2023年5月1日，国标GB/T 39204-2022《关键信息基础设施安全保护要求》（以下简称《关保要求》）正式实施。《关保要求》是自2021年国务院发布并施行《关键信息基础设施安全保护条例》（以下简称《关保条例》）以来落地的首个国家标准。本次《关保要求》对比《关保条例》新增了数据安全防护要求细则，为关基中的数据安全落地提供了强有力的支撑依据。

《关保要求》的发布是继《数据安全法》发布后，再一次把数据安全作为纲领性要求进行了独立阐述，也诠释了数据作为关键信息基础设施安全保护的重要性，对于关键信息基础设施的安全保护提出了更高要求。

关键信息基础设施（Critical Information Infrastructure，CII）是指对于国家安全、经济社会发展和公民生活至关重要的信息基础设施。这些基础设施包括但不限于电力、通信、水利、交通、金融、医疗等行业的网络、计算机系统和数据中心等。关键信息基础设施作为国家重要的战略资源，其安全稳定运行关系国计民生、公共利益和国家安全。

是否会被认定为关基行业的可以参考下表：

《关保要求》提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则，并从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求。

其中针对数据安全防护的内容为新增部分，对比《关保条例》中提到的寥寥几处数据安全相关内容（主要为数据泄露及数据安全保护责任和制度），《关保要求》中针对不同场景不同角度制定了更加明细和完善的标准，更具有可操作性和可落地性。要求中针对数据安全一共提出了8条细则，分别从数据安全管理、数据安全技术防护以及数据高可用三个维度出发作出具体要求。

1. 应建立数据安全管理责任和评价考核制度，编制数据安全保护计划，实施数据安全技术防护，开展数据安全风险评估，制定数据安全事件应急预案，及时处置安全事件，组织数据安全教育、培训。

2. 应建立基于数据分类分级的数据安全保护策略，明确重要数据和个人信息保护的相应措施。

3. 将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要，确需向境外提供数据的，应当按照国家相关规定和标准进行安全评估。法律、行政法另有规定的，依照其规定。

4. 应建立数据处理活动全流程的安全能力，并符合相关国家标准关于数据安全保护的要求。

1. 应严格控制重要数据的使用、加工、传输、提供和公开等关键环节，并采取加密、脱敏、去标识化等技术手段保护敏感数据安全。

2. 应在关键信息基础设施退役废弃时，按照数据安全保护策略对存储的数据进行处理。

1. 应建立业务连续性管理及容灾备份机制，重要系统和数据库实现异地备份。

2. 数据可用性要求高的，应采取数据库异地实时备份措施。业务连续性要求高的，应采取系统异地实时备份措施，确保关键信息基础设施一旦被破坏，可及时进行恢复和补救。

《关保要求》是在落实网络安全等级保护制度基础上，建立数据安全保护制度，突破以往谈到关基保护就是强调网络安全等级保护建设的思维定式，强调敏感数据、重要数据保护；要求开展数据资产排查，对业务系统所承载和处理的数据进行深入梳理排查，确认数据类型和资产，明确数据权属关系；对数据采集、存储、处理、应用、提供和销毁等各环节，全面进行风险排查和隐患分析，对数据全生命周期进行成体系的保护。

 应对《关保要求》，关基单位在数据安全防护方面，应建立数据安全管理责任和评价考核制度，包括数据安全保护计划、数据安全风险评估、数据安全事件应急预案，组织数据安全教育等。同时对数据分类分级、保护个人数据的重要性、数据高可用、数据备份等方面做出相关要求，另外还首次针对废弃数据处理做出重点关注，需要按照数据安全保护策略对储存的数据进行处理。

闪捷信息可以根据客户的实际安全需求和业务场景出发，提供具备行业属性的数据安全治理解决方案，通过开展数据安全治理咨询服务，在帮助客户评估数据安全状况的基础上，构建完善的数据安全防护体系，从组织建设、管理制度、技术落地、安全运营管控及考核评价等多个层面落实数据安全防护，保障数据的安全性和高可用性，帮助客户构建基于数据分类分级、覆盖数据全生命周期的数据安全防护体系，支撑重要行业及领域的数据安全需求，为关基行业的数据安全保驾护航。