2022年11月7日，《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）国家标准发布，作为关键信息基础设施安全保护标准体系的构建基础，该标准将于2023年5月1日正式实施。

 

01

研制背景

为了更好的落地《网络安全法》、配合《关键信息基础设施安全保护条例》等法律法规标准的实施，在网络安全等级保护制度基础上借鉴重要行业和领域网络安全保护的经验，在市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局的指导下，相关部门制定了《信息安全技术 关键信息基础设施安全保护要求》。

 

02

相关法律法规

1、《中华人民共和国网络安全法》

2、《网络安全等级保护基本要求》

3、《关键信息基础设施安全保护条例》

4、《中华人民共和国数据安全法》

5、《关键信息基础设施安全检查评估指南》（征求意见稿）

03

主要内容

 

《关键信息基础设施安全保护要求》给出了关键信息基础设施安全保护3项基本原则、从6个方面提出了111条安全要求，为运营者开展关键信息基础设施保护工作需求提供了强有力的保障。

共11个章节，分别从范围、引用文件、术语、原则、主要内容和活动、分析识别、安全防护、检测评估、监测预警、主动防御、事件处理等角度对关键信息基础设施安全保护进行了全面的要求。

重点强调了采取必要措施保护关键信息基础设施业务连续运行及其重要数据不受破坏，切实加强关键信息基础设施安全保护。

三项原则

 

以关键业务为核心的整体防控。

以风险管理为导向的动态防护。

以信息共享为基础的协同联防。

六个方面

 

提出了关键信息基础设施保护主要从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个方面的安全控制措施，适用于指导运营者对关键信息基础设施进行全生存周期安全保护，也可供关键信息基础设施安全保护的其他相关方参考使用。

关联关系图

 

04

内容解读

 

1、分析识别

主要有开展业务识别（4）、资产识别（3）、风险识别（20984）、重大变更（以上内容的变化）

业务识别： 

• 关键业务和外部业务的关联性

• 关键业务对外部业务的依赖性

• 关键业务对外部业务的重要性

• 关键业务链的分布和管理      

 

资产识别：

• 资产清单

• 资产级别

• 资产探测

 

风险识别： 

• 依据《GB/T 20984-2022 信息安全风险评估方法》进行风险评估

 

重大变更：

• 关键信息基础设施改建

• 关键信息基础设施扩建

• 关键信息基础设施管理人员及其他的变更（例如：地址变更）

 

2.安全防护

• 遵从网络安全等级保护基本要求，开展定级、备案及相关工作；

• 根据识别的关键业务、资产、安全风险，在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施，确保关键信息基础设施的运行安全；

• 确定了制订网络安全保护计划，并最少每年更新一次，或者发生安全事件的情况下更新；

• 设置首席安全官，专管或者分管关键信息基础设施；

• 关键岗位设置两人管理，对关基人员不少于30学时的培训；

• 采用“一主双备”，“双节点” 冗余的网络架构；

• 根据区域不同做严格把控，并保留相关日志不少于6个月；

• 应使用自动化工具进行管理，对漏洞、补丁进行修复；

• 对供应链安全和数据安全也作出了相关的要求。

 

3.检测评估

• 明确检测评估策略，根据国家政策、法律法规要求和组织需求，阐述检测评估目的、范围、角色、责任及组织内协调等；

• 建立健全关键信息基础设施安全检测评估制度和流程，检测评估应包括合规检查、技术检查、分析评估等方面；

• 建立年度检测评估工作责任制，明确检测中的角色分工和相应职责，建立相应问责机制；

• 制定检测评估机制，自行或者委托国家或行业认可的网络安全服务机构，对其安全性和安全风险进行检测评估。

   

4.监测预警

• 制订监测策略，明确监测对象、监测流程、监测内容，主动掌握威胁态势；

• 明确本组织的预警信息分级标准，明确本组织的预警信息分级标准；明确不同级别预警信息的报告、响应和处置流程；

• 建立综合评估机制，综合评估特定时间期限内的监测预警情况；

• 构建完善监测预警和信息通报机制，按规定向行业主管、国家监管等部门报送网络安全监测预警信息。

 

5.主动防御

• 构建攻防演习机制，使关键基础设施运营单位在实战中全面提升威胁应对能力，提升纵深防御能力、动态防御能力；

• 构建主动防御能力，形成整体防控、精准防控和联防联控的安全运营体系；

• 完善突发事件应急机制，有效处置网络安全事件，并针对应急演练中发现的突出问题和漏洞隐患，及时整改加固，完善保护措施；

• 构建安全准入管理制度，开展互联网暴露面治理，全面了解互联网暴露面，并收敛暴露面。

 

6.事件处理.处理

• 建立网络安全事件管理制度，明确不同网络安全事件的分类分级，明确不同类别、级别及特殊时期的网络安全事件报告、处置和响应流程；

• 明确人员职责制度，建立并落实资产安全管理、漏洞持续管理、安全策略管理、风险持续监测和安全事件响应处置闭环流程，提升处置效率；

• 建立合作机制，运营者与外部机构之间、其他运营者之间的合作机制，以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的合作机制；

• 制订应急预案，根据演练情况对应急预案进行评估和改进；制定重大事件和威胁报告规范，明确报告流程和方法；

• 建立信息上报机制，当网络系统出现特别重大网络安全事件时，应及时报告行业主管部门和相关监管部门。

 

7.解析部分

• 网络安全管控从单体系、单制度、单技术向多个体系的建立、多个制度的管理、多项技术的融合推进，并建立之间的关联关系；

• 从安全保护的角度，把等级保护、关基保护、数据保护统一规划，确定网络安全保护计划并更新；

• 关键信息基础设施自身的安全保护能力包括动态防御能力、主动防御能力、纵深防御能力、精准防护能力、整体防控能力、联防联控能力；

• 以网络安全等级保护为基础，增加了在岗绩效考核的管理。

05

实施价值和意义

 

1、关键信息基础设施保护要求是国家网络安全保护的又一重要求，是安全体系的新成员，是在网络安全法、关键信息基础设施保护条例后对关键信息基础设施保护的又一个重量级的基石。

2、公安机关将大力加强关键信息基础设施安全保卫和安全监管，严厉打击相关违法犯罪活动，与有关部门密切配合，着力构建关键信息基础设施综合防御体系，大力提升综合防御能力和水平，坚决维护好国家网络空间安全。

3、《关键信息基础设施安全保护要求》主要是对关键信息基础设施保护作出明确要求，在等级保护基础上重点保护提出了要领。

4、《关键信息基础设施安全保护要求》对设施运营者提出了更加具体的要求，应当落实网络安全责任，建立健全网络安全保护制度，设置专门安全管理机构，开展安全监测和风险评估，报告网络安全事件或网络安全威胁，规范网络产品和服务采购活动。