近日，国家市场监管总局（国家标准化管理委员会）批准发布两项国家标准，其中的《关键信息基础设施安全保护要求》（ GB/T 39204-2022）（下简称：《保护要求》）作为《关键信息基础设施安全保护条例》（下简称：《条例》）发布一年后首个正式发布的关基标准，为关键信息基础设施保护的实际落地具有重要意义。

本图引自国家市场监管总局（国家标准化管理委员会）官网

网络空间作为继“陆海空天”之后的第五大战略空间，已经成为了全球博弈的新战场。近年来，针对关键信息基础设施的网络攻击破坏、窃密等在全球范围内愈演愈烈日趋加剧，涉及众多行业领域，为此国家密集出台相关法律法规。

《保护要求》的主要内容可以用下述流程表示：

关键信息基础设施安全保护包括分析识别、安全防护、检测评估、监测预警、主动防御 、事件处置六个方面：

分析识别

围绕关键信息基础设施承载的关键业务，开展业务依赖性识别、关键资产识别、风险识别等活动。本活动是开展安全防护、检测评估、监测预警、主动防御、事件处置等活动的基础。

安全防护

根据已识别的关键业务、资产、安全风险，在安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理、安全运维管理等方面实施安全管理和技术保护措施，确保关键信息基础设施的运行安全。

检测评估

为检验安全防护措施的有效性，发现网络安全风险隐患，应制定相应的检测评估制度，确定检测评估的流程及内容等，开展安全检测与风险隐患评估，分析潜在安全风险可能引发的安全事件。

监测预警

制定并实施网络安全监测预警和信息通报制度，针对发生的网络安全事件或发现的网络安全威胁，提前或及时发出安全警示。建立威胁情报和信息共享机制，落实相关措施，提高主动发现攻击能力。

主动防御

以对攻击行为的监测发现为基础，主动采取收敛暴露面、捕获、溯源、干扰和阻断等措施，开展攻防演习和威胁情报工作，提升对网络威胁与攻击行为的识别、分析和主动防御能力。

事件处置

运营者对网络安全事件进行报告和处置，并采取适当的应对措施，恢复由于网络安全事件而受损的功能或服务。

《保护要求》作为《条例》一项重要的配套标准，对于关键信息基础设施继承了《条例》“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”的定义， 与《网络安全法》第31条的定义方式保持了一致，采用的仍是举例加后果概括的方式。

《保护要求》安全防护阶段供应链安全保护部分与《网络安全审查办法》中要求的” 重点评估采购网络产品和服务可能带来的国家安全风险“。《条例》中要求的”运营者应当优先采购安全可信的网络产品和服务并签订安全保密协议“对接，提出“供应链安全管理策略、年度采购清单等”具体要求，确保关键信息基础设施供应链安全。

《保护要求》安全防护阶段在等级保护的基础上强调了数据安全防护，与《数据安全法》衔接。如果把数据看成是“货物”，关键信息基础设施（CII）可以看成是承载“货物”的容器。《网络安全法》、《数据安全法》和《条例》形成了对重要网络活动、数据活动的基本规则体系，《保护要求》则是直接与等级保护要求进行对接，进行安全保护要求的落地。

《保护要求》作为《条例》的落地保护要求，是近年来国家网络安全和信息化工作成功经验的制度化提升，将为我国深入开展关键信息基础设施安全保护工作落地提供有力保障。同时《要求》作为“十四五”开局之年发布的一项重要标准，是推动我国网络安全法治化工作的又一项重要举措和成果，标志着我国网络安全产业进入了以关键信息基础设施安全保护为重点的新时代，对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有重大而深远的意义。