新標(biāo)準(zhǔn)中,風(fēng)險評估的要素包括資產(chǎn)����、脆弱性、威脅和安全措施四大要素,各要素關(guān)系如下圖4所示����。實施流程包括評估準(zhǔn)備���、風(fēng)險識別���、風(fēng)險分析���、風(fēng)險評價��、溝通與協(xié)調(diào)和風(fēng)險評估文檔記錄六個方面。GB/T 20984風(fēng)險評估實施流程圖如下圖5所示:
圖 4 風(fēng)險要素及其關(guān)系
圖 5 GB/T 20984風(fēng)險評估實施流程圖
3.2 安全防護(hù)
《要求》中對安全防護(hù)的定義為:根據(jù)已識別的關(guān)鍵業(yè)務(wù)����、資產(chǎn)����、安全風(fēng)險,在安全管理制度���、安全管理機(jī)構(gòu)����、安全管理人員���、安全通信網(wǎng)絡(luò)����、安全計算環(huán)境�、安全建設(shè)管理����、安全運(yùn)維管理等方面實施安全管理和技術(shù)保護(hù)措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全����。
值得注意的是,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第六條提出:在網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)上,采取技術(shù)保護(hù)措施和其他必要措施,應(yīng)對網(wǎng)絡(luò)安全事件�。因此關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)是要先落實國家網(wǎng)絡(luò)安全等級保護(hù)制度相關(guān)要求,開展網(wǎng)絡(luò)和信息系統(tǒng)的定級��、備案��、安全建設(shè)整改和等級測評等工作���。
3.2.1 關(guān)保和等保關(guān)于安全防護(hù)的內(nèi)容變化分析
從總體區(qū)別上來看,等級保護(hù)2.0重點是圍繞“一個中心,三重防護(hù)”為核心,從技術(shù)+管理的角度來指導(dǎo)各單位如何開展安全保護(hù)工作;關(guān)保則是在等保的基礎(chǔ)之上,從運(yùn)營者關(guān)鍵業(yè)務(wù)及其相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的全生命周期角度描述如何開展安全保護(hù)工作���。
3.2.2 關(guān)保和等保關(guān)于安全防護(hù)的要求重點分析
圖 6 關(guān)保和等保關(guān)于安全防護(hù)要求區(qū)別分析
3.2.3 新增供應(yīng)鏈安全保護(hù)
2022年2月15日施行的《網(wǎng)絡(luò)安全審查辦法》中第一條寫到:為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國家安全等,制定本辦法�。關(guān)基和《網(wǎng)絡(luò)安全審查辦法》一一對應(yīng),《網(wǎng)絡(luò)安全審查辦法》主要講的就是基于對關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全進(jìn)行安全防護(hù)�����。
《要求》中對于供應(yīng)鏈安全保護(hù),主要是對供應(yīng)鏈安全管理的策略和制度�、采購國家檢測認(rèn)證的設(shè)備和產(chǎn)品、同時在相關(guān)責(zé)任和義務(wù)方面明確相關(guān)承諾和要求���。以下是部分內(nèi)容摘錄:
采購網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄中的設(shè)備產(chǎn)品時,應(yīng)采購?fù)ㄟ^國家檢測認(rèn)證的設(shè)備和產(chǎn)品���。
