官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
日前, 为进一步完善我国数据安全以及关键信息基础设施保障体系,全国网络安全标准化技术委员会秘书处相继发印发了《数据安全技术 数据安全和个人信息保护社会责任指南》(以下简称《指南》)《网络安全技术 关键信息基础设施安全保护能力指标体系(征求意见稿)》(以下简称《体系》)。
《指南》为组织理解数据安全和个人信息保护社会责任以及实施相关活动提供指南,适用于处理数据的组织,还适用于评价数据处理组织履行数据安全和个人信息保护社会责任程度的第三方机构。
《体系》规定了关键信息基础设施安全保护能力指标体系,包括基本保护级、强化保护级、战略保护级的安全保护能力指标,适用于指导关键信息基础设施运营者对关键信息基础设施安全保护能力的建设,也可为保护工作部门、国家监管部门以及第三方评估机构等提供参考。
《指南》提出了组织治理,合规性、创新性和价值体现,公平运行、竞争与合作,用户权益保护,公益参与和社会发展等五大主题。所有主题相互关联且相互补充,但由于有效的组织治理可确保组织能够针对其他主题和议题采取行动,因此,组织治理是所有主题的中心。
同时,社会责任披露是对组织社会责任履行情况进行社会监督的通行做法和有效手段,也能帮助组织提升声誉、获得更大范围认可。
《体系》划定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等为关键信息基础设施。
此外,《体系》又对关键信息基础设施安全保护能力分为 3 级,由低到高分别为:基本保护级、强化保护级、战略保护级。3 个等级的能力描述下图所示。基本保护级侧重于满足相关法律法规要求,系统能够常态化安全稳定运行;强化保护级侧重于关键信息基础设施运营者与保护工作部门形成安全防御共同体,保障业务稳定运行,形成综合防御和协同防御的能力;战略保护级侧重于关键信息基础设施运营者、保护工作部门和国家层面三级协同,保障极限情况下关键业务最小化运行。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022