新標(biāo)準(zhǔn)中,風(fēng)險(xiǎn)評(píng)估的要素包括資產(chǎn)、脆弱性��、威脅和安全措施四大要素,各要素關(guān)系如下圖4所示���。實(shí)施流程包括評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別����、風(fēng)險(xiǎn)分析�、風(fēng)險(xiǎn)評(píng)價(jià)�����、溝通與協(xié)調(diào)和風(fēng)險(xiǎn)評(píng)估文檔記錄六個(gè)方面��。GB/T 20984風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖如下圖5所示:
圖 4 風(fēng)險(xiǎn)要素及其關(guān)系
圖 5 GB/T 20984風(fēng)險(xiǎn)評(píng)估實(shí)施流程圖
3.2 安全防護(hù)
《要求》中對(duì)安全防護(hù)的定義為:根據(jù)已識(shí)別的關(guān)鍵業(yè)務(wù)、資產(chǎn)、安全風(fēng)險(xiǎn),在安全管理制度�����、安全管理機(jī)構(gòu)����、安全管理人員、安全通信網(wǎng)絡(luò)��、安全計(jì)算環(huán)境�、安全建設(shè)管理、安全運(yùn)維管理等方面實(shí)施安全管理和技術(shù)保護(hù)措施,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全�。
值得注意的是,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第六條提出:在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上,采取技術(shù)保護(hù)措施和其他必要措施,應(yīng)對(duì)網(wǎng)絡(luò)安全事件��。因此關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)是要先落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度相關(guān)要求,開(kāi)展網(wǎng)絡(luò)和信息系統(tǒng)的定級(jí)、備案��、安全建設(shè)整改和等級(jí)測(cè)評(píng)等工作��。
3.2.1 關(guān)保和等保關(guān)于安全防護(hù)的內(nèi)容變化分析
從總體區(qū)別上來(lái)看,等級(jí)保護(hù)2.0重點(diǎn)是圍繞“一個(gè)中心,三重防護(hù)”為核心,從技術(shù)+管理的角度來(lái)指導(dǎo)各單位如何開(kāi)展安全保護(hù)工作;關(guān)保則是在等保的基礎(chǔ)之上,從運(yùn)營(yíng)者關(guān)鍵業(yè)務(wù)及其相關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的全生命周期角度描述如何開(kāi)展安全保護(hù)工作。
3.2.2 關(guān)保和等保關(guān)于安全防護(hù)的要求重點(diǎn)分析
圖 6 關(guān)保和等保關(guān)于安全防護(hù)要求區(qū)別分析
3.2.3 新增供應(yīng)鏈安全保護(hù)
2022年2月15日施行的《網(wǎng)絡(luò)安全審查辦法》中第一條寫(xiě)到:為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國(guó)家安全等,制定本辦法�����。關(guān)基和《網(wǎng)絡(luò)安全審查辦法》一一對(duì)應(yīng),《網(wǎng)絡(luò)安全審查辦法》主要講的就是基于對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全進(jìn)行安全防護(hù)���。
《要求》中對(duì)于供應(yīng)鏈安全保護(hù),主要是對(duì)供應(yīng)鏈安全管理的策略和制度�����、采購(gòu)國(guó)家檢測(cè)認(rèn)證的設(shè)備和產(chǎn)品����、同時(shí)在相關(guān)責(zé)任和義務(wù)方面明確相關(guān)承諾和要求。以下是部分內(nèi)容摘錄:
采購(gòu)網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄中的設(shè)備產(chǎn)品時(shí),應(yīng)采購(gòu)?fù)ㄟ^(guò)國(guó)家檢測(cè)認(rèn)證的設(shè)備和產(chǎn)品�����。
