《关键信息基础设施安全保护条例》发布,等保单位该怎么做?

字号:

  2021年4月27日,国务院第133次常务会议通过了《关键信息基础设施安全保护条例》(以下简称《条例》),并于2021年9月1日起施行。已经有很多文章对《条例》做了深入解读。本文就不再针对条例进行解读,只对用户关心的《条例》发布后等保工作该如何开展进行分析。

  等保系统中哪些属于关键信息基础设施?

  《条例》第二条明确对关键信息基础设施做出了定义:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”属于关键信息基础设施。

  根据《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》,网络设施、信息系统等一旦遭到破坏,丧失功能或者数据泄露,对国计民生和公共利益造成严重危害的系统应定为三级,对国家安全造成严重危害的系统应该定为四级。由此可见,关键信息基础设施一般应定为三级或者四级,或者说应该在等保三级或四级系统中识别关键信息基础设施。

  当然,关键信息基础设施保护监管部门应结合本行业、本领域实际情况,制定关键信息基础设施的认定规则,报国务院公安部门备案,并根据认定规则,组织本行业、本领域的关键信息基础设施认定。也就是说,各行各业要根据《条例》要求梳理目前已定级与未定级系统,识别出哪些属于关键信息基础设施,并报国务院公安部门备案。

  《条例》发布后等保工作是否需要调整?

  《条例》规定,关键信息基础设施应在网络安全等级保护制度的基础上,实行重点保护。也就是说,等保该做的还是正常做(根据等保要求被认定为三级或三级以上的系统至少需要每年进行一次等级保护测评工作)。《条例》同时要求,对关键信息基础设施每年进行网络安全检测和风险评估。所以,除了进行等级保护测评还需要进行安全检测和风险评估,这里的安全检测和风险评估应该是同一项工作,我们可以把它统称为安全评估。具体如何进行,相关部门正在制定评估标准,标准发布后将依据标准进行评估。

  同时,《条例》中还对关键信息基础设施中的密码使用和管理提出了要求,应当遵守相关法律、行政法规的规定。按照《商用密码应用安全性评估管理办法(试行)》,涉及国家安全和社会公共利益的重要领域网络和信息系统的建设、使用、管理单位应当健全密码保障体系,实施商用密码应用安全性评估。故今后被认定为关键信息基础设施,需要同时开展等保测评、密评与关键信息基础设施安全评估。

  中国金融认证中心(CFCA)是一家以综合网络安全服务为核心的科技企业,拥有国家认可的“ 网络安全等级保护测评机构推荐证书”,属于国家密码管理局《商用密码应用安全性评估试点机构目录》试点企业,可开展等保测评、密评等一系列安全服务。多年来,服务客户覆盖能源、交通、水利、金融等重要基础设施行业,助力客户满足国家网络安全要求,全面提升网络安全防护能力。

  作者:许定航 刘淑敏