新標準中,風險評估的要素包括資產、脆弱性、威脅和安全措施四大要素,各要素關系如下圖4所示。實施流程包括評估準備、風險識別、風險分析、風險評價、溝通與協調和風險評估文檔記錄六個方面。GB/T 20984風險評估實施流程圖如下圖5所示:

圖 4 風險要素及其關系

圖 5 GB/T 20984風險評估實施流程圖

3.2 安全防護

《要求》中對安全防護的定義為:根據已識別的關鍵業務、資產、安全風險,在安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理、安全運維管理等方面實施安全管理和技術保護措施,確保關鍵信息基礎設施的運行安全。

值得注意的是,《關鍵信息基礎設施安全保護條例》第六條提出:在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件。因此關鍵信息基礎設施的業務是要先落實國家網絡安全等級保護制度相關要求,開展網絡和信息系統的定級、備案、安全建設整改和等級測評等工作。

3.2.1 關保和等保關于安全防護的內容變化分析

從總體區別上來看,等級保護2.0重點是圍繞“一個中心,三重防護”為核心,從技術+管理的角度來指導各單位如何開展安全保護工作;關保則是在等保的基礎之上,從運營者關鍵業務及其相關關鍵信息基礎設施的全生命周期角度描述如何開展安全保護工作。

3.2.2 關保和等保關于安全防護的要求重點分析

圖 6 關保和等保關于安全防護要求區別分析

3.2.3 新增供應鏈安全保護

2022年2月15日施行的《網絡安全審查辦法》中第一條寫到:為了確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全,維護國家安全等,制定本辦法。關基和《網絡安全審查辦法》一一對應,《網絡安全審查辦法》主要講的就是基于對關鍵信息基礎設施的供應鏈安全進行安全防護。

《要求》中對于供應鏈安全保護,主要是對供應鏈安全管理的策略和制度、采購國家檢測認證的設備和產品、同時在相關責任和義務方面明確相關承諾和要求。以下是部分內容摘錄:

采購網絡關鍵設備和網絡安全專用產品目錄中的設備產品時,應采購通過國家檢測認證的設備和產品。