《关键信息基础设施安全保护要求》于明年五月正式实施
为了更好的落地《网络安全法》、配合《关键信息基础设施安全保护条例》等法律法规标准的实施,在网络安全等级保护制度基础上借鉴重要行业和领域网络安全保护的经验,在市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局的指导下,相关部门制定了《信息安全技术 关键信息基础设施安全保护要求》。
作为关键信息基础设施安全保护标准体系的构建基础,《信息安全技术关键信息基础设施安全保护要求》将于 2023 年 5 月 1 日正式实施。该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护 3 项基本原则。从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等 6 个方面提出了 111 条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
知识拓展:《关键信息基础设施安全保护要求》四大特点
1、全面落实政策法规要求
一是充分借鉴国内外的典型网络安全框架模型(如 IPDRR),结合政策法规中提出的安全保护重点工作,确立了 CII 安全防护的 6 个关键环节:分析识别、安全防护、检测评估、监测预警、主动防御和事件处置,并以此为基础构建 CII 安全防护技术体系;二是《网络安全法》、《关键信息基础设施安全保护条例》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960 号)等法律法规和政策文件中明确提出的且适合在标准中规范的,均在标准中有相应的要求落地,比如制定保护工作计划、人员安全审查、日志保存 6 个月等。
2、与等级保护相关标准紧密衔接
为体现在等级保护制度上实现重点保护,《关基保护要求》对于已经在网络安全等级保护标准,如 GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》(简称《等级保护要求》),中提出的安全条款不再进行重复规定,而是针对 CII 防护的特殊需求(如主动防御)和增强要求(如自动化工具),提出更高的安全要求,进而体现整体防护、动态防护和联防联控。因此,运营者在规划和建设时需要将《等级保护要求》和《关基保护要求》组合起来,共同作为 CII 应落实的安全要求。
3、充分体现 CII 特点
一是 CII 可能包含多个定级对象,定级对象之间存在不同的互联和信任关系,《关基保护要求》对于这些互联可能带来的安全风险提出了明确的安全防护要求;二是 CII 可能是跨运营者跨部门的。对于 CII 对象涉及到多个运营主体的情况下,《关基保护要求》提出了多运营者责任层层落实、协同防护的要求;三是以保护关键业务为目标,面向关键业务链及其依赖的资产提出落实“三化六防”的安全要求。
4、采用能力目标的描述方式
安全要求条款采用能力目标性描述方式,不限定具体安全措施。这种描述方式一方面方便运营者灵活落实,同时也为技术发展预留了演进空间。
【相关链接】:
评论