關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例下要做的十件事
2021年08月23日
一、開展網(wǎng)絡(luò)安全等級保護工作
運營者需要及時開展網(wǎng)絡(luò)安全等級保護工作�,關(guān)鍵信息基礎(chǔ)設(shè)施等保級別是三級及以上,同時要采取相應(yīng)技術(shù)保護措施和其他必要措施�,防范網(wǎng)絡(luò)攻擊,保障關(guān)基的安全��。等保是做好關(guān)基工作的基礎(chǔ)�����,基礎(chǔ)都沒做�,這項工作一定沒做好。
依據(jù):第六條運營者依照本條例和有關(guān)法律�、行政法規(guī)的規(guī)定以及國家標準的強制性要求,在網(wǎng)絡(luò)安全等級保護的基礎(chǔ)上���,采取技術(shù)保護措施和其他必要措施��,應(yīng)對網(wǎng)絡(luò)安全事件�,防范網(wǎng)絡(luò)攻擊和違法犯罪活動���,保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行�����,維護數(shù)據(jù)的完整性����、保密性和可用性。
二�、制定行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則,認定本行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施
保護工作部門需要結(jié)合本行業(yè)的實際情況���,首先要制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則�,并報國務(wù)院公安部門備案����;根據(jù)認定規(guī)則負責組織認定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施�����,及時將認定結(jié)果通知運營者��,并通報國務(wù)院公安部門��。做好關(guān)基的保護工作��,首要目標肯定是先明確哪些是關(guān)基���,這樣我們才好有針對性地做好保護工作�����。這里需要解釋下什么是保護工作部門���?保護工作部門就是:涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門�,比如國家能源局、交通部����、水利部等。
依據(jù):第九條 保護工作部門結(jié)合本行業(yè)�、本領(lǐng)域?qū)嶋H,制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則�����,并報國務(wù)院公安部門備案��。
制定認定規(guī)則應(yīng)當主要考慮下列因素:
(一)網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng)等對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度;
(二)網(wǎng)絡(luò)設(shè)施����、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度�;
(三)對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。
第十條 保護工作部門根據(jù)認定規(guī)則負責組織認定本行業(yè)�、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施,及時將認定結(jié)果通知運營者����,并通報國務(wù)院公安部門。
三��、安全保護措施需落實“三同步”
在關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)的過程中需要同步規(guī)劃�、同步建設(shè)、同步使用其相應(yīng)的安全保護措施���,確保關(guān)基的安全穩(wěn)定運行�,以后我們可不能只想著先把關(guān)基建設(shè)好�,而不同步建設(shè)相應(yīng)的安全保護措施,需要及時購買相應(yīng)的網(wǎng)絡(luò)安全設(shè)備以及相應(yīng)的網(wǎng)絡(luò)安全服務(wù)�,如等保、密評��、軟件測試及其他第三方安全服務(wù)等。
依據(jù):第十二條 安全保護措施應(yīng)當與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃����、同步建設(shè)����、同步使用。
四��、關(guān)基保護需保障人���、財����、物的投入
運營者應(yīng)當建立健全網(wǎng)絡(luò)安全保護制度和責任制���,保障人力��、財力�、物力投入���。運營者的主要負責人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責��。同時要建立專門的安全管理機構(gòu)及人員�����,對網(wǎng)絡(luò)安全工作具體負責��。所以對于具體負責網(wǎng)絡(luò)安全管理工作的部門及人員需要及時將網(wǎng)絡(luò)安全工作向單位的主要負責人(黨委書記�����、一把手)進行匯報�,積極爭取人力、財力�、物力的投入,如果他不支持�����,一定要告訴他:運營者的主要負責人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責�。一哥還不信哪個領(lǐng)導會不重視這項工作?重視網(wǎng)絡(luò)安全工作千萬不能停留在口頭上重視��,而行動上不重視的路上��。
依據(jù):第十三條 運營者應(yīng)當建立健全網(wǎng)絡(luò)安全保護制度和責任制���,保障人力���、財力����、物力投入����。運營者的主要負責人對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責�����,領(lǐng)導關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和重大網(wǎng)絡(luò)安全事件處置工作��,組織研究解決重大網(wǎng)絡(luò)安全問題��。
第十四條 運營者應(yīng)當設(shè)置專門安全管理機構(gòu)�����,并對專門安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查�。審查時,公安機關(guān)����、國家安全機關(guān)應(yīng)當予以協(xié)助�。
第十六條 運營者應(yīng)當保障專門安全管理機構(gòu)的運行經(jīng)費�����、配備相應(yīng)的人員���,開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當有專門安全管理機構(gòu)人員參與���。
五、每年至少開展一次網(wǎng)絡(luò)安全風險檢測
運營者每年自行或者委托專業(yè)的第三方網(wǎng)絡(luò)安全服務(wù)機構(gòu)至少對關(guān)基進行一次的網(wǎng)絡(luò)安全檢測和風險評估���,這里的檢測可以確定肯定不是等保測評����,具體如何進行檢測目前相關(guān)部門正在制定檢測標準���,一旦標準完成后將依據(jù)標準進行相應(yīng)檢測�����,同時對發(fā)現(xiàn)的問題還需要及時整改�����。一哥認為這里的網(wǎng)絡(luò)安全檢測和風險評估是同一件事����,這里的風險評估不是狹義上的風險評估服務(wù),而是風險識別與檢測的意思�����,這個推測僅供參考��,不作為標準答案����,也就是未來關(guān)鍵單位只需要做一次針對關(guān)基的網(wǎng)絡(luò)安全檢測就可以了���,而不是要分別做這兩件事����。
依據(jù):第十七條 運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估�,對發(fā)現(xiàn)的安全問題及時整改,并按照保護工作部門要求報送情況�����。
六、優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)
運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)���;什么是安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)呢����?一哥認為:信息技術(shù)應(yīng)用創(chuàng)新發(fā)展中相關(guān)的網(wǎng)絡(luò)產(chǎn)品是滿足要求的����,那么沒入選的怎么辦?至少相關(guān)產(chǎn)品需要通過國內(nèi)權(quán)威機構(gòu)的第三方檢測���,獲取相應(yīng)許可證����,如銷售許可證�����、涉密許可證�����、密碼產(chǎn)品許可證等;那么可信的服務(wù)呢���?這個基本條件至少是相應(yīng)的服務(wù)機構(gòu)需要有網(wǎng)絡(luò)安全主管部門或者權(quán)威的第三方頒發(fā)的相應(yīng)服務(wù)能力認可證書����,而不是隨隨便便選擇一家服務(wù)機構(gòu)�����,這不可信���。
依據(jù):第十九條 運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)�����;采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查�。
七、采購網(wǎng)絡(luò)和服務(wù)需簽訂安全保密協(xié)議
運營者需要與采購的網(wǎng)絡(luò)產(chǎn)品或服務(wù)提供方及時簽訂安全保密協(xié)議�����,明確提供者的技術(shù)支持和安全保密義務(wù)與責任,并對義務(wù)與責任履行情況進行監(jiān)督��。這個在服務(wù)中可能還好些����,基本有簽訂,但是在采購網(wǎng)絡(luò)產(chǎn)品過程中��,好像很多單位都沒有簽單類似協(xié)議����,大家需要注意,及時簽訂保密協(xié)議��。
依據(jù):第二十條 運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)��,應(yīng)當按照國家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議��,明確提供者的技術(shù)支持和安全保密義務(wù)與責任�����,并對義務(wù)與責任履行情況進行監(jiān)督�。
八、建立健全本行業(yè)網(wǎng)絡(luò)安全監(jiān)測預警機制
保護工作部門應(yīng)當建立健全本行業(yè)�、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預警制度,落實相應(yīng)預警監(jiān)測的技術(shù)措施,光有制度沒有手段去實現(xiàn)肯定也不行�����,空中起高樓�,那是幻想,通過網(wǎng)絡(luò)安全監(jiān)測預警的相應(yīng)制度來及時掌握本行業(yè)�����、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況����、安全態(tài)勢情況,做好預警與防范工作����。
依據(jù):第二十四條 保護工作部門應(yīng)當建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預警制度���,及時掌握本行業(yè)�����、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢,預警通報網(wǎng)絡(luò)安全威脅和隱患����,指導做好安全防范工作。
九�����、建立本行業(yè)的網(wǎng)絡(luò)安全事件應(yīng)急預案�,并定期演練
保護工作部門需要建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預案���,并且定期組織應(yīng)急演練���,指導運營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置。所以網(wǎng)絡(luò)安全事件應(yīng)急演練這項工作對于有關(guān)基設(shè)施的單位來說一定要實實在在地去做��,而不是為了完成任務(wù)而做�。記住,你們是關(guān)基單位��,要提高政治站位�����,加強重視程度,踏實做好該做的工作�。
依據(jù):第二十五條 保護工作部門應(yīng)當按照國家網(wǎng)絡(luò)安全事件應(yīng)急預案的要求,建立健全本行業(yè)�����、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預案���,定期組織應(yīng)急演練�����;指導運營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置����,并根據(jù)需要組織提供技術(shù)支持與協(xié)助��。
十����、定期開展本行業(yè)關(guān)基的網(wǎng)絡(luò)安全檢查
行業(yè)主管監(jiān)督部門應(yīng)當定期組織開展本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測���,那么檢查必定得是專業(yè)性的網(wǎng)絡(luò)安全的檢查�,不然怎么能查出安全問題呢?又怎么去指導與監(jiān)督運營者及時整改安全隱患����、完善安全措施呢�����?那么這樣的行業(yè)網(wǎng)絡(luò)安全檢查���,最好要聯(lián)合專業(yè)的第三方公司一起去檢查���,這樣才能更好的落實本項工作。
依據(jù):第二十六條 保護工作部門應(yīng)當定期組織開展本行業(yè)�、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查檢測,指導監(jiān)督運營者及時整改安全隱患�、完善安全措施。
最后《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》將于2021年9月1日起施行��,也就還剩一周多一點的時間��,大家對照著����,該開展的抓緊開展吧�����,今年想開展沒經(jīng)費的�����,抓緊把相關(guān)預算做到明年預算里��。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://czzdkc.cn/
免費咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費咨詢和安全服務(wù)
