2022年11月7日,《信息安(ān)全技(jì )术 关键信息基础设施安(ān)全保护要求》(GB/T 39204-2022)國(guó)家标准发布,作(zuò)為(wèi)关键信息基础设施安(ān)全保护标准體(tǐ)系的构建基础,该标准将于2023年5月1日正式实施。
01
研制背景
為(wèi)了更好的落地《网络安(ān)全法》、配合《关键信息基础设施安(ān)全保护条例》等法律法规标准的实施,在网络安(ān)全等级保护制度基础上借鉴重要行业和领域网络安(ān)全保护的经验,在市场监管总局标准技(jì )术司、中(zhōng)央网信办(bàn)网络安(ān)全协调局、公(gōng)安(ān)部网络安(ān)全保卫局的指导下,相关部门制定了《信息安(ān)全技(jì )术 关键信息基础设施安(ān)全保护要求》。
02
相关法律法规
1、《中(zhōng)华人民(mín)共和國(guó)网络安(ān)全法》
4、《中(zhōng)华人民(mín)共和國(guó)数据安(ān)全法》
5、《关键信息基础设施安(ān)全检查评估指南》(征求意见稿)
03
主要内容
《关键信息基础设施安(ān)全保护要求》给出了关键信息基础设施安(ān)全保护3项基本原则、从6个方面提出了111条安(ān)全要求,為(wèi)运营者开展关键信息基础设施保护工(gōng)作(zuò)需求提供了强有(yǒu)力的保障。
共11个章节,分(fēn)别从范围、引用(yòng)文(wén)件、术语、原则、主要内容和活动、分(fēn)析识别、安(ān)全防护、检测评估、监测预警、主动防御、事件处理(lǐ)等角度对关键信息基础设施安(ān)全保护进行了全面的要求。
重点强调了采取必要措施保护关键信息基础设施业務(wù)连续运行及其重要数据不受破坏,切实加强关键信息基础设施安(ān)全保护。
以关键业務(wù)為(wèi)核心的整體(tǐ)防控。
以风险管理(lǐ)為(wèi)导向的动态防护。
以信息共享為(wèi)基础的协同联防。
提出了关键信息基础设施保护主要从分(fēn)析识别、安(ān)全防护、检测评估、监测预警、主动防御、事件处置等六个方面的安(ān)全控制措施,适用(yòng)于指导运营者对关键信息基础设施进行全生存周期安(ān)全保护,也可(kě)供关键信息基础设施安(ān)全保护的其他(tā)相关方参考使用(yòng)。
04
内容解读
1、分(fēn)析识别
主要有(yǒu)开展业務(wù)识别(4)、资产(chǎn)识别(3)、风险识别(20984)、重大变更(以上内容的变化)
业務(wù)识别:
-
关键业務(wù)和外部业務(wù)的关联性
-
关键业務(wù)对外部业務(wù)的依赖性
-
关键业務(wù)对外部业務(wù)的重要性
-
关键业務(wù)链的分(fēn)布和管理(lǐ)
资产(chǎn)识别:
-
资产(chǎn)清单
-
资产(chǎn)级别
-
资产(chǎn)探测
风险识别:
重大变更:
2.安(ān)全防护
-
遵从网络安(ān)全等级保护基本要求,开展定级、备案及相关工(gōng)作(zuò);
-
根据识别的关键业務(wù)、资产(chǎn)、安(ān)全风险,在安(ān)全管理(lǐ)制度、安(ān)全管理(lǐ)机构、安(ān)全管理(lǐ)人员、安(ān)全通信网络、安(ān)全计算环境、安(ān)全建设管理(lǐ)、安(ān)全运维管理(lǐ)等方面实施安(ān)全管理(lǐ)和技(jì )术保护措施,确保关键信息基础设施的运行安(ān)全;
-
确定了制订网络安(ān)全保护计划,并最少每年更新(xīn)一次,或者发生安(ān)全事件的情况下更新(xīn);
-
设置首席安(ān)全官,专管或者分(fēn)管关键信息基础设施;
-
关键岗位设置两人管理(lǐ),对关基人员不少于30學(xué)时的培训;
-
采用(yòng)“一主双备”,“双节点” 冗余的网络架构;
-
根据區(qū)域不同做严格把控,并保留相关日志(zhì)不少于6个月;
-
应使用(yòng)自动化工(gōng)具(jù)进行管理(lǐ),对漏洞、补丁进行修复;
-
对供应链安(ān)全和数据安(ān)全也作(zuò)出了相关的要求。
3.检测评估
-
明确检测评估策略,根据國(guó)家政策、法律法规要求和组织需求,阐述检测评估目的、范围、角色、责任及组织内协调等;
-
建立健全关键信息基础设施安(ān)全检测评估制度和流程,检测评估应包括合规检查、技(jì )术检查、分(fēn)析评估等方面;
-
建立年度检测评估工(gōng)作(zuò)责任制,明确检测中(zhōng)的角色分(fēn)工(gōng)和相应职责,建立相应问责机制;
-
制定检测评估机制,自行或者委托國(guó)家或行业认可(kě)的网络安(ān)全服務(wù)机构,对其安(ān)全性和安(ān)全风险进行检测评估。
4.监测预警
-
制订监测策略,明确监测对象、监测流程、监测内容,主动掌握威胁态势;
-
明确本组织的预警信息分(fēn)级标准,明确本组织的预警信息分(fēn)级标准;明确不同级别预警信息的报告、响应和处置流程;
-
建立综合评估机制,综合评估特定时间期限内的监测预警情况;
-
构建完善监测预警和信息通报机制,按规定向行业主管、國(guó)家监管等部门报送网络安(ān)全监测预警信息。
5.主动防御
-
构建攻防演习机制,使关键基础设施运营单位在实战中(zhōng)全面提升威胁应对能(néng)力,提升纵深防御能(néng)力、动态防御能(néng)力;
-
构建主动防御能(néng)力,形成整體(tǐ)防控、精(jīng)准防控和联防联控的安(ān)全运营體(tǐ)系;
-
完善突发事件应急机制,有(yǒu)效处置网络安(ān)全事件,并针对应急演练中(zhōng)发现的突出问题和漏洞隐患,及时整改加固,完善保护措施;
-
构建安(ān)全准入管理(lǐ)制度,开展互联网暴露面治理(lǐ),全面了解互联网暴露面,并收敛暴露面。
6.事件处理(lǐ).处理(lǐ)
-
建立网络安(ān)全事件管理(lǐ)制度,明确不同网络安(ān)全事件的分(fēn)类分(fēn)级,明确不同类别、级别及特殊时期的网络安(ān)全事件报告、处置和响应流程;
-
明确人员职责制度,建立并落实资产(chǎn)安(ān)全管理(lǐ)、漏洞持续管理(lǐ)、安(ān)全策略管理(lǐ)、风险持续监测和安(ān)全事件响应处置闭环流程,提升处置效率;
-
建立合作(zuò)机制,运营者与外部机构之间、其他(tā)运营者之间的合作(zuò)机制,以及运营者内部管理(lǐ)人员、内部网络安(ān)全管理(lǐ)机构与内部其他(tā)部门之间的合作(zuò)机制;
-
制订应急预案,根据演练情况对应急预案进行评估和改进;制定重大事件和威胁报告规范,明确报告流程和方法;
-
建立信息上报机制,当网络系统出现特别重大网络安(ān)全事件时,应及时报告行业主管部门和相关监管部门。
7.解析部分(fēn)
-
网络安(ān)全管控从单體(tǐ)系、单制度、单技(jì )术向多(duō)个體(tǐ)系的建立、多(duō)个制度的管理(lǐ)、多(duō)项技(jì )术的融合推进,并建立之间的关联关系;
-
从安(ān)全保护的角度,把等级保护、关基保护、数据保护统一规划,确定网络安(ān)全保护计划并更新(xīn);
-
关键信息基础设施自身的安(ān)全保护能(néng)力包括动态防御能(néng)力、主动防御能(néng)力、纵深防御能(néng)力、精(jīng)准防护能(néng)力、整體(tǐ)防控能(néng)力、联防联控能(néng)力;
-
以网络安(ān)全等级保护為(wèi)基础,增加了在岗绩效考核的管理(lǐ)。
05
实施价值和意义
1、关键信息基础设施保护要求是國(guó)家网络安(ān)全保护的又(yòu)一重要求,是安(ān)全體(tǐ)系的新(xīn)成员,是在网络安(ān)全法、关键信息基础设施保护条例后对关键信息基础设施保护的又(yòu)一个重量级的基石。
2、公(gōng)安(ān)机关将大力加强关键信息基础设施安(ān)全保卫和安(ān)全监管,严厉打击相关违法犯罪活动,与有(yǒu)关部门密切配合,着力构建关键信息基础设施综合防御體(tǐ)系,大力提升综合防御能(néng)力和水平,坚决维护好國(guó)家网络空间安(ān)全。
3、《关键信息基础设施安(ān)全保护要求》主要是对关键信息基础设施保护作(zuò)出明确要求,在等级保护基础上重点保护提出了要领。
4、《关键信息基础设施安(ān)全保护要求》对设施运营者提出了更加具(jù)體(tǐ)的要求,应当落实网络安(ān)全责任,建立健全网络安(ān)全保护制度,设置专门安(ān)全管理(lǐ)机构,开展安(ān)全监测和风险评估,报告网络安(ān)全事件或网络安(ān)全威胁,规范网络产(chǎn)品和服務(wù)采購(gòu)活动。
京公(gōng)网安(ān)备
11010802025310号