GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求
Information security technology – Cybersecurity requirements for critical information infrastructure protection
主要内容
- 基本原则:
- 以关键业务为核心的整体防控:将保护关键业务作为核心目标,对业务所涉及的网络和系统进行体系化安全设计。
- 以风险管理为导向的动态防护:根据安全威胁态势持续监测并调整安全控制措施,形成动态防护机制。
- 以信息共享为基础的协同联防:构建相关方参与的信息共享、协同联动的防护机制,构建整体安全防控体系。
- 安全保护框架:
- 分析识别:是其他活动的基础,包括业务依赖性识别、关键资产识别及风险识别等。
- 业务识别:应识别本组织的关键业务和与其相关联的外部业务,分析本组织关键业务对外部业务的依赖性和重要性,梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。
- 资产识别:识别关键业务链所依赖的资产,建立资产清单,基于资产类别、重要性和支撑业务的重要性确定资产防护的优先级,并采用资产探测技术动态更新。
- 风险识别:按照 GB/T 20984 等风险评估标准,对关键业务链开展安全风险分析,识别威胁、脆弱性,确认已有安全控制措施,分析主要安全风险点,确定风险处置的优先级,形成安全风险报告。
- 安全防护:采取加强型的保护措施,如完善信息安全管理体系建设、提升数据安全保护能力、加强供应链安全管控措施等。
- 检测评估:定期对关键信息基础设施进行安全检测和风险评估,如开展网络安全等级保护测评、进行攻防实战演练等,以发现安全隐患并及时整改。
- 监测预警:构建监测预警系统,对网络边界、核心区域的流量等进行监控,及时发现和阻断攻击及内网风险,建立安全监控值班机制,实时处置安全事件告警。
- 主动防御:通过收敛暴露面、发现阻断、攻防演练、威胁情报等主动措施,提升对网络威胁与攻击的识别、分析、处置等防御能力,构建纵深防御体系。
- 事件处置:建立网络安全事件管理制度体系,对事件分类分级,制定应急预案并定期演练,在事件发生时及时响应和处置,完成事件报告。
- 提出具体安全要求:
- 针对关键信息基础设施关键业务的稳定持续运行、数据安全、供应链安全等核心目标,提出了建立专门的安全管理机构、设置首席信息安全官、进行供应链安全管理、实施数据安全保护等要求。
- 针对不同网络安全等级保护系统、不同业务系统、不同区域系统以及不同运营者的系统之间的信息流动,提出了边界保护要求,以及对通信线路实施 “一主双备” 的多电信运营商多路由保护要求。
- 针对关键信息基础设施及时、快速对异常情况做出响应的需求,提出资产自动化管理、态势感知、信息共享、攻击发现并阻断等要求,指导关键信息基础设施运营者构建整体性和动态性的安全防护体系。
术语和定义
1 关键信息基础设施 critical information infrastructure
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2 供应链 supply chain
将多个资源和过程联系在一起,并根据服务协议或其他采购协议建立连续供应关系的组织系列。
注:其中每一组织充当需方、供方或双重角色。
3 关键业务链 critical business chain
组织的一个或多个相互关联的业务构成的关键业务流程。
暂无评论内容