一文读懂《信息安全技术 关键信息基础设施安全保护要求》

为深入贯彻习近平总书记关于维护网络安全、强化关键信息基础设施保护的系列重要指示精神，落实《网络安全法》《关键信息基础设施保护条例》关于保护关键信息基础设施运行安全的要求，做好国家标准的落地实施，不断提升关键信息基础设施安全保护能力，2022年10月12日，国家标准化管理委员会发布公告，正式批准发布GB/T39204—2022《信息安全技术关键信息基础设施安全保护要求》（简称《关基保护要求》），并于2023年5月1日实施。

01 标准的定位

《关基保护要求》属于安全保护类标准，针对关基安全保护需求，规定了分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等六个环节的安全要求，是各运营者开展安全保护工作时的重要依据。

02 关键信息基础设施的定义

关键信息基础设施（简称CII）：是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业筹重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全国计民生、公共利益的重要网络设施、信息系统等。

03 关键信息基础设施保护与等级保护制度的关系

等保2.0是网络安全工作基线，关键信息基础设施安全保护是在等保基础上加强保护。关键信息基础设施的运营者还应进一步加强两个“落实”，两个“建立”：

04 三项基本原则

❖ 以关键业务为核心的整体防控；

❖ 以风险管理为导向的动态防护；

❖ 以信息共享为基础的协同联防。

05 六大安全保护环节

关键信息基础设施安全保护包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面。

这6个环节间无固定的先后顺序，也无重要程度区分。

06 标准条款目标

提升关键信息基础设施的安全能力

1、运营者的网络安全管控能力。包括顶层设计和统筹规划、组织架构体系、安全管理制度体系、各项机制建立等方面。

2、关键信息基础设施自身的安全保护能力。包括动态防御能力、主动防御能力、纵深防御能力、精准防护能力、整体防控能力、联防联控能力。

来源：新疆网警巡查执法