近日,市场监管总局(标准委)发布公告,正式批准包括《信息安全技术 关键信息基础设施安全保护要求》在内的2项国家标准。
据悉,此次发布的GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》将于2023年5月1日正式实施。作为我国第一项关键信息基础设施安全保护的国家标准,标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。《信息安全技术 关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系的构建基础。
一、研制背景
为贯彻落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规有关要求,支撑构建国家关键信息基础设施安全保障体系,指导关键信息基础设施运营者开展安全保护工作,在中央网信办网络安全协调局、公安部网络安全保卫局指导下,中国电子技术标准化研究院组织研制了《信息安全技术关键信息基础设施安全保护要求》(GB/T 39204-2022)国家标准。
二、相关法律法规
《中华人民共和国网络安全法》
《中华人民共和国密码法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《关键信息基础设施安全保护条例》
三、核心概念
标准规范对象为关键信息基础设施。
- 关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
- 关键业务链是指组织的一个或多个相互关联的业务构成的关键业务流程。
四、主要内容
本标准给出了关键信息基础设施安全保护的三项基本原则、六个方面活动,提出了111条安全要求。
1、 三项基本要求
在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则
——以关键业务为核心的整体防控。
——以风险管理为导向的动态防护。
——以信息共享为基础的协同联防。
2、 六个方面活动
分析识别、安全防护、检测评估、监测预警、主动防御、事件处置。
3、 保护要求
(1)分析识别
(2)安全防护
落实国家网络安全等级保护制度。
- 安全管理制度:网络安全保护计划
- 安全管理机构:首席网络安全官、专门网络安全管理机构
- 安全管理人员:安全管理责任人、安全背景审查、安全技能考核和教育培训、安全保密协议
- 安全通信网络:通信线路“一主双备”、不同系统之间安全技术防护、采取网络审计措施
- 安全计算环境:鉴别与授权、入侵防范、自动化工具
- 安全建设管理:安全技术措施与主体工程三同步
- 安全运维管理:境内运维
- 供应链安全:网络产品和服务清单、网络安全审查、合格供应方目录、来源的稳定或多样性、知识产权、源代码安全检测、网络产品和服务风险隐患处理。
- 数据安全:数据安全保护计划、数据分类分级、境内存储、重要数据和个人信息保护、容灾备份、数据安全风险评估、数据处理活动全流程保护
(3)检测评估
- 方式:自行、委托网络安全服务机构、抽查检测
- 内容:网络安全等级保护制度落实情况、商用密码应用安全性评估情况、供应链安全保护情况、数据安全防护情况等
- 时间:每年至少进行一次安全检测评估、定期组织或参加跨运营者的安全检测评估
(4)监测预警
- 监测:监测关键业务所涉及的系统、部署攻击监测设备、构建正向和逆向模型、关联分析、网络安全信息共享
- 预警:自动模式预警、安全预警信息持续获取和及时通报
(5)主动防御
- 收敛暴露面:减少暴露面,压缩互联网出口数量
- 攻防演练:实网攻防演练、沙盘推演
- 攻击发现和阻断:分析网络攻击意图、技术与过程,进行关联分析与还原
- 威胁情报:建立内外部协同网络威胁情报共享机制
(6)事件处置
- 应急预案和演练:在国家网络安全事件应急预案框架下制定应急预案;应急预案同内外部相关计划协调;非常规时期、遭受大规模攻击时等处置流程;每年至少组织开展1次本组织的应急演练。
- 响应与处置:向供应链涉及的相关内外部组织通报;恢复关键业务和信息系统;取证分析;评估恢复情况;通报安全事件及其处置情况。
- 重新识别:必要时重新开展业务、资产和风险识别工作。
五、实施意义
本标准提出的关键信息基础设施安全保护要求,可为保护工作部门、关键信息基础设施运营者、网络安全服务机构等开展安全保护工作提供指引和依据,有助于进一步提升国家关键信息基础设施安全保障能力和水平,推动我国网络强国战略实施、数字经济的健康良性发展。
- 保护工作部门:支撑其开展关键信息基础设施安全保护建设、运维、评价和考核工作。
- 关键信息基础设施运营者:帮助其采取管理和技术措施对关键信息基础设施进行全生存周期安全保护。
- 网络安全服务机构:为其开展网络安全检测和风险评估等活动提供依据。
内容来源中国电子技术标准化研究院