《关键信息基础设施安全保护条例》已经正式发布,这是国内针对关键信息基础设施保护的一项重要规章制度,它将指导我们如何正确有效地开展好关键信息基础设施的安全保护工作,一哥针对此次条例梳理了条例中规定的需要关基单位做的十件事,供大家学习参考,当然做好关基保护,不仅仅是要做这十件事,请大家务必清楚,不要误解了。
一、开展网络安全等级保护工作
运营者需要及时开展网络安全等级保护工作,关键信息基础设施等保级别是三级及以上,同时要采取相应技术保护措施和其他必要措施,防范网络攻击,保障关基的安全。等保是做好关基工作的基础,基础都没做,这项工作一定没做好。
依据:第六条运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
二、制定行业关键信息基础设施认定规则,认定本行业关键信息基础设施
保护工作部门需要结合本行业的实际情况,首先要制定关键信息基础设施认定规则,并报国务院公安部门备案;根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。做好关基的保护工作,首要目标肯定是先明确哪些是关基,这样我们才好有针对性地做好保护工作。这里需要解释下什么是保护工作部门?保护工作部门就是:涉及的重要行业和领域的主管部门、监督管理部门,比如国家能源局、交通部、水利部等。
依据:第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
制定认定规则应当主要考虑下列因素:
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
第十条 保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。
三、安全保护措施需落实“三同步”
在关键信息基础设施建设的过程中需要同步规划、同步建设、同步使用其相应的安全保护措施,确保关基的安全稳定运行,以后我们可不能只想着先把关基建设好,而不同步建设相应的安全保护措施,需要及时购买相应的网络安全设备以及相应的网络安全服务,如等保、密评、软件测试及其他第三方安全服务等。
依据:第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
四、关基保护需保障人、财、物的投入
运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责。同时要建立专门的安全管理机构及人员,对网络安全工作具体负责。所以对于具体负责网络安全管理工作的部门及人员需要及时将网络安全工作向单位的主要负责人(党委书记、一把手)进行汇报,积极争取人力、财力、物力的投入,如果他不支持,一定要告诉他:运营者的主要负责人对关键信息基础设施安全保护负总责。一哥还不信哪个领导会不重视这项工作?重视网络安全工作千万不能停留在口头上重视,而行动上不重视的路上。
依据:第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。
第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
五、每年至少开展一次网络安全风险检测
运营者每年自行或者委托专业的第三方网络安全服务机构至少对关基进行一次的网络安全检测和风险评估,这里的检测可以确定肯定不是等保测评,具体如何进行检测目前相关部门正在制定检测标准,一旦标准完成后将依据标准进行相应检测,同时对发现的问题还需要及时整改。一哥认为这里的网络安全检测和风险评估是同一件事,这里的风险评估不是狭义上的风险评估服务,而是风险识别与检测的意思,这个推测仅供参考,不作为标准答案,也就是未来关键单位只需要做一次针对关基的网络安全检测就可以了,而不是要分别做这两件事。
依据:第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
六、优先采购安全可信的网络产品和服务
运营者应当优先采购安全可信的网络产品和服务;什么是安全可信的网络产品和服务呢?一哥认为:信息技术应用创新发展中相关的网络产品是满足要求的,那么没入选的怎么办?至少相关产品需要通过国内权威机构的第三方检测,获取相应许可证,如销售许可证、涉密许可证、密码产品许可证等;那么可信的服务呢?这个基本条件至少是相应的服务机构需要有网络安全主管部门或者权威的第三方颁发的相应服务能力认可证书,而不是随随便便选择一家服务机构,这不可信。
依据:第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
七、采购网络和服务需签订安全保密协议
运营者需要与采购的网络产品或服务提供方及时签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。这个在服务中可能还好些,基本有签订,但是在采购网络产品过程中,好像很多单位都没有签单类似协议,大家需要注意,及时签订保密协议。
依据:第二十条 运营者采购网络产品和服务,应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
八、建立健全本行业网络安全监测预警机制
保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,落实相应预警监测的技术措施,光有制度没有手段去实现肯定也不行,空中起高楼,那是幻想,通过网络安全监测预警的相应制度来及时掌握本行业、本领域关键信息基础设施运行状况、安全态势情况,做好预警与防范工作。
依据:第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
九、建立本行业的网络安全事件应急预案,并定期演练
保护工作部门需要建立健全本行业、本领域的网络安全事件应急预案,并且定期组织应急演练,指导运营者做好网络安全事件应对处置。所以网络安全事件应急演练这项工作对于有关基设施的单位来说一定要实实在在地去做,而不是为了完成任务而做。记住,你们是关基单位,要提高政治站位,加强重视程度,踏实做好该做的工作。
依据:第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
十、定期开展本行业关基的网络安全检查
行业主管监督部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,那么检查必定得是专业性的网络安全的检查,不然怎么能查出安全问题呢?又怎么去指导与监督运营者及时整改安全隐患、完善安全措施呢?那么这样的行业网络安全检查,最好要联合专业的第三方公司一起去检查,这样才能更好的落实本项工作。
依据:第二十六条 保护工作部门应当定期组织开展本行业、本领域关键信息基础设施网络安全检查检测,指导监督运营者及时整改安全隐患、完善安全措施。
最后《关键信息基础设施安全保护条例》将于2021年9月1日起施行,也就还剩一周多一点的时间,大家对照着,该开展的抓紧开展吧,今年想开展没经费的,抓紧把相关预算做到明年预算里。
声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。