“没有(yǒu)网络安(ān)全就没有(yǒu)國(guó)家安(ān)全”，网络安(ān)全和信息化是事关國(guó)家安(ān)全和國(guó)家发展、事关广大人民(mín)群众工(gōng)作(zuò)生活的重大战略问题，而关键信息基础设施的安(ān)全防护是國(guó)家网络安(ān)全工(gōng)作(zuò)的重中(zhōng)之重。《关键信息基础设施安(ān)全保护条例》已于2021年9月1日施行，作(zuò)為(wèi)关键信息基础设施安(ān)全保护标准體(tǐ)系的构建基础，《信息安(ān)全技(jì )术 关键信息基础设施安(ān)全保护要求》國(guó)家标准将于2023年5月1日正式实施。

為(wèi)了更好的落地《网络安(ān)全法》、配合《关键信息基础设施安(ān)全保护条例》等法律法规标准的实施，在网络安(ān)全等级保护制度基础上借鉴重要行业和领域网络安(ān)全保护的经验，在市场监管总局标准技(jì )术司、中(zhōng)央网信办(bàn)网络安(ān)全协调局、公(gōng)安(ān)部网络安(ān)全保卫局的指导下，相关部门制定了《信息安(ān)全技(jì )术 关键信息基础设施安(ān)全保护要求》。

主要内容

《关键信息基础设施安(ān)全保护要求》总共分(fēn)為(wèi)11个章节，范围、引用(yòng)文(wén)件、术语、原则、主要内容和活动、分(fēn)析识别、安(ān)全防护、检测评估、监测预警、主动防御、事件处理(lǐ)。以关键业務(wù)為(wèi)核心的整體(tǐ)防控、以风险管理(lǐ)為(wèi)导向的动态防护、以信息共享為(wèi)基础的协同联防的关键信息基础设施安(ān)全保护為(wèi)3项基本原则，提出了关键信息基础设施保护主要从分(fēn)析识别、安(ān)全防护、检测评估、监测预警、主动防御、事件处置等六个方面的安(ān)全控制措施，这111条安(ān)全要求為(wèi)运营者开展关键信息基础设施保护工(gōng)作(zuò)需求提供了标准保障。重点强调了采取必要措施保护关键信息基础设施业務(wù)连续运行，及其重要数据不受破坏，切实加强关键信息基础设施安(ān)全保护。

内容解读

1.分(fēn)析识别

主要包括业務(wù)识别、资产(chǎn)识别、风险识别和重大变更。

业務(wù)识别： 

关键业務(wù)和外部业務(wù)的关联性、关键业務(wù)对外部业務(wù)的依赖性、关键业務(wù)对外部业務(wù)的重要性、关键业務(wù)链的分(fēn)布和管理(lǐ) 。    

资产(chǎn)识别：

资产(chǎn)清单、资产(chǎn)级别及资产(chǎn)探测。

风险识别： 

应依据GB/T 20984等标准做风险评估，开展风险安(ān)全分(fēn)析、采取安(ān)全控制措施。

重大变更：

关键信息基础设施改建、扩建及管理(lǐ)人员及其他(tā)的变更，应及时报告相关部门并更新(xīn)资产(chǎn)清单。

2.安(ān)全防护

遵从网络安(ān)全等级保护基本要求，开展定级、备案及相关工(gōng)作(zuò)；

根据识别的关键业務(wù)、资产(chǎn)、安(ān)全风险，在安(ān)全管理(lǐ)制度、安(ān)全管理(lǐ)机构、安(ān)全管理(lǐ)人员、安(ān)全通信网络、安(ān)全计算环境、安(ān)全建设管理(lǐ)、安(ān)全运维管理(lǐ)等方面实施安(ān)全管理(lǐ)和技(jì )术保护措施，确保关键信息基础设施的运行安(ān)全；

确定了制定网络安(ān)全保护计划，并最少每年更新(xīn)一次，或者发生安(ān)全事件的情况下更新(xīn)；

• 设置首席安(ān)全官，专管或者分(fēn)管关键信息基础设施；

• 关键岗位设置两人管理(lǐ)，对关基人员不少于30學(xué)时的培训；

• 采用(yòng)“一主双备”，“双节点” 冗余的网络架构；

• 根据區(qū)域不同做严格把控，并保留相关日志(zhì)不少于6个月；

• 应使用(yòng)自动化工(gōng)具(jù)进行管理(lǐ)，对漏洞、补丁进行修复；

• 对供应链安(ān)全和数据安(ān)全也做出了相关的要求。

   

3.检测评估

明确检测评估策略，根据國(guó)家政策、法律法规要求和组织需求，阐述检测评估目的、范围、角色、责任及组织内协调等；

建立健全关键信息基础设施安(ān)全检测评估制度和流程，检测评估应包括合规检查、技(jì )术检查、分(fēn)析评估等方面；

建立年度检测评估工(gōng)作(zuò)责任制，明确检测中(zhōng)的角色分(fēn)工(gōng)和相应职责，建立相应问责机制；

制定检测评估机制，自行或者委托國(guó)家或行业认可(kě)的网络安(ān)全服務(wù)机构，对其安(ān)全性和安(ān)全风险进行检测评估。

4.监测预警

制定监测策略，明确监测对象、监测流程、监测内容，主动掌握威胁态势；

明确本组织的预警信息分(fēn)级标准，明确本组织的预警信息分(fēn)级标准；明确不同级别预警信息的报告、响应和处置流程；

建立综合评估机制，综合评估特定时间期限内的监测预警情况；

构建完善监测预警和信息通报机制，按规定向行业主管、國(guó)家监管等部门报送网络安(ān)全监测预警信息。

5.主动防御

构建攻防演习机制，使关键基础设施运营单位在实战中(zhōng)全面提升威胁应对能(néng)力，提升纵深防御能(néng)力、动态防御能(néng)力；

构建主动防御能(néng)力，形成整體(tǐ)防控、精(jīng)准防控和联防联控的安(ān)全运营體(tǐ)系；

完善突发事件应急机制，有(yǒu)效处置网络安(ān)全事件，并针对应急演练中(zhōng)发现的突出问题和漏洞隐患，及时整改加固，完善保护措施；

构建安(ān)全准入管理(lǐ)制度，开展互联网暴露面治理(lǐ)，全面了解互联网暴露面，并收敛暴露面。

6.事件处理(lǐ)

建立网络安(ān)全事件管理(lǐ)制度，明确不同网络安(ān)全事件的分(fēn)类分(fēn)级，明确不同类别、级别及特殊时期的网络安(ān)全事件报告、处置和响应流程；

明确人员职责制度，建立并落实资产(chǎn)安(ān)全管理(lǐ)、漏洞持续管理(lǐ)、安(ān)全策略管理(lǐ)、风险持续监测和安(ān)全事件响应处置闭环流程，提升处置效率；

建立合作(zuò)机制，建立运营者与外部机构之间、其他(tā)运营者之间的合作(zuò)机制，以及运营者内部管理(lǐ)人员、内部网络安(ān)全管理(lǐ)机构与内部其他(tā)部门之间的合作(zuò)机制；

制定应急预案，根据演练情况对应急预案进行评估和改进；制定重大事件和威胁报告规范，明确报告流程和方法；

建立信息上报机制，当网络系统出现特别重大网络安(ān)全事件时，应及时报告行业主管部门和相关监管部门。

7.解析部分(fēn)

网络安(ān)全管控从单體(tǐ)系、单制度、单技(jì )术向多(duō)个體(tǐ)系的建立、多(duō)个制度的管理(lǐ)、多(duō)项技(jì )术的融合推进，并建立之间的关联关系；

从安(ān)全保护的角度，把等级保护、关基保护、数据保护统一规划，确定网络安(ān)全保护计划并更新(xīn)；

关基自身的安(ān)全保护能(néng)力包括动态防御能(néng)力、主动防御能(néng)力、纵深防御能(néng)力、精(jīng)准防护能(néng)力、整體(tǐ)防控能(néng)力、联防联控能(néng)力；

以等级保护為(wèi)基础，增加了在岗绩效考核的管理(lǐ)。

《信息安(ān)全技(jì )术 关键信息基础设施安(ān)全保护要求》是第一项关键信息基础设施安(ān)全保护的國(guó)家标准，可(kě)以為(wèi)网络安(ān)全服務(wù)机构、运营者等提供指引和依据，开展网络安(ān)全检测和风险评估等活动。将有(yǒu)助于提升國(guó)家关键信息基础设施安(ān)全保障能(néng)力和水平，推动我國(guó)网络强國(guó)战略的实施及数字经济的健康发展。作(zuò)為(wèi)國(guó)内知名(míng)的移动信息安(ān)全综合服務(wù)提供商(shāng)，爱加密也将持续通过自身优质(zhì)技(jì )术，為(wèi)我國(guó)网络空间安(ān)全的建设和发展贡献力量。