首页> 技术观点 > 爱加密解读|《信息安全技术 关键信息基础设施安全保护要求》

爱加密解读|《信息安全技术 关键信息基础设施安全保护要求》

发布时间:2022-11-09

“没有网络安全就没有国家安全”,网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,而关键信息基础设施的安全防护是国家网络安全工作的重中之重。《关键信息基础设施安全保护条例》已于2021年9月1日施行,作为关键信息基础设施安全保护标准体系的构建基础,《信息安全技术 关键信息基础设施安全保护要求》国家标准将于2023年5月1日正式实施。

 

为了更好的落地《网络安全法》、配合《关键信息基础设施安全保护条例》等法律法规标准的实施,在网络安全等级保护制度基础上借鉴重要行业和领域网络安全保护的经验,在市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局的指导下,相关部门制定了《信息安全技术 关键信息基础设施安全保护要求》。

 

主要内容

 

《关键信息基础设施安全保护要求》总共分为11个章节,范围、引用文件、术语、原则、主要内容和活动、分析识别、安全防护、检测评估、监测预警、主动防御、事件处理。以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护为3项基本原则,提出了关键信息基础设施保护主要从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面的安全控制措施,这111条安全要求为运营者开展关键信息基础设施保护工作需求提供了标准保障。重点强调了采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。

 

内容解读

 

1.分析识别

 

主要包括业务识别、资产识别、风险识别和重大变更。

 

业务识别: 

关键业务和外部业务的关联性、关键业务对外部业务的依赖性、关键业务对外部业务的重要性、关键业务链的分布和管理 。    

 

资产识别:

资产清单、资产级别及资产探测。

 

风险识别: 

应依据GB/T 20984等标准做风险评估,开展风险安全分析、采取安全控制措施。

 

重大变更:

关键信息基础设施改建、扩建及管理人员及其他的变更,应及时报告相关部门并更新资产清单。

 

2.安全防护

 

遵从网络安全等级保护基本要求,开展定级、备案及相关工作;

根据识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全;

确定了制定网络安全保护计划,并最少每年更新一次,或者发生安全事件的情况下更新;

  • 设置首席安全官,专管或者分管关键信息基础设施;

  • 关键岗位设置两人管理,对关基人员不少于30学时的培训;

  • 采用“一主双备”,“双节点” 冗余的网络架构;

  • 根据区域不同做严格把控,并保留相关日志不少于6个月;

  • 应使用自动化工具进行管理,对漏洞、补丁进行修复;

  • 对供应链安全和数据安全也做出了相关的要求。

     

3.检测评估

 

明确检测评估策略,根据国家政策、法律法规要求和组织需求,阐述检测评估目的、范围、角色、责任及组织内协调等;

建立健全关键信息基础设施安全检测评估制度和流程,检测评估应包括合规检查、技术检查、分析评估等方面;

建立年度检测评估工作责任制,明确检测中的角色分工和相应职责,建立相应问责机制;

制定检测评估机制,自行或者委托国家或行业认可的网络安全服务机构,对其安全性和安全风险进行检测评估。

 

4.监测预警

 

制定监测策略,明确监测对象、监测流程、监测内容,主动掌握威胁态势;

明确本组织的预警信息分级标准,明确本组织的预警信息分级标准;明确不同级别预警信息的报告、响应和处置流程;

建立综合评估机制,综合评估特定时间期限内的监测预警情况;

构建完善监测预警和信息通报机制,按规定向行业主管、国家监管等部门报送网络安全监测预警信息。

 

5.主动防御

 

构建攻防演习机制,使关键基础设施运营单位在实战中全面提升威胁应对能力,提升纵深防御能力、动态防御能力;

构建主动防御能力,形成整体防控、精准防控和联防联控的安全运营体系;

完善突发事件应急机制,有效处置网络安全事件,并针对应急演练中发现的突出问题和漏洞隐患,及时整改加固,完善保护措施;

构建安全准入管理制度,开展互联网暴露面治理,全面了解互联网暴露面,并收敛暴露面。

 

6.事件处理

 

建立网络安全事件管理制度,明确不同网络安全事件的分类分级,明确不同类别、级别及特殊时期的网络安全事件报告、处置和响应流程;

明确人员职责制度,建立并落实资产安全管理、漏洞持续管理、安全策略管理、风险持续监测和安全事件响应处置闭环流程,提升处置效率;

建立合作机制,建立运营者与外部机构之间、其他运营者之间的合作机制,以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的合作机制;

制定应急预案,根据演练情况对应急预案进行评估和改进;制定重大事件和威胁报告规范,明确报告流程和方法;

建立信息上报机制,当网络系统出现特别重大网络安全事件时,应及时报告行业主管部门和相关监管部门。

 

7.解析部分

 

网络安全管控从单体系、单制度、单技术向多个体系的建立、多个制度的管理、多项技术的融合推进,并建立之间的关联关系;

从安全保护的角度,把等级保护、关基保护、数据保护统一规划,确定网络安全保护计划并更新;

关基自身的安全保护能力包括动态防御能力、主动防御能力、纵深防御能力、精准防护能力、整体防控能力、联防联控能力;

以等级保护为基础,增加了在岗绩效考核的管理。

 

《信息安全技术 关键信息基础设施安全保护要求》是第一项关键信息基础设施安全保护的国家标准,可以为网络安全服务机构、运营者等提供指引和依据,开展网络安全检测和风险评估等活动。将有助于提升国家关键信息基础设施安全保障能力和水平,推动我国网络强国战略的实施及数字经济的健康发展。作为国内知名的移动信息安全综合服务提供商,爱加密也将持续通过自身优质技术,为我国网络空间安全的建设和发展贡献力量。

 

 

加入收藏