網路安全新資訊-《關鍵資訊基礎設施安全保護要求》於明年五月正式實施

為了更好的落地《網路安全法》、配合《關鍵資訊基礎設施安全保護條例》等法律法規標準的實施，在網路安全等級保護制度基礎上借鑑重要行業和領域網路安全保護的經驗，在市場監管總局標準技術司、中央網信辦網路安全協調局、公安部網路安全保衛局的指導下，相關部門制定了《資訊保安技術 關鍵資訊基礎設施安全保護要求》。

作為關鍵資訊基礎設施安全保護標準體系的構建基礎，《資訊保安技術關鍵資訊基礎設施安全保護要求》將於2023年5月1日正式實施。該標準提出了以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以資訊共享為基礎的協同聯防的關鍵資訊基礎設施安全保護3項基本原則。從分析識別、安全防護、檢測評估、監測預警、主動防禦、事件處置等6個方面提出了111條安全要求，為運營者開展關鍵資訊基礎設施保護工作需求提供了強有力的標準保障。

知識擴充：《關鍵資訊基礎設施安全保護要求》四大特點

1、全面落實政策法規要求

一是充分借鑑國內外的典型網路安全框架模型（如IPDRR），結合政策法規中提出的安全保護重點工作，確立了CII安全防護的6個關鍵環節：分析識別、安全防護、檢測評估、監測預警、主動防禦和事件處置，並以此為基礎構建CII安全防護技術體系；二是《網路安全法》、《關鍵資訊基礎設施安全保護條例》、《貫徹落實網路安全等級保護制度和關鍵資訊基礎設施安全保護制度的指導意見》(公網安〔2020〕1960號)等法律法規和政策檔案中明確提出的且適合在標準中規範的，均在標準中有相應的要求落地，比如制定保護工作計劃、人員安全審查、日誌儲存6個月等。

2、與等級保護相關標準緊密銜接

為體現在等級保護制度上實現重點保護，《關基保護要求》對於已經在網路安全等級保護標準，如GB/T 22239—2019《資訊保安技術網路安全等級保護基本要求》（簡稱《等級保護要求》），中提出的安全條款不再進行重複規定，而是針對CII防護的特殊需求（如主動防禦）和增強要求（如自動化工具），提出更高的安全要求，進而體現整體防護、動態防護和聯防聯控。因此，運營者在規劃和建設時需要將《等級保護要求》和《關基保護要求》組合起來，共同作為CII應落實的安全要求。

3、充分體現CII特點

一是CII可能包含多個定級物件，定級物件之間存在不同的互聯和信任關係，《關基保護要求》對於這些互聯可能帶來的安全風險提出了明確的安全防護要求；二是 CII可能是跨運營者跨部門的。對於CII物件涉及到多個運營主體的情況下，《關基保護要求》提出了多運營者責任層層落實、協同防護的要求；三是以保護關鍵業務為目標，面向關鍵業務鏈及其依賴的資產提出落實“三化六防”的安全要求。

4、採用能力目標的描述方式

安全要求條款採用能力目標性描述方式，不限定具體安全措施。這種描述方式一方面方便運營者靈活落實，同時也為技術發展預留了演進空間。