400-0715-088
《关基安全保护要求》是基于《网络安全法》和《关键信息基础设施安全保护条例》(以下简称“《关保条例》”),在网络安全等级保护制度基础上,结合我国现有网络安全保障体系成果提出的。《网络安全法》、《关保条例》以及我国关基方面其他监管依据中明白准确地提出的且适合在标准中规范的,均在标准中有相应的要求落地,例如:
同步规划、同步建设、同步使用的“三同步要求”;(《网络安全法》第三十三条、《关保条例》第十二条)
每年至少进行一次安全检测评估;(《网络安全法》第三十八条、《关保条例》第十七条、《国家网络安全检查操作指南》2.6.1)
境内存储;(《网络安全法》第三十七条、《个人隐私信息保护法》第四十条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(四))
“拟定安全保护计划”“履行个人隐私信息和数据安全保护责任”等具体职责;(《关保条例》第十五条)
采购网络产品和服务的安全审查;(《网络安全审查办法》第二条、《关保条例》第十九条)
采购网络关键设备和网络安全专用产品应通过国家检验测试认证;(网络关键设备和网络安全专用产品目录(第一批))
明确网络产品和服务提供者的安全责任和义务,与提供者签订安全保密协议;(《网络安全法》第三十六条、《关保条例》第二十条、《国家网络安全检查操作指南》2.11.1)
网络安全教育培训;(《网络安全法》第三十四条、《关保条例》第十五条(五)、《国家网络安全检查操作指南》2.7、)
应急演练;(《网络安全法》第三十九条、《关保条例》第十五条(三)、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第一条(三))
专门安全管理机构负责人和关键岗位人员安全背景审查;(《网络安全法》第三十四条、《关保条例》第十四条)
设置专门安全管理机构和安全管理负责人(《关保条例》第十四条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(二))
重大变更及时报告变化情况;(《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(一))
相比之前的监督管理要求,《关基安全保护要求》在安全管理机构方面,新增了成立网络安全工作委员会或领导小组,并明白准确地提出了将领导班子成员作为 首席网络安全官 的要求;
在应急演练方面,此前的监督管理要求没有同时明确开展应急演练的时间和频次,例如《网络安全法》《关保条例》只规定了定期开展应急演练,《国家网络安全检查操作指南》只规定对应急预案每年至少评估一次,以及只规定每年应开展应急演练却无具体的频次要求。而《关基安全保护要求》在此方面做了细化完善,进一步明确了 每年至少组织并且开展1次本组织的应急演练 ;
《关基安全保护要求》在产品服务采购方面也进行了补充和扩展,为运营者提供了更多具体可执行的操作要求,大大增强了采购环节的安全性。例如, 建立和维护合格供应方目录;强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性;获得提供者对网络产品和服务的10年以上知识产权授权;自行或委托第三方对定制开发的软件进行源代码安全检测 。
关于安全计算环境方面,在此前的监管依据中,例如《国家网络安全检查操作指南》2.5.4.3c)关于补丁、漏洞、账户管理等的检查方法有使用终端检查工具或采用人工方式,而此次《关基安全保护要求》明白准确地提出了应使用 自动化工具 来支持系统账户、配置、漏洞、补丁、病毒库等的管理。
《关基安全保护要求》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。
具体来看,《关基安全保护要求》对以上六个方面活动提出了以下安全保护要求:
成立网络安全工作委员会或领导小组,明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。设置专门的网络安全管理机构,建立并实施网络安全考核及监督问责机制。
对安全管理机构负责人和关键岗位人员进行安全背景审查和安全技能考核,建立网络安全教育培训制度,明确从业人员安全保密职责和义务,并签订安全保密协议。
实现通信线路“一主双备”的多电信运营商多路由保护,不通系统之间安全技术防护,采取网络审计措施。
重要操作的鉴别与授权,采取技术方法提高入侵防范能力,使用自动化工具管理。
实现网络安全技术措施与主体工程同步规划、同步建设、同步使用( “三同步”)。
保证关键信息基础设施运维点位于中国境内。在运维前与维护人员签订安全保密协议。
应急预案和演练:在国家网络安全事件应急预案框架下制定应急预案;应急预案同内外部相关计划协调;非常规时期、遭受大规模攻击时等处置流程;每年至少组织并且开展1次本组织的应急演练。
响应和处置:向供应链涉及的相关内外部组织通报;恢复关键业务和信息系统;取证分析;评估恢复情况;通报安全事件及其处置情况。
通过对以上《关基安全保护要求》内容的深入分析,能够准确的看出该标准对CII的安全要有两方面要求,即:关基运营者的网络安全管控能力和关基自身的安全保护能力。其中运营者的网络安全管控能力侧重于关基管理体系机制的构建,关基自身的安全保护能力侧重于关基应采取的技术和管理措施。
《关基安全保护要求》的报批稿于2021年12月完成,此次正式对外发布的《关基安全保护要求》标准和报批稿的时间间隔相差10个月,正式版在报批稿基础上做了部分内容的修正和完善,以下将针对正式版与报批稿的主要差异作对比解读(标红部分为正式版新增内容):
(1)正式版在第3“术语和定义”部分增加了关于“供应链”、“关键业务链”的定义。
供应链:将多个资源和过程联系在一起,并根据服务协议或其他采购协议建立连续供应关系的组织系列。注:其中每一组织充当需方、供方或双重角色。
注:保护工作部门指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管部门、监督管理部门,也是负责关键信息基础设施安全保护工作的部门。
已发布的《关键信息基础设施安全保护条例》有明确对保护工作部门的定义,此处注释强调关键信息基础设施运营者在关键业务重要性、关键业务链、资产清单、安全风险等出现重大变化时,应及时上报行业主管部门、监督管理部门。同时提醒行业主管部门、监督管理部门对出现重大变更情况时应做到及时管理的责任。
应实现通信线路“一主双备”的多电信运营商多路由保护,宜对网络关键节点和重要设施实施“双节点”冗余备份。
对关键信息基础设施的可用性提出更高要求,根据相关要求关基运营者在建设过程至少需要引入2个及以上电信运营商实现通信服务,且其中至少1个运营商需要出示冗余线路,与《网络安全等级保护基础要求》中的冗余相比,落地了《网络安全法》第三十一条规定的对关键信息基础设施实施重点保护原则。
(2)第7.9 j)增加了“或由供应方提供第三方网络安全服务机构出具的代码安全检查报告”的内容。
j)应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方提供第三方网络安全服务机构出具的代码安全检测报告;
7.9j)条文增加内容部分,明确定制开发软件由供应方提供的第三方网络安全服务机构出具代码安全检测符合要求。
b)应按照先应急处置,后调查评估的原则,在事件发生后尽快收集证据,按要求做信息安全取证分析,并确保所有涉及的响应活动被适当记录,便于日后分析,在进行取证分析时,应与业务连续性计划相协调;
增加的内容明确针对关键信息基础设施事件处理、应急处置流程的先后顺序原则,关键信息基础设施若发生安全事件可能会对国家安全、国计民生、公共利益造成较大的影响,运营者、保护工作部门在发生安全事故时,优先保证系统的可用性,将关键业务和信息系统恢复到正常状态,最后再执行安全调查、取证、分析等工作,确保将影响降低到最小范围。
(1)7.9b)中补充强调是“采购网络关键设备和网络安全专用产品目录中的设备产品时”。
b)采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检验测试认证的设备和厂品;
7.9b)条文增加内容部分,明确关键信息基础设施需要国家检验测试认证设备和产品的范围,供应商在提供产品时应注意网络关键设备和网络安全专用产品目录设备必须持有相关国家检测认证,且在有效期内。
f)应建立网络安全信息共享机制,例如:建立与保护工作部门、同一关键信息基础设施的其他运营者、研究机构、网络安全服务机构、业界专家之间的沟通与合作机制,网络安全共享信息可以是漏洞信息、威胁信息、最佳实践、前沿技术等。当网络安全共享信息为漏洞信息时,应符合国家关于漏洞管理制度的要求。
按照《网络产品安全漏洞管理规定》(工信部联网安〔2021〕66号)对于非法收集、出售、发布网络产品安全漏洞信息行为,提前发布漏洞信息行为,未经公安部同意在国家举办重大活动期间擅自发布网络产品安全漏洞信息行为,对未公开的网络产品安全漏洞信息向境外组织或者个人提供行为,将按照《网络安全法》规定处罚,最高可以处五日以上十五日以下拘留,十万元以上一百万元以下罚款。
关键信息基础设施安全保护体系作为网络安全体系中的一部分,势必成为企业不可或缺的安全合规内容。建议关键信息基础设施运营者应按照《关基安全保护要求》采取对应的管理和技术措施对关键信息基础设施进行全生存周期安全保护,网络安全服务机构应依据《关基安全保护要求》开展网络安全检测和风险评估等活动。
金融信息安全讨论群,请添加群主微信:qiao070132,备注:姓名+公司+职务+安全入群。返回搜狐,查看更加多
蒙公网安备15010202150197号