点对点分析CII与等级保护系列:安全管理部分(一)
2020-06-30
《网络安全法》第三章第二节规定了关键信息基础设施(CII)的运行安全,包括关键信息基础设施的范围、保护的主要内容等。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。既然关键信息基础设施的范围、保护在网络安全等级保护制度的基础之上,并且要实行重点保护。那么,金沙js1996君做了《点对点分析CII与等级保护系列》来分析其中要求的异同点。本系列共分六章,包括:安全技术部分(一、二、三章),安全管理部分(一、二)和安全建设管理部分。本文是安全管理部分第一章。
对比情况主要参考:
《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿);
《信息安全技术 网络安全等级保护基本要求》,GB/T22239-2019。
将关键信息基础设施要求与等级保护三级要求进行对应分析。
安全管理部分(一)
分析点评:完全一致。
分析点评:略有提高,细化了修订时间。
分析点评:略有提高,明确突出了关键业务链、供应链等安全需求建立或完善安全策略和制度。
分析点评:明确提高。
1、只有担任,没有授权。
2、建立首席网络安全官制度。
3、建立并实施考核及监督问责机制。
分析点评:此项目为新增项目,明确提高。
分析点评:略有提高,细化了参加网络安全相关活动,并予以传达。
下期预告:本文是全系列的第四讲。本系列的第五讲,将为大家介绍安全管理第二部分的对比。敬请期待……
往期回顾: