freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

浅谈如何拟订关键信息基础设施安全保护计划
2021-08-22 20:02:32

前言

近日,《关键信息基础设施安全保护条例》(以下简称《条例》)公布,自2021年9月1日起施行。这是我国首部专门针对关键信息基础设施安全保护工作的行政法规,同时也是《网络安全法》的重要配套法规。伴随数字化发展的不断深入,关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。

《条例》的第十五条(一)规定,关键信息基础设施运营者(以下简称运营者)的专门安全管理机构应负责拟订关键信息基础设施安全保护计划(以下简称安全保护计划)。“安全保护计划”出现在法规条文中,其实大有深意。笔者接下来就结合对美国关键基础设施保护的研究,国内关键信息基础设施保护实践及我国当前正在推进的关键信息基础设施保护的相关标准,与读者分享一下如何拟订关键信息基础设施安全保护计划。

一、安全保护计划的提出背景

我国关键信息基础设施保护工作虽然起步较晚,但起点却较高。“他山之石,可以攻玉;他人之事,我事之师”,借鉴美国、欧盟等国家和地区关键信息基础设施保护的有益实践和通行做法,我国关键信息基础设施保护工作取得了较大成果,各项工作正在抓紧推进和落实。其中,“安全保护计划”与美国NIST提出的《提升关键基础设施网络安全框架》(以下简称《网络安全框架》)的“网络安全计划”有异曲同工之妙。感兴趣的读者可自行查阅《网络安全框架》,以下就“网络安全计划”的部分做说明。

在《网络安全框架》的第三部分“如何使用该框架”中提到“制定或改进网络安全计划”,如下图(本图来自国内某社区的公益翻译项目,非《网络安全框架》原文):

1629631798_612235361715347aea3c8.png!small?1629631799214

其核心内涵是:

(1)组织可通过执行风险管理计划来量化并沟通自己的网络安全计划变动;

(2)利用该框架创建新的网络安全计划或改进现有计划,并加以执行,消除通过该框架发现的网络安全风险;

(3)为实现网络安全的持续提升,可基于该框架创建对齐结果,持续改进和执行现有网络安全计划,将风险控制在可接受的范围。

二、安全保护计划的理解

通过对美国NIST的《网络安全框架》中“制定或改进网络安全计划”的理解不难发现:

(1)对于尚未建立网络安全计划的组织来说,制定网络安全计划是通过网络安全框架保护关键基础设施的第一步;

(2)对于已有网络安全计划的组织来说,改进网络安全计划是通过网络安全框架保护关键基础设施的第一步。

借鉴通行做法,我国以法规形式要求运营者的专门安全管理机构拟订关键信息基础设施安全保护计划。

对于我国《条例》中提出的安全保护计划,可以理解为:安全保护计划是运营者开展关键信息基础设施保护的最高纲领性文件,是指导开展关键信息基础设施各阶段、各环节安全保护工作的依据和行动指南

注1:关键信息基础设施各阶段指规划设计、开发建设、运行维护、退役废弃等全生命周期阶段(据《信息安全技术 关键信息基础设施安全保护要求》(报批稿))。

注2:关键信息基础设施保护各环节指分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节(据《信息安全技术 关键信息基础设施安全保护要求》(报批稿))。

运营者已有安全保护计划或者类似文件以及改建、扩建关键信息基础设施的,可按照《条例》的相关条文要求,结合所在行业和领域的主管部门、监督管理部门等负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)的要求以及本单位实际,重新修订或改进安全保护计划。

新建关键信息基础设施的,运营者可按照《条例》第十二条规定的“三同步”原则,同步规划提出本单位的安全保护计划。

三、安全保护计划的主要内容

安全保护计划作为运营者开展关键信息基础设施安全保护工作的纲领、依据和行动指南,可包含安全保护的战略,目标,安全方针,安全策略,专门安全管理机构的组织架构,安全管理制度,安全保护技术措施,安全保护工作实施细则以及人力、财力、物力资源保障等

以下笔者就安全保护计划的主要内容分别简要说明。

3.1    安全保护战略

运营者应制定或改进本单位关键信息基础设施保护的战略,阐述关键信息基础设施安全保护工作的使命和意愿。可按照以下内容描述安全保护战略:

(1)确保关键信息基础设施保护的安全总体目标、方针和策略已建立,并与运营者的战略方向一致。

(2)确保关键信息基础设施安全保障体系已建立,并融入到关键信息基础设施各阶段、各环节的安全保护工作。

(3)确保关键信息基础设施安全保障体系所需资源可用,包括人力、财力和物力等。

(4)确保关键信息基础设施保护的网络安全意识深入人心。

(5)确保关键信息基础设施安全保障体系达到预期效果。

(6)建立关键信息基础设施安全保障体系的激励机制,鼓励和激发对关键信息基础设施保护做出有效性和卓越贡献的团队和个人。

(7)确保和促进关键信息基础设施保护工作的持续改进。

(8)支持专门安全管理机构或工作小组的负责人,在各自职责范围内展现领导力。

3.2   安全保护目标

运营者应制定或改进关键信息基础设施保护的安全保护目标。关键信息基础设施保护的最终目标是保证关键业务稳定、持续运行。运营者可结合本单位实际情况,进一步明确本单位关键信息基础设施的安全保护目标。

在安全保护目标下,运营者可据此分解为关键信息基础设施各阶段、各时期的具体安全目标,如开发建设阶段目标、运行维护阶段目标等。运营者将关键信息基础设施保护安全需求以项目形式分解到若干时期实现时,安全保护目标还可分解为各项目的实现目标。

3.3    安全方针

运营者应制定或改进安全方针,可按照以下内容描述安全方针:

(1)阐述关键信息基础设施保护工作的基本原则。

(2)确立关键信息基础设施的安全保护目标。

(3)明确关键信息基础设施保护的对象和范围。

(4)制定关键信息基础设施保护的中长期发展规划,明确各时期的任务。

(5)保障关键信息基础设施的网络安全经费预算,明确网络安全在信息化建设中的投入占比,规定每年度在关键信息基础设施保护的最低投入。

(6)明确专门安全管理机构的组建方式、职能划分和角色职责。

(7)接受保护工作部门的监督管理,按照国家相关政策、法律法规和标准规范对关键信息基础设施实行重点保护。

(8)建立关键信息基础设施的安全保障体系。

3.4    安全策略

运营者应制定或调整安全策略。安全策略一般包括网络安全合规策略、重点保护策略和持续改进策略。其中:

(1)网络安全合规策略

运营者应按照国家或行业网络安全等级保护要求以及关键信息基础设施的网络安全保护等级,提出关键信息基础设施在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的安全策略。根据关键信息基础设施的应用场景,还包括云计算、移动互联、大数据、工控等方面的安全策略。

运营者因国际化经营或海外上市等,还应结合所在国家或地区的网络安全政策、法律法规、标准规范以及网络安全的国际化标准规范等,制定网络安全合规策略内容。

一般而言,网络安全合规策略应还关注安全组织机构划分策略、业务系统分级策略、数据信息分级策略、等级保护对象互连策略、信息流控制策略等方面的内容。根据不同安全保护等级可分别制定不同的网络安全合规策略。

(2)重点保护策略

运营者应根据国家或行业关键信息基础设施保护的相关政策、法律法规、未来发布的标准规范以及本单位的特殊安全要求,基于关键业务链、供应链等安全需求,建立关键信息基础设施的重点保护策略内容,并根据关键信息基础设施面临的安全风险变化做相应调整。

一般而言,重点保护策略内容应关注安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略(配置、漏洞、补丁、病毒库)、供应链安全管理策略、安全运维策略等方面的内容。

(3)持续改进策略

为保证安全策略的时效性、可用性,运营者应建立持续改进策略,对安全策略内容进行改进。

3.5    专门安全管理机构的组织架构

运营者应制定或改进专门安全管理机构的组织架构,确定其组织方式、岗位设置、角色职责、工作内容及流程、授权审批事项、协作机制、决策机制等。

运营者组建专门安全管理机构,可根据网络安全等级保护的相关政策、法律法规以及标准规范的要求,我国关键信息基础设施保护的相关政策、法律法规以及未来发布的标准规范的要求以及本单位的实际需求,明确需要开展的网络安全活动,合理确定组织架构,并根据安全保护工作的需要动态调整。

专门安全管理机构应明确关键岗位的设定,并按照《条例》要求组织安全背景审查。

当有特定任务或安全保护工作,可抽调资源临时组建完成某一类任务或安全保护工作的临时任务编组。也可委托网络安全服务机构,协助专门安全管理机构从事关键信息基础设施保护的相关工作,但根据“谁主管,谁负责;谁运营,谁负责”的原则,运营者应履行“安全管理责任不变、数据归属关系不变、安全管理标准不变”的基本要求。

3.6    安全保护技术措施

运营者应制定或改进安全保护技术措施,明确保护关键信息基础设施安全要采取的技术措施,制定并实施安全保护技术措施并定期维护,以保护关键信息基础设施及其数据的保密性、完整性和可用性,并将安全风险控制在可接受的范围。可按照以下内容描述安全保护技术措施:

(1)明确本单位关键信息基础设施的网络安全保护等级,根据国家、行业的等级保护相关要求,以及我国关键信息基础设施保护的相关政策、法律法规以及未来发布的国家标准规范,保护工作部门的监督管理要求以及本单位的实际情况,明确计划采取的安全保护技术措施。

(2)定期维护、检验关键信息基础设施安全保护技术措施的有效性、合理性。必要时,可通过实战、检查评估等方式,对关键信息基础设施免受相应层级的恶意攻击、自然灾难、资源损害等能力以及风险情况进行量化。

3.7    安全管理制度

运营者应制定或改进安全管理制度。安全管理制度在关键信息基础设施保护工作中起约束和控制作用,指导、规范和约束关键信息基础设施各阶段、各环节相关网络安全活动。可围绕以下方面制定或改进安全管理制度:

(1)安全管理制度覆盖安全管理活动中的各类管理内容;

(2)对管理人员或操作人员执行的日常管理操作建立操作规程。

(3)形成由安全策略、管理制度、操作规程、记录表单等构成的全面的信息安全管理制度体系。

(4)安全管理制度的制修订、评审、发布、执行、检查机制。

(5)安全管理制度的变更管理机制。

根据《条例》提出的“关键信息基础设施应在网络安全等级保护的基础上,实行重点保护”的要求,安全管理制度体系应包含网络安全合规体系的安全管理内容以及“重点保护”相关的安全管理内容。

安全管理制度包括但不限于:风险管理制度、网络安全考核及监督问责制度、网络安全教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、三同步制度、供应链安全管理制度等。一般而言,运营者可从以下八个维度着手形成完整的安全管理制度体系内容:

序号

梳理维度

安全管理制度内容说明

1

网络安全合规体系要求

运营者根据网络安全合规体系要求,并结合本单位实际情况,建立健全相关的安全管理制度体系,包括安全策略、安全管理制度、操作规程、记录表单等。

2

我国关键信息基础设施保护的若干政策、法律法规要求

运营者根据我国现阶段提出的关键信息基础设施保护相关的若干政策、法律法规提出的要求,并结合本单位实际情况,建立健全相应的安全管理制度。

3

保护工作部门的关键信息基础设施保护的监督管理要求

运营者根据所在行业和领域的保护工作部门提出的关键信息基础设施保护的若干监督管理要求,并结合本单位实际情况,建立健全相应的安全管理制度。

4

关键信息基础设施保护各阶段、各环节的相关网络安全活动

运营者结合关键信息基础设施保护的规划设计、开发建设、运行维护、退役废弃各阶段以及分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置各环节涉及的各类管理内容、日常操作等相关网络安全活动,建立健全相应的安全管理制度。

5

关键信息基础设施的风险管理

根据《条例》相关要求以及关键信息基础设施“以风险管理为导向的动态防护”的基本原则,为指导、规范和约束网络安全风险管理活动,建立健全网络安全风险管理的相关制度。

6

特定应用场景

根据在云计算、大数据、工业控制、物联网、移动互联等特定应用场景下保护关键信息基础设施的实际需要,结合相关政策、法律法规、标准规范等,建立健全安全管理制度。

7

自身特殊安全管理需求

为指导、规范和约束自身某一类特殊的网络安全活动,建立健全相关安全管理制度

8

其他

为指导、规范和约束的其他网络安全活动而建立健全相关安全管理制度

需要说明的是,运营者参考以上八个维度制定或改进安全管理制度内容时,可能会出现重复的现象。运营者做好相关安全管理制度的剔除、筛选工作即可。

3.8    安全保护工作实施细则

运营者应制定或改进安全保护工作实施细则。安全保护工作实施细则应能覆盖以下方面的实施工作:

(1)关键信息基础设施在规划设计、开发建设、运行维护、退役废弃各阶段安全保护工作涉及的网络安全活动;

(2)关键信息基础设施在分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置各环节涉及的网络安全活动;

(3)关键信息基础设施在应急预案编制、应急演练、应急响应(处置网络安全事件)、发生重大网络安全事件或者发现重大网络安全威胁的报告等涉及的网络安全活动;

(4)国家网信部门、国务院公安部门、保护工作部门在关键信息基础设施识别、检查检测等涉及的网络安全活动。

(5)其他网络安全活动。

3.9    人力、财力、物力资源保障

运营者应制定或改进人力、财力、物力等涉及的机构、编制、人员、经费、装备、工程等方面的资源保障与供给,促进多元投入。

四、安全保护计划的形式、修订、评审、发布与变更

4.1    安全保护计划的形式

安全保护计划可以是一个文件,也可以由多个文件组成一套文件形成安全保护计划。

4.2    安全保护计划的修订

网络安全保护计划应至少每年修订一次,或发生重大变化时进行修订。安全保护计划修订应进行版本控制。

4.3    安全保护计划的评审

运营者应组织专门安全管理机构、业务和使用部门、专家等共同对安全保护计划进行评审,做好评审记录,并按照评审意见对安全保护计划进行修改。

评审内容一般包括:

(1)是否遵循关键信息基础设施保护相关的政策、法律法规、标准规范等,评审其合理性;

(2)内容涵盖是否全面,是否能够满足当前关键信息基础设施的安全保护需要;

(3)发生重大变化时的变更需求是否合理、变更方案是否可行以及变更的影响等。

4.4    安全保护计划的发布

安全保护计划应以正式、有效的形式发布至相关人员。

4.5    安全保护计划的变更

运营者应建立安全保护计划的常态化管理机制,对安全保护计划的输入、变更等进行常态化管理。

当安全保护计划发生重大变化或因其他因素导致变更时,针对每一次变更,运营者应遵循同样的变更程序,即相同的文字报告、相同的管理办法、相同的监控过程。

小结

笔者根据《网络安全法》、最近公布的《条例》以及我国关键信息基础设施保护的相关政策、未来发布的相关标准规范,结合实践,与各位读者分享了如何拟订关键信息基础设施安全保护计划。由于关键信息基础设施具有较强的行业属性,安全保护计划也不可能“放之四海而皆准”,本文提到的关于如何拟订安全保护计划的内容也仅供运营者和其他参与方参考。

另外,由于我国关键信息基础设施保护还处在一个不断探索的过程,笔者也在不断学习,本文仅是笔者当前对于拟订关键信息基础设施安全保护计划的一点看法,如有不足的地方,还请包涵,敬请斧正。

# 网络安全技术 # 关键信息基础设施 # 关键信息基础设施安全保护条例
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录