时间: 2023-12-10 15:07:17 | 作者: 乐鱼官方入口
GB/T 39204-2022 英文版/英文翻译 信息安全技术 关键信息基础设
1范围本文件规定了关键信息基础设施分析识别、安全防护、检验测试评估、监测预警、主动防御、事件处置等方面的安全要求。本文件适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 20984信息安全技术信息安全风险评估方法GB/T 25069信息安全技术惇术语3术语和定义GB/T 25069界定的以及下列术语和定义适用于本文件。4安全保护根本原则关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下根本原则。---以关键业务为核心的整体防控。关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统来进行体系化安全设计,构建整体安全防控体系。—以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。-以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制﹐提升关键信息基础设施应对大规模网络攻击能力。5主要内容及活动关键信息基础设施安全保护包括分析识别、安全防护、检验测试评估﹑监测预警、主动防御、事件处置六个方面。6分析识别6.1业务识别业务识别要求包括:a)应识别本组织的关键业务和与其相关联的外部业务﹔b)应分析本组织关键业务对外部业务的依赖性﹔c)应分析本组织关键业务对外部业务的重要性;d)应梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。6.2资产识别资产识别要求包括:a)应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统﹑数据、服务和其他类资产的资产清单;b)应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级﹔c)应采用资产探测技术识别资产,并根据关键业务链所依赖资产的真实的情况动态更新。7安全防护7.1网络安全等级保护应落实国家网络安全等级保护制度有关要求,开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。7.2安全管理制度7.3安全管理机构7.4安全管理人员7.5安全通信网络7.5.1网络架构应实现通信线路“一主双备的多电信运营商多路由保护,宜对网络关键节点和重要设施实施“双节点”冗余备份。7.5.2互联安全7.6安全计算环境7.6.1鉴别与授权7.7安全建设管理应在关键信息基础设施建设、改造、升级等环节,实现网络安全技术措施与关键信息基础设施主体工程同步规划、同步建设,同步使用,并采取测试、评审、攻防演练等多种形式验证。必要时,可建设关键业务的仿真验证环境,予以验证。7.8安全运维管理安全运维管理要求包括:a)应保证关键信息基础设施的运维地点位于中国境内,如确需境外运维,应符合我国相关规定;b)应在运维前与维护人员签订安全保密协议﹔;c)应确保优先使用已在本组织登记备案的运维工具,如确需使用未登记备案的运维工具,应在使用前通过恶意代码检测等测试。7.9供应链安全保护7.10数据安全防护8检验测试评估8.1制度应建立健全关键信息基础设施安全检验测试评估制度,包括但不限于检测评估流程、方式方法,周期、人员组织、资金保障等。8.2方式和内容9监测预警9.1制度制度要求包括:a)应建立并落实常态化监测预警,快速响应机制。制定自身的监测预警和信息通报制度﹐确定网络安全预警分级准则,明确监测策略﹑监测内容和预警流程,对关键信息基础设施的安全风险进行监测预警。b)应关注国内外及行业关键信息基础设施安全事件、安全漏洞、解决办法和发展的新趋势,并对涉及的关键信息基础设施安全来进行研判分析,必要时发出预警。c)应建立关键信息基础设施的预警信息报告和响应处置程序,明确不同级别预警的报告,响应和处置流程。d)应建立通报预警及协作处置机制,建立和维护外联单位联系列表,包括外联公司名称、合作内容﹑联系人和联系方式等信息。e)应建立与外部组织之间、与其他运营者之间,以及运营者内部管理人员,内部网络安全管理机构与内部其他部门之间的沟通与合作机制,定期召开协调会议,共同研判、处置网络安全问题。f)应建立网络安全信息共享机制﹐例如:建立与保护工作部门,同一关键信息基础设施的其他运营者,研究机构,网络安全服务机构,业界专家之间的沟通与合作机制,网络安全共享信息可以是漏洞信息﹑威胁信息﹑最佳实践,前沿技术等。当网络安全共享信息为漏洞信息时,应符合国家关于漏洞管理制度的要求。9.2监测9.3预警10主动防御10.1收敛暴露面收敛暴露面要求包括:a)应识别和减少互联网和内网资产的互联网协议地址,端口、应用服务等暴露面,压缩互联网出口数量;b)应减少对外暴露组织架构,邮箱账号,组织通信录等内部信息﹐防范社会工程学攻击;c))不应在公共存储空间(例如:代码托管平台,文库、网盘等)存储可能被攻击者利用的技术文档。例如:网络拓扑图、源代码、互联网协议地址规划等。10.2攻击发现和阻断11事件处置11.1 制度制度要求包括:a)应建立网络安全事件管理制度,明确不同网络安全事件的分类分级、不同类别和级别事件处置的流程等,制定应急预案等网络安全事件管理文档。事件处置制度应符合国家联防联控有关要求,及时将信息共享给相关方。b)应为网络安全事件处置提供对应资源,组织建立专门网络安全应急支撑队伍、专家队伍,保障安全事件得到及时有效处置。c)应按规定参与和配合有关部门开展的网络安全应急演练,应急处置、案件侦办等工作。11.2应急预案和演练11.3响应和处置11.3.1事件报告11.4重新识别应根据检验测试评估﹑监测预警、主动防御中发现的安全风险隐患或发生的安全事件,以及处置结果,并结合安全威胁和风险变动情况开展评估,必要时重新开展业务、资产和风险识别工.作,并更新安全策略。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
接诊10万孩子后,协和心理学家说实话:想让孩子好,第一是运动,第二种你想不到
财联社12月7日电,美国总统拜登表示,批准取消48亿美元学生贷款债务。
谷歌CEO皮查伊深度解析谷歌史上最强大模型Gemini及马上就要来临的人工智能时代
AMD发布会:“最强算力”Instinct MI300X、新款AI PC芯片如期登场