关键信息基础设施的认定和十个保护要求

发布于:2023-05-18 点击量:1410 来源:

组织制定关键信息基础设施认定规则。

重要行业和领域的主管部门、监管部门是负责关键信息基础设施安全保护工作的部门。保护工作部门应根据中央有关文件要求,从维护国家安全、社会公共安全、人民群众利益和重要业务安全的高度,对本行业、本领域网络设施和信息系统等进行梳理,参考公安部发布的关键信息基础设施识别认定指南,制定关键信息基础设施认定规则,组织专家进行评审,并报公安部备案。

组织认定关键信息基础设施。

保护工作部门应聚焦本行业、本领域的核心业务,在网络安全等级保护工作的基础上,根据本行业、本领域关键信息基础设施认定规则和关键信息基础设施识别认定指南,组织确定关键信息基础设施清单,通过专家评审后报公安部备案。一个关键信息基础设施可能涉及一个或多个运营者,可能包含一个或多个网络安全等级保护对象;若包含多个网络安全等级保护对象,则至少含有一个第三级以上网络安全等级保护对象。

及时处理关键信息基础设施变更。

关键信息基础设施发生较大变化,可能影响其认定结果的,关键信息基础设施运营者应及时将相关情况报告保护工作部门;保护工作部门重新认定关键信息基础设施,将认定结果通知运营者,并报公安部备案。

开展关键信息基础设施安全保护工作的十个总体要求

关键信息基础设施保护工作部门和运营者应按照《网络安全法》《关键信息基础设施安全保护条例》等法律法规要求,组织开展关键信息基础设施安全保护工作。

落实网络安全等级保护制度2.0要求。

保护工作部门和运营者应按照《网络安全法》《关键信息基础设施安全保护条例》要求,认真落实国家网络安全等级保护制度,依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》《网络安全等级保护测评要求》等国家标准,开展网络安全技术设计、网络安全建设整改和等级测评,健全完善网络安全管理制度,构建关键信息基础设施综合防御体系,不断提升关键信息基础设施安全保护能力。

落实关键信息基础设施安全保护责任。

保护工作部门要明确一名领导班子成员分管关键信息基础设施安全保护工作,并确定承担具体工作的司局级单位。保护工作部门、运营者要严格落实《党委(党组)网络安全工作责任制实施办法》,主要负责人对关键信息基础设施安全保护负总责,并明确一名领导班子成员作为首席网络安全官分管安全保护工作,设置专门网络安全管理机构。同时,要建立健全网络安全管理和评价考核制度,加强网络安全统筹规划和贯彻实施。

强化关键信息基础设施的供应链安全。

保护工作部门和运营者要高度重视关键信息基础设施涉及的信息技术产品和服务等供应链安全。运营单位应优先采购安全可信的网络产品和服务,并对关键信息基础设施设计、建设、运行、维护等服务环节加强安全管理。运营单位采购网络产品和服务,应按照有关规定与网络产品和服务提供者签订安全保密协议,并对其责任义务履行情况进行监督。

加强重要数据安全保护。

运营者要全面梳理掌握本单位重要数据底数和安全保护状况,对重要系统和数据库进行容灾备份,并采取国产密码保护、可信计算等关键技术防护措施,切实保护数据在采集、存储、传输、应用、销毁等环节的安全,确保其全生命周期的安全。

积极配合公安机关开展网络攻防演习和网络安全执法检查。

按照中央要求和法律赋予的职责任务,公安机关每年组织开展“护网行动”网络攻防实战演习、网络安全执法检查、技术检测和渗透测试,组织开展网络安全专项整治行动。保护工作部门、运营者应积极配合公安机关开展有关工作,不断提升攻防对抗能力以及与公安机关的协同配合能力,提高国家整体应对网络战威胁能力。

建立健全关键信息基础设施案事件报告和应急处置机制。

运营者应不断健全完善网络安全应急预案,定期组织应急演练。保护工作部门、运营者与公安机关应建立网络安全案事件报告制度和应急处置机制,关键信息基础设施一旦发生网络安全案事件或者发现重大网络安全威胁,运营者应第一时间向受理备案的公安机关报告,保护现场和证据,开展应急处置,协助配合公安机关开展调查处置和侦查打击。

加强实时监测和信息通报预警机制建设,落实常态化措施。

保护工作部门应在国家网络与信息安全信息通报中心指导下,建立健全本行业、本领域网络安全信息通报预警制度。运营者应建设网络安全应急指挥中心,落实7x24小时值班值守机制,利用网络安全态势感知平台,大力开展网络安全实时监测、威胁情报、通报预警、应急处置、指挥调度等工作,大力提升网络安全突发事件的应对能力。

建立网络安全态势感知平台。

保护工作部门、运营者应按照公安部要求,建设本行业、本领域网络安全态势感知平台,并与公安部平台对接,形成纵横联通、协同作战的立体化国家关键信息基础设施安全保卫大系统,构建国家关键信息基础设施安全综合防御体系。

大力加强高端人才培养,选好用好特殊人才。

公安部通过组织开展演习和比武竞赛,发现了一批高端人才并通报给有关保护工作部门、运营者。有关单位和部门应建立特殊人才发现、选拔、使用机制,与公安机关密切配合,通过培训和训练,提升网络安全人才的实战化能力。

保障经费和人员投入。

运营者应配备足够的专门人员,设置网络安全专项经费,保障关键信息基础设施开展等级测评、风险评估、攻防演练、安全建设整改、安全保护平台建设、教育培训等的经费投入,加强信息化手段建设,提高技术管网能力。

【版权声明】:本站内容来自于与互联网(注明原创稿件除外),如文章或图像侵犯到您的权益,请及时告知,我们第一时间删除处理!