EN

深度解讀 | 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》

發(fā)布時(shí)間:2021-08-19
瀏覽量: 9186

前言


國務(wù)院第745號(hào)令-《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》于2021年4月27日國務(wù)院第133次常務(wù)會(huì)議通過,現(xiàn)予公布,自2021年9月1日起施行。


解讀《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》


制定目的

為了保障關(guān)鍵信息基礎(chǔ)設(shè)施安全,維護(hù)網(wǎng)絡(luò)安全。


? 法律依據(jù)

《中華人民共和國網(wǎng)絡(luò)安全法》


? 定義

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。


? 四項(xiàng)管理職責(zé)及分工

國家網(wǎng)信部門

負(fù)責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

國務(wù)院公安部門

負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

國務(wù)院電信主管部門及其他有關(guān)部門

依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定,在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作。

省級(jí)人民政府有關(guān)部門

依據(jù)各自職責(zé)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理。


? 堅(jiān)持原則

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)堅(jiān)持綜合協(xié)調(diào)、分工負(fù)責(zé)、依法保護(hù),強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者(以下簡(jiǎn)稱運(yùn)營者)主體責(zé)任,充分發(fā)揮政府及社會(huì)各方面的作用,共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。

1629338234.png


任何個(gè)人和組織:

●不得實(shí)施非法侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng);

●不得危害關(guān)鍵信息基礎(chǔ)設(shè)施安全。

運(yùn)營者職責(zé):

依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定以及國家標(biāo)準(zhǔn)的強(qiáng)制性要求,在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上,采取技術(shù)保護(hù)措施和其他必要措施,應(yīng)對(duì)網(wǎng)絡(luò)安全事件,防范網(wǎng)絡(luò)攻擊和違法犯罪活動(dòng),保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行,維護(hù)數(shù)據(jù)的完整性、保密性和可用性。

表彰:

對(duì)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作中取得顯著成績(jī)或者作出突出貢獻(xiàn)的單位和個(gè)人,按照國家有關(guān)規(guī)定給予表彰。


? 三類制定認(rèn)定規(guī)則因素

(一)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對(duì)于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度;

(二)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度;

(三)對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。


? 通報(bào)流程

1629338440.png

? 三個(gè)同步原則

同步規(guī)劃、同步建設(shè)、同步使用。


? 八項(xiàng)專門安全管理機(jī)構(gòu)職責(zé)

(一)建立健全網(wǎng)絡(luò)安全管理、評(píng)價(jià)考核制度,擬訂關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)計(jì)劃;

(二)組織推動(dòng)網(wǎng)絡(luò)安全防護(hù)能力建設(shè),開展網(wǎng)絡(luò)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估;

(三)按照國家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,制定本單位應(yīng)急預(yù)案,定期開展應(yīng)急演練,處置網(wǎng)絡(luò)安全事件;

(四)認(rèn)定網(wǎng)絡(luò)安全關(guān)鍵崗位,組織開展網(wǎng)絡(luò)安全工作考核,提出獎(jiǎng)勵(lì)和懲處建議;

(五)組織網(wǎng)絡(luò)安全教育、培訓(xùn);

(六)履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任,建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度;

(七)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理;

(八)按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事件和重要事項(xiàng)。


? 保護(hù)工作部門四個(gè)明確

保護(hù)目標(biāo)、基本要求、工作任務(wù)、具體措施。


? 測(cè)試要求

未經(jīng)國家網(wǎng)信部門、國務(wù)院公安部門批準(zhǔn)或者保護(hù)工作部門、運(yùn)營者授權(quán),任何個(gè)人和組織不得對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施漏洞探測(cè)、滲透性測(cè)試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動(dòng)。對(duì)基礎(chǔ)電信網(wǎng)絡(luò)實(shí)施漏洞探測(cè)、滲透性測(cè)試等活動(dòng),應(yīng)當(dāng)事先向國務(wù)院電信主管部門報(bào)告。


? 兩類遵守規(guī)定

(一)存儲(chǔ)、處理涉及國家秘密信息的關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù);

(二)關(guān)鍵信息基礎(chǔ)設(shè)施中的密碼使用和管理。


任子行安全服務(wù)解決方案


? 什么是關(guān)鍵信息基礎(chǔ)設(shè)施

關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。


? 關(guān)鍵信息基礎(chǔ)設(shè)施包括:

(一)網(wǎng)站類,如黨政機(jī)關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等;

(二)平臺(tái)類,如即時(shí)通信、網(wǎng)上購物、網(wǎng)上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺(tái);

(三)生產(chǎn)業(yè)務(wù)類,如辦公和業(yè)務(wù)系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計(jì)算平臺(tái)、電視轉(zhuǎn)播系統(tǒng)等。


? 如何確定關(guān)鍵信息基礎(chǔ)設(shè)施:

(一)確定關(guān)鍵業(yè)務(wù);

(二)確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng);

(三)根據(jù)關(guān)鍵業(yè)務(wù)對(duì)信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事故后可能造成的損失認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。


? 關(guān)鍵信息基礎(chǔ)設(shè)施確定流程包括:

(一)確定本地區(qū)、本部門、本行業(yè)的關(guān)鍵業(yè)務(wù);

(二)確定關(guān)鍵業(yè)務(wù)相關(guān)的信息系統(tǒng)或工業(yè)控制系統(tǒng);根據(jù)關(guān)鍵業(yè)務(wù),逐一梳理出支撐關(guān)鍵業(yè)務(wù)運(yùn)行或與關(guān)鍵業(yè)務(wù)相關(guān)信息系統(tǒng)或工業(yè)控制系統(tǒng),形成候選關(guān)鍵信息基礎(chǔ)設(shè)施清單。如電力行業(yè)火電企業(yè)的發(fā)電機(jī)組控制系統(tǒng)、管理信息系統(tǒng)等;市政供水相關(guān)的水廠生產(chǎn)控制系統(tǒng)、供水管理監(jiān)控系統(tǒng)等;

(三)認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施,對(duì)候選關(guān)鍵信息基礎(chǔ)設(shè)施清單中的信息系統(tǒng)或工業(yè)控制系統(tǒng),根據(jù)本地區(qū)、本部門、本行業(yè)實(shí)際,參照以下標(biāo)準(zhǔn)認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。


? 管理體系建設(shè)服務(wù)

主要依據(jù)安全等級(jí)保護(hù)2.0管理要求及數(shù)據(jù)安全法中數(shù)據(jù)安全制度要求進(jìn)行建設(shè):

1629338481.png

可帶來如下收益:

① 建立、健全單位信息安全管理制度體系;

② 安全合規(guī);

③ 規(guī)范管理流程、明細(xì)職責(zé)分工。


? 安全測(cè)試服務(wù)

挑選重要網(wǎng)站或信息系統(tǒng)進(jìn)行安全測(cè)試,模擬黑客的攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試,在保證整個(gè)安全測(cè)試過程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標(biāo)信息系統(tǒng)的管理權(quán)限以及敏感信息,并將入侵的過程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶,由此證實(shí)用戶系統(tǒng)所存在的安全威脅和風(fēng)險(xiǎn),并能及時(shí)提醒安全管理員完善安全策略。涵蓋現(xiàn)有的攻擊手段和最前沿的安全攻擊方法,滲透測(cè)試不得影響系統(tǒng)的正常運(yùn)作和業(yè)務(wù)應(yīng)用。

內(nèi)容包括:信息收集、權(quán)限提升、溢出測(cè)試、注入攻擊、跨站攻擊、后門程序檢查、登錄體系測(cè)試、權(quán)限體系測(cè)試、命令執(zhí)行攻擊、反序列化攻擊、文件包含漏洞、文件上傳漏洞、路徑遍歷與文件讀取等。

對(duì)網(wǎng)站、信息系統(tǒng)進(jìn)行安全測(cè)試,可帶來如下收益:

① 評(píng)估網(wǎng)站中存在的安全隱患、安全漏洞; 

② 發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患; 

③ 驗(yàn)證網(wǎng)站現(xiàn)有安全措施的防護(hù)強(qiáng)度; 

④ 評(píng)估網(wǎng)站被入侵的可能性,并在入侵者發(fā)起攻擊;

⑤ 前封堵可能被利用的攻擊途徑。


? 風(fēng)險(xiǎn)(安全)評(píng)估服務(wù)

風(fēng)險(xiǎn)(安全)評(píng)估是對(duì)信息系統(tǒng)和IT基礎(chǔ)設(shè)施進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,包括明確風(fēng)險(xiǎn)評(píng)估范圍、識(shí)別重要資產(chǎn)、識(shí)別脆弱性和威脅、現(xiàn)有安全控制措施、應(yīng)用系統(tǒng)漏洞掃描、分析和計(jì)算風(fēng)險(xiǎn)狀況、制定不可接受風(fēng)險(xiǎn)處置方案和風(fēng)險(xiǎn)評(píng)估報(bào)告和總結(jié)。協(xié)助完成對(duì)風(fēng)評(píng)過程中發(fā)現(xiàn)的問題進(jìn)行整改,整改完成后測(cè)試是否整改完畢。

風(fēng)險(xiǎn)評(píng)估,可帶來如下收益:

風(fēng)險(xiǎn)評(píng)估服務(wù)通過信息資產(chǎn)的識(shí)別與賦值、威脅評(píng)估、弱點(diǎn)評(píng)估、現(xiàn)有安全措施評(píng)估、綜合風(fēng)險(xiǎn)分析等若干環(huán)節(jié),對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)分析,清晰地展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀,提供公正、客觀、翔實(shí)的數(shù)據(jù)作為決策參考,為組織下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況、實(shí)施信息系統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù)。


? 應(yīng)急演練服務(wù)

應(yīng)急演練:是指各行業(yè)主管部門、各級(jí)政府及其部門、企事業(yè)單位、社會(huì)團(tuán)體等組織相關(guān)單位及人員,依據(jù)有關(guān)網(wǎng)絡(luò)安全應(yīng)急預(yù)案,開展應(yīng)對(duì)網(wǎng)絡(luò)安全事件的活動(dòng)。

應(yīng)急演練形式:桌面應(yīng)急演練、實(shí)戰(zhàn)應(yīng)急演練、單項(xiàng)應(yīng)急演練、綜合應(yīng)急演練、檢驗(yàn)性應(yīng)急演練、示范性應(yīng)急演練、研究性應(yīng)急演練。

定期組織應(yīng)急演練,可帶來如下收益:

① 做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置;

② 建立健全單位應(yīng)急演練預(yù)案;

③ 滿足單位本身自我檢查要求;

④ 滿足主管部門聯(lián)合檢查要求;

⑤ 滿足監(jiān)管部門合規(guī)審查要求。


任子行在政策法規(guī)的指引下,切實(shí)將網(wǎng)絡(luò)安全法所規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度落到實(shí)處。

熱點(diǎn)內(nèi)容

開始試用任子行產(chǎn)品
申請(qǐng)?jiān)囉?/a>

20年公安服務(wù)經(jīng)驗(yàn)

7*24小時(shí)應(yīng)急響應(yīng)中心

自主知識(shí)產(chǎn)權(quán)的產(chǎn)品裝備

專家級(jí)安全服務(wù)團(tuán)隊(duì)

網(wǎng)絡(luò)空間數(shù)據(jù)治理專家

榮獲國家科學(xué)技術(shù)二等獎(jiǎng)

置頂
電話

400-700-1218

官方熱線電話

咨詢
留言
二維碼
微信公眾號(hào)
公司微博