《关基保护要求》从分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等6个环节提出了安全保护增强要求。其中分析识别环节是安全防护、检测评估、监测预警、主动防御、事件处置等环节的基础。
运营者的网络安全管控能力包括顶层设计和统筹规划、组织架构体系、安全管理制度体系、各项机制建立等方面。
顶层设计和统筹规划包括等级保护、关基保护、数据保护等统筹设计,如条款要求“每年制定安全保护计划”。
组织架构体系包括构建领导体系、决策体系、工作体系等,如条款要求“成立网络安全工作委员会或领导小组”、“设置专门的网络安全管理机构”、“安全管理机构人员纳入组织信息化决策体系”等。
安全管理制度体系体现为在《等级保护要求》基础上增加了管理制度要求,如网络安全责任制、考核及监督问责、监测预警和信息通报、供应链安全管理、数据安全管理、经费保障等各项制度。
关基自身的安全保护能力包括动态防御能力、主动防御能力、纵深防御能力、精准防护能力、整体防控能力、联防联控能力。
动态防御能力以风险管理为指导思想,基于对关基所面临安全风险及隐患的立体化网络安全动态监测,对其安全控制措施进行动态调整,以及时有效的防范应对安全风险,具体条款要求见标准中的风险识别、监测、预警等章节。
主动防御能力以应对攻击行为的监测发现为基础,主动采取收敛暴露面、诱捕、溯源、干扰和阻断等措施,开展攻防演习和威胁情报工作,具体条款要求见标准中的主动防御章节。
纵深防御能力通过关基按照业务功能实行分区分域管理,区域之间进行有效安全隔离和认证,实现从边界到核心的多层保护,具体条款要求见互联安全、边界防护等章节。
整体防护能力基于关基承载的业务,对业务所涉及的多个网络和信息系统等进行整体设计、全面防护。具体条款要求见业务识别、安全管理中心(《等级保护要求》)、安全建设管理等章节。
综上,《关基保护要求》落实了CII安全保护以网络安全等级保护制度为基础这一要求,并与我国的网络安全整体形势以及CII安全需求相适应,必将有力推动关键信息基础设施安全保护制度在全国的落地实施。
作者:公安部第三研究所评估中心 咨询部副主任 袁静
(原创版权所有,引用请标明出处。)
关键信息基础设施安全保护标准体系解析
长按识别二维码 即刻关注我们
原文始发于微信公众号(公安部网络安全等级保护中心):关键信息基础设施安全保护标准体系解析系列之二——浅析《关键信息基础设施安全保护要求》
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论