重要政策解读,企业信息安全新思路2023年5月1日起,国家标准《GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求》(以下简称《关保要求》)正式实施。作为我国首个发布的关键信息基础设施安全保护标准,标志关键信息基础设施安全保护工作进入了新阶段。 政策如何解读?对企业安全保护工作有哪些指导意义?为您一一道来。 《关保要求》以《网络安全法》、《关键信息基础设施安全保护条例》为法律依据,在网络安全等级保护的基础上,整合了我国各领域行业的最佳实践,与《数据安全法》、《个人信息保护法》、《密码法》等法律法规共同构筑起关键信息基础设施安全保护的法律框架,为社会稳定、维护国家安全提供重要保障。 关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护我国网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。 问 那么,什么是关键基础设施? 一图看懂关保、等保、分保、密评的联系 ![]() 《关保要求》给出了关键信息基础设施安全保护的三项基本原则、六个方面活动,提出了111条安全要求。 Q1 哪三大基本原则? 以关键业务为核心的整体防控。就是对与机构的核心业务及业务链相关的信息网络环境进行综合考量,构筑体系化安全防线。 以风险管理为导向的动态防护。风险管理思维贯穿关键信息基础设施防护,识别资产、脆弱性及威胁,排列风险优先级,形成闭环循环。以动态的变化的眼光分析关键信息基础设施面临的安全威胁,对现有安全措施进行持续调整,进而形成灵活、精准且全面的防御机制,有效降低设施安全风险。 以信息共享为基础的协同联防。加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,组织协调会议,共同协作处理网络安全问题,建立起以共享信息为基础的联动防御机制。 Q2 哪六个方面活动? 分析识别:对关键业务和业务链进行梳理识别,定期或发生重大变更时进行风险评估。 安全防护:从安全管理制度、机构、人员,安全通信网络、安全计算环境、安全运维管理、供应链安全和数据安全等多维度贯彻落实等级保护制度。 检测评估:对等保落实情况、密评情况、供应链安全保护情况、数据安全防护情况等方面,自行或委托网络安全服务机构对关键信息基础设施每年至少进行一次检测评估。 监测预警:通过部署攻击监测设备,快速发现最重要的威胁;同时自动化持续获取和通报安全预警信息,有效提升安全事件处理的响应速度。 主动防御:收敛暴露面;组织攻防演练、沙盘推演主动检验防御能力;分析网络攻击的意图,进而主动发现和阻断攻击;建立内外部协同的网络威胁情报共享机制。 事件处置:制定网络安全事件应急预案,每年至少开展1次本组织的应急演练;建立专门应急支撑队伍,恢复的同时进行取证分析;通报安全事件及其处置情况。在必要时重新开展业务、资产和风险识别工作。 Q3 涉及到哪些产品、服务? 认证/访问控制类:堡垒机、邮件网关、准入系统、特权账号管理系统; 检测与防护类:防火墙、WAF、防病毒软件、EDR、抗DDoS等; 安全审计类:日志审计、数据库审计; 安全运营与管理类:上网行为管理、SIEM/态势感知平台、威胁情报平台; 检测与评估类:数据防泄漏系统、网络流量性能监控系统、漏洞扫描系统、数据分类平台系统; 安全服务:合规咨询、漏洞评估、渗透测试、攻防对抗、应急响应、安全运营、风险评估。 ![]() 11月15日-2023东莞数字信息安全峰会 “END ![]() 更多精彩请持续关注 (扫码添加小欧,加入社群了解更多资讯) ![]() ![]() ![]() |