協同聯防:以信息共享為基礎,積極構建相關方廣泛參與的信息共享、協同聯動的共同防護機制,提升關鍵信息基礎設施應對大規模網絡攻擊能力。與國家有關平臺對接,實現協同聯動和數據共享,能夠做到統一指揮、快速調度,實現關基安全保護跨部門、跨行業、跨地域的整體防控和聯防聯控。

3《要求》六個活動詳細解讀

3.1 分析識別

《要求》中對分析識別的定義如下:分析識別活動指圍繞關鍵信息基礎設施(CII)承載的關鍵業務,開展業務依賴性識別、關鍵資產識別、風險識別等活動。本活動是開展安全防護、檢測評估、監測預警、主動防御、事件處置等活動的基礎。同時,在對本方面的業務識別、資產識別、風險識別和重大變更的具體安全要求中可以發現,識別關鍵業務和關鍵業務鏈是開展關基保護工作的前提。針對于本項內容,長揚的理解為以下四點:

3.1.1 關鍵信息基礎設施和關鍵業務鏈

關鍵信息基礎設施(簡稱CII):是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業籌重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全國計民生、公共利益的重要網絡設施、信息系統等。

關鍵業務鏈(Critical Business Chain簡稱CBC):組織的一個或多個相互關聯的業務構成的關鍵業務流程。

3.1.2 關于分析識別中CII要素識別梳理的要點

關鍵信息基礎設施(CII)要素識別是指將關鍵業務持續、穩定運行不可或缺的資產(一般由軟硬件設備、組件、信息資源等組成的,能夠按照一定規則獨立處理信息的功能單元)從CII運營者的所有資產中識別出來,以便重點保護。(CII)要素識別包括四個部分:(1)關鍵業務基礎情況梳理,(2)關鍵業務信息化情況梳理,(3)關鍵業務信息(CBI)梳理,(4)CII要素確定。

(1)關鍵業務基礎情況梳理包括基本架構梳理、管理模式梳理、運行框架梳理、業務特征梳理、基礎情況描述。

(2)關鍵業務信息化情況梳理包括業務模塊信息化梳理、功能模塊信息化梳理、基礎運行環境信息化梳理、信息化范圍描述。

(3)關鍵業務信息梳理包括類別梳理、功能梳理、生存周期梳理、關鍵業務信息描述。

(4)關鍵信息基礎設施要素確定包括要素梳理、要素歸集、要素重要性評估、要素清單、業務關系確定、網絡位置確定、物理位置確定、管理關系確定、信息記錄。基本流程圖如下所示:

圖 3 CII要素識別流程圖

3.1.3 關于分析識別中進行風險評估和風險識別的要點

《要求》中提出風險識別應參照GB/T 20984等標準,對關鍵業務鏈開展安全風險分析,識別關鍵環節的威脅、脆弱性,并形成安全風險報告。GB/T 20984,即2022年4月15日新發布的《信息安全技術 信息安全風險評估方法》GB/T 20984-2022,并替代原《信息安全技術 信息安全風險評估規范》GB/T 20984-2007成為新的信息安全風險評估工作實施指導標準。