《关键信息基础设施保护条例》已上报国务院有望年内出台
2019北京網絡安全大會8月21日在北京國家會議中心開幕,在大會上了解到由中央網信辦和公安部共同制定的《關鍵信息基礎設施保護條例》已上報國務院,有望年內正式出臺。
1、什么是關鍵信息基礎設施?
?
網絡安全法第三十一條指出:?國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。以上涉及到的系統肯定是關鍵信息基礎設施。
?
關鍵信息基礎設施包含
?
關系到國家重大利益、人民群眾生命財產安全和社會生產生活秩序,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的基礎網絡、重要信息系統和數據資源。具體的系統涉及到:電公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等行業和領域中重要的信息系統或基礎網絡。
?
2、如何做好關鍵信息基礎設施
網絡安全保護工作?
?
不得不等根據《網絡安全法》及《關鍵信息基礎設施安全保護條例(征求意見稿)》總結了以下幾點,供大家參考。
?
? ? ?關鍵信息基礎設施以下簡稱“關基”。《關鍵信息基礎設施安全保護條例(征求意見稿)》以下簡稱“條例”
?
1
“關基”需要及時開展網絡安全等級保護工作且系統等級不低于三級,這是基礎。因為網絡安全法第31條明確要求:關基在網絡安全等級保護制度的基礎上,實行重點保護。條例第6條也明確指出該要求。
2
建立健全“關基”安全檢測評估制度,關基上線運行前或者發生重大變化時需要進行安全檢測評估。同時每年對關基至少進行一次檢測評估,對發現的問題及時進行整改。網絡安全法第38條,條例28條明確有相關要求。
3
完善內部安全管理制度和操作規程,設置專門網絡安全管理機構和網絡安全管理負責人,并對該負責人和關鍵崗位人員進行安全背景審查;定期對從業人員進行網絡安全教育、技術培訓和技能考核。網絡安全法第34條,條例24、25、27條有相關要求。
4
采取技術措施,防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為;通俗點說:網絡版殺毒軟件、防毒墻、IPS、WAF、防火墻、堡壘機、數據庫防火墻等防護類設備要有,要有一定的技術措施保障關基的安全。網絡安全法21條,條例23條有相關要求。
5
采取技術措施,監測、記錄網絡運行狀態、網絡安全事件,并按照規定留存相關的網絡日志不少于六個月;這里建議大家沒有日志審計設備的用戶抓緊配好,不然怎么保證能留存不少于6個月的日志量呢;資金相對充足的用戶也可以通過集中管理中心或者SOC平臺等相關產品實現這個要求。網絡安全法21條,條例23條有相關要求。
6
采取數據分類、重要數據備份和加密認證等措施,對重要系統和數據庫進行容災備份;重要的數據進行備份,重要的系統及數據庫進行容災備份,有條件的可以做異地應用容災備份,確保自己單位核心數據及應用的安全。網絡安全法34條,條例23、24條有相關要求。
7
制定網絡安全事件應急預案并定期進行演練;這點不少用戶還不夠重視,可能有預案但都在管理制度里呢,沒有定期演練;或者應急預案簡單,考慮不周全,需要再加強并定期演練。網絡安全法34條,條例24、25條有相關要求。
8
及時對系統漏洞等安全風險采取補救措施;要求我們在發現或被告知相關漏洞等風險后及時進行安全整改,不能不管。那么如何發現這些風險呢?漏洞可以通過漏洞掃描器進行定期掃描檢測,其他的安全風險可以通過專項的安全檢測服務進行發現。不得不等建議這一條可以請專業第三方安全服務機構配合大家開展這塊工作。條例24條明確要求。
?
世平信息的關鍵信息基礎設施風險評估平臺(簡稱“SIMP-RVA”)依據網絡安全法、關鍵信息基礎設施風險評估指南等相關法規標準設計,滿足大數據場景的智能化動態風險評估平臺,針對資產、網絡威脅、系統脆弱性、安全措施等安全要素進行安全檢查與風險評估,為監管單位、Cll主管單位及運營者提供有效安全數據與決策支撐,廣泛適用于各級Cll監管單位、各測評機構及各行業領域C川運營者開展C安全風險評估及相關檢查工作。
?
?
總結
以上是生活随笔為你收集整理的《关键信息基础设施保护条例》已上报国务院有望年内出台的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 晶体三极管概念详解
- 下一篇: 【SPFA】【最短路】 腾讯大战360