全國首個!《信息安全技術 關鍵信息基礎設施安全保護要求》發(fā)布

發(fā)布時間 2022-11-09

11月7日,市場監(jiān)管總局標準技術司、中央網信辦網絡安全協(xié)調局、公安部網絡安全保衛(wèi)局在京聯(lián)合召開《信息安全技術 關鍵信息基礎設施安全保護要求》(GB/T 39204-2022)(以下簡稱《保護要求》)國家標準發(fā)布宣貫會。據(jù)介紹,關鍵信息基礎設施是國家網絡安全保護的重中之重,作為《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)發(fā)布一年后首個正式發(fā)布的關基標準,為關鍵信息基礎設施保護的實際落地具有重要意義。

據(jù)悉,《信息安全技術 關鍵信息基礎設施安全保護要求》是關鍵信息基礎設施安全保護標準體系的構建基礎,將于2023年5月1日正式實施。標準提出了以關鍵業(yè)務為核心的整體防控、以風險管理為導向的動態(tài)防護、以信息共享為基礎的協(xié)同聯(lián)防的關鍵信息基礎設施安全保護3項基本原則,從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等6個方面提出了111條安全要求,為運營者開展關鍵信息基礎設施保護工作需求提供了強有力的標準保障。

《保護要求》作為《條例》一項重要的配套標準,對于關鍵信息基礎設施繼承了《條例》“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等?!钡亩x, 與《網絡安全法》第31條的定義方式保持了一致,采用的仍是舉例加后果概括的方式。

《保護要求》安全防護階段供應鏈安全保護部分與《網絡安全審查辦法》中要求的” 重點評估采購網絡產品和服務可能帶來的國家安全風險“?!稐l例》中要求的”運營者應當優(yōu)先采購安全可信的網絡產品和服務并簽訂安全保密協(xié)議“對接,提出“供應鏈安全管理策略、年度采購清單等”具體要求,確保關鍵信息基礎設施供應鏈安全。

《保護要求》安全防護階段在等級保護的基礎上強調了數(shù)據(jù)安全防護,與《數(shù)據(jù)安全法》銜接。如果把數(shù)據(jù)看成是“貨物”,關鍵信息基礎設施(CII)可以看成是承載“貨物”的容器。《網絡安全法》、《數(shù)據(jù)安全法》和《條例》形成了對重要網絡活動、數(shù)據(jù)活動的基本規(guī)則體系,《保護要求》則是直接與等級保護要求進行對接,進行安全保護要求的落地。

注:內容來源于互聯(lián)網公開信息