一文读懂《信息安全技术 关键信息基础设施安全保护要求》

发表时间:2023-11-21 15:49

为深入贯彻习近平总书记关于维护网络安全、强化关键信息基础设施保护的系列重要指示精神,落实《网络安全法》《关键信息基础设施保护条例》关于保护关键信息基础设施运行安全的要求,做好国家标准的落地实施,不断提升关键信息基础设施安全保护能力,2022年10月12日,国家标准化管理委员会发布公告,正式批准发布GB/T39204—2022《信息安全技术关键信息基础设施安全保护要求》(简称《关基保护要求》),并于2023年5月1日实施。

信息安全技术 关键信息基础设施安全保护要求.jpg

01 标准的定位

《关基保护要求》属于安全保护类标准,针对关基安全保护需求,规定了分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等六个环节的安全要求,是各运营者开展安全保护工作时的重要依据。

02 关键信息基础设施的定义

关键信息基础设施(简称CII):是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业筹重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全国计民生、公共利益的重要网络设施、信息系统等。

03 关键信息基础设施保护与等级保护制度的关系

等保2.0是网络安全工作基线,关键信息基础设施安全保护是在等保基础上加强保护。关键信息基础设施的运营者还应进一步加强两个“落实”,两个“建立”:

  • 落实国家网络安全等级保护制度相关要求,开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作;

  • 落实安全管理制度,制定适合本组织的网络安全保护计划,计划应每年至少修订一次;

  • 建立安全管理机构,应为每个关键信息基础设施明确一名安全管理责任人;

  • 建立安全管理结构,应明确从业人员安全保密职责和义务,并签订安全保密协议。

04 三项基本原则

❖ 以关键业务为核心的整体防控;

❖ 以风险管理为导向的动态防护;

❖ 以信息共享为基础的协同联防。

05 六大安全保护环节

安全防护
监测预警
事件处置
分析识别
检测评估
主动防御

关键信息基础设施安全保护包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面。

这6个环节间无固定的先后顺序,也无重要程度区分。

06 标准条款目标

提升关键信息基础设施的安全能力

1、运营者的网络安全管控能力。包括顶层设计和统筹规划、组织架构体系、安全管理制度体系、各项机制建立等方面。

2、关键信息基础设施自身的安全保护能力。包括动态防御能力、主动防御能力、纵深防御能力、精准防护能力、整体防控能力、联防联控能力。

来源:新疆网警巡查执法

地址:深圳市南山区兴科一街万科云城深圳国际创新谷2栋A座23层2303房
资料下载
服务热线:0755-86656491
———————————————————————————————————————————————————————