政府采购信息报记者注意到,在5月中旬某省网络安全项目服务标准中,提到了依据GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》(简称《关基保护要求》)。该标准于今年5月1日正式施行,对数字政府建设带来怎样的变化?
国家信息技术安全研究中心原副主任李冰
“关键信息基础设施是国家网络安全保护重中之重,这也是我国第一个发布并施行的关键信息基础设施安全保护国家标准。”在6月11日举行的第15届数字政府高峰论上,国家信息技术安全研究中心原副主任李冰对《关基保护要求》进行了解读。
为运营者提供重要依据
2017年6月1日,正式施行的《中华人民共和国网络安全法》首次在法律层面对关键信息基础设施的概念进行明确。2021年9月1日,《关键信息基础设施安全保护条例》正式施行。
何谓关键信息基础设施?是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
“《关基保护要求》作为关键信息基础设施安全保护标准体系中的核心标准之一,属于安全保护类标准。”李冰说,针对关键性基础设施保护需求,规定了分析识别、安全防护、检测评估、监测预警、主动防御、事件处理等六个环节111条安全要求,为运营者开展安全保护工作需求提供了重要依据。其中,分析识别是安全防护等环节的基础,主动防御是突出特点。
重视供应链和关键业务链安全
特别值得注意的是,在《关基保护要求》术语和定义部分增加了关于供应链、关键业务链的定义。
所谓供应链,是指将多个资源和过程联系在一起,并根据服务协议或其他采购协议建立连续供应关系的组织系列;所谓关键业务链,是指组织的一个或多个相互关联的业务构成的关键业务流程。
李冰说,通常数字政府在建设过程中,由多个单位多种业务集合,需要特别考虑供应链管控、关键业务链安全,这也体现出对关键信息基础设施供应链安全和关键业务链安全的重视。
同时,《关基保护要求》明确,提升关键信息基础设施的安全能力,包括运营者网络安全的管控能力。比如顶层设计、统筹规划、组织架构体系、安全管理制度体系、各项机制建立等;以及关键信息基础设施自身的安全保护能力。比如识别保护方案、监测检测评估验证和监测通报、技术应对、协同作战、数据保护和供应链管控。
记者注意到,《关基保护要求》在供应链安全方面,多次提到了采购。如,采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设备和产品;应形成年度采购的网络产品和服务清单。采购、使用的网络产品和服务应符合相关国家标准的要求。可能影响国家安全的,应通过国家网络安全审查;应强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。
提出更高安全要求
在李冰看来,《关基保护要求》从框架及内容上具有三大特点:
一是全面落实政策法规要求。首先,《网络安全法》等法律法规和政策文件中明确提出且适合在标准中规范的,均在标准中有相应的要求落地,比如制定保护、工作计划、人员安全审查、日志保存等。其次,充分借鉴国内外的典型网络安全框架模型和作法,结合政策法规中提出的安全保护重点工作,确立了关键信息基础设施安全防护六个关键环节,并以此为基础构建关键信息基础设施安全防护技术体系。
二是与等级保护相关标准紧密衔接。为体现在等级保护制度上实现重点保护,《关基保护要求》对于已经在网络安全等级保护标准,如GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》中提出的安全条款不再进行重复规定,而是针对关键信息基础设施防护的特殊需求和增强要求提出更高的安全要求,进而体现整体防护、动态防护和联防联控。因此,运营者在规划和建设时需要将《等级保护要求》和《关基保护要求》组合起来,共同作为关键信息基础设施应落实的安全要求。
三是充分体现关键信息基础设施特点。首先,关键信息基础设施可能包含多个定级对象,定级对象之间存在不同的互联和信任关系,《关基保护要求》对于这些互联可能带来的安全风险提出了明确的安全防护要求;其次,关键信息基础设施可能是跨运营者跨部门的。对于关键信息基础设施对象涉及到多个运营主体的情况下,《关基保护要求》提出了多运营者责任层层落实、协同防护的要求;第三,以保护关键业务为目标,面向关键业务链及其依赖的资产提出落实“三化六防”的安全要求。
分享长微博
分享到微信
