《關鍵信息基礎設施安全保護要求》正式版與報批稿重大修訂對比
10月12日,根據國家市場監督管理總局(國家標準化管理委員會)官網(http://www.sac.gov.cn)公告顯示,國家市場監督管理總局批準發布《信息安全技術 關鍵信息基礎設施安全保護要求》(GB/T 39204-2022)(以下簡稱“關基安全要求”)推薦性國家標準,該標準將于2023年5月1日正式實施。值得關注的是,本次發布的安全標準是自去年2021年7月30日《關鍵信息基礎設施安全保護條例》發布以來頒發的第一個關鍵信息基礎設施安全保護相關的國家標準。
《中華人民共和國網絡安全法》和《關鍵信息基礎設施安全保護條例》明確針對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。本次發布的關基安全要求標準為我國日后開展關鍵信息基礎設施安全保護工作提供了可參照和遵循的標準。
關基安全要求明確關鍵信息基礎設施安全保護要遵循三個原則:以風險管理為導向的動態防護、以關鍵業務為核心的整體防控、以信息共享為基礎的協同聯防,并從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等六個方面進行安全規定。
關基安全要求的報批稿于2021年12月完成,此次正式發布的關基安全要求標準和報批稿的時間間隔相差10個月,正式版在報批稿基礎上做了部分內容的修正和完善,以下將針對報批稿和正式版的主要差異從兩個方面進行對比解讀:
一、名詞調整
1、將原報批稿第2章節《規范性引用文件》內容“GB/T 20984 信息安全技術 信息安全風險評估規范”在正式版中調整為“GB/T 20984 信息安全技術 信息安全風險評估方法”(修改部分:將“規范”修改為“方法”)。
解讀:
原報批稿引用是信息安全風險評估規范的2007版即《信息安全技術 信息安全風險評估規范》(GB/T 20984-2007),該標準已于2022年4月15日正式替換為新版本標準即《信息安全技術 信息安全風險評估方法》(GB/T 20984-2022)。
2、將原報批稿第7.9章節《供應鏈安全保護》部分內容“應要求網絡產品和服務的提供者對信息技術產品研發、制造過程中涉及的實體擁有或控制的已知技術專利等知識產權,獲得十年以上授權,或在信息技術產品使用期內獲得持續授權;”在正式版中調整為“應要求網絡產品和服務的提供者對網絡產品和服務研發、制造過程中涉及的實體擁有或控制的已知技術專利等知識產權,獲得10年以上授權,或在網絡產品和服務使用期內獲得持續授權;”(修改部分:將“信息技術產品”修改為“網絡產品和服務”,將“十年”修改為“10年”)。
解讀:
原報批稿的“信息技術產品”范圍更廣些,采用“網絡產品和服務”和前部分的網絡產品和服務的提供者相對應,與《中華人民共和國網絡安全法》和《關鍵信息基礎設施安全保護條例》涉及的法律條文規定的描述保持一致。
二、內容增加
1、在原報批稿第3章節《術語和定義》基礎上,正式版增加了關于“供應鏈”、“關鍵業務鏈”的定義。
解讀:
網絡產品和服務供應鏈已發展為遍布全球的復雜系統,任一產品組件、任一供應鏈環節出現問題,都可能影響網絡產品和服務的安全,建立安全可靠的關鍵信息基礎設施供應鏈事關國家產業安全、經濟安全和社會長治久安。為了確保關鍵信息基礎設施供應鏈安全,國家出臺了《網絡安全審查辦法》;另外,《信息安全技術 關鍵信息基礎設施信息技術產品供應鏈安全要求》(報批稿)已提交審批,目前待正式發布。供應鏈安全對于關鍵信息基礎設施的重要性不言而喻,增加的“供應鏈”定義,加強對關鍵信息基礎設施供應鏈安全的重視。
關鍵業務鏈做為新的名詞在關基安全要求中多次被提及,關基安全要求標準文件中明確風險識別應參照GB/T 20984等標準,對關鍵業務鏈開展安全風險分析,識別關鍵業務鏈各環節的威脅、脆弱性,確認已有安全控制措施,分析主要安全風險點,確定風險處置的優先級,形成安全風險報告;同時在安全管理制度要求中明確重點考慮基于關鍵業務鏈安全需求,并根據關鍵信息基礎設施面臨的安全風險和威脅的變化進行相應調整。增加的“關鍵業務鏈”定義,更強調對關鍵業務鏈安全的重視。
2、在原報批稿第6.4章節《重大變更》要求基礎上,正式版增加了關于“保護工作部門“的注釋。
解讀:
已發布的《關鍵信息基礎設施安全保護條例》有明確對保護工作部門的定義,此處注釋強調關鍵信息基礎設施運營者在關鍵業務重要性、關鍵業務鏈、資產清單、安全風險等發生重大變化時,應及時上報行業主管部門、監督管理部門。同時提醒行業主管部門、監督管理部門對發生重大變更情況時應做到及時管理的責任。
3、在原報批稿第7.5章節《安全通信網絡》要求基礎上,正式版增加了7.5.1《網絡架構》章節。
解讀:
通信線路“一主雙備”多電信運營商多路由保護、網絡關鍵節點和重要設施“雙節點”冗余備份,對關鍵信息基礎設施的可用性提出更高要求,按照要求關基運營者在建設過程至少需要引入2個及以上電信運營商實現通信服務,且其中至少1個運營商需要提供冗余線路,與等保基本要求中的冗余相比,落地了《網絡安全法》第二十一條規定的對關鍵信息基礎設施實施重點保護原則。
4、在原報批稿第7.9章節《供應鏈安全保護》“b)應采購通過國家檢測認證的設備和廠品”、“f)采購網絡產品和服務時,應明確提供者的安全責任和義務,要求提供者做出必要安全承諾,聲明不非法獲取用戶數據、控制和操縱用戶系統和設備,或利用用戶對產品的依賴性謀取不正當利益或者迫使用戶更新換代;”、“j)應自行或委托第三方網絡安全服務機構對定制開發的軟件進行源代碼安全檢測;”等要求基礎上,正式版分別增加了“采購網絡關鍵設備和網絡專用產品目錄中的設備產品時”、“要求提供者對網絡產品和服務的設計、研發、生產、交付等關鍵環節加強安全管理”、“或由供應方提供第三方網絡安全服務機構出具的代碼安全檢測報告”內容。
解讀:
b)條文增加內容部分,明確關鍵信息基礎設施需要國家檢測認證設備和產品的范圍,供應商在提供產品時應注意網絡關鍵設備和網絡安全專用產品目錄設備必須持有相關國家檢測認證,且在有效期內。
f)條文增加內容部分,對網絡產品和服務的提供者提出更高的安全要求和安全責任,要求設計、研發、生產、交付等關鍵環節加強安全管理,意味者網絡產品和服務的提供者在開發安全、供應鏈安全、安全實施等各方面都需要具備一定安全能力,提高了供應商入門門檻。
j)條文增加內容部分,明確定制開發軟件由供應方提供的第三方網絡安全服務機構出具代碼安全檢測符合要求,但根據f)條文增加的安全管理要求,在方便落地執行過程也提高了安全。
5、在原報批稿第8.2章節《方式和內容》要求基礎上,正式版對檢測評估內容的范圍增加了“數據安全防護要求、供應鏈安全保護情況”要求。
解讀:
《數據安全法》已于2021年9月1日正式實施,數據安全法第二十一條明確國家建立數據分類分級保護制度,對于關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度,對于行業、領域的重要數據進行重點保護;另外在供應鏈安全方面,出臺的《網絡安全審查辦法》重點評估關鍵信息基礎設施運營者采購網絡產品和服務可能帶來的國家安全風險,其中針對關鍵信息基礎設施數據出境安全的審查尤為嚴格,且有處罰案例。數據安全防護和供應鏈安全防護是關鍵信息基礎設施在網絡安全等級保護基礎上要重點開展的保護工作。關鍵信息基礎設施的運營者、保護工作部門,在進行安全評估檢測中,應對數據安全情況、供應鏈安全情況做好相應的評估、摸底。
6、在原報批稿第9.1章節《制度》要求基礎上,正式版增加了“當網絡安全共享信息為漏洞信息時,應符合國家關于漏洞管理制度的要求”內容。
解讀:
按照《網絡產品安全漏洞管理規定》(工信部聯網安〔2021〕66號)對于非法收集、出售、發布網絡產品安全漏洞信息行為,提前發布漏洞信息行為,未經公安部同意在國家舉辦重大活動期間擅自發布網絡產品安全漏洞信息行為,對未公開的網絡產品安全漏洞信息向境外組織或者個人提供行為,將按照《網絡安全法》規定處罰,最高可以處五日以上十五日以下拘留,十萬元以上一百萬元以下罰款。
7、在原報批稿第11.3.2章節《事件處理和恢復》針對取證調查要求基礎上,正式版增加了“應按照先應急、后調查評估的原則”內容。
解讀:
增加的內容明確針對關鍵信息基礎設施事件處理、應急處置流程的先后順序原則,關鍵信息基礎設施一旦發生安全事件可能會對國家安全、國計民生、公共利益造成較大的影響,運營者、保護工作部門在發生安全事故時,優先保證系統的可用性,將關鍵業務和信息系統恢復到正常狀態,最后再執行安全調查、取證、分析等工作,確保將影響降低到最小范圍。
