要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備,或利用用戶對產(chǎn)品的依賴性謀取不正當(dāng)利益或者迫使用戶更新?lián)Q代。

應(yīng)建立和維護(hù)合格供應(yīng)方目錄。應(yīng)選擇有保障的供應(yīng)方,防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷的風(fēng)險(xiǎn)。

應(yīng)自行或委托第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對定制開發(fā)的軟件進(jìn)行源代碼安全檢測,或由供應(yīng)方 提供第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)出具的代碼安全檢測報(bào)告。

長揚(yáng)科技解讀

由于我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)例如電力、石油化工、燃?xì)馑畡?wù)等行業(yè),其核心工業(yè)控制系統(tǒng)大部分被國外壟斷,在國內(nèi)外日益嚴(yán)峻的大背景下,為了避免出現(xiàn)因?yàn)?ldquo;卡脖子”而影響關(guān)基企業(yè)運(yùn)行安全的事件,供應(yīng)鏈安全的重要性日益凸顯。本次《要求》新增供應(yīng)鏈安全,對于國家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在未來的采購、建設(shè)、運(yùn)行、升級、管理等方面,都提供了有力的要求。

3.2.4 新增數(shù)據(jù)安全防護(hù)

2021年9月1日施行的《中華人民共和國數(shù)據(jù)安全法》中,第三十一條提到:對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)進(jìn)行管理。

《要求》中對于數(shù)據(jù)安全防護(hù),應(yīng)建立數(shù)據(jù)安全管理責(zé)任和評價(jià)考核制度,包括數(shù)據(jù)安全保護(hù)計(jì)劃、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、數(shù)據(jù)安全事件應(yīng)急預(yù)案,組織數(shù)字安全教育等。同時(shí)對數(shù)據(jù)分類分級、保護(hù)個(gè)人數(shù)據(jù)的重要性、數(shù)據(jù)備份等方面做出要求。另外還首次對廢棄數(shù)據(jù)處理作出要求,要求按照數(shù)據(jù)安全保護(hù)策略對儲存的數(shù)據(jù)進(jìn)行處理。

長揚(yáng)科技解讀

中央在2020年提出數(shù)據(jù)已經(jīng)成為除土地、勞動力、資本、技術(shù)之外的第五個(gè)要素。《要求》的發(fā)布是繼《數(shù)據(jù)安全法》發(fā)布后,再一次把數(shù)據(jù)安全作為綱領(lǐng)性要求進(jìn)行了獨(dú)立闡述,也詮釋了數(shù)據(jù)作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要性。運(yùn)營者應(yīng)加強(qiáng)對數(shù)據(jù)分類分級管理,以及對數(shù)據(jù)的使用、加工、傳輸、提供和公開等環(huán)節(jié)進(jìn)行全生命周期保護(hù)。

3.3 檢測評估

《要求》中對檢測評估的定義為:為檢驗(yàn)安全防護(hù)措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,應(yīng)建立相應(yīng)的檢測評估制度,確定檢測評估流程及內(nèi)容等,開展安全檢測與風(fēng)險(xiǎn)隱患評估,分析潛在安全風(fēng)險(xiǎn)可能引發(fā)的安全事件。

長揚(yáng)科技解讀

對比等保2.0要求可以發(fā)現(xiàn),“商用密碼應(yīng)用安全性評估情況、數(shù)據(jù)安全防護(hù)情況、供應(yīng)鏈安全保護(hù)情況、攻防演練”等內(nèi)容,首次作為檢測評估項(xiàng)被明確提出,由此可見,在未來的關(guān)保檢查工作當(dāng)中,運(yùn)營者需要重點(diǎn)關(guān)注在以上方面自身的能力建設(shè),彌補(bǔ)相關(guān)短板。

3.3.1 檢測評估工作流程

檢測評估工作開展前,應(yīng)明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估活動的背景、目標(biāo)、原則、依據(jù),充分調(diào)研檢測評估對象所屬行業(yè)的相關(guān)標(biāo)準(zhǔn)及政策文件的要求,確定檢測評估工作任務(wù)。具體工作流程如下圖所示:

圖7 關(guān)基檢測評估工作流程圖