前言
国务院第745号令-《关键信息基础设施安全保护条例》于2021年4月27日国务院第133次常务会议通过,现予公布,自2021年9月1日起施行。
解读《关键信息基础设施安全保护条例》
❏ 制定目的
为了保障关键信息基础设施安全,维护网络安全。
❏ 法律依据
《中华人民共和国网络安全法》
❏ 定义
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
❏ 四项管理职责及分工
①国家网信部门
负责统筹协调关键信息基础设施安全保护工作。
②国务院公安部门
负责指导监督关键信息基础设施安全保护工作。
③国务院电信主管部门及其他有关部门
依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
④省级人民政府有关部门
依据各自职责对关键信息基础设施实施安全保护和监督管理。
❏ 坚持原则
关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
任何个人和组织:
●不得实施非法侵入、干扰、破坏关键信息基础设施的活动;
●不得危害关键信息基础设施安全。
运营者职责:
依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
表彰:
对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
❏ 三类制定认定规则因素
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
❏ 通报流程
❏ 三个同步原则
同步规划、同步建设、同步使用。
❏ 八项专门安全管理机构职责
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
❏ 保护工作部门四个明确
保护目标、基本要求、工作任务、具体措施。
❏ 测试要求
未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
❏ 两类遵守规定
(一)存储、处理涉及国家秘密信息的关键信息基础设施的安全保护;
(二)关键信息基础设施中的密码使用和管理。
任子行安全服务解决方案
❏ 什么是关键信息基础设施
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
❏ 关键信息基础设施包括:
(一)网站类,如党政机关网站、企事业单位网站、新闻网站等;
(二)平台类,如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台;
(三)生产业务类,如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
❏ 如何确定关键信息基础设施:
(一)确定关键业务;
(二)确定支撑关键业务的信息系统或工业控制系统;
(三)根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事故后可能造成的损失认定关键信息基础设施。
❏ 关键信息基础设施确定流程包括:
(一)确定本地区、本部门、本行业的关键业务;
(二)确定关键业务相关的信息系统或工业控制系统;根据关键业务,逐一梳理出支撑关键业务运行或与关键业务相关信息系统或工业控制系统,形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等;市政供水相关的水厂生产控制系统、供水管理监控系统等;
(三)认定关键信息基础设施,对候选关键信息基础设施清单中的信息系统或工业控制系统,根据本地区、本部门、本行业实际,参照以下标准认定关键信息基础设施。
❏ 管理体系建设服务
主要依据安全等级保护2.0管理要求及数据安全法中数据安全制度要求进行建设:
可带来如下收益:
① 建立、健全单位信息安全管理制度体系;
② 安全合规;
③ 规范管理流程、明细职责分工。
❏ 安全测试服务
挑选重要网站或信息系统进行安全测试,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,在保证整个安全测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息,并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。涵盖现有的攻击手段和最前沿的安全攻击方法,渗透测试不得影响系统的正常运作和业务应用。
内容包括:信息收集、权限提升、溢出测试、注入攻击、跨站攻击、后门程序检查、登录体系测试、权限体系测试、命令执行攻击、反序列化攻击、文件包含漏洞、文件上传漏洞、路径遍历与文件读取等。
对网站、信息系统进行安全测试,可带来如下收益:
① 评估网站中存在的安全隐患、安全漏洞;
② 发现网站存在的深层次安全隐患;
③ 验证网站现有安全措施的防护强度;
④ 评估网站被入侵的可能性,并在入侵者发起攻击;
⑤ 前封堵可能被利用的攻击途径。
❏ 风险(安全)评估服务
风险(安全)评估是对信息系统和IT基础设施进行安全风险评估,包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。协助完成对风评过程中发现的问题进行整改,整改完成后测试是否整改完毕。
风险评估,可带来如下收益:
风险评估服务通过信息资产的识别与赋值、威胁评估、弱点评估、现有安全措施评估、综合风险分析等若干环节,对信息系统的安全风险进行风险分析,清晰地展现信息系统当前的安全现状,提供公正、客观、翔实的数据作为决策参考,为组织下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。
❏ 应急演练服务
应急演练:是指各行业主管部门、各级政府及其部门、企事业单位、社会团体等组织相关单位及人员,依据有关网络安全应急预案,开展应对网络安全事件的活动。
应急演练形式:桌面应急演练、实战应急演练、单项应急演练、综合应急演练、检验性应急演练、示范性应急演练、研究性应急演练。
定期组织应急演练,可带来如下收益:
① 做好网络安全事件应对处置;
② 建立健全单位应急演练预案;
③ 满足单位本身自我检查要求;
④ 满足主管部门联合检查要求;
⑤ 满足监管部门合规审查要求。
任子行在政策法规的指引下,切实将网络安全法所规定的关键信息基础设施保护制度落到实处。
400-700-1218
微信公众号
公司微博
公安备案号:44030502000376