点对点分析CII与等级保护系列:安全管理部分(一)
《网络安全法》第三章第二节规定了关键信息基础设施(CII)的运行安全,包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。既然关键信息基础设施的范围、保护在网络安全等级保护制度的基础之上,并且要实行重点保护。那么,绿盟君做了《点对点分析CII与等级保护系列》来分析其中要求的异同点。本系列共分六章,包括:安全技术部分(一、二、三章),安全管理部分(一、二)和安全建设管理部分。本文是安全管理部分第一章。
对比情况主要参考:
《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿);
《信息安全技术 网络安全等级保护基本要求》,GB/T22239-2019。
将关键信息基础设施要求与等级保护三级要求进行对应分析。
安全管理部分
CII要求 | 对应等保要求 |
运营者应符合国家网络安全等级保护制度相关要求,对相关信息系统开展定级备案、相应等级的测评、安全建设、整改及自查工作。 | 略 |
分析点评:完全一致。
CII要求 | 对应等保要求 |
运营者应: a)建立适合本组织的网络安全保护计划,结合关键业务流的安全风险报告,明确关键信息基础设施网络安全保护工作的目标、安全策略、组织架构、管理制度、技术措施、实施细则及资源保障等,形成文档并经审批后发布至相关人员。网络安全保护计划应至少每年修订一次,或发生重大变化时进行修订。 | 安全管理制度 安全策略 a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 |
分析点评:略有提高,细化了修订时间。
CII要求 | 对应等保要求 |
b)基于关键业务链、供应链等安全需求建立或完善安全策略和制度,并根据关键信息基础设施面临的安全风险和威胁的变化相应调整。 | 管理制度 a)应对安全管理活动中的主要管理内容建立安全管理制度; b)应对管理人员或操作人员执行的日常管理操作建立操作规程。 |
分析点评:略有提高,明确突出了关键业务链、供应链等安全需求建立或完善安全策略和制度。
CII要求 | 对应等保要求 |
运营者应: a)成立指导和管理网络安全工作的委员会或领导小组,由组织主要负责人担任其领导职务,设置专门的网络安全管理机构,建立首席网络安全官制度,建立并实施网络安全考核及监督问责机制。 | 安全管理机构 岗位设置 a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权; |
分析点评:明确提高。
1、只有担任,没有授权。
2、建立首席网络安全官制度。
3、建立并实施考核及监督问责机制。
CII要求 | 对应等保要求 |
b)安全管理机构主要人员应参与本组织信息化决策。 | 无 |
分析点评:此项目为新增项目,明确提高。
CII要求 | 对应等保要求 |
c)安全管理机构相关人员应参加国家、行业或业界网络安全相关活动,及时获取网络安全动态,并传达到本组织。 | a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题; b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; c)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 |
分析点评:略有提高,细化了参加网络安全相关活动,并予以传达。
下期预告
本文是全系列的第四讲。本系列的第五讲,将为大家介绍安全管理第二部分的对比。敬请期待……
往期回顾:
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 总书记要求用好这把“戒尺” 4913279
- 2 以色列对伊朗发动导弹袭击 4966702
- 3 广州天河驾车撞人案罪犯被执行死刑 4858918
- 4 从消博会看消费新趋势 4734587
- 5 抗战烈士墓发现年轻女子照片 4635129
- 6 女子蒙对支付宝口令领走1万元被抓 4540997
- 7 杨幂美甲事件引争议 4448028
- 8 学生偷外卖被毒死?学校回应 4303277
- 9 养老保险断缴即清零?不实 4220735
- 10 巴方谴责美国在安理会行使否决权 4143990