行業新聞
前言
國務院第745號令-《關鍵信息基礎設施安全保護條例》于2021年4月27日國務院第133次常務會議通過,現予公布,自2021年9月1日起施行。
解讀《關鍵信息基礎設施安全保護條例》
? 制定目的
為了保障關鍵信息基礎設施安全,維護網絡安全。
? 法律依據
《中華人民共和國網絡安全法》
? 定義
公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。
? 四項管理職責及分工
①國家網信部門
負責統籌協調關鍵信息基礎設施安全保護工作。
②國務院公安部門
負責指導監督關鍵信息基礎設施安全保護工作。
③國務院電信主管部門及其他有關部門
依照本條例和有關法律、行政法規的規定,在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。
④省級人民政府有關部門
依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。
? 堅持原則
關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護,強化和落實關鍵信息基礎設施運營者(以下簡稱運營者)主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全。
任何個人和組織:
●不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動;
●不得危害關鍵信息基礎設施安全。
運營者職責:
依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件,防范網絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
表彰:
對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人,按照國家有關規定給予表彰。
? 三類制定認定規則因素
(一)網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度;
(二)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;
(三)對其他行業和領域的關聯性影響。
? 通報流程
? 三個同步原則
同步規劃、同步建設、同步使用。
? 八項專門安全管理機構職責
(一)建立健全網絡安全管理、評價考核制度,擬訂關鍵信息基礎設施安全保護計劃;
(二)組織推動網絡安全防護能力建設,開展網絡安全監測、檢測和風險評估;
(三)按照國家及行業網絡安全事件應急預案,制定本單位應急預案,定期開展應急演練,處置網絡安全事件;
(四)認定網絡安全關鍵崗位,組織開展網絡安全工作考核,提出獎勵和懲處建議;
(五)組織網絡安全教育、培訓;
(六)履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;
(七)對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;
(八)按照規定報告網絡安全事件和重要事項。
? 保護工作部門四個明確
保護目標、基本要求、工作任務、具體措施。
? 測試要求
未經國家網信部門、國務院公安部門批準或者保護工作部門、運營者授權,任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。對基礎電信網絡實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。
? 兩類遵守規定
(一)存儲、處理涉及國家秘密信息的關鍵信息基礎設施的安全保護;
(二)關鍵信息基礎設施中的密碼使用和管理。
任子行安全服務解決方案
? 什么是關鍵信息基礎設施
關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。
? 關鍵信息基礎設施包括:
(一)網站類,如黨政機關網站、企事業單位網站、新聞網站等;
(二)平臺類,如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺;
(三)生產業務類,如辦公和業務系統、工業控制系統、大型數據中心、云計算平臺、電視轉播系統等。
? 如何確定關鍵信息基礎設施:
(一)確定關鍵業務;
(二)確定支撐關鍵業務的信息系統或工業控制系統;
(三)根據關鍵業務對信息系統或工業控制系統的依賴程度,以及信息系統發生網絡安全事故后可能造成的損失認定關鍵信息基礎設施。
? 關鍵信息基礎設施確定流程包括:
(一)確定本地區、本部門、本行業的關鍵業務;
(二)確定關鍵業務相關的信息系統或工業控制系統;根據關鍵業務,逐一梳理出支撐關鍵業務運行或與關鍵業務相關信息系統或工業控制系統,形成候選關鍵信息基礎設施清單。如電力行業火電企業的發電機組控制系統、管理信息系統等;市政供水相關的水廠生產控制系統、供水管理監控系統等;
(三)認定關鍵信息基礎設施,對候選關鍵信息基礎設施清單中的信息系統或工業控制系統,根據本地區、本部門、本行業實際,參照以下標準認定關鍵信息基礎設施。
? 管理體系建設服務
主要依據安全等級保護2.0管理要求及數據安全法中數據安全制度要求進行建設:
可帶來如下收益:
① 建立、健全單位信息安全管理制度體系;
② 安全合規;
③ 規范管理流程、明細職責分工。
? 安全測試服務
挑選重要網站或信息系統進行安全測試,模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試,在保證整個安全測試過程都在可以控制和調整的范圍之內盡可能的獲取目標信息系統的管理權限以及敏感信息,并將入侵的過程和細節產生報告給用戶,由此證實用戶系統所存在的安全威脅和風險,并能及時提醒安全管理員完善安全策略。涵蓋現有的攻擊手段和最前沿的安全攻擊方法,滲透測試不得影響系統的正常運作和業務應用。
內容包括:信息收集、權限提升、溢出測試、注入攻擊、跨站攻擊、后門程序檢查、登錄體系測試、權限體系測試、命令執行攻擊、反序列化攻擊、文件包含漏洞、文件上傳漏洞、路徑遍歷與文件讀取等。
對網站、信息系統進行安全測試,可帶來如下收益:
① 評估網站中存在的安全隱患、安全漏洞;
② 發現網站存在的深層次安全隱患;
③ 驗證網站現有安全措施的防護強度;
④ 評估網站被入侵的可能性,并在入侵者發起攻擊;
⑤ 前封堵可能被利用的攻擊途徑。
? 風險(安全)評估服務
風險(安全)評估是對信息系統和IT基礎設施進行安全風險評估,包括明確風險評估范圍、識別重要資產、識別脆弱性和威脅、現有安全控制措施、應用系統漏洞掃描、分析和計算風險狀況、制定不可接受風險處置方案和風險評估報告和總結。協助完成對風評過程中發現的問題進行整改,整改完成后測試是否整改完畢。
風險評估,可帶來如下收益:
風險評估服務通過信息資產的識別與賦值、威脅評估、弱點評估、現有安全措施評估、綜合風險分析等若干環節,對信息系統的安全風險進行風險分析,清晰地展現信息系統當前的安全現狀,提供公正、客觀、翔實的數據作為決策參考,為組織下一步控制和降低安全風險、改善安全狀況、實施信息系統的風險管理提供依據。
? 應急演練服務
應急演練:是指各行業主管部門、各級政府及其部門、企事業單位、社會團體等組織相關單位及人員,依據有關網絡安全應急預案,開展應對網絡安全事件的活動。
應急演練形式:桌面應急演練、實戰應急演練、單項應急演練、綜合應急演練、檢驗性應急演練、示范性應急演練、研究性應急演練。
定期組織應急演練,可帶來如下收益:
① 做好網絡安全事件應對處置;
② 建立健全單位應急演練預案;
③ 滿足單位本身自我檢查要求;
④ 滿足主管部門聯合檢查要求;
⑤ 滿足監管部門合規審查要求。
任子行在政策法規的指引下,切實將網絡安全法所規定的關鍵信息基礎設施保護制度落到實處。
400-700-1218
微信公眾號
公司微博
公安備案號:44030502000376