标准规范下载简介
GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求.pdfInformationsecuritytechnology ersecurity requirements for critical information infrastructure protection
Informationsecuritytechnology
安装工程成品保护专项施工方案GB/T39204—2022
11.1 制度......... 11.2 应急预案和演练·· 11.3 响应和处置 11.4 重新识别 10 考文献
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:中央网信办网络安全协调局、公安部网络安全保卫局、中国电子技术标准化研究 院、中国信息安全测评中心、国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心、公安 部第三研究所、公安部第一研究所、北京赛西科技发展有限责任公司、中国信息安全研究院有限公司、 国家工业信息安全发展研究中心、中国网络安全审查技术与认证中心、中国互联网络信息中心。 本文件主要起草人:杨建军、郭启全、郭涛、姚相振、王惠莅、祝国邦、范春玲、陈亮、宋璟、孙晓丽、 周亚超、孙军、任卫红、李秋香、江典盛、袁静、宫月、任泽君、张新跃、上官晓丽、杨晨、王凤娇、程娜、马力、 刘志磊、于东升、陈翠云、刘志宇、任望、魏军、黄元飞、王博、王姣、王秉政。
GB/T39204—2022
GB/T 39204—2022
信息安全技术 关键信息基础设施安全保护要求
信息安全技术 关键信息基础设施安全保护要求
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T20984信息安全技术信息安全风险评估方法 GB/T25069信息安全技术术语
GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 关键信息基础设施criticalinformationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领 域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重 要网络设施、信息系统等。 3.2 供应链supplychain 将多个资源和过程联系在一起,并根据服务协议或其他采购协议建立连续供应关系的组织系列。 注:其中每一组织充当需方、供方或双重角色。 3.3 关键业务链criticalbusinesschain 组织的一个或多个相互关联的业务构成的关键业务流程。
关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本 原则。 以关键业务为核心的整体防控。关键信息基础设施安全保护以保护关键业务为目标,对业务 所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系
关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本 原则。 以关键业务为核心的整体防控。关键信息基础设施安全保护以保护关键业务为目标,对业务 所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系
GB/T39204—2022
以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测 和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。 以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护 机制,提升关键信息基础设施应对大规模网络攻击能力。
业务识别要求包括: a) 应识别本组织的关键业务和与其相关联的外部业务; b) 应分析本组织关键业务对外部业务的依赖性: 应分析本组织关键业务对外部业务的重要性; ? dD 应梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。
资产识别要求包括: a) 应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资产 的资产清单; b) 应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级; C 应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。
资产识别要求包括: a) 应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资 的资产清单; b) 应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级; C 应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。
应按照GB/T20984等风险评估标准,对关键业务链开展安全风险分析,识别关键业务链各环节的 威胁、脆弱性,确认已有安全控制措施,分析主要安全风险点,确定风险处置的优先级,形成安全风险 报告。
在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应重新开展识别工作,可能影响认 定结果的,应及时将相关情况报告保护工作部门,并更新资产清单。 注:保护工作部门指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的主管部门、监督管理部门·也是负责关键信息基础设施安全保护工作的部门
应落实国家网络安全等级保护制度相关要求,开展网络和信息系统的定级、备案、安全建设整改和 等级测评等工作
安全管理制度要求包括: B?D )应制定适合本组织的网络安全保护计划,明确关键信息基础设施安全保护工作的目标,从管理 体系、技术体系、运营体系、保障体系等方面进行规划,加强机构、人员、经费、装备等资源保障 支撑关键信息基础设施安全保护工作。网络安全保护计划应形成文档并经审批后发送至相关 人员。网络安全保护计划应每年至少修订一次,或发生重大变化时进行修订。 b)应建立管理制度和安全策略,重点考虑基于关键业务链安全需求,并根据关键信息基础设施面 临的安全风险和威胁的变化进行相应调整。 注1:安全策略包括但不限于:安全互联策略、安全审计策略、身份管理策略、人侵防范策略、数据安全防护策略、自 动化机制策略(配置、漏洞、补丁、病毒库等)、供应链安全管理策略、安全运维策略等。 注2:管理制度包括但不限于:风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制 度、业务连续性管理及容灾备份制度、三同步制度(安全措施同步规划、同步建设和同步使用)、供应链安全管 理制度等。
安全管理人员要求包括:
a)应对安全管理机构的负责人和关键岗位的人员进行安全背景审查和安全技能考核,符合要求 的人员方能上岗。安全管理机构明确关键岗位,通常包括与关键业务系统直接相关的系统管 理、网络管理、安全管理等岗位。关键岗位应配备专人,并配备2人以上共同管理。 b)应定期安排安全管理机构人员参加国家、行业或业界网络安全相关活动,及时获取网络安全 动态。 c)应建立网络安全教育培训制度,定期开展网络安全教育培训和技能考核,关键信息基础设施从 业人员每人每年教育培训时长不得少于30个学时。教育培训内容应包括网络安全相关法律 法规、政策标准,以及网络安全保护技术、网络安全管理等。 d)当安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化(例如:取得非中国国 籍)或必要时,应根据情况重新按照相关要求进行安全背景审查。应在人员发生内部岗位调动 时,重新评估调动人员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关 人员或角色。应在人员离岗时,及时终止离岗人员的所有访问权限,收回与身份鉴别相关的软 硬件设备,进行面谈并通知相关人员或角色。 e)应明确从业人员安全保密职责和义务,包括安全职责、奖惩机制、离岗后的脱密期限等,并签订 安全保密协议。
应实现通信线路“一主双备”的多电信运营商多路由保护,宜对网络关键节点和重要设施奖 点”见余备份。
互联安全要求包括: a) 应建立或完善不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不 同运营者运营的系统之间的安全互联策略; b> 十 应保持同一用户其用户身份和访问控制策略等在不同网络安全等级保护系统、不同业务系统、 不同区域中的一致性; ?+ 对不同局域网之间远程通信时应采取安全防护措施,例如:在通信前基于密码技术对通信的双 方进行验证或鉴别。
边界防护要求包括: B?D 应对不同网络安全等级保护系统之间、不同业务系统之间、不同区域的系统之间、不同运营者 运营的系统之间的互操作、数据交换和信息流向进行严格控制; b? 应对未授权设备进行动态发现及管控,只允许通过运营者授权的软硬件运行。
应采取网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等某建筑工程钢筋施工方案,留存相 据不少于6个月。
鉴别与授权要求包括:
a) 应明确重要业务操作、重要用户操作或异常用户操作行为,并形成清单; b> 2 应对设备、用户、服务或应用、数据进行安全管控,对于重要业务操作、重要用户操作或异常用 户操作行为,建立动态的身份鉴别方式,或者采用多因子身份鉴别等方式; c) 针对重要业务数据资源的操作,应基于安全标记等技术实现访问控制。
入侵防范要求包括: 应采取技术手段,提高对高级可持续威胁(APT)等网络攻击行为的人侵防范能力; b)应采取技术手段,实现系统主动防护,及时识别并阻断人侵和病毒行为。
应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁,应在 金证后及时修补。
应在关键信息基础设施建设、改造、升级等环节,实现网络安全技术措施与关键信息基础设施主体 工程同步规划、同步建设、同步使用,并采取测试、评审、攻防演练等多种形式验证。必要时,可建设关键 业务的仿真验证环境,予以验证。
供应链安全保护要求包括: a)应建立供应链安全管理策略,包括:风险管理策略、供应方选择和管理策略、产品开发采购策 略、安全维护策略等。建立供应链安全管理制度,提供用于供应链安全管理的资金、人员和权 限等可用资源。 b)采购网络关键设备和网络安全专用产品目录中的设备产品时,应采购通过国家检测认证的设 备和产品。 C) 11 应形成年度采购的网络产品和服务清单。采购、使用的网络产品和服务应符合相关国家标准 的要求。可能影响国家安全的,应通过国家网络安全审查。 d)应建立和维护合格供应方目录。应选择有保障的供应方,防范出现因政治、外交、贸易等非技 术因素导致产品和服务供应中断的风险。 e)应强化采购渠道管理,保持采购的网络产品和服务来源的稳定或多样性。 + )采购网络产品和服务时,应明确提供者的安全责任和义务,要求提供者对网络产品和服务的设 计、研发、生产、交付等关键环节加强安全管理。要求提供者声明不非法获取用户数据、控制和 操纵用户系统和设备,或利用用户对产品的依赖性谋取不正当利益或者迫使用户更新换代。 g)应与网络产品和服务的提供者签订安全保密协议精装修工程管理中的成本管控实施思路与案例分析.pdf,协议内容应包括安全职责、保密内容、奖惩 机制、有效期等。
h) 应要求网络产品和服务的提供者对网络产品和服务研发、制造过程中涉及的实体拥有或控制 的已知技术专利等知识产权获得10年以上授权,或在网络产品和服务使用期内获得持续 授权。 iD 1 应要求网络产品和服务的提供者提供中文版运行维护、二次开发等技术资料。 jD 应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测,或由供应方 提供第三方网络安全服务机构出具的代码安全检测报告。 k 使用的网络产品和服务存在安全缺陷、漏洞等风险时,应及时采取措施消除风险隐患,涉及重 大风险的应按规定向相关部门报告。
应建立健全关键信息基础设施安全检测评估制度,包括但不限于检测评估流程、方式方法、周期、人 员组织、资金保障等。