11月7日,市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局在京联合召开《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《保护要求》)国家标准发布宣贯会。据介绍,关键信息基础设施是国家网络安全保护的重中之重,作为《关键信息基础设施安全保护条例》(以下简称《条例》)发布一年后首个正式发布的关基标准,为关键信息基础设施保护的实际落地具有重要意义。
据悉,《信息安全技术 关键信息基础设施安全保护要求》是关键信息基础设施安全保护标准体系的构建基础,将于2023年5月1日正式实施。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
《保护要求》作为《条例》一项重要的配套标准,对于关键信息基础设施继承了《条例》“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”的定义, 与《网络安全法》第31条的定义方式保持了一致,采用的仍是举例加后果概括的方式。
《保护要求》安全防护阶段供应链安全保护部分与《网络安全审查办法》中要求的” 重点评估采购网络产品和服务可能带来的国家安全风险“。《条例》中要求的”运营者应当优先采购安全可信的网络产品和服务并签订安全保密协议“对接,提出“供应链安全管理策略、年度采购清单等”具体要求,确保关键信息基础设施供应链安全。
《保护要求》安全防护阶段在等级保护的基础上强调了数据安全防护,与《数据安全法》衔接。如果把数据看成是“货物”,关键信息基础设施(CII)可以看成是承载“货物”的容器。《网络安全法》、《数据安全法》和《条例》形成了对重要网络活动、数据活动的基本规则体系,《保护要求》则是直接与等级保护要求进行对接,进行安全保护要求的落地。
注:内容来源于互联网公开信息