信息中心
news
联系我们
电 话:156-23755573
手 机:156-23755573
网 址:http://www.wuhanbojin.com/
地 址:武汉市东湖新技术开发区关东园路2-2号武汉光谷国际商会大厦B座22层
《信息安全技术 关键信息基础设施安全保护要求》
作者:武汉iso认证 发布时间:2022-11-22
01 研制背景
为贯彻落实《中华人民共和国网络安全 法》《关键信 息基础设施安全保护条例》等法律法规有关要求,支撑构建国家关键信息基础设施安全保障体系,指导关键信息基础设施运营者开展安全保护工作,在中央网信办网络安全协调局、公安部网络安全保卫局指导下,中国电子技术标准化研究院组织研制了《信息安全技术关键信息基础设施安全 保护要求》(GB/T 39204-2022)国家标准。
《中华人民共和国网络安全法》
02 相关法律法规
《中华人民共和国网络安全法》
《中华人民共和国密码法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《关键信息基础设施安全保护条例》
《中华人民共和国个人信息保护法》
《关键信息基础设施安全保护条例》
03 核心概念
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他-旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键业务链是指组织的一一个或多个相互关联的业务构成的关键业务流程。
关键业务链是指组织的一一个或多个相互关联的业务构成的关键业务流程。
04 主要内容
1.三项基本原则
在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则
--以关键业 务为核心的整体防控。
--以风险管理为导向的动态防护
--以信息共享为基础的协同联防
2.六个方面活动
--以风险管理为导向的动态防护
--以信息共享为基础的协同联防
2.六个方面活动
分析识别 安全防护 检测评估 监测预警 主动防御 事件处置
3.保护要求
业务识别:关键业务和关键业务链识别分析
资产识别:采用资产探测技术识别资产
风险识别:对关键业务链开展安全风险分析
重大变更:发生较大变化时重新识别
安全防护
(1)安全管理制度 网络安全保护计划
(2)安全管理机构 首席网络安全官、专门网络安全管理机构
(2)安全管理机构 首席网络安全官、专门网络安全管理机构
(3)安全管理人员 安全管理责任人、安全背景审查、安全技能考核和教育培训、安全保密协议
(4)安全通信网络 通信线路“主双备” 、不同系统之间安全技术防护、采取网络审计措施
(5)安全计算环境 鉴别与授权、入侵防范、自动化工具
(6)安全建设管理 安全技术措施与主体工程三同步
(6)安全建设管理 安全技术措施与主体工程三同步
(7)安全运维管理 境内运维
(8)供应链安全 网络产品和服务清单、网络安全审查、合格供应方目录、来源的稳定或多样性、知识产权、源代码安全检测、网络产品和服务风险隐患处理
(9)数据安全 数据安全保护计划、数据分类分级、境内存储、重要数据和个人信息保护、容灾备份、数据安全风险评估、数据处理活动全流程保护
本标准提出的关键信息基础设施安全保护要求,可为保护工作部门、关键信息基础设施运营者、网络安全服务机构等开展安全保护工作提供指引和依据,有助于进一步提升国家关键信息基础设施安全保障能力和水平,推动我国网络强国战略实施、数字经济的健康良性发展。保护工作部门:支撑其开展关键信息基础设施安全保护建设、运维、评价和考核工关键信息基础设施运营者:帮助其采取管理和技术措施对关键信息基础设施进行全生存周期安全保护。
网络安全服务机构小为其开展网络安全检测和风险评估等活动提供依据。http://www.wuhanbojin.com
检测评估
1、方式
自行、委托网络安全服务机构、抽查检测。
2、内容
网络安全等级保护制度落实情况、商品密码应用安全性评估情况、供应链安全保护情况、数据安全防护情况等。
3、时间
每年至少进行一次安全检测评估
定期组织或参加跨运营者的安全检测评估
监测预警
监测:监测关键业务所涉及的系统 部署攻击监测设备 建构正向和逆向模型 网络安全信息共享
预警:自动模式预警 安全预警信息持续获取和及时通报
主动防御
收敛暴露面:减少暴露面,压缩互联网出口数量
攻防演练:实网攻防演练,沙盘推演
攻击发现和阻断:分析网络攻击意图、技术与过程,进行关联分析与还原
威胁情报:建立内外部同网络威胁情报共享机制
事件处置
应急预案和演练:(1)在国家网络安全事件应急预案下制定应预案 (2)应急预案同内外部相关计划协调 (3)非常规时期、遭受大规模攻击时等 处置流程 (4)每年至少组织开展1次本组织的应急演练
响应和处置:(1)向供应链涉及的相关内外部组织通报(2)恢复关键业务和信息系统(3)取证分析(4)评估恢复情况(5)通报安全事件及其处 置情况
重新识别:(1)必要时重新开展业务、资产和风险识别工作
1、方式
自行、委托网络安全服务机构、抽查检测。
2、内容
网络安全等级保护制度落实情况、商品密码应用安全性评估情况、供应链安全保护情况、数据安全防护情况等。
3、时间
每年至少进行一次安全检测评估
定期组织或参加跨运营者的安全检测评估
监测预警
监测:监测关键业务所涉及的系统 部署攻击监测设备 建构正向和逆向模型 网络安全信息共享
预警:自动模式预警 安全预警信息持续获取和及时通报
主动防御
收敛暴露面:减少暴露面,压缩互联网出口数量
攻防演练:实网攻防演练,沙盘推演
攻击发现和阻断:分析网络攻击意图、技术与过程,进行关联分析与还原
威胁情报:建立内外部同网络威胁情报共享机制
事件处置
应急预案和演练:(1)在国家网络安全事件应急预案下制定应预案 (2)应急预案同内外部相关计划协调 (3)非常规时期、遭受大规模攻击时等 处置流程 (4)每年至少组织开展1次本组织的应急演练
响应和处置:(1)向供应链涉及的相关内外部组织通报(2)恢复关键业务和信息系统(3)取证分析(4)评估恢复情况(5)通报安全事件及其处 置情况
重新识别:(1)必要时重新开展业务、资产和风险识别工作
05 实施意义
本标准提出的关键信息基础设施安全保护要求,可为保护工作部门、关键信息基础设施运营者、网络安全服务机构等开展安全保护工作提供指引和依据,有助于进一步提升国家关键信息基础设施安全保障能力和水平,推动我国网络强国战略实施、数字经济的健康良性发展。保护工作部门:支撑其开展关键信息基础设施安全保护建设、运维、评价和考核工关键信息基础设施运营者:帮助其采取管理和技术措施对关键信息基础设施进行全生存周期安全保护。
网络安全服务机构小为其开展网络安全检测和风险评估等活动提供依据。http://www.wuhanbojin.com
下一条:
下一篇:《标准 | ISO发布这类产品新版安全标准》
