2022年11月7日,全国信安标委公众号发布了《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称“《关基安全保护要求》”),该标准将于2023年5月1日正式实施。作为关键信息基础设施安全保护标准体系的构建基础,该标准为运营者开展关键信息基础设施(以下简称“CII”或“关基”)保护工作需求提供了强有力的标准保障。
一、监管依据的落地及亮点变化
《关基安全保护要求》是基于《网络安全法》和《关键信息基础设施安全保护条例》(以下简称“《关保条例》”),在网络安全等级保护制度基础上,结合我国现有网络安全保障体系成果提出的可落地的安全保护要求。《网络安全法》、《关保条例》以及我国关基方面其他监管依据中明确提出的且适合在标准中规范的,均在标准中有相应的要求落地,例如:
· 同步规划、同步建设、同步使用的“三同步要求”;(《网络安全法》第三十三条、《关保条例》第十二条)
· 每年至少进行一次安全检测评估;(《网络安全法》第三十八条、《关保条例》第十七条、《国家网络安全检查操作指南》2.6.1)
· 境内存储;(《网络安全法》第三十七条、《个人信息保护法》第四十条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(四))
· “拟定安全保护计划”“履行个人信息和数据安全保护责任”等具体职责;(《关保条例》第十五条)
· 采购网络产品和服务的安全审查;(《网络安全审查办法》第二条、《关保条例》第十九条)
· 采购网络关键设备和网络安全专用产品应通过国家检测认证;(网络关键设备和网络安全专用产品目录(第一批))
· 明确网络产品和服务提供者的安全责任和义务,与提供者签订安全保密协议;(《网络安全法》第三十六条、《关保条例》第二十条、《国家网络安全检查操作指南》2.11.1)
· 网络安全教育培训;(《网络安全法》第三十四条、《关保条例》第十五条(五)、《国家网络安全检查操作指南》2.7、)
· 应急演练;(《网络安全法》第三十九条、《关保条例》第十五条(三)、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第一条(三))
· 建立网络安全信息共享机制;(《关保条例》第二十三条)
· 专门安全管理机构负责人和关键岗位人员安全背景审查;(《网络安全法》第三十四条、《关保条例》第十四条)
· 设置专门安全管理机构和安全管理负责人(《关保条例》第十四条、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(二))
· 重大变更及时报告变化情况;(《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》第三条(一))
新规亮点变化
相比之前的监管要求,《关基安全保护要求》在安全管理机构方面,新增了成立网络安全工作委员会或领导小组,并明确提出了将领导班子成员作为首席网络安全官的要求;
在应急演练方面,此前的监管要求没有同时明确开展应急演练的时间和频次,例如《网络安全法》《关保条例》只规定了定期开展应急演练,《国家网络安全检查操作指南》只规定对应急预案每年至少评估一次,以及只规定每年应开展应急演练却无具体的频次要求。而《关基安全保护要求》在此方面进行了细化完善,进一步明确了每年至少组织开展1次本组织的应急演练;
《关基安全保护要求》在产品服务采购方面也进行了补充和扩展,为运营者提供了更多具体可执行的操作要求,大大增强了采购环节的安全性。例如,建立和维护合格供应方目录;强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性;获得提供者对网络产品和服务的10年以上知识产权授权;自行或委托第三方对定制开发的软件进行源代码安全检测。
关于安全计算环境方面,在此前的监管依据中,例如《国家网络安全检查操作指南》2.5.4.3c)关于补丁、漏洞、账户管理等的检查方法包括使用终端检查工具或采用人工方式,而此次《关基安全保护要求》明确提出了应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。
二、《关基安全保护要求》主要内容
1、三项基本原则
《关基安全保护要求》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则。
2、六个方面活动
《关基安全保护要求》还从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求。
3、保护要求
具体来看,《关基安全保护要求》对以上六个方面活动提出了以下安全保护要求:
(1)分析识别方面,包括关键业务和关键业务链识别分析的业务识别要求;采用资产探测技术识别资产的资产识别要求;对关键业务链开展安全风险分析的风险识别要求;以及在关键信息基础设施发生较大变化时重新识别的重大变更要求。
(2)安全防护方面强调落实国家网络安全等级保护制度,具体要求如下:
(2)安全防护方面强调落实国家网络安全等级保护制度,具体要求如下:
安全管理制度 | 制定网络安全保护计划,建立管理制度和安全策略 |
安全管理机构 | 成立网络安全工作委员会或领导小组,明确一名领导班子成员作为首席网络安全官,专职管理或分管关键信息基础设施安全保护工作。设置专门的网络安全管理机构,建立并实施网络安全考核及监督问责机制。 |
安全管理人员 | 对安全管理机构负责人和关键岗位人员进行安全背景审查和安全技能考核,建立网络安全教育培训制度,明确从业人员安全保密职责和义务,并签订安全保密协议。 |
安全通信网络 | 实现通信线路“一主双备”的多电信运营商多路由保护,不通系统之间安全技术防护,采取网络审计措施。 |
安全计算环境 | 重要操作的鉴别与授权,采取技术手段提高入侵防范能力,使用自动化工具管理。 |
安全建设管理 | 实现网络安全技术措施与主体工程同步规划、同步建设、同步使用( “三同步”)。 |
安全运维管理 | 保证关键信息基础设施运维点位于中国境内。在运维前与维护人员签订安全保密协议。 |
供应链安全 | 形成年度采购的网络产品和服务清单。可能影响国家安全的,应通过国家网络安全审查。 建立和维护合格供应方目录。 强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。 明确网络产品和服务提供者(“提供者”)的安全责任和义务,与提供者签订安全保密协议。 获得提供者对网络产品和服务的知识产权授权。 自行或委托第三方对定制开发的软件进行源代码安全检测。 及时处理网络产品和服务的安全风险隐患。 |
数据安全防护 | 编制数据安全保护计划。 建立数据分类分级保护策略。 在我国境内运营中收集和产生的个人信息和重要数据存储在境内。 实行重要数据和个人信息保护。 建立容灾备份机制。 在关键信息基础设施退役废弃时,按照数据安全保护策略对存储的数据进行处理。 建立数据处理活动全流程保护。 |
(3)检测评估
方式:自行或委托网络服务安全机构,抽查检测
内容:网络安全等级保护制度落实情况,商用密码应用安全性评估情况,供应链安全保护情况,数据安全防护情况等。
时间:每年至少进行一次安全检测评估,定期组织或参加跨运营者的安全检测评估。
(4)监测预警
监测:监测关键业务所涉及的系统;部署攻击监测设备;构建正向和逆向模型;关联分析;网络安全信息共享。
预警:自动模式预警;安全预警信息持续获取和及时通报。
(5)主动防御
收敛暴露面:减少暴露面,压缩互联网出口数量
攻防演练:实网攻防演练、沙盘推演
攻击发现和阻断:分析网络攻击意图、技术与过程,进行关联分析与还原。
威胁情报:建立内外部协同网络威胁情报共享机制。
(6)事件处置
应急预案和演练:在国家网络安全事件应急预案框架下制定应急预案;应急预案同内外部相关计划协调;非常规时期、遭受大规模攻击时等处置流程;每年至少组织开展1次本组织的应急演练。
响应和处置:向供应链涉及的相关内外部组织通报;恢复关键业务和信息系统;取证分析;评估恢复情况;通报安全事件及其处置情况。
重新识别:必要时重新开展业务、资产和风险识别工作。
通过对以上《关基安全保护要求》内容的深入分析,可以看出该标准对CII的安全能力主要有两方面要求,即:关基运营者的网络安全管控能力和关基自身的安全保护能力。其中运营者的网络安全管控能力侧重于关基管理体系机制的构建,关基自身的安全保护能力侧重于关基应采取的技术和管理措施。
三、正式版与报批稿的主要差异
《关基安全保护要求》的报批稿于2021年12月完成,此次正式发布的《关基安全保护要求》标准和报批稿的时间间隔相差10个月,正式版在报批稿基础上做了部分内容的修正和完善,以下将针对正式版与报批稿的主要差异进行对比解读(标红部分为正式版新增内容):
1、重要术语和词汇的定义或注释
(1)正式版在第3“术语和定义”部分增加了关于“供应链”、“关键业务链”的定义。
供应链:将多个资源和过程联系在一起,并根据服务协议或其他采购协议建立连续供应关系的组织系列。注:其中每一组织充当需方、供方或双重角色。
关键业务链:组织的一个或多个相互关联的业务构成的关键业务流程。
解读
体现出对关键信息基础设施供应链安全和关键业务链安全的重视。
(2)第6.4“重大变更”部分增加了关于“保护工作部门”的注释。
注:保护工作部门指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管部门、监督管理部门,也是负责关键信息基础设施安全保护工作的部门。
解读
已发布的《关键信息基础设施安全保护条例》有明确对保护工作部门的定义,此处注释强调关键信息基础设施运营者在关键业务重要性、关键业务链、资产清单、安全风险等发生重大变化时,应及时上报行业主管部门、监督管理部门。同时提醒行业主管部门、监督管理部门对发生重大变更情况时应做到及时管理的责任。
2、细化具体安全标准或工作指导
(1)正式版增加了第7.5.1“网络架构”小节。
7.5.1 网络架构
应实现通信线路“一主双备”的多电信运营商多路由保护,宜对网络关键节点和重要设施实施“双节点”冗余备份。
解读
对关键信息基础设施的可用性提出更高要求,按照要求关基运营者在建设过程至少需要引入2个及以上电信运营商实现通信服务,且其中至少1个运营商需要提供冗余线路,与《网络安全等级保护基本要求》中的冗余相比,落地了《网络安全法》第三十一条规定的对关键信息基础设施实施重点保护原则。
(2)第7.9 j)增加了“或由供应方提供第三方网络安全服务机构出具的代码安全检测报告”的内容。
7.9 供应链安全保护
j)应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方提供第三方网络安全服务机构出具的代码安全检测报告;
解读
7.9j)条文增加内容部分,明确定制开发软件由供应方提供的第三方网络安全服务机构出具代码安全检测符合要求。
(3)增加11.3.2 b) 的“先后原则”。
11.3.2 事件处理和恢复
b)应按照先应急处置,后调查评估的原则,在事件发生后尽快收集证据,按要求进行信息安全取证分析,并确保所有涉及的响应活动被适当记录,便于日后分析,在进行取证分析时,应与业务连续性计划相协调;
解读
增加的内容明确针对关键信息基础设施事件处理、应急处置流程的先后顺序原则,关键信息基础设施一旦发生安全事件可能会对国家安全、国计民生、公共利益造成较大的影响,运营者、保护工作部门在发生安全事故时,优先保证系统的可用性,将关键业务和信息系统恢复到正常状态,最后再执行安全调查、取证、分析等工作,确保将影响降低到最小范围。
3、与相关法律法规的衔接
(1)7.9b)中补充强调是“采购网络关键设备和网络安全专用产品目录中的设备产品时”。
7.9 供应链安全保护
b)采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和厂品;解读
7.9b)条文增加内容部分,明确关键信息基础设施需要国家检测认证设备和产品的范围,供应商在提供产品时应注意网络关键设备和网络安全专用产品目录设备必须持有相关国家检测认证,且在有效期内。
(2)9.1f)新增“漏洞制度”。
9.1 制度
f)应建立网络安全信息共享机制,例如:建立与保护工作部门、同一关键信息基础设施的其他运营者、研究机构、网络安全服务机构、业界专家之间的沟通与合作机制,网络安全共享信息可以是漏洞信息、威胁信息、最佳实践、前沿技术等。当网络安全共享信息为漏洞信息时,应符合国家关于漏洞管理制度的要求。
解读
按照《网络产品安全漏洞管理规定》(工信部联网安〔2021〕66号)对于非法收集、出售、发布网络产品安全漏洞信息行为,提前发布漏洞信息行为,未经公安部同意在国家举办重大活动期间擅自发布网络产品安全漏洞信息行为,对未公开的网络产品安全漏洞信息向境外组织或者个人提供行为,将按照《网络安全法》规定处罚,最高可以处五日以上十五日以下拘留,十万元以上一百万元以下罚款。
四、合规建议
关键信息基础设施安全保护体系作为网络安全体系中的一部分,势必成为企业不可或缺的安全合规内容。建议关键信息基础设施运营者应按照《关基安全保护要求》采取相应的管理和技术措施对关键信息基础设施进行全生存周期安全保护,网络安全服务机构应依据《关基安全保护要求》开展网络安全检测和风险评估等活动。
来源:信息新安全、享法互联网JoyLegal