中共湖南省委网络安全和信息化委员会办公室、中共长沙市委网络安全和信息化委员会办公室、湖南省金盾信息安全等级保护评估中心有限公司负责起草。二、编制背景网络安全法律法规均明确了需要安全保护的重点及对象。《中华人民共和国网络安全法》明确要求关键信息基础设施在网络安全等级保护制度的基础上实行重点保护；对重要系统和数据库进行容灾备份。《关键信息基础设施安全保护条例》明确关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施与重要信息系统等。《湖南省网络安全和信息化条例》第十五条明确要求省人民政府对湖南省行政区域内未列入关键信息2基础设施的重要信息系统，在网络安全等级保护制度的基础上，实行重点保护。安全保护对象的定义、识别或分级分类是开展安全保护工作的基础。上述法律法规明确了国家及地方对关键信息基础设施、重要信息系统、重要数据保护的重视，并且对于关键信息基础设施、重要数据在法规标准中都有了明确定义，也形成了相应的配套文件对相关对象的识别判定方法，如国家推荐标准《信息安全技术关键信息基础设施边界确定方法》、《信息安全技术重要数据识别指南》（征求意见稿）、《信息安全技术网络安全等级保护定级指南》，新疆地方标准《关键信息基础设施识别指南》。但对于重要信息系统的定义、范围和识别方法没有定论，对重要信息系统的识别方法和途径尚未形成实践指引。《湖南省网络安全和信息化条例》对我省重要信息系统保护工作提出了明确要求。第十六条明确重要信息系统的行业主管或者监督管理部门指导和监督本行业、本领域的重要信息系统运行安全保护工作，负责编制和组织实施本行业、本领域重要信息系统安全规划，建立健全网络安全监测预警和网络安全事件应急预案，定期组织开展网络安全检查监测、应急演练；第十五条明确重要信息系统的具体范围和识别指南由省网信部门会同公安等部门制定。因此，识别出我省哪些信息系统是重要信息系统，成为我省重要信息系统保护工作开展的前提条3件，也是亟需解决的问题。三、国内外情况近年来，我国各级党委政府高度重视网络安全工作，在关键信息基础设施、重要信息系统、数据安全与个人信息保护等多个领域密集出台了多项网络安全法律法规和政策文件，主要法律法规有2017年6月1日正式实施的《中华人民共和国网络安全法》，2021年8月17日国务院发布的《关键信息基础），网信办、发改委、工信部等十三部门联合修订发布《网络安全），人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》，2021年12月3日湖南省第十三届人民代表大会常务委员会第二十七次会议通过《湖南省网络安全和信息化条加强了对网络安全建设的指导及监督，增强了网络安全意识，促进了网络安全产业发展，为筑牢国家网络安全屏障、推进网络强国建设提供了有力支撑。四、编制原则和依据1、合规性：该标准中涉及的内容，均以相关法律法规、4政策性文件作为主要参考依据。2、统一性：力求与其它相关行业标准相统一、相协调、相一致。3、简明性：力求简单明确且无歧义。4、规范性：该标准严格按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》等标准的要求进行编写，以保证标准文本的规范性。本标准编制的主要依据有：中华人民共和国网络安全法中华人民共和国密码法中华人民共和国数据安全法中华人民共和国个人信息保护法关键信息基础设施安全保护条例网络数据安全管理条例（征求意见稿）网络安全审查办法湖南省网络安全和信息化条例GB/T29246-2017信息安全管理体系概述和词汇GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T35273-2020信息安全技术个人信息安全规范GB/T39204-2022信息安全技术关键信息基础设施安全5保护要求GB/Z20986-2007信息安全技术信息安全事件分类分级指南重要数据识别规则（征求意见稿）DB65/T4438-2021关键信息基础设施识别指南T/SZBA001-2023数据安全合规评估方法五、本标准的编制过程本标准的主要编制过程包括以下几个阶段:1、成立标准起草小组2023年2月，标准编制工作任务下达后，成立了标准起草工作小组，制定工作方案，明确任务分工、确定了工作重点和时间进度。2、开展前期调研2023年3月，起草小组开展标准的前期调研工作。首先，收集、整理和分析相关国家、行业、地方标准及有关材料。其次，采用文献查阅法，利用中国知网数据库、互联网等，全面查阅与本标准相关的文献资料。3、形成标准草案2023年4月，在收集、分析国内外相关法律、法规和其他省市地方相关标准制定经验的基础上，进行梳理、总结、提炼后，明确我省《重要信息系统具体范围和识别指南》标准制定的范围及内容，搭建标准框架，工作小组内部分工完成各组6成部分的编制，形成标准草案。4、分阶段召开标准草案研讨会2023年5月-7月，先后多次召开标准草案研讨会，多方征求意见，然后对标准草案进行修改、调整和完善。参与标准讨论的有行业技术专家、网络安全专家和标准化专家等。5、形成标准征求意见稿及编制说明2023年8月，邀请社会及行业专家进一步分析我省重要信息系统特点，研究国家、行业相关标准和技术资料，开展集中讨论，就标准文本逐条逐句进行讨论，对标准框架和内容进行修改完善，形成征求意见稿及编制说明。六、标准的结构和技术内容本文件规定了重要信息系统的术语和定义、具体范围、识别原则、识别因素、识别基本流程和认定变更等内容。本文件适用于信息系统运营者和有关行业主管、监督管理部门开展重要信息系统的识别和认定。本文件具体技术框架在调研分析工作阶段已经完成，技术标准框架主要包括：2.规范性引用文件3.术语和定义4.重要信息系统具体范围5.重要信息系统识别原则76.重要信息系统识别因素7.重要信息系统识别基本流程8.认定变更9.附录10.参考文献七、与现行法律法规及相关标准的协调性本标准与法律法规及相关标准相协调，没有与