新闻公告

《关键信息基础设施安全保护条例》正式发布 | 网安企业需要强化保障支撑与服务意识

2021-08-18
浏览次数:
返回列表

2021年8月17日,国务院正式公布中华人民共和国《关键信息基础设施安全保护条例》,该条例2021年9月1日起正式施行。

《关键信息基础设施安全保护条例》正式发布 | 网安企业需要强化保障支撑与服务意识(图1)

 一、做好关键信息基础设施安全保障是安全从业者的责任

关键信息基础设施安全关乎国家安全、国计民生、公共利益,是实现中华民族伟大复兴,全面建成社会主义现代化强国的重要保障。做好关键信息基础设施安全保障不仅仅是运营者、监管者的责任,更是所有网络安全从业者的责任。尤其在当下关键时期,我国的崛起影响到了某些科技强国的霸权地位,在网络空间的对抗注定将更加严峻,关键信息基础设施的控制权可谓重中之重。

如何有效保障关键信息基础设施的安全、以及如何认定关键信息基础设施,一直是关系关键信息基础设施行业发展的首要问题。《关键信息基础设施安全保护条例》给了我们依据。学习和践行该条例将其应用在日常安全防护工作中,是我们网络安全企业的责任。只有规范化、标准化的防御体系才能充分发挥各方优势形成合力,有效保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动,保障我国社会主义现代化强国建设。

二、《关键信息基础设施安全保护条例》为网络安全企业发展指明了方向

《关键信息基础设施安全保护条例》一共6章51条,从网络安全企业视角来看,其解答了关键信息基础设施如何认定、运营者的责任和义务,以及如何配合国家相关主管部门开展关键信息基础设施的保护工作。《关键信息基础设施安全保护条例》是加强关键信息基础设施企业网络安全防护的重要依据和准则,部署明确了开展相关安全防护、检查检测、安全应急、信息共享,以及配合完成保护工作部门的监测、预警、通报等工作。通过对《关键信息基础设施安全保护条例》学习和认识,作为网络安全企业,需要重点关注以下三个方面内容。

(一)强化对关键信息基础设施企业的服务支撑

一是提供更加优质、合规的关键信息基础设施认定服务。依照《关键信息基础设施安全保护条例》协助关键信息基础设施企业运营者梳理信息基础设施中关键核心业务及其重要程度,分析其中涉及到的网络设施和信息系统,再面向实战攻防技术运用沙盘分析等方式协助运营者推断出这些网络信息系统一旦遭到破坏后可能带来的危害程度和关联性影响,从而进行关键信息基础设施认定。

二是提供更为契合国家安全战略的关键信息基础设施安全产品。通过《关键信息基础设施安全保护条例》应认识到关键信息基础设施的安全不仅是企业级的安全需求,更是国家级的安全需求,乃至全社会的安全需求。因此对关键信息基础设施安全的防护产品也应不再局限于独自提供安全能力,而应是可融入到国家大安全框架下的安全能力组件,例如支持多方情报接入和共享,是对现有安全产品的一种升级趋势。

三是提供全场景、可信任、实战化的关键信息基础设施安全综合保障服务。参照《关键信息基础设施安全保护条例》要求,提供的保障服务应以关键业务为核心进行整体防控,并以风险管理为导向进行动态防护,实现聚焦保护关键业务链所关联的网络、系统、服务等全场景、可信任,攻防实战化的网络安全保障。

(二)强化对关键信息基础设施主管部门的保障支持

一是做好面向关键信息基础设施行业、领域的网络安全监测技术支撑工作。依照《关键信息基础设施安全保护条例》要求,做好全天候、全方位、立体化、精确化、智能化的关键信息基础设施行业级的网络安全监测技术支持,依据关键信息基础设施行业网络安全监测预警制度,协助保护工作部门完成关键信息基础设施的安全监测、预警通报等工作。

二是做好精准威胁情报和安全信息共享的信息支撑性工作。依照《关键信息基础设施安全保护条例》要求,积极向国家网信部门、保护工作部门提供涉及网络安全威胁、漏洞、事件等情报信息,通过技术建模研判,协助主管部门识别在不同行业关键信息基础设施场景中的安全异常,锁定攻击者和攻击活动,对网络威胁进行确认、溯源和取证。

三是做好面向关键信息基础设施安全人才缺口的服务性支撑工作。依照《关键信息基础设施安全保护条例》要求,积极开展面向关键信息基础设施安全人才的培养工作,建立健全人才培养课程体系,配合主管部门注重培养实战性人才,基于真实攻防案例加大力度开发更多的实战化应急演练服务。

(三)强化关键信息基础设施安全保护和服务意识

一是强化合规意识。如果发现服务的关键信息基础设施企业还未达到国家网络安全等级保护要求,应主动提醒运营者优先完成等保建设;在开展关键信息基础设施前,还应关注涉及行业和领域的主管部门、监督管理部门发布的其他相关关键信息基础设施保护的法律和行政法规。

二是强化保密意识。在服务关键信息基础设施企业的过程中,应主动与关键信息基础设施运营企业签订保密协议,并制定相应规范约束服务人员保障关键信息基础设施企业涉及的网络系统安全信息不对外泄露。

三是强化守法意识。在未获得国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权的情况下,坚决不对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。


上一篇:中华人民共和国数据安全法
下一篇:国内首个汽车数据安全技术文件《汽车采集数据处理安全指南》发布

搜索