可落地的安全要求,关基保护又出新规 | FreeBuf咨询解读
2022年10月12日,市场监管总局(标准委)正式批准国家标准——GB/T 39204 2022《信息安全技术 关键信息基础设施安全保护要求》,该要求将于2023年5月1日起实施。
《信息安全技术 关键信息基础设施安全保护要求》(以下简称《要求》)是在《网络安全法》、《关键信息基础设施安全保护条例》以及网络安全等级保护2.0的制度基础上,结合我国现有网络安全保障体系成果提出的可落地的安全保护要求。
《要求》分别从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求,其目标在于保护关键信息基础设施业务连续运行及其重要数据不受破坏,切实加强关键信息基础设施安全保护工作提供了国标规范保障,同时也为运营者和相关方提供了全生存周期的指导和参考。
《要求》遵从以关键业务为核心的整体防控,以风险管理为导向的动态防护,以信息共享为基础的协同联防三大核心原则,其适用范围包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全,国计国生、公共利益的重要网络设施、信息系统。
对此,FreeBuf咨询特别针对《信息安全技术 关键信息基础设施安全保护要求》进行解读,旨在帮助关键基础设施安全运营者及相关安全从业人员更好地理解《要求》的具体内容及其指导意义,从而为相关单位关键基础设施安全防护建设提供参考。
FreeBuf咨询核心解读
1. 《信息安全技术 关键信息基础设施安全保护要求》是结合我国现有关键信息基础设施安全保障体系成果提出的可落地的安全保护要求,例如定量规定安全检测评估及应急演练频次、采购网络关键设备和网络安全专用产品具体流程、明确网络产品和服务提供者安全责任与义务等,有助于进一步为关键信息基础设施运营者及相关人员提供安全工作指引和依据。
2. 《要求》强调精准、全面、弹性的主动防御视角,提倡从分析识别、安全防护、检测评估、监测预警、主动防御到事件处置的流程化安全防护理念,是围绕以关键业务为核心的整体防控、以风险管理为导向的动态防护以及以信息共享为基础的协同联防三大主要原则开展的具体安全保护要求。
3. 对于监管部门而言,《要求》明确了安全检测评估、考核的具体标准及流程,支撑其优化关键信息基础设施安全监管举措,帮助其进一步把握监管范围与力度。
4. 对于关键信息基础设施运营者而言,《要求》帮助其构筑网络安全建设、运维、制度、人员管理流程框架,确立安全技术能力提升方向及安全工具采购与使用标准,以更好地保障关键信息基础设施安全的稳定运行。
5. 对于网络安全服务提供者而言,《要求》明确了产品和服务者的安全责任与义务,限定了网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权要求,为其更好地开展网络安全服务提供合规依据。
有关FreeBuf咨询对《信息安全技术 关键信息基础设施安全保护要求》的详细解读见下图:
相关文章
- 在 Go 里用 CGO?这 7 个问题你要关注!
- 9款优秀的去中心化通讯软件 Matrix 的客户端
- 求职数据分析,项目经验该怎么写
- 在OKR中,我看到了数据驱动业务的未来
- 火山引擎云原生大数据在金融行业的实践
- OpenHarmony富设备移植指南(二)—从postmarketOS获取移植资源
- 《数据成熟度指数》报告:64%的企业领袖认为大多数员工“不懂数据”
- OpenHarmony 小型系统兼容性测试指南
- 肯睿中国(Cloudera):2023年企业数字战略三大趋势预测
- 适用于 Linux 的十大命令行游戏
- GNOME 截图工具的新旧截图方式
- System76 即将推出的 COSMIC 桌面正在酝酿大变化
- 2GB 内存 8GB 存储即可流畅运行,Windows 11 极致精简版系统 Tiny11 发布
- 迎接 ecode:一个即将推出的具有全新图形用户界面框架的现代、轻量级代码编辑器
- loongarch架构介绍(三)—地址翻译
- Go 语言怎么解决编译器错误“err is shadowed during return”?
- 敏捷:可能被开发人员遗忘的部分
- Denodo预测2023年数据管理和分析的未来
- 利用数据推动可持续发展
- 在 Vue3 中实现 React 原生 Hooks(useState、useEffect),深入理解 React Hooks 的