长扬科技深度解读 《关键信息基础设施安全保护要求》:关基运营者视角下的安全保障能力建设

文章来源:
字体:
发布时间:2022-11-22

要求提供者声明不非法获取用户数据、控制和操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。

应建立和维护合格供应方目录。应选择有保障的供应方,防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。

应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方 提供第三方网络安全服务机构出具的代码安全检测报告。

长扬科技解读

由于我国关键基础设施行业例如电力、石油化工、燃气水务等行业,其核心工业控制系统大部分被国外垄断,在国内外日益严峻的大背景下,为了避免出现因为“卡脖子”而影响关基企业运行安全的事件,供应链安全的重要性日益凸显。本次《要求》新增供应链安全,对于国家关键信息基础设施运营者在未来的采购、建设、运行、升级、管理等方面,都提供了有力的要求。

3.2.4 新增数据安全防护

2021年9月1日施行的《中华人民共和国数据安全法》中,第三十一条提到:对关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据进行管理。

《要求》中对于数据安全防护,应建立数据安全管理责任和评价考核制度,包括数据安全保护计划、数据安全风险评估、数据安全事件应急预案,组织数字安全教育等。同时对数据分类分级、保护个人数据的重要性、数据备份等方面做出要求。另外还首次对废弃数据处理作出要求,要求按照数据安全保护策略对储存的数据进行处理。

长扬科技解读

中央在2020年提出数据已经成为除土地、劳动力、资本、技术之外的第五个要素。《要求》的发布是继《数据安全法》发布后,再一次把数据安全作为纲领性要求进行了独立阐述,也诠释了数据作为关键信息基础设施安全保护的重要性。运营者应加强对数据分类分级管理,以及对数据的使用、加工、传输、提供和公开等环节进行全生命周期保护。

3.3 检测评估

《要求》中对检测评估的定义为:为检验安全防护措施的有效性,发现网络安全风险隐患,应建立相应的检测评估制度,确定检测评估流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。

长扬科技解读

对比等保2.0要求可以发现,“商用密码应用安全性评估情况、数据安全防护情况、供应链安全保护情况、攻防演练”等内容,首次作为检测评估项被明确提出,由此可见,在未来的关保检查工作当中,运营者需要重点关注在以上方面自身的能力建设,弥补相关短板。

3.3.1 检测评估工作流程

检测评估工作开展前,应明确关键信息基础设施检查评估活动的背景、目标、原则、依据,充分调研检测评估对象所属行业的相关标准及政策文件的要求,确定检测评估工作任务。具体工作流程如下图所示:

image.png

图7 关基检测评估工作流程图

新闻爆料

图片精选