上篇文章,我们提到《网络安全法》第三十一条是这样描述:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。
网络安全等级保护的五个规定动作,我们知道为:定级、备案、建设整改、等级测评、监督检查。这个五个动作,源自《信息安全等级保护管理办法》(公通字[2007]43号)这个政策文件,那么关键信息基础设施也有五个环节,我们借助《信息安全技术 关键信息基础设施网络安全保护基本要求》(征求意见稿)看一下。
根据《信息安全技术 关键信息基础设施网络安全保护基本要求》(征求意见稿)的描述,关键信息基础设施保护分为五个环节,其五个环节分别是:识别认定、安全防护、检测评估、监测预警、应急处置。
如下图:
识别认定:运营者配合安全保护工作部门,开展关键信息基础设施识别和认定活动,围绕关键信息基础设施承载的关键业务,开展风险识别。
本环节是开展安全防护、检测评估、监测预警、应急处置等环节工作的基础。
安全防护:运营者根据已识别的安全风险,在规划、人员、数据、供应链等方面制定和实施适当的安全防护措施,确保关键信息基础设施的运行安全。
本环节在认定关键信息基础设施及识别其安全风险的基础上制定安全防护措施。
检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
监测预警:为检验安全防护措施的有效性,运营者制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。
应急处置:根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,并恢复由于网络安全事件而受损的功能或服务,动态识别关键信息基础设施的安全风险。
有关网络安全等级保护与关键信息基础保护相关内容,我将陆续整理。期待与大家分享,这里先简单进行一个介绍。关键信息基础设施事关国家安全、国计民生、公共利益,安全防护工作马虎不得。我们根据具备丰富的等级保护工作的经验,以此作为基础,相信能够为关键信息基础设施保护提供更好的保驾护航。
