信息安全技術關鍵信息基礎設施安全保護要求2022-10-12發布國家標準化管理委員會I前言 N 12規范性引用文件 3術語和定義 4安全保護基本原則 5主要內容及活動 26分析識別 26.1業務識別 26.2資產識別 26.3風險識別 36.4重大變更 37安全防護 37.1網絡安全等級保護 37.2安全管理制度 37.3安全管理機構 37.4安全管理人員 37.5安全通信網絡 47.6安全計算環境 47.7安全建設管理 57.8安全運維管理 57.9供應鏈安全保護 57.10數據安全防護 68檢測評估 68.1制度 68.2方式和內容 69監測預警 79.1制度 79.2監測 79.3預警 810主動防御 810.1收斂暴露面 810.2攻擊發現和阻斷 810.3攻防演練 810.4威脅情報 9ⅡGB/T39204—202211事件處置 911.2應急預案和演練 11.3響應和處置 911.4重新識別 參考文獻 Ⅲ1信息安全技術關鍵信息基礎設施安全保護要求2a)應識別本組織的關鍵業務和與其相3應按照GB/T20984等風險評估標準，對關鍵業務鏈開展安全風險分析，識別關鍵業務鏈各環節的威脅、脆弱性，確認已有安全控制措施，分析主要安全風險點，確定風險處置的優先級，形成安全風險報告。定結果的，應及時將相關情況報告保護工作部門，并更新資產清單。7安全防護7.1網絡安全等級保護應落實國家網絡安全等級保護制度相關要求，開展網絡和信息系統的定級、備案、安全建設整改和等級測評等工作。安全管理制度要求包括：a)應制定適合本組織的網絡安全保護計劃，明確關鍵信息基礎設施安全保護工作的目標，從管理支撐關鍵信息基礎設施安全保護工作。網絡安全保護計劃應形成文檔并經審批后發送至相關人員。網絡安全保護計劃應每年至少修訂一次，或發生重大變化時進行修訂。b)應建立管理制度和安全策略，重點考慮基于關鍵業務鏈安全需求，并根據關鍵信息基礎設施面臨的安全風險和威脅的變化進行相應調整。安全管理機構要求包括：a)應成立網絡安全工作委員會或領導小組，由組織主要負責人擔任其領導職務，明確一名領導班子成員作為首席網絡安全官，專職管理或分管關鍵信息基礎設施安全保護工作；b)應設置專門的網絡安全管理機構(以下簡稱“安全管理機構”),明確機構負責人及崗位，建立并實施網絡安全考核及監督問責機制；c)應為每個關鍵信息基礎設施明確一名安全管理責任人；d)應將安全管理機構人員納入本組織信息化決策體系。安全管理人員要求包括：4a)應對安全管理機構的負責人和關鍵崗位的人員進行安全背景審查和安全技能考核，符合要求b)應定期安排安全管理機構人員參加國家、行業或業界網絡安全相關活動業人員每人每年教育培訓時長不得少于30個學時。教育培訓內容應包括網絡安全相關法律據不少于6個月。5b)采購網絡關鍵設備和網絡安全專用產品目錄中的設備產品時，應采購通過國家檢測c)應形成年度采購的網絡產品和服務清單。采購、使用的網絡產品和服務應符合相關國家標準6h)應要求網絡產品和服務的提供者對網絡產品和服務研發、制造過程的已知技術專利等知識產權獲得10年以上授權，或在網絡產品和服務使用期內獲得持續j)應自行或委托第三方網絡安全服務機構對定制開發的軟件進行源代碼安全檢測，或由供應方c)將在我國境內運營中收集和產生的個人信息和重要數據存儲在境內。因業務需要，確需向境8檢測評估a)應自行或者委托網絡安全服務機構對關鍵信息基礎設施安全性和可能存在的風險，每年至少7基礎設施帶來的風險變化情況，并依據風險變化以及發現的安全問題進行有效整改后方可之間的網絡流量進行監測等),對監測信息采取保護措施，防止其受8對象可能造成損害的程度，必要時啟動應急預案。獲取的安全預警信息9a)應圍繞關鍵業務的可持續運行設定演練場景，定期組織開展攻防演練，關鍵信息基礎設施跨組織、跨地域運行的，組織或參加實網攻防演練。在不適合開展實網攻防演練場景下，采取沙盤推演的方式進行攻防演練。b)應將關鍵信息基礎設施核心供應鏈、緊密上下游產業鏈等業務相關單位納入演練范疇。c)應針對攻防演練中發現的安全問題及風險進行及時整改，消除結構性、全局性風險。威脅情報要求包括：a)應建立本部門、本單位網絡威脅情報共享機制，組織聯動上下級單位，開展威脅情報搜集、加b)應建立外部協同網絡威脅情報共享機制，與權威網絡威脅情報機構開展協同聯動，實現跨行業領域網絡安全聯防聯控。11事件處置制度要求包括：a)應建立網絡安全事件管理制度，明確不同網絡安全事件的分類分級、不同類別和級別事件處置的流程等，制定應急預案等網絡安全事件管理文檔。事件處置制度應符合國家聯防聯控相關b)應為網絡安全事件處置提供相應資源，組織建立專門網絡安全應急支撐隊伍、專家隊伍，保障安全事件得到及時有效處置。c)應按規定參與和配合相關部門開展的網絡安全應急演練、應急處置、案件偵辦等工作。應急預案和演練要求包括：a)應在國家網絡安全事件應急預案的框架下，根據行業和地方的特殊要求，制定網絡安全事件應b)應在應急預案中明確，一旦信息系統中斷、受到損害或者發生故障時，需要維護的關鍵業務功能，并明確遭受破壞時恢復關鍵業務和恢復全部業務的時間。應急預案不僅應包括本組織應急事件的處理，也應包括多個運營者間的應急事件的處理。c)在制定應急預案時，應同所涉及的運營者內部相關計劃(例如：業務持續性計劃、災難備份計劃等)以及外部服務提供者的應急計劃進行協調，以確保連續性要求得以滿足。d)應在應急預案中包括非常規時期、遭受大規模攻擊時等處置流程。e)應對網絡安全應急預案定期進行評估修訂，并持續改進。f)應每年至少組織開展1次本組織的應急演練。關鍵信息基礎設施跨組織、跨地域運行的，應定期組織或參加跨組織、跨地域的應急演練。事件報告要求包括：a)當發生有可能危害關鍵業務的安全事件時，應及時向安全管理機構報告，并組織研判，形成事b)應及時將可能危害關鍵業務的安全事件通報到可能受影響的內部部門和人員，并按照規定向c)在事件處理完成后，應采用手工或者自動化機制形成完整的事件處理報告。事件處理報告包e)在進行事件處理活動時，應協調組織內部多個部門和外部相關組織，以更好地對事件進行處[7]中華人民共和國網絡安全法[2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過，中華人民共和國主席令(第53號)].[8]關鍵信息基礎設施安全保護條例(2021年4月27日國務院第133次常務會議通過，中華人民共和國國務院令第745號).[9]國家網絡安全事件應急預案(2017年1月10日中央網絡安全和信息化領導小組辦公室[10]云計算服務安全評估辦法(2019年7月2日國家互聯網信息辦公室國家發展和改革委員會[11]網絡安全審查辦法(2020年4月13日國家互聯網信息辦公室等12部委