GB/T-英文版/英文翻译信息安全技术关键信息基础设施安全保护要求
提供更多标准英文版。
bzfyw标准翻译网1范围
本文件规定了关键信息基础设施分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。
本文件适用于指导运营者对关键信息基础设施进行全生存周期安全保护,也可供关键信息基础设施安全保护的其他相关方参考使用。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T信息安全技术信息安全风险评估方法
GB/T信息安全技术惇术语
3术语和定义
GB/T界定的以及下列术语和定义适用于本文件。
4安全保护基本原则
关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则。
---以关键业务为核心的整体防控。关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系。
—以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。-以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制﹐提升关键信息基础设施应对大规模网络攻击能力。
5主要内容及活动
关键信息基础设施安全保护包括分析识别、安全防护、检测评估﹑监测预警、主动防御、事件处置六个方面。
6分析识别
6.1业务识别
业务识别要求包括:
a)应识别本组织的关键业务和与其相关联的外部业务﹔
b)应分析本组织关键业务对外部业务的依赖性﹔
c)应分析本组织关键业务对外部业务的重要性;
d)应梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。
6.2资产识别
资产识别要求包括:
a)应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统﹑数据、服务和其他类资产的资产清单;
b)应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级﹔
c)应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。
7安全防护
7.1网络安全等级保护
应落实国家网络安全等级保护制度相关要求,开展网络和信息系统的定级、备案、安全建设整改和等级测评等工作。
7.2安全管理制度
7.3安全管理机构
7.4安全管理人员
7.5安全通信网络
7.5.1网络架构
应实现通信线路“一主双备"的多电信运营商多路由保护,宜对网络关键节点和重要设施实施“双节点”冗余备份。
7.5.2互联安全
7.6安全计算环境
7.6.1鉴别与授权
7.7安全建设管理
应在关键信息基础设施建设、改造、升级等环节,实现网络安全技术措施与关键信息基础设施主体工程同步规划、同步建设,同步使用,并采取测试、评审、攻防演练等多种形式验证。必要时,可建设关键业务的仿真验证环境,予以验证。
7.8安全运维管理
安全运维管理要求包括:
a)应保证关键信息基础设施的运维地点位于中国境内,如确需境外运维,应符合我国相关规定;
b)应在运维前与维护人员签订安全保密协议﹔;
c)应确保优先使用已在本组织登记备案的运维工具,如确需使用未登记备案的运维工具,应在使用前通过恶意代码检测等测试。
7.9供应链安全保护
7.10数据安全防护
8检测评估
8.1制度
应建立健全关键信息基础设施安全检测评估制度,包括但不限于检测评估流程、方式方法,周期、人员组织、资金保障等。
8.2方式和内容
9监测预警
9.1制度
制度要求包括:
a)应建立并落实常态化监测预警,快速响应机制。制定自身的监测预警和信息通报制度﹐确定网络安全预警分级准则,明确监测策略﹑监测内容和预警流程,对关键信息基础设施的安全风险进行监测预警。
b)应