11月7日,《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(GB/T39204-2022)國家標(biāo)準(zhǔn)發(fā)布(以下簡稱《保護(hù)要求》)。作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)標(biāo)準(zhǔn)體系的構(gòu)建基礎(chǔ),該標(biāo)準(zhǔn)將于2023年5月1日正式實(shí)施。
(圖片源于網(wǎng)絡(luò))
該標(biāo)準(zhǔn)提出了以關(guān)鍵業(yè)務(wù)為核心的整體防控、以風(fēng)險(xiǎn)管理為導(dǎo)向的動態(tài)防護(hù)、以信息共享為基礎(chǔ)的協(xié)同聯(lián)防的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)3項(xiàng)基本原則,從分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置等6個(gè)方面提出了111條安全要求,為運(yùn)營者開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作需求提供了強(qiáng)有力的標(biāo)準(zhǔn)保障。 發(fā)布背景與意義
關(guān)鍵信息基礎(chǔ)設(shè)施是數(shù)字經(jīng)濟(jì)時(shí)代社會運(yùn)行的神經(jīng)中樞,也是網(wǎng)絡(luò)安全的重中之重。保障關(guān)鍵信息基礎(chǔ)設(shè)施安全,對于維護(hù)國家網(wǎng)絡(luò)空間主權(quán)和國家安全、保障經(jīng)濟(jì)社會健康發(fā)展、維護(hù)公共利益和公民合法權(quán)益具有重大意義。 近兩年來,國家相關(guān)部門也已發(fā)布《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等多項(xiàng)法律法規(guī),要求在滿足“合規(guī)性”防護(hù)的基礎(chǔ)上,重點(diǎn)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)鍵業(yè)務(wù)的風(fēng)險(xiǎn)識別能力、抗攻擊能力、可恢復(fù)能力,確保關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行。 作為《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》發(fā)布一年后首個(gè)正式發(fā)布的關(guān)基標(biāo)準(zhǔn),《保護(hù)要求》提出的111條具體安全要求為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)際落地具有重要意義。 加強(qiáng)數(shù)據(jù)安全保護(hù) 值得關(guān)注的是,《保護(hù)要求》提及的安全防護(hù)方面在等級保護(hù)的基礎(chǔ)上強(qiáng)調(diào)了數(shù)據(jù)安全防護(hù),與《數(shù)據(jù)安全法》銜接。并與《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例條例》等法律法規(guī)條例進(jìn)行融合補(bǔ)充,形成了對重要網(wǎng)絡(luò)活動、數(shù)據(jù)活動的基本規(guī)則體系,明確數(shù)據(jù)安全保護(hù)的各項(xiàng)具體要求。在此基礎(chǔ)上,《保護(hù)要求》則是更加強(qiáng)調(diào)進(jìn)行安全保護(hù)要求的落地,具體要求為: 數(shù)據(jù)安全保護(hù)計(jì)劃、數(shù)據(jù)分類分級、境內(nèi)存儲、重要數(shù)據(jù)和個(gè)人信息保護(hù)、容災(zāi)備份、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、數(shù)據(jù)處理活動全流程保護(hù)。 針對《保護(hù)要求》提出的數(shù)據(jù)安全保護(hù)要求的落地施行,敏捷科技建議關(guān)基運(yùn)營者應(yīng)當(dāng)積極采取以下措施,切實(shí)加強(qiáng)主體單位數(shù)據(jù)安全防護(hù)能力: ● 明確數(shù)據(jù)安全主體責(zé)任以及監(jiān)管單位的監(jiān)管職責(zé),根據(jù)業(yè)務(wù)特征、組織架構(gòu)制定合法合規(guī)、縱深防御的數(shù)據(jù)安全保護(hù)計(jì)劃; ● 依據(jù)數(shù)據(jù)安全分級分類的指導(dǎo)原則,厘清重要數(shù)據(jù)的范圍、邊界,加強(qiáng)涉及重要數(shù)據(jù)的安全保護(hù)措施; ● 加強(qiáng)數(shù)據(jù)跨境流動的管理,對跨境數(shù)據(jù)做好落地加密存儲; ● 細(xì)化數(shù)據(jù)活動中各類角色的權(quán)限,加強(qiáng)重要數(shù)據(jù)交互行為過程中的管控; ● 嚴(yán)格把控?cái)?shù)據(jù)采集、存儲、處理、使用、銷毀的全生命周期,防止個(gè)人信息和重要數(shù)據(jù)泄露、丟失、濫用; 敏捷科技多年來在公共通信和信息服務(wù)、金融、能源、交通、水利等關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域長期耕耘,服務(wù)于關(guān)鍵信息基礎(chǔ)設(shè)施主體運(yùn)營者的數(shù)據(jù)安全防護(hù)需求,建立了完備的關(guān)基數(shù)據(jù)安全保護(hù)體系,積累了大量安全防護(hù)、合規(guī)建設(shè)、密碼應(yīng)用等方面實(shí)踐案例,為中國電信、中國移動、中國中車、鐵路總公司、國家電網(wǎng)、航天科工、水利部長江委等主體單位的關(guān)基防護(hù)工作提供了堅(jiān)實(shí)的數(shù)據(jù)安全支撐。 保證關(guān)鍵信息基礎(chǔ)設(shè)施安全,對于維護(hù)國家網(wǎng)絡(luò)空間主權(quán)和國家安全、保障經(jīng)濟(jì)社會健康發(fā)展、維護(hù)公共利益和公民合法權(quán)益具有基礎(chǔ)性、全局性、支持性的重大意義。未來,敏捷科技將繼續(xù)發(fā)揮自身技術(shù)和業(yè)務(wù)優(yōu)勢,持續(xù)提升安全服務(wù)能力,為國家網(wǎng)絡(luò)安全保駕護(hù)航!