查看原文
其他

亚信安全:《关键信息基础设施安全保护条例》重点条款详解

你信任的 亚信安全 2022-08-17


《关键信息基础设施安全保护条例》解读

今年9月1日,国家颁布的《关键信息基础设施安全保护条例》(以下简称《条例》)将正式实施。亚信安全认为,《条例》的落地有利于进一步健全关键信息基础设施安全保护法律制度体系的同时,也对运营者建立健全网络安全保护制度和责任制,对关键信息基础设施安全保护,以及重大网络安全事件具备完善的处置能力,提出了更高要求。


涉及9个方面


《关键信息基础设施安全保护条例》中规定关键信息基础设施范围应包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业和其它重要单位9方面。

 

履行8项职责


《关键信息基础设施保护条例》要求运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。


运营者应当设置专门安全管理机构,专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:


(一)

建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;

(二)

组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;

(三)

按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;

(四)

认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;

(五)

组织网络安全教育、培训;

(六)

履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;

(七)

对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;

(八)

按照规定报告网络安全事件和重要事项。


6个主要环节


图:关键信息基础设施安全保护流程图


分析识别

运营者按照相关规定开展关键信息基础设施分析和识别活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础。

安全防护

运营者根据已识别的关键业务和资产、安全风险,实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面的安全控制措施,确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。

检测评估

为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。

监测预警

运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。建立威胁情报和信息共享机制,落实相关措施,提高关键信息基础设施主动防御能力。

技术对抗

运营者以对攻击行为的监测发现为基础,主动采取诱捕、溯源、干扰和阻断等措施, 提升对网络威胁与攻击行为的识别、分析和攻防对抗能力。

事件处置

对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。


重点条款解读



小结

《条例》的正式发布不管是对于关基行业还是网络安全等行业,其带来的影响都是非常深远的。对于网络安全企业而言,《条例》的颁布是不仅是利好,更意味着更大责任。


在关键信息基础设施信息安全防护方面,亚信安全已经积累了丰富的行业用户服务和攻防实战经验,形成了一套“从实战出发”为指导,将ST技术与IT、CT和OT的融合安全运维方案,为公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域提供网络安全技术、产品和运营服务。




行业热点:


重磅 | 国务院发布《关键信息基础设施安全保护条例》,9月1日起施行


信息安全 | 一图详解我国首部个人信息保护法


《数据安全法》9月1日起施行:护航数据安全,助力数字经济发展


亚信安全:解读《数据安全法》,打开数据安全保护“新思路”

了解亚信安全,请点击“阅读原文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存