欢迎大家提出或反馈关于关基保护的问题和建议。请您关注联盟公众号并留言,我们将及时与您联系,并将所有问题整理及时反馈给相关部门。
![关键信息基础设施的认定和十个保护要求]( "关键信息基础设施的认定和十个保护要求")
重要行业和领域的主管部门、监管部门是负责关键信息基础设施安全保护工作的部门。保护工作部门应根据中央有关文件要求,从维护国家安全、社会公共安全、人民群众利益和重要业务安全的高度,对本行业、本领域网络设施和信息系统等进行梳理,参考公安部发布的关键信息基础设施识别认定指南,制定关键信息基础设施认定规则,组织专家进行评审,并报公安部备案。
保护工作部门应聚焦本行业、本领域的核心业务,在网络安全等级保护工作的基础上,根据本行业、本领域关键信息基础设施认定规则和关键信息基础设施识别认定指南,组织确定关键信息基础设施清单,通过专家评审后报公安部备案。一个关键信息基础设施可能涉及一个或多个运营者,可能包含一个或多个网络安全等级保护对象;若包含多个网络安全等级保护对象,则至少含有一个第三级以上网络安全等级保护对象。
关键信息基础设施发生较大变化,可能影响其认定结果的,关键信息基础设施运营者应及时将相关情况报告保护工作部门;保护工作部门重新认定关键信息基础设施,将认定结果通知运营者,并报公安部备案。
关键信息基础设施保护工作部门和运营者应按照《网络安全法》《关键信息基础设施安全保护条例》等法律法规要求,组织开展关键信息基础设施安全保护工作。
保护工作部门和运营者应按照《网络安全法》《关键信息基础设施安全保护条例》要求,认真落实国家网络安全等级保护制度,依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护测评要求》等国家标准,开展网络安全技术设计、网络安全建设整改和等级测评,健全完善网络安全管理制度,构建关键信息基础设施综合防御体系,不断提升关键信息基础设施安全保护能力。
保护工作部门要明确一名领导班子成员分管关键信息基础设施安全保护工作,并确定承担具体工作的司局级单位。保护工作部门、运营者要严格落实《党委(党组)网络安全工作责任制实施办法》,主要负责人对关键信息基础设施安全保护负总责,并明确一名领导班子成员作为首席网络安全官分管安全保护工作,设置专门网络安全管理机构。同时,要建立健全网络安全管理和评价考核制度,加强网络安全统筹规划和贯彻实施。
保护工作部门和运营者要高度重视关键信息基础设施涉及的信息技术产品和服务等供应链安全。运营单位应优先采购安全可信的网络产品和服务,并对关键信息基础设施设计、建设、运行、维护等服务环节加强安全管理。运营单位采购网络产品和服务,应按照有关规定与网络产品和服务提供者签订安全保密协议,并对其责任义务履行情况进行监督。
运营者要全面梳理掌握本单位重要数据底数和安全保护状况,对重要系统和数据库进行容灾备份,并采取国产密码保护、可信计算等关键技术防护措施,切实保护数据在采集、存储、传输、应用、销毁等环节的安全,确保其全生命周期的安全。
积极配合公安机关开展网络攻防演习和网络安全执法检查。
按照中央要求和法律赋予的职责任务,公安机关每年组织开展“护网行动”网络攻防实战演习、网络安全执法检查、技术检测和渗透测试,组织开展网络安全专项整治行动。保护工作部门、运营者应积极配合公安机关开展有关工作,不断提升攻防对抗能力以及与公安机关的协同配合能力,提高国家整体应对网络战威胁能力。
建立健全关键信息基础设施案事件报告和应急处置机制。
运营者应不断健全完善网络安全应急预案,定期组织应急演练。保护工作部门、运营者与公安机关应建立网络安全案事件报告制度和应急处置机制,关键信息基础设施一旦发生网络安全案事件或者发现重大网络安全威胁,运营者应第一时间向受理备案的公安机关报告,保护现场和证据,开展应急处置,协助配合公安机关开展调查处置和侦查打击。
加强实时监测和信息通报预警机制建设,落实常态化措施。
保护工作部门应在国家网络与信息安全信息通报中心指导下,建立健全本行业、本领域网络安全信息通报预警制度。运营者应建设网络安全应急指挥中心,落实7x24小时值班值守机制,利用网络安全态势感知平台,大力开展网络安全实时监测、威胁情报、通报预警、应急处置、指挥调度等工作,大力提升网络安全突发事件的应对能力。
保护工作部门、运营者应按照公安部要求,建设本行业、本领域网络安全态势感知平台,并与公安部平台对接,形成纵横联通、协同作战的立体化国家关键信息基础设施安全保卫大系统,构建国家关键信息基础设施安全综合防御体系。
公安部通过组织开展演习和比武竞赛,发现了一批高端人才并通报给有关保护工作部门、运营者。有关单位和部门应建立特殊人才发现、选拔、使用机制,与公安机关密切配合,通过培训和训练,提升网络安全人才的实战化能力。
运营者应配备足够的专门人员,设置网络安全专项经费,保障关键信息基础设施开展等级测评、风险评估、攻防演练、安全建设整改、安全保护平台建设、教育培训等的经费投入,加强信息化手段建设,提高技术管网能力。
原文始发于微信公众号(关键基础设施安全应急响应中心):关键信息基础设施的认定和十个保护要求
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1737133.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论