《信息安全技术关键信息基础设施网络安全保护基本要求》
什么是《信息安全技术关键信息基础设施网络安全保护基本要求》简称:关保?
自等保2.0政策实施以来,很多单位都在积极准备过等保工作。但在准备过程中,碰到很多问题,存在很多疑问,例如不知道等保和分保是什么意思?关保又是什么意思?今天我们就来一起简单了解一下。
关于关保证书办理的联系木准科技,电话/微信:18300003210,建议先添加微信索取相关资料
等保、分保以及关保分别是什么意思?
1、等保:
等级保护的简称,是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
2、分保:
也就是涉密信息分级保护制度,是指按照涉密信息系统所处理国家秘密信息的不同等级。
3、关保:
是在网络安全等级保护制度的基础上,实行重点保护。
前面我们已经为大家简单介绍了等保、分保以及关保的定义,下面我们就再告诉大家一个小秘密吧!那就是过等保采购堡垒机就选木准科技堡垒机!行云管家堡垒机是业界领先的、全面满足等保2.0要求的信息安全运维审计系统,经过严格测试,已经获得了计算机信息系统安全产品身份鉴别(网络)类销售许可证。其具备集中管控、多重防护等多种特性,支持多云、混合云IT架构,全方位保障了企业信息安全,是过等保之必备利器。现在可免费试用哦!
2022年10月12日,国家市场监督管理总局(国家标准化管理委员会)批准GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》(以下简称“安全保护标准”)推荐性国家标准,于2022年11月正式对外发布,并将于2023年5月1日正式实施。安全保护标准是我国关键信息基础设施安全保护的总纲性标准,也是我国首个发布的关键信息基础设施安全保护标准,对指导我国关键信息基础设施安全保护工作,具有重大价值和深远意义。
编制背景
2016年,国家标准化管理委员会联合印发《关于加强国家网络安全标准化工作的若干意见》,明确提出开展关键信息基础设施保护急需重点标准研制,全国信息安全标准化技术委员会组织开展了关键信息基础设施安全标准体系研究,提出关键信息基础设施安全标准体系框架和标准明细表,同时按照“急用先行”的原则开展了重点标准的研制。全国信息安全标准化技术委员会通过对《关键信息基础设施安全保护条例》进行标准化需求分析,围绕关键信息基础设施安全保障体系建设各维度,在已有国家网络安全标准的基础上,从关键信息基础设施的保护要求、控制措施、边界识别、保障指标、应急体系、检查评估,以及供应链安全、数据安全、信息共享、监测预警等方面系统推进标准研制工作,共同构建科学性、系统性、实用性的标准体系框架,用标准筑牢关键信息基础设施安全保障体系建设的基础。
适用范围
安全保护标准是我国关基安全保护的总纲性标准,本标准在国家网络安全等级保护制度基础上,借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验,吸纳国内外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全保障体系等成果,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面,提出关键信息基础设施安全保护要求,采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。
安全保护标准提出了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全控制措施,适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
三大基本原则
安全保护标准提出,关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循三个基本原则:以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防。
积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
信息共享、统一指挥、快速调度、智能响应是协同联防的核心要素。依据国家、行业的联防联控相关要求,建立网络安全事件管理制度,应明确不同网络安全事件的处置与响应流程,建立通报预警及内外部协作处置机制;组织专门队伍,调配技术资源,及时收集、汇总、分析各方网络安全信息,开展网络安全威胁分析和态势研判,及时通报预警处置;积极构建相关方广泛参与的信息共享、协同联动机制,提高信息通报预警、信息共享、事件处置等工作的高效性;与国家有关平台对接,实现协同联动和数据共享,能够做到统一指挥、快速调度,实现关基安全保护跨部门、跨行业、跨地域的整体防控和联防联控。
标准的内容与要求
主要包括第五章“5主要内容及活动”的内容,即安全防护:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全,同时包括第七章“7安全防护”的具体要求。
2、构建安全防护的“弹性能力”
本标准重点突出了数据安全和供应链安全要求,为提升安全防护能力,提升业务持续稳定运行的安全弹性,可以从管理和技术措施两个方面开展工作:
一是明确开展安全防护工作的管理和要求。建立针对关键信息基础设施指导和管理网络安全工作的委员会或领导小组,明确领导班子成员专职管理或分管关键信息基础设施安全保护工作;设置安全管理机构,建立健全网络安全保护工作制度和责任制;将网络安全等级保护制度与关键信息基础设施保护制度、数据安全保护制度有机衔接,统筹落实。
二是增强安全防护技术措施,强化数据安全和供应链安全。安全防护能力的构建,需要采用系列技术手段和措施,实现相关技术措施的有效聚合和一体化管理,包括:采用技术措施对具有不同安全保护等级的系统、不同业务系统、不同区域及与其他运营者之间的互操作、数据交换进行严格控制,建立或完善安全互联安全策略;采用鉴别与授权技术措施,实现重要业务操作、重要用户操作或异常用户操作行为的安全管控;采用网络入侵检测、大数据分析检测等技术手段,发现潜在的未知威胁,并作出响应;采用新的技术措施实现业务发展中采用的云平台、移动互连、物联网、5G等新技术的有效安全防护;建立数据安全管理责任和评价考核制度,编制数据安全保护计划,实施数据安全技术防护,开展数据安全风险评估,制定数据安全事件应急预案,及时处置安全事件;构建供应链安全保护系统,绘制供应链安全管理动态图谱,建立供应方目录,加强通用、开源功能组件模块分析梳理,加强供应安全风险分析识别,对关键业务链开展安全风险分析,分析主要安全风险点,当发生安全风险时,及时采取措施消除隐患。
《关键信息基础设施安全保护要求》总共分为11个章节,范围、引用文件、术语、原则、主要内容和活动、分析识别、安全防护、检测评估、监测预警、主动防御、事件处理。以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护为3项基本原则,提出了关键信息基础设施保护主要从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面的安全控制措施,这111条安全要求为运营者开展关键信息基础设施保护工作需求提供了标准保障。重点强调了采取必要措施保护关键信息基础设施业务连续运行,及其重要数据不受破坏,切实加强关键信息基础设施安全保护。
内容解读
1.分析识别
主要包括业务识别、资产识别、风险识别和重大变更。
业务识别:关键业务和外部业务的关联性、关键业务对外部业务的依赖性、关键业务对外部业务的重要性、关键业务链的分布和管理。资产识别:资产清单、资产级别及资产探测。风险识别:应依据GB/T20984等标准做风险评估,开展风险安全分析、采取安全控制措施。重大变更:关键信息基础设施改建、扩建及管理人员及其他的变更,应及时报告相关部门并更新资产清单。
2.安全防护
遵从网络安全等级保护基本要求,开展定级、备案及相关工作;根据识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全;确定了制定网络安全保护计划,并最少每年更新一次,或者发生安全事件的情况下更新;设置首席安全官,专管或者分管关键信息基础设施;关键岗位设置两人管理,对关基人员不少于30学时的培训;采用“一主双备”,“双节点”冗余的网络架构;根据区域不同做严格把控,并保留相关日志不少于6个月;应使用自动化工具进行管理,对漏洞、补丁进行修复对供应链安全和数据安全也做出了相关的要求。
3.检测评估
明确检测评估策略,根据国家政策、法律法规要求和组织需求,阐述检测评估目的、范围、角色、责任及组织内协调等;建立健全关键信息基础设施安全检测评估制度和流程,检测评估应包括合规检查、技术检查、分析评估等方面;建立年度检测评估工作责任制,明确检测中的角色分工和相应职责,建立相应问责机制;制定检测评估机制,自行或者委托国家或行业认可的网络安全服务机构,对其安全性和安全风险进行检测评估。
4.监测预警
制定监测策略,明确监测对象、监测流程、监测内容,主动掌握威胁态势;明确本组织的预警信息分级标准,明确本组织的预警信息分级标准;明确不同级别预警信息的报告、响应和处置流程;建立综合评估机制,综合评估特定时间期限内的监测预警情况;构建完善监测预警和信息通报机制,按规定向行业主管、国家监管等部门报送网络安全监测预警信息。
5.主动防御
构建攻防演习机制,使关键基础设施运营单位在实战中全面提升威胁应对能力,提升纵深防御能力、动态防御能力;构建主动防御能力,形成整体防控、精准防控和联防联控的安全运营体系;完善突发事件应急机制,有效处置网络安全事件,并针对应急演练中发现的突出问题和漏洞隐患,及时整改加固,完善保护措施;构建安全准入管理制度,开展互联网暴露面治理,全面了解互联网暴露面,并收敛暴露面。
6.事件处理
建立网络安全事件管理制度,明确不同网络安全事件的分类分级,明确不同类别、级别及特殊时期的网络安全事件报告、处置和响应流程;明确人员职责制度,建立并落实资产安全管理、漏洞持续管理、安全策略管理、风险持续监测和安全事件响应处置闭环流程,提升处置效率;建立合作机制,建立运营者与外部机构之间、其他运营者之间的合作机制,以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的合作机制;制定应急预案,根据演练情况对应急预案进行评估和改进;制定重大事件和威胁报告规范,明确报告流程和方法;建立信息上报机制,当网络系统出现特别重大网络安全事件时,应及时报告行业主管部门和相关监管部门。
7.解析部分
网络安全管控从单体系、单制度、单技术向多个体系的建立、多个制度的管理、多项技术的融合推进,并建立之间的关联关系;从安全保护的角度,把等级保护、关基保护、数据保护统一规划,确定网络安全保护计划并更新;关基自身的安全保护能力包括动态防御能力、主动防御能力、纵深防御能力、精准防护能力、整体防控能力、联防联控能力;以等级保护为基础,增加了在岗绩效考核的管理。