关基保护基本要求之安全防护部分内容与等级保护基本要求对照表.pdfVIP

关基保护基本要求之安全防护部分内容与等级保护基本要求对照表 关基保护基本要求的学习笔记 去年年底，全国信安标委在北京组织召开了国家标准《关键信息基础设施⽹络安全保护基本要求》（报批稿）的应⽤ 试点⼯作启动会。⽬的是验证《基本要求》标准内容的合理性和可操作性，为标准推⼴实施积累经验，为关键信息基 础设施安全保护⼯作提供技术⽀撑。它标志着国家关基保护有关⼯作正在不断推进，我们需要跟上学习的步伐。本⽂是 笔者的⼀点学习体会和有关材料整理，供⼤家参考。 第⼀，谈谈⼤家⽐较关注的关基保护与等级保护的关系。有种说法是“基于等保，⾼于等保”。我觉得两者不是简单的⾼ 低关系。个⼈认为，关基保护基本要求最重要是提供运营者⼀种风险管理⽅法论，授⼈以鱼不如授⼈以渔。与作为“安 全底线”的等级保护基本要求相对刚性防护思路相⽐，关基保护基本要求更像是“流⽔不腐”的柔性防护思路，这个就是所 谓“动态风控”。 第⼆，关基保护基本要求提出了“识别认定”的要求，主要是让运营者按照GB/T 20984标准⽅法，围绕关键信息基础设施 承载的关键业务，开展业务依赖性识别、资产识别，最终识别主要安全风险点，确定风险处置的优先级。个⼈认 为，“识别认定”环节除了以上的业务、资产和风险识别以外，可以把责任也作为⼀个对象在这个环节中予以识别和认 定，尤其是容易遗漏的集成加⼯后的数据保护责任。有了责任和利益捆绑，才会有强⼤动⼒去主动实施保护，共同守住 安全底线，这个就是所谓“协同参与”。 第三，关基保护基本要求对“供应链安全”提出细致要求，除了要求建⽴供应链安全管理制度外，还明确在供应商选择 时，需考虑因政治、外交、贸易等⾮技术因素导致产品和服务供应中断的风险。个⼈认为，供应链安全已经成为各国关 注的焦点安全问题。⽽从斯诺登事件到中兴事件，⼀系列的事件说明，我国关基设施的产品、设计、运⾏维护仍然严重 依赖全球供应链，不仅⾯临被植⼊后门、被监控窃听风险，还⾯临严重的断供威胁。因此，该要求所要传达的不仅仅是 管理层⾯的要求，还是对于核⼼技术⾃主创新、安全可控的技术要求，只有实施⽹络信息领域核⼼技术设备攻坚战略， 掌握⽹络发展的前沿技术和具有国际竞争⼒的关键核⼼技术，关键信息基础设施才能真正得到“安全”。 最后，我们整理了⼀个 《关基保护基本要求之安全防护部分内容与等级保护基本要求对照表》，帮助⼤家更加细致的⽐ 较关基保护与等级保护在具体防护要求上的差异，更好地理解关基保护的重点。 关基保护基本要求的学习，不仅是有关技术和管理的学习，更需要体会国家战略，感受到每⼀条款给出详尽要求的背 后，都沉淀着国家⽹络安全审查、⽹络安全检查的实践经验。