信息安全技术 关键信息基础设施安全保护要求 2022版附下载地址
信息安全技术 关键信息基础设施安全保护要求
2022年10月12日,国家市场监督管理总局(国家标准化管理委员会)批准GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称“安全保护标准”)推荐性国家标准,于2022年11月正式对外发布,并将于2023年5月1日正式实施。安全保护标准是我国关键信息基础设施安全保护的总纲性标准,也是我国首个发布的关键信息基础设施安全保护标准,对指导我国关键信息基础设施安全保护工作,具有重大价值和深远意义。
编制背景
2016年,国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》,明确提出开展关键信息基础设施保护急需重点标准研制,全国信息安全标准化技术委员会组织开展了关键信息基础设施安全标准体系研究,提出关键信息基础设施安全标准体系框架和标准明细表,同时按照“急用先行”的原则开展了重点标准的研制。全国信息安全标准化技术委员会通过对《关键信息基础设施安全保护条例》进行标准化需求分析,围绕关键信息基础设施安全保障体系建设各维度,在已有国家网络安全标准的基础上,从关键信息基础设施的保护要求、控制措施、边界识别、保障指标、应急体系、检查评估,以及供应链安全、数据安全、信息共享、监测预警等方面系统推进标准研制工作,共同构建科学性、系统性、实用性的标准体系框架,用标准筑牢关键信息基础设施安全保障体系建设的基础。
适用范围
安全保护标准是我国关基安全保护的总纲性标准,本标准在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面,提出关键信息基础设施安全保护要求,采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。
安全保护标准提出了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全控制措施,适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
三大基本原则
安全保护标准提出,关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循三个基本原则:以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防。
积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
信息共享、统一指挥、快速调度、智能响应是协同联防的核心要素。依据国家、行业的联防联控相关要求,建立网络安全事件管理制度,应明确不同网络安全事件的处置与响应流程,建立通报预警及内外部协作处置机制;组织专门队伍,调配技术资源,及时收集、汇总、分析各方网络安全信息,开展网络安全威胁分析和态势研判,及时通报预警处置;积极构建相关方广泛参与的信息共享、协同联动机制,提高信息通报预警、信息共享、事件处置等工作的高效性;与国家有关平台对接,实现协同联动和数据共享,能够做到统一指挥、快速调度,实现关基安全保护跨部门、跨行业、跨地域的整体防控和联防联控。
标准的内容与要求
主要包括第五章“5 主要内容及活动”的内容,即安全防护:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全,同时包括第七章“7 安全防护”的具体要求。
2、构建安全防护的“弹性能力”
本标准重点突出了数据安全和供应链安全要求,为提升安全防护能力,提升业务持续稳定运行的安全弹性,可以从管理和技术措施两个方面开展工作:
一是明确开展安全防护工作的管理和要求。建立针对关键信息基础设施指导和管理网络安全工作的委员会或领导小组,明确领导班子成员专职管理或分管关键信息基础设施安全保护工作;设置安全管理机构,建立健全网络安全保护工作制度和责任制;将网络安全等级保护制度与关键信息基础设施保护制度、数据安全保护制度有机衔接,统筹落实。
二是增强安全防护技术措施,强化数据安全和供应链安全。安全防护能力的构建,需要采用系列技术手段和措施,实现相关技术措施的有效聚合和一体化管理,包括:采用技术措施对具有不同安全保护等级的系统、不同业务系统、不同区域及与其他运营者之间的互操作、数据交换进行严格控制,建立或完善安全互联安全策略;采用鉴别与授权技术措施,实现重要业务操作、重要用户操作或异常用户操作行为的安全管控;采用网络入侵检测、大数据分析检测等技术手段,发现潜在的未知威胁,并作出响应;采用新的技术措施实现业务发展中采用的云平台、移动互连、物联网、5G等新技术的有效安全防护;建立数据安全管理责任和评价考核制度,编制数据安全保护计划,实施数据安全技术防护,开展数据安全风险评估,制定数据安全事件应急预案,及时处置安全事件;构建供应链安全保护系统,绘制供应链安全管理动态图谱,建立供应方目录,加强通用、开源功能组件模块分析梳理,加强供应安全风险分析识别,对关键业务链开展安全风险分析,分析主要安全风险点,当发生安全风险时,及时采取措施消除隐患。