可落地的安全要求，关基保护又出新规 | FreeBuf咨询解读

2022年10月12日，市场监管总局(标准委)正式批准国家标准——GB/T 39204 2022《信息安全技术 关键信息基础设施安全保护要求》，该要求将于2023年5月1日起实施。

《信息安全技术 关键信息基础设施安全保护要求》（以下简称《要求》）是在《网络安全法》、《关键信息基础设施安全保护条例》以及网络安全等级保护2.0的制度基础上，结合我国现有网络安全保障体系成果提出的可落地的安全保护要求。

《要求》分别从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求，其目标在于保护关键信息基础设施业务连续运行及其重要数据不受破坏，切实加强关键信息基础设施安全保护工作提供了国标规范保障，同时也为运营者和相关方提供了全生存周期的指导和参考。

《要求》遵从以关键业务为核心的整体防控，以风险管理为导向的动态防护，以信息共享为基础的协同联防三大核心原则，其适用范围包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全，国计国生、公共利益的重要网络设施、信息系统。

对此，FreeBuf咨询特别针对《信息安全技术 关键信息基础设施安全保护要求》进行解读，旨在帮助关键基础设施安全运营者及相关安全从业人员更好地理解《要求》的具体内容及其指导意义，从而为相关单位关键基础设施安全防护建设提供参考。

FreeBuf咨询核心解读

1. 《信息安全技术 关键信息基础设施安全保护要求》是结合我国现有关键信息基础设施安全保障体系成果提出的可落地的安全保护要求，例如定量规定安全检测评估及应急演练频次、采购网络关键设备和网络安全专用产品具体流程、明确网络产品和服务提供者安全责任与义务等，有助于进一步为关键信息基础设施运营者及相关人员提供安全工作指引和依据。

2. 《要求》强调精准、全面、弹性的主动防御视角，提倡从分析识别、安全防护、检测评估、监测预警、主动防御到事件处置的流程化安全防护理念,是围绕以关键业务为核心的整体防控、以风险管理为导向的动态防护以及以信息共享为基础的协同联防三大主要原则开展的具体安全保护要求。

3. 对于监管部门而言，《要求》明确了安全检测评估、考核的具体标准及流程，支撑其优化关键信息基础设施安全监管举措，帮助其进一步把握监管范围与力度。

4. 对于关键信息基础设施运营者而言，《要求》帮助其构筑网络安全建设、运维、制度、人员管理流程框架，确立安全技术能力提升方向及安全工具采购与使用标准，以更好地保障关键信息基础设施安全的稳定运行。

5. 对于网络安全服务提供者而言，《要求》明确了产品和服务者的安全责任与义务，限定了网络产品和服务研发、制造过程中涉及的实体拥有或控制的已知技术专利等知识产权要求，为其更好地开展网络安全服务提供合规依据。

有关FreeBuf咨询对《信息安全技术 关键信息基础设施安全保护要求》的详细解读见下图：