2022年11月7日,全国信安标委公众号发布了《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称“《关基安全保护要求》”),该标准将于2023年5月1日正式实施。作为关键信息基础设施安全保护标准体系的构建基础,该标准为运营者开展关键信息基础设施(以下简称“CII”或“关基”)保护工作需求提供了强有力的标准保障。
一、监管依据的落地及亮点变化
《关基安全保护要求》是基于《网络安全法》和《关键信息基础设施安全保护条例》(以下简称“《关保条例》”),在网络安全等级保护制度基础上,结合我国现有网络安全保障体系成果提出的可落地的安全保护要求。《网络安全法》、《关保条例》以及我国关基方面其他监管依据中明确提出的且适合在标准中规范的,均在标准中有相应的要求落地,例如:
同步规划、同步建设、同步使用的“三同步要求”;(《网络安全法》第三十三条、《关保条例》第十二条)
每年至少进行一次安全检测评估;(《网络安全法》第三十八条、《关保条例》第十七条、《国家网络安全检查操作指南》2.6.1)
境内存储;(《网络安全法》第三十七条、《个人信息保护法》第四十条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(四))
“拟定安全保护计划”“履行个人信息和数据安全保护责任”等具体职责;(《关保条例》第十五条)
采购网络产品和服务的安全审查;(《网络安全审查办法》第二条、《关保条例》第十九条)
采购网络关键设备和网络安全专用产品应通过国家检测认证;(网络关键设备和网络安全专用产品目录(第一批))
明确网络产品和服务提供者的安全责任和义务,与提供者签订安全保密协议;(《网络安全法》第三十六条、《关保条例》第二十条、《国家网络安全检查操作指南》2.11.1)
网络安全教育培训;(《网络安全法》第三十四条、《关保条例》第十五条(五)、《国家网络安全检查操作指南》2.7、)
应急演练;(《网络安全法》第三十九条、《关保条例》第十五条(三)、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第一条(三))
建立网络安全信息共享机制;(《关保条例》第二十三条)
专门安全管理机构负责人和关键岗位人员安全背景审查;(《网络安全法》第三十四条、《关保条例》第十四条)
设置专门安全管理机构和安全管理负责人(《关保条例》第十四条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(二))
重大变更及时报告变化情况;(《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(一))
新规亮点变化
相比之前的监管要求,《关基安全保护要求》在安全管理机构方面,新增了成立网络安全工作委员会或领导小组,并明确提出了将领导班子成员作为首席网络安全官的要求;
在应急演练方面,此前的监管要求没有同时明确开展应急演练的时间和频次,例如《网络安全法》《关保条例》只规定了定期开展应急演练,《国家网络安全检查操作指南》只规定对应急预案每年至少评估一次,以及只规定每年应开展应急演练却无具体的频次要求。而《关基安全保护要求》在此方面进行了细化完善,进一步明确了每年至少组织开展1次本组织的应急演练;
《关基安全保护要求》在产品服务采购方面也进行了补充和扩展,为运营者提供了更多具体可执行的操作要求,大大增强了采购环节的安全性。例如,建立和维护合格供应方目录;强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性;获得提供者对网络产品和服务的10年以上知识产权授权;自行或委托第三方对定制开发的软件进行源代码安全检测。
关于安全计算环境方面,在此前的监管依据中,例如《国家网络安全检查操作指南》2.5.4.3c)关于补丁、漏洞、账户管理等的检查方法包括使用终端检查工具或采用人工方式,而此次《关基安全保护要求》明确提出了应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。
二、《关基安全保护要求》主要内容
1、三项基本原则
《关基安全保护要求》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。
2、六个方面活动
《关基安全保护要求》还从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求。
3、保护要求
具体来看,《关基安全保护要求》对以上六个方面活动提出了以下安全保护要求:
(1)分析识别方面,包括关键业务和关键业务链识别分析的业务识别要求;采用资产探测技术识别资产的资产识别要求;对关键业务链开展安全风险分析的风险识别要求;以及在关键信息基础设施发生较大变化时重新识别的重大变更要求。
(2)安全防护方面强调落实国家网络安全等级保护制度,具体要求如下:
安全管理制度 制定网络安全保护计划,建立管理制度和安全策略
安全管理机构 成立网络安全工作委员会或领导小组,明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。设置专门的网络安全管理机构,建立并实施网络安全考核及监督问责机制。
安全管理人员 对安全管理机构负责人和关键岗位人员进行安全背景审查和安全技能考核,建立网络安全教育培训制度,明确从业人员安全保密职责和义务,并签订安全保密协议。
安全通信网络 实现通信线路“一主双备”的多电信运营商多路由保护,不通系统之间安全技术防护,采取网络审计措施。
安全计算环境 重要操作的鉴别与授权,采取技术手段提高入侵防范能力,使用自动化工具管理。
安全建设管理 实现网络安全技术措施与主体工程同步规划、同步建设、同步使用( “三同步”)。
安全运维管理 保证关键信息基础设施运维点位于中国境内。在运维前与维护人员签订安全保密协议。
供应链安全 形成年度采购的网络产品和服务清单。可能影响国家安全的,应通过国家网络安全审查。
建立和维护合格供应方目录。
强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。
明确网络产品和服务提供者(“提供者”)的安全责任和义务,与提供者签订安全保密协议。
获得提供者对网络产品和服务的知识产权授权。
自行或委托第三方对定制开发的软件进行源代码安全检测。
及时处理网络产品和服务的安全风险隐患。
数据安全防护 编制数据安全保护计划。
建立数据分类分级保护策略。
在我国境内运营中收集和产生的个人信息和重要数据存储在境内。
实行重要数据和个人信息保护。
建立容灾备份机制。
在关键信息基础设施退役废弃时,按照数据安全保护策略对存储的数据进行处理。
建立数据处理活动全流程保护。
(3)检测评估
方式:自行或委托网络服务安全机构,抽查检测
内容:网络安全等级保护制度落实情况,商用密码应用安全性评估情况,供应链安全保护情况,数据安全防护情况等。
时间:每年至少进行一次安全检测评估,定期组织或参加跨运营者的安全检测评估。
(4)监测预警
监测:监测关键业务所涉及的系统;部署攻击监测设备;构建正向和逆向模型;关联分析;网络安全信息共享。
预警:自动模式预警;安全预警信息持续获取和及时通报。
(5)主动防御
收敛暴露面:减少暴露面,压缩互联网出口数量
攻防演练:实网攻防演练、沙盘推演
攻击发现和阻断:分析网络攻击意图、技术与过程,进行关联分析与还原。
威胁情报:建立内外部协同网络威胁情报共享机制。
(6)事件处置
应急预案和演练:在国家网络安全事件应急预案框架下制定应急预案;应急预案同内外部相关计划协调;非常规时期、遭受大规模攻击时等处置流程;每年至少组织开展1次本组织的应急演练。
响应和处置:向供应链涉及的相关内外部组织通报;恢复关键业务和信息系统;取证分析;评估恢复情况;通报安全事件及其处置情况。
重新识别:必要时重新开展业务、资产和风险识别工作。
通过对以上《关基安全保护要求》内容的深入分析,可以看出该标准对CII的安全能力主要有两方面要求,即:关基运营者的网络安全管控能力和关基自身的安全保护能力。其中运营者的网络安全管控能力侧重于关基管理体系机制的构建,关基自身的安全保护能力侧重于关基应采取的技术和管理措施。
三、合规建议
关键信息基础设施安全保护体系作为网络安全体系中的一部分,势必成为企业不可或缺的安全合规内容。建议关键信息基础设施运营者应按照《关基安全保护要求》采取相应的管理和技术措施对关键信息基础设施进行全生存周期安全保护,网络安全服务机构应依据《关基安全保护要求》开展网络安全检测和风险评估等活动。
来源:信息新安全、享法互联网JoyLegal
324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
