关键信息基础设施安全保护：关键信息基础设施保护五个环节

网络安全等级保护的五个规定动作，我们知道为:定级、备案、建设整改、等级测评、监督检查。这个五个动作，源自《信息安全等级保护管理办法》（公通字[2007]43号)这个政策文件，那么关键信息基础设施也有五个环节，我们借助《信息安全技术 关键信息基础设施网络安全保护基本要求》（征求意见稿）看一下。

• 识别认定：运营者配合安全保护工作部门，开展关键信息基础设施识别和认定活动，围绕关键信息基础设施承载的关键业务，开展风险识别。

• 安全防护：运营者根据已识别的安全风险，在规划、人员、数据、供应链等方面制定和实施适当的安全防护措施，确保关键信息基础设施的运行安全。

本环节在认定关键信息基础设施及识别其安全风险的基础上制定安全防护措施。

• 检测评估：为检验安全防护措施的有效性，发现网络安全风险隐患，运营者制定相应的检测评估制度，确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件。

• 监测预警：为检验安全防护措施的有效性，运营者制定并实施网络安全监测预警和信息通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示。

• 应急处置：根据检测评估、监测预警环节发现的问题，运营者制定并实施适当的应对措施，并恢复由于网络安全事件而受损的功能或服务，动态识别关键信息基础设施的安全风险。

有关网络安全等级保护与关键信息基础保护，在未来将痴痴缠缠纠结一起。关键信息基础设施事关国家安全、国计民生、公共利益，安全防护工作马虎不得。《关键信息基础设施安全保护条例》已经发布，于今年9月1日正式施行。相信我们在等级保护工作的经验的基础上，能够更好的理解重点保护的意义，也期待关键信息基础设施有关国家标准正式版能够面世，让我们一起更好的为关键信息基础设施保护保驾护航。

本文始发于微信公众号（祺印说信安）：关键信息基础设施安全保护：关键信息基础设施保护五个环节