中国 パブコメ 重要情報インフラ サイバーセキュリティ対応システムフレームワーク (2022.11.17)
こんにちは、丸山満彦です。
中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)、いわゆるTC260が重要情報インフラ事業者のサイバーセキュリティ対応システムフレームワークについての標準案を公表し、意見募集をしていますね。。。
データセンタ事業者や通信事業者に適用されるものだろうと思うのですが、日本の事業者にとっても参考になる部分はあるのだろうと思います。もちろん、伝統的な対策がほとんどなので、対策済みの項目がほとんどだろうとは思いますが...
● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)
・2022.11.17 关于国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》征求意见稿征求意见的通知
・[DOC] 信息安全技术 关键信息基础设施网络安全应急体系框架-标准文本.doc
・[PDF]
信息安全技术 关键信息基础设施网络安全应急体系框架 | 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク |
1 范围 | 1 適用範囲 |
本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。 | 本書は、重要情報インフラに対するサイバーセキュリティ緊急対応体制について、組織の設立、分析・識別、緊急対応計画、監視・早期警戒、緊急対応、事後復旧・総括、事故報告・情報共有、緊急防護、演習・訓練などの枠組みを示したものである。 |
本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。 | 本書は、重要情報インフラの運用者が、健全なサイバーセキュリティ緊急対応体制を構築し、サイバーセキュリティ緊急対応活動を行う際に適用できるとともに、重要情報インフラのセキュリティ保護に関わるその他の関係者にとっても参考となるものである。 |
2 规范性引用文件 | 2 規範となる引用文献 |
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 | 以下の文書の内容は、本文中の規範的な参照を通じて、この文書の本質的な規定を構成している。 このうち、日付のある文献については、その日付に対応するバージョンのみが本書に適用され、日付のない文献については、最新バージョン(すべての改訂シートを含む)が本書に適用される。 |
GB/Z 20986 信息安全技术 信息安全事件分类分级指南 | GB/Z 20986 情報セキュリティ技術 情報セキュリティインシデントの分類および等級付けガイド |
GB/T 25069—2022 信息安全技术 术语 | GB/T 25069-2022 情報セキュリティ技術用語集 |
GB/T 39204—2022 信息安全技术 关键信息基础设施安全保护要求 | GB/T 39204-2022 情報セキュリティ技術 重要情報インフラのセキュリティ保護に関する要求事項 |
GB/T AAAAA—XXXX 信息安全技术 网络安全信息共享指南 | GB/T AAAAA-XXXX 情報セキュリティ技術 サイバーセキュリティに関する情報共有のためのガイドライン |
目次的なもの。。。
信息安全技术 关键信息基础设施网络安全应急体系框架 | 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク |
1 范围 | 1 適用範囲 |
2 规范性引用文件 | 2 規範となる引用文献 |
3 术语和定义 | 3 用語の説明と定義 |
3.1 关键信息基础设施 critical information infrastructure | 3.1 重要情報インフラ |
3.2 网络安全事件 cybersecurity incident | 3.2 サイバーセキュリティインシデント |
3.3 应急响应 emergency response | 3.3 緊急対応 |
3.4 应急预案 emergency plan | 3.4 緊急対応計画 |
3.5 网络安全应急相关方 cybersecurity emergency relevant party | 3.5 サイバーセキュリティ緊急事態関連当事者 |
3.6 供应链 supply chain | 3.6 サプライチェーン |
3.7 关键业务链 critical business chain | 3.7 主要事業チェーン |
4 缩略语 | 4 略語 |
5 总体架构 | 5 一般的なアーキテクチャ |
6 机构设立 | 6 機関の設立 |
7 分析识别 | 7 分析・識別 |
8 应急预案 | 8 緊急対応計画 |
9 监测预警 | 9 監視と早期警告 |
9.1 风险发现 | 9.1 リスクの検出 |
9.2 风险分析 | 9.2 リスク分析 |
9.3 风险预警 | 9.3 リスク早期警告 |
10 应急处置 | 10 緊急対応 |
10.1 概述 | 10.1 概要 |
10.2 应急处置机制 | 10.2 緊急対応メカニズム |
10.3 业务应急处置 | 10.3 業務上の緊急対応 |
10.4 数据应急处置 | 10.4 データ緊急対応 |
10.5 供应链应急处置 | 10.5 サプライチェーンでの緊急対応 |
11 事后恢复与总结 | 11 事故後の復旧と棚卸し |
12 事件报告与信息共享 | 12 インシデント報告および情報共有 |
12.1 事件报告 | 12.1 インシデント報告 |
12.2 信息共享 | 12.2 情報共有 |
12.2.1 信息共享机制 | 12.2.1 情報共有の仕組み |
12.2.2 信息共享内容 | 12.2.2 情報共有の内容 |
13 应急保障 | 13 緊急時のセキュリティ |
13.1 基础保障 | 13.1 基本的なセキュリティ |
13.2 协同保障 | 13.2 協働セキュリティ |
13.3 业务保障 | 13.3 オペレーショナルセキュリティ |
13.4 数据保障 | 13.4 データセキュリティ |
13.5 供应链保障 | 13.5 サプライチェーンセキュリティ |
14 演练与培训 | 14 演習と訓練 |
14.1 演练 | 14.1 演習 |
14.2 培训 | 14.2 訓練 |
図1:CIIのサイバーセキュリティ緊急対応システムフレームワークの全体アーキテクチャ
・[DOCX] 仮対訳
意見募集の一覧
・标准征求意见(100件単位)
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例
・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈
・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項
・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他
« ENISA EUにおけるサイバーセキュリティ投資 2022 | Main | 個人情報保護委員会 第44回世界プライバシー会議(GPA)結果報告について「顔認識技術における個人情報の適切な利用に関する原則及び期待」 »
Comments