长扬科技深度解读 《关键信息基础设施安全保护要求》:关基运营者视角下的安全保障能力建设

文章来源:
字体:
发布时间:2022-11-22

新标准中,风险评估的要素包括资产、脆弱性、威胁和安全措施四大要素,各要素关系如下图4所示。实施流程包括评估准备、风险识别、风险分析、风险评价、沟通与协调和风险评估文档记录六个方面。GB/T 20984风险评估实施流程图如下图5所示:

image.png

图 4 风险要素及其关系

image.png

图 5 GB/T 20984风险评估实施流程图

3.2 安全防护

《要求》中对安全防护的定义为:根据已识别的关键业务、资产、安全风险,在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。

值得注意的是,《关键信息基础设施安全保护条例》第六条提出:在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件。因此关键信息基础设施的业务是要先落实国家网络安全等级保护制度相关要求,开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。

3.2.1 关保和等保关于安全防护的内容变化分析

从总体区别上来看,等级保护2.0重点是围绕“一个中心,三重防护”为核心,从技术+管理的角度来指导各单位如何开展安全保护工作;关保则是在等保的基础之上,从运营者关键业务及其相关关键信息基础设施的全生命周期角度描述如何开展安全保护工作。

3.2.2 关保和等保关于安全防护的要求重点分析

image.png

图 6 关保和等保关于安全防护要求区别分析

3.2.3 新增供应链安全保护

2022年2月15日施行的《网络安全审查办法》中第一条写到:为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全等,制定本办法。关基和《网络安全审查办法》一一对应,《网络安全审查办法》主要讲的就是基于对关键信息基础设施的供应链安全进行安全防护。

《要求》中对于供应链安全保护,主要是对供应链安全管理的策略和制度、采购国家检测认证的设备和产品、同时在相关责任和义务方面明确相关承诺和要求。以下是部分内容摘录:

采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品。

新闻爆料

图片精选