解读《信息安全技术关键信息基础设施安全保护要求》

政策背景

为贯彻落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规有关要求，中国电子技术标准化研究院组织研制了《信息安全技术关键信息基础设施安全保护要求》，将于2023年5月1日实施。

标准对象

标准规范对象为关键信息基础设施，是指公共通信和信息服务、能源、交通、水利金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

实施意义

本标准提出的关键信息基础设施安全保护要求，可为保护工作部门、网络安全服务机构、关键信息基础设施运营者等开展安全保护工作提供指引和依据，有助于进一步提升国家关键信息基础设施安全保障能力和水平，推动我国网络强国战略实施、数字经济的健康良性发展。

四项基本原则

一、 在等级保护制度基础上加强保护

等保2.0是网络安全工作基线，关键信息基础设施安全保护是在等保基础之上“加强保护”，不能将二者割裂看待，各立门户。

二、以关键业务为核心的整体防控

一个关键信息基础设施上可能承载着多个网络和信息系统，因此对关基的防护要覆盖到业务(业务链)上的每一个系统，可能会优先保障关键业务系统。

三、以风险管理为导向的动态防护

面对新型网络攻击方法、攻击途径的多样化，需要以闭环的风险管理思想，在安全防护过程中不断调整防护策略，技术和手段。

四、以信息共享为基础的协同联控

关键信息基础设施安全保护所涉及的利益相关方，都应共同参与到关键信息基础设施的安全保护工作。

六个环节

一、分析识别:

关键信息基础设施运营者配合保护工作部门，按照规定开展关基的识别和认定工作，围绕关基承载的关键业务，进行资产识别、风险识别等行为，是所有6个环节工作的基础。

二、安全防护:

运营者根据已识别的安全风险，实施安全管理制度、安全管理人员、安全通信网络、安全运维管理等方面的安全控制措施，确保关键信息基础设施的运行安全。

三、检测评估:

为检验安全防护措施的有效性，发现网络安全风险隐患，运营者制定相应的检测评估制度，确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件。

四、监测预警:

运营者制定并实施网络安全监测预警和通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示。

五、技术对抗:

运营者以对攻击行为的检测发现为基础，主动采取诱捕、溯源、干扰和阻断等措施，提升对网络威胁与攻击行为的认知和攻防对抗能力。

六、事件处置:

对网络安全事件进行报告和处置，并根据检测评估、监测预警环节发现的问题，运营者制定并实施适当的应对措施，恢复由于网络安全事件而受损的功能或服务。

如何贯彻落实安全保护要求？

数码人关键信息基础设施数字化管控方案助力实现自动化管理

关于数码人

数码人是一家领先的IT资产和资源数字化管控技术创新公司，发明的MC-RFID U位精确定位技术是业界唯一能实现全球商业化应用的成熟技术。

客户遍布全球数十个国家和地区，处于业界领导者的地位。

客户价值：降本增效、智能敏捷、节能低碳、安全可控

2019年获得国家科技部“数据中心科技成果奖-进步奖”。

官网：www.digitalor.com

咨询：0755-86656491