网站首页
产品中心
解决方案
客户案例
新闻资讯
伙伴合作
服务与支持
关于敏捷
行业资讯
《信息安全技术 关键信息基础设施安全保护要求》正式发布,安全防护提出这些要求
发布时间:2022-11-10    作者:admin

11月7日,《信息安全技术关键信息基础设施安全保护要求》(GB/T39204-2022)国家标准发布(以下简称《保护要求》)。作为关键信息基础设施安全保护标准体系的构建基础,该标准将于2023年5月1日正式实施。


微信图片_20221110155508.png

(图片源于网络)


该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。


 发布背景与意义 


关键信息基础设施是数字经济时代社会运行的神经中枢,也是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。


近两年来,国家相关部门也已发布《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等多项法律法规,要求在满足“合规性”防护的基础上,重点加强关键信息基础设施关键业务的风险识别能力、抗攻击能力、可恢复能力,确保关键信息基础设施业务稳定、持续运行。


作为《关键信息基础设施安全保护条例》发布一年后首个正式发布的关基标准,《保护要求》提出的111条具体安全要求为关键信息基础设施保护的实际落地具有重要意义。


 加强数据安全保护 


值得关注的是,《保护要求》提及的安全防护方面在等级保护的基础上强调了数据安全防护,与《数据安全法》衔接。并与《网络安全法》、《数据安全法》和《关键信息基础设施安全保护条例条例》等法律法规条例进行融合补充,形成了对重要网络活动、数据活动的基本规则体系,明确数据安全保护的各项具体要求。在此基础上,《保护要求》则是更加强调进行安全保护要求的落地,具体要求为:

数据安全保护计划、数据分类分级、境内存储、重要数据和个人信息保护、容灾备份、数据安全风险评估、数据处理活动全流程保护。


针对《保护要求》提出的数据安全保护要求的落地施行,敏捷科技建议关基运营者应当积极采取以下措施,切实加强主体单位数据安全防护能力:


 明确数据安全主体责任以及监管单位的监管职责,根据业务特征、组织架构制定合法合规、纵深防御的数据安全保护计划;


 依据数据安全分级分类的指导原则,厘清重要数据的范围、边界,加强涉及重要数据的安全保护措施;


 加强数据跨境流动的管理,对跨境数据做好落地加密存储;


 细化数据活动中各类角色的权限,加强重要数据交互行为过程中的管控;


 严格把控数据采集、存储、处理、使用、销毁的全生命周期,防止个人信息和重要数据泄露、丢失、滥用;



敏捷科技多年来在公共通信和信息服务、金融、能源、交通、水利等关键信息基础设施保护领域长期耕耘,服务于关键信息基础设施主体运营者的数据安全防护需求,建立了完备的关基数据安全保护体系,积累了大量安全防护、合规建设、密码应用等方面实践案例,为中国电信、中国移动、中国中车、铁路总公司、国家电网、航天科工、水利部长江委等主体单位的关基防护工作提供了坚实的数据安全支撑。


保证关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有基础性、全局性、支持性的重大意义。未来,敏捷科技将继续发挥自身技术和业务优势,持续提升安全服务能力,为国家网络安全保驾护航!


电话:4008-866-855