《信息安全技术 关键信息基础设施安全保护要求》解读

《关基安全保护要求》是基于《网络安全法》和《关键信息基础设施安全保护条例》(以下简称“《关保条例》”),在网络安全等级保护制度基础上,结合我国现有网络安全保障体系成果提出的。《网络安全法》、《关保条例》以及我国关基方面其他监管依据中明确提出的且适合在标准中规范的,均在标准中有相应的要求落地,例如:

同步规划、同步建设、同步使用的“三同步要求”;(《网络安全法》第三十三条、《关保条例》第十二条)

每年至少进行一次安全检测评估;(《网络安全法》第三十八条、《关保条例》第十七条、《国家网络安全检查操作指南》2.6.1)

境内存储;(《网络安全法》第三十七条、《个人信息保护法》第四十条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(四))

“拟定安全保护计划”“履行个人信息和数据安全保护责任”等具体职责;(《关保条例》第十五条)

采购网络产品和服务的安全审查;(《网络安全审查办法》第二条、《关保条例》第十九条)

采购网络关键设备和网络安全专用产品应通过国家检测认证;(网络关键设备和网络安全专用产品目录(第一批))

明确网络产品和服务提供者的安全责任和义务,与提供者签订安全保密协议;(《网络安全法》第三十六条、《关保条例》第二十条、《国家网络安全检查操作指南》2.11.1)

网络安全教育培训;(《网络安全法》第三十四条、《关保条例》第十五条(五)、《国家网络安全检查操作指南》2.7、)

应急演练;(《网络安全法》第三十九条、《关保条例》第十五条(三)、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第一条(三))

专门安全管理机构负责人和关键岗位人员安全背景审查;(《网络安全法》第三十四条、《关保条例》第十四条)

设置专门安全管理机构和安全管理负责人(《关保条例》第十四条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(二))

重大变更及时报告变化情况;(《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(一))

同步规划、同步建设、同步使用的“三同步要求”;(《网络安全法》第三十三条、《关保条例》第十二条)

每年至少进行一次安全检测评估;(《网络安全法》第三十八条、《关保条例》第十七条、《国家网络安全检查操作指南》2.6.1)

境内存储;(《网络安全法》第三十七条、《个人信息保护法》第四十条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(四))

“拟定安全保护计划”“履行个人信息和数据安全保护责任”等具体职责;(《关保条例》第十五条)

采购网络产品和服务的安全审查;(《网络安全审查办法》第二条、《关保条例》第十九条)

采购网络关键设备和网络安全专用产品应通过国家检测认证;(网络关键设备和网络安全专用产品目录(第一批))

明确网络产品和服务提供者的安全责任和义务,与提供者签订安全保密协议;(《网络安全法》第三十六条、《关保条例》第二十条、《国家网络安全检查操作指南》2.11.1)

网络安全教育培训;(《网络安全法》第三十四条、《关保条例》第十五条(五)、《国家网络安全检查操作指南》2.7、)

应急演练;(《网络安全法》第三十九条、《关保条例》第十五条(三)、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第一条(三))

专门安全管理机构负责人和关键岗位人员安全背景审查;(《网络安全法》第三十四条、《关保条例》第十四条)

设置专门安全管理机构和安全管理负责人(《关保条例》第十四条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(二))

重大变更及时报告变化情况;(《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(一))

相比之前的监管要求,《关基安全保护要求》在安全管理机构方面,新增了成立网络安全工作委员会或领导小组,并明确提出了将领导班子成员作为 首席网络安全官 的要求;

在应急演练方面,此前的监管要求没有同时明确开展应急演练的时间和频次,例如《网络安全法》《关保条例》只规定了定期开展应急演练,《国家网络安全检查操作指南》只规定对应急预案每年至少评估一次,以及只规定每年应开展应急演练却无具体的频次要求。而《关基安全保护要求》在此方面进行了细化完善,进一步明确了 每年至少组织开展1次本组织的应急演练 ;

《关基安全保护要求》在产品服务采购方面也进行了补充和扩展,为运营者提供了更多具体可执行的操作要求,大大增强了采购环节的安全性。例如, 建立和维护合格供应方目录;强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性;获得提供者对网络产品和服务的10年以上知识产权授权;自行或委托第三方对定制开发的软件进行源代码安全检测 。

关于安全计算环境方面,在此前的监管依据中,例如《国家网络安全检查操作指南》2.5.4.3c)关于补丁、漏洞、账户管理等的检查方法包括使用终端检查工具或采用人工方式,而此次《关基安全保护要求》明确提出了应使用 自动化工具 来支持系统账户、配置、漏洞、补丁、病毒库等的管理。

《关基安全保护要求》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。

具体来看,《关基安全保护要求》对以上六个方面活动提出了以下安全保护要求:

成立网络安全工作委员会或领导小组,明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。设置专门的网络安全管理机构,建立并实施网络安全考核及监督问责机制。

对安全管理机构负责人和关键岗位人员进行安全背景审查和安全技能考核,建立网络安全教育培训制度,明确从业人员安全保密职责和义务,并签订安全保密协议。

实现通信线路“一主双备”的多电信运营商多路由保护,不通系统之间安全技术防护,采取网络审计措施。

重要操作的鉴别与授权,采取技术手段提高入侵防范能力,使用自动化工具管理。

实现网络安全技术措施与主体工程同步规划、同步建设、同步使用( “三同步”)。

保证关键信息基础设施运维点位于中国境内。在运维前与维护人员签订安全保密协议。

形成年度采购的网络产品和服务清单。可能影响国家安全的,应通过国家网络安全审查。

明确网络产品和服务提供者(“提供者”)的安全责任和义。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注