2022年11月7日，《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准发布，作为关键信息基础设施安全保护标准体系的构建基础，该标准将于2023年5月1日正式实施。

  为了更好的落地《网络安全法》、配合《关键信息基础设施安全保护条例》等法律和法规标准的实施，在网络安全等级保护制度基础上借鉴重要行业和领域网络安全保护的经验，在市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局的指导下，有关部门制定了《信息安全技术 关键信息基础设施安全保护要求》。

  《关键信息基础设施安全保护要求》给出了关键信息基础设施安全保护3项根本原则、从6个方面提出了111条安全要求，为运营者开展关键信息基础设施保护工作需求提供了强有力的保障。

  共11个章节，分别从范围、引用文件、术语、原则、主要内容和活动、分析识别、安全防护、检验测试评估、监测预警、主动防御、事件处理等角度对关键信息基础设施安全保护进行了全面的要求。

  重点强调了采取必要措施保护关键信息基础设施业务连续运行及其重要数据不受破坏，切实加强关键信息基础设施安全保护。

  提出了关键信息基础设施保护主要从分析识别、安全防护、检验测试评估、监测预警、主动防御、事件处置等六个方面的安全控制措施，适用于指导运营者对关键信息基础设施进行全生存周期安全保护，也可供关键信息基础设施安全保护的其他相关方参考使用。

  主要有开展业务识别（4）、资产识别（3）、风险识别（20984）、重大变更（以上内容的变化）

  根据识别的关键业务、资产、安全风险，在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护的方法，确保关键信息基础设施的运行安全；

  确定了制订网络安全保护计划，并最少每年更新一次，或者发生安全事件的情况下更新；

  明确检测评估策略，依照国家政策、法律和法规要求和组织需求，阐述检验测试评估目的、范围、角色、责任及组织内协调等；

  建立健全关键信息基础设施安全检测评估制度和流程，检测评估应包括合规检查、技术检查、分析评估等方面；

  建立年度检测评估工作责任制，明确检测中的角色分工和相应职责，建立相应问责机制；

  制定检测评估机制，自行或委托国家或行业认可的网络安全服务机构，对其安全性和安全风险进行仔细的检测评估。

  构建攻防演习机制，使关键基础设施运营单位在实战中全方面提升威胁应对能力，提升纵深防御能力、动态防御能力；

  完善突发事件应急机制，有效处置网络安全事件，并针对应急演练中发现的明显问题和漏洞隐患，及时整改加固，完善保护措施；

  构建安全准入管理制度，开展互联网暴露面治理，全方面了解互联网暴露面，并收敛暴露面。

  建立网络安全事件管理制度，明确不同网络安全事件的分类分级，明确不同类别、级别及特殊时期的网络安全事件报告、处置和响应流程；

  明确人员职责制度，建立并落实资产安全管理、漏洞持续管理、安全策略管理、风险持续监测和安全事件响应处置闭环流程，提升处置效率；

  建立合作机制，运营者与外部机构之间、其他运营者之间的合作机制，以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的合作机制；

  制订应急预案，根据演练情况对应急预案做评估和改进；制定重大事件和威胁报告规范，明确报告流程和方法；

  建立信息上报机制，当网络系统出现特别重大网络安全事件时，应及时报告行业主管部门和相关监管部门。

  网络安全管控从单体系、单制度、单技术向多个体系的建立、多个制度的管理、多项技术的融合推进，并建立之间的关联关系；

  从安全保护的角度，把等级保护、关基保护、数据保护统一规划，确定网络安全保护计划并更新；

  关键信息基础设施自身的安全保护能力包括动态防御能力、主动防御能力、纵深防御能力、精准防护能力、整体防控能力、联防联控能力；

  1、关键信息基础设施保护要求是国家网络安全保护的又一重要求，是安全体系的新成员，是在网络安全法、关键信息基础设施保护条例后对关键信息基础设施保护的又一个重量级的基石。

  2、公安机关将大力加强关键信息基础设施安全保卫和安全监管，严厉打击相关违法犯罪活动，与有关部门密切配合，着力构建关键信息基础设施综合防御体系，大力提升综合防御能力和水平，坚决维护好国家互联网空间安全。

  3、《关键信息基础设施安全保护要求》主要是对关键信息基础设施保护作出明确要求，在等级保护基础上重点保护提出了要领。

  4、《关键信息基础设施安全保护要求》对设施运营者提出了更加具体的要求，应当落实网络安全责任，建立完整网络安全保护制度，设置专门安全管理机构，开展安全监测和风险评估，报告网络安全事件或网络安全威胁，规范网络产品和服务采购活动。返回搜狐，查看更加多