首個關基標準《資訊保安技術 關鍵資訊基礎設施安全保護要求》正式釋出，關基保護落實進入新階段

近日，國家市場監管總局（國家標準化管理委員會）批准釋出兩項國家標準，其中的《關鍵資訊基礎設施安全保護要求》（ GB/T 39204-2022）（下簡稱：《保護要求》）作為《關鍵資訊基礎設施安全保護條例》（下簡稱：《條例》）釋出一年後首個正式釋出的關基標準，為關鍵資訊基礎設施保護的實際落地具有重要意義。

本圖引自國家市場監管總局（國家標準化管理委員會）官網

網路空間作為繼“陸海空天”之後的第五大戰略空間，已經成為了全球博弈的新戰場。近年來，針對關鍵資訊基礎設施的網路攻擊破壞、竊密等在全球範圍內愈演愈烈日趨加劇，涉及眾多行業領域，為此國家密集出臺相關法律法規。

《保護要求》的主要內容可以用下述流程表示：

關鍵資訊基礎設施安全保護包括分析識別、安全防護、檢測評估、監測預警、主動防禦 、事件處置六個方面：

分析識別

圍繞關鍵資訊基礎設施承載的關鍵業務，開展業務依賴性識別、關鍵資產識別、風險識別等活動。本活動是開展安全防護、檢測評估、監測預警、主動防禦、事件處置等活動的基礎。

安全防護

根據已識別的關鍵業務、資產、安全風險，在安全管理制度、安全管理機構、安全管理人員、安全通訊網路、安全計算環境、安全建設管理、安全運維管理等方面實施安全管理和技術保護措施，確保關鍵資訊基礎設施的執行安全。

檢測評估

為檢驗安全防護措施的有效性，發現網路安全風險隱患，應制定相應的檢測評估制度，確定檢測評估的流程及內容等，開展安全檢測與風險隱患評估，分析潛在安全風險可能引發的安全事件。

監測預警

制定並實施網路安全監測預警和資訊通報制度，針對發生的網路安全事件或發現的網路安全威脅，提前或及時發出安全警示。建立威脅情報和資訊共享機制，落實相關措施，提高主動發現攻擊能力。

主動防禦

以對攻擊行為的監測發現為基礎，主動採取收斂暴露面、捕獲、溯源、干擾和阻斷等措施，開展攻防演習和威脅情報工作，提升對網路威脅與攻擊行為的識別、分析和主動防禦能力。

事件處置

運營者對網路安全事件進行報告和處置，並採取適當的應對措施，恢復由於網路安全事件而受損的功能或服務。

《保護要求》作為《條例》一項重要的配套標準，對於關鍵資訊基礎設施繼承了《條例》“公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者資料洩露，可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、資訊系統等。”的定義， 與《網路安全法》第31條的定義方式保持了一致，採用的仍是舉例加後果概括的方式。

《保護要求》安全防護階段供應鏈安全保護部分與《網路安全審查辦法》中要求的” 重點評估採購網路產品和服務可能帶來的國家安全風險“。《條例》中要求的”運營者應當優先採購安全可信的網路產品和服務並簽訂安全保密協議“對接，提出“供應鏈安全管理策略、年度採購清單等”具體要求，確保關鍵資訊基礎設施供應鏈安全。

《保護要求》安全防護階段在等級保護的基礎上強調了資料安全防護，與《資料安全法》銜接。如果把資料看成是“貨物”，關鍵資訊基礎設施（CII）可以看成是承載“貨物”的容器。《網路安全法》、《資料安全法》和《條例》形成了對重要網路活動、資料活動的基本規則體系，《保護要求》則是直接與等級保護要求進行對接，進行安全保護要求的落地。

《保護要求》作為《條例》的落地保護要求，是近年來國家網路安全和資訊化工作成功經驗的制度化提升，將為我國深入開展關鍵資訊基礎設施安全保護工作落地提供有力保障。同時《要求》作為“十四五”開局之年釋出的一項重要標準，是推動我國網路安全法治化工作的又一項重要舉措和成果，標誌著我國網路安全產業進入了以關鍵資訊基礎設施安全保護為重點的新時代，對於維護國家網路安全、網路空間主權和國家安全、保障經濟社會健康發展、維護公共利益和公民合法權益都具有重大而深遠的意義。