关基信创深度解读 | 国标《关键信息基础设施安全保护要求》重磅发布!
The following article is from 长扬科技 Author 长扬科技
前言
2022年10月12日,市场监管总局(标准委)发布公告,批准国家标准——GB/T 39204 2022《信息安全技术 关键信息基础设施安全保护要求》(以下简称《要求》)正式发布,并将于2023年5月1日实施。《要求》的正式发布,也标志着绸缪8年的关键信息基础设施安全保护(简称关保)工作正式拉开帷幕。
长扬科技依托于自身沉淀多年的行业标准解读和实践落地经验,从关键信息基础设施运营者的角度,对本次《要求》发布的内容做出以下深度解读。
1
《要求》保护框架总体分析
2
《要求》三大保护原则分析
3
《要求》六个活动详细解读
采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。 要求提供者声明不非法获取用户数据、控制和操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。 应建立和维护合格供应方目录。应选择有保障的供应方,防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。 应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方 提供第三方网络安全服务机构出具的代码安全检测报告。
深度解读
由于我国关键基础设施行业例如电力、石油化工、燃气水务等行业,其核心工业控制系统大部分被国外垄断,在国内外日益严峻的大背景下,为了避免出现因为“卡脖子”而影响关基企业运行安全的事件,供应链安全的重要性日益凸显。本次《要求》新增供应链安全,对于国家关键信息基础设施运营者在未来的采购、建设、运行、升级、管理等方面,都提供了有力的要求。
深度解读
中央在2020年提出数据已经成为除土地、劳动力、资本、技术之外的第五个要素。《要求》的发布是继《数据安全法》发布后,再一次把数据安全作为纲领性要求进行了独立阐述,也诠释了数据作为关键信息基础设施安全保护的重要性。运营者应加强对数据分类分级管理,以及对数据的使用、加工、传输、提供和公开等环节进行全生命周期保护。
深度解读
对比等保2.0要求可以发现,“商用密码应用安全性评估情况、数据安全防护情况、供应链安全保护情况、攻防演练”等内容,首次作为检测评估项被明确提出,由此可见,在未来的关保检查工作当中,运营者需要重点关注在以上方面自身的能力建设,弥补相关短板。
深度解读
根据对《要求》监测预警章节理解,将监测预警立体化示意图梳理如下图所示:
图8 监测预警立体化示意图
深度解读
下图是根据长扬科技在某关基行业总结的网络安全事件处置流程图:
图 9 某关基运营者网络安全事件处置流程图
深度解读
事件处置相关管理制度的建立包括制度总体文件设计、流程角色梳理、岗位职责设定、事件分类、事件分级、事件处理时限(SLA)设计、事件管理工具/平台建设、常见网络安全事件应急预案库设计、针对典型事件的应急演练和人员培训、事件沉淀知识库、事件分析溯源、事件结果通报、与监管单位的协同上报联动等具体工作内容。
4
总结
END
点击图片查看完整内容: