網絡安全標準是保障國家關鍵信息基礎設施的重要技術因素。從關鍵信息基礎設施的標識、安全防護、檢查評估、監測預警、應急響應等各個環節,都離不開標準的規範和引導。
關鍵信息基礎設施相關標準為各行業、各領域關鍵信息基礎設施的識別提供指導,為提高運營商自身安全防護能力和水平提供技術支撐,為規範安全檢查和評估提供標準依據,為協調相關領域信息共享、監測預警、應急響應、評估和評價提供方法指導,為保障關鍵信息基礎設施全生命周期安全提供標準化支撐。網絡安全標準化在構建關鍵信息基礎設施安全屏障、維護國家網絡安全方面發揮著越來越重要的作用。
《中華人民共和國網絡安全法》第三十九條* * *國家網絡信息主管部門應當統籌協調有關部門,對關鍵信息基礎設施采取以下安全保護措施:
(壹)對關鍵信息基礎設施的安全風險進行抽查,提出改進措施,必要時委托網絡安全服務機構對網絡存在的安全風險進行檢測和評估;
(二)組織關鍵信息基礎設施運營者定期開展網絡安全應急演練,提高應對網絡安全事件的水平和協調能力;
(三)推動相關部門、關鍵信息基礎設施運營商、相關研究機構和網絡安全服務機構之間的網絡安全信息共享;
(四)為網絡安全事件應急處置和網絡功能恢復提供技術支持和幫助。
第三十八條關鍵信息基礎設施運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行壹次檢查評估,並將檢查評估和改進措施提交負責關鍵信息基礎設施安全保護的相關部門。
第三十四條除本法第二十壹條規定外,關鍵信息基礎設施運營者還應當履行下列安全保護義務:
(壹)設立專門的安全管理機構和安全管理負責人,對負責人和關鍵崗位人員進行安全背景審查;
(二)定期對員工進行網絡安全教育、技術培訓和技能考核;
(三)重要系統和數據庫的災難恢復備份;
(四)制定網絡安全事件應急預案並定期進行演練;
(五)法律、行政法規規定的其他義務。