《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)国家标准于日前发布。作为关键信息基础设施安全保护标准体系的构建基础,该标准将于2023年5月1日正式实施。
该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
分析识别
围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。
安全防护
根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。
检测评估
为检验安全防护措施的有效性,发现网络安全风险隐患,应制定相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。
监测预警
制定并实施网络安全监测预警和信息通报制度,针对发生的网络安全事件或发现的网络安全威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高主动发现攻击能力。
主动防御
以对攻击行为的监测发现为基础,主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。
事件处置
运营者对网络安全事件进行报告和处置,并采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
《保护要求》作为《关键信息基础设施安全保护条例》一项重要的配套标准,对于关键信息基础设施继承了《条例》“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”的定义, 与《网络安全法》第31条的定义方式保持了一致,采用的仍是举例加后果概括的方式。
《保护要求》安全防护阶段供应链安全保护部分与《网络安全审查办法》中要求的” 重点评估采购网络产品和服务可能带来的国家安全风险“。《条例》中要求的”运营者应当优先采购安全可信的网络产品和服务并签订安全保密协议“对接,提出“供应链安全管理策略、年度采购清单等”具体要求,确保关键信息基础设施供应链安全。
《保护要求》安全防护阶段在等级保护的基础上强调了数据安全防护,与《数据安全法》衔接。如果把数据看成是“货物”,关键信息基础设施(CII)可以看成是承载“货物”的容器。《网络安全法》、《数据安全法》和《条例》形成了对重要网络活动、数据活动的基本规则体系,《保护要求》则是直接与等级保护要求进行对接,进行安全保护要求的落地。
本标准提出的关键信息基础设施安全保护要求,可为保护工作部门、关键信息基础设施运营者、网络安全服务机构等开展安全保护工作提供指引和依据,有助于进一步提升国家关键信息基础设施安全保障能力和水平,推动我国网络强国战略实施、数字经济的健康良性发展。
保护工作部门:支撑其开展关键信息基础设施安全保护建设、运维、评价和考核工作。
关键信息基础设施运营者:帮助其采取管理和技术措施对关键信息基础设施进行全生存周期安全保护。
网络安全服务机构:为其开展网络安全检测和风险评估等活动提供依据。
来源:全国信息安全标准化技术委员会
相关推荐:
《数据安全法》表决通过,对电子政务数据安全提出明确要求!国务院发布《关键信息基础设施安全保护条例》
新版《网络安全审查办法》修订发布,已正式实施
中央网信办:落实《网络安全审查办法》保护信息安全
附下载|工信部信息中心《数据传输安全白皮书》重磅发布
