GB/T 39204-2022信息安全技术 关键信息基础设施安全保护要求即将实施
中科至善 2023-03-15
《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)将于2023年5月1日正式实施。作为我国第一项关键信息基础设施安全保护的国家标准,标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
关键信息基础设施指的是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
“关键信息基础设施是国家网络安全保护的重中之重。”市场监管总局标准技术司一级巡视员国焕新表示,作为落实关键信息基础设施安全相关法律法规的重要抓手,标准是保障关键信息基础设施安全与发展的重要技术要素。要持续开展关键标准研制,不断强化标准实施应用,以标准助力关键信息基础设施安全保障体系建设。
中央网信办网络安全协调局副局长、一级巡视员高林表示,《信息安全技术 关键信息基础设施安全保护要求》是规范关基保护工作的具体依据,是指导关基保护工作的实施指南,要充分发挥标准的规范和引导作用,提升关键信息基础设施综合防护水平。下一步,中央网信办将坚持总体国家安全观,发挥统筹协调作用,会同相关部门加强关键信息基础设施监测预警和事件应对处置;协调保护工作部门发挥行业监管职能,组织开展标准培训,督促标准贯彻实施。
公安部网络安全保卫局副局长、一级巡视员郭启全表示,关键信息基础设施保护是一个系统工程,有关单位和部门要将网络安全等级保护制度、关键信息基础设施保护制度和数据安全保护制度在法律、政策、标准等方面形成有机衔接的体系。公安机关将大力加强关键信息基础设施安全保卫和安全监管,严厉打击相关违法犯罪活动,着力构建关键信息基础设施综合防御体系,坚决维护好国家网络空间安全。
为落实(中华人民共和国网络安全法狄关键信息基础设施安全保护条例》关于保护关键信息基础设施运行安全的要求,在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面,提出关键信息基础设施安全保护要求,采取必要揩施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。
1)分析识别:围绕关键信息基础设施承载的关键业务.开展业务依赖性识别.关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。
2) 安全防护:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。
3)检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,应建立相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。
4)监测预警:建立并实施网络安全监测预警和信息通报制度,针对发生的网络安全事件或发现的网络安全威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高主动发现攻击能力。
5)主动防御:以应对攻击行为的监测发现为基础,主动采取收敛暴露面,捕获、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,提升对网络威胁与攻击行为的识别、分析和主动防御能力。
6) 事件处置:运营者对网络安全事件进行报告和处置,并采取适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
点击GB T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》阅读标准原文
本文由中科至善(uvsec.com)编辑整理发布。
