英国的独立机构设立了公共利益的持久信息权利,通过公共机构和个人的数据隐私促进开放性。

乍看上去

  • 如果您是相关的数字服务提供商,则需要采取适当和成比例的技术和组织措施来管理您的系统的风险。这些措施必须确保适合风险的安全级别。
  • NIS对这些措施具有具体义务,该措施是由额外的法律进一步详细说明的“DSP法规”。本指南的本节提供了有关这些要求的更多信息。
  • 您必须实施涵盖系统和设施安全的措施;事件处理;业务连续性管理;监测,审计和测试;并遵守国际标准。
  • 许多这些要求与英国GDPR的安全规定对齐。也可能在任何情况下都是数据控制器,因此英国GDPR无论如何都适用于您。
  • 您必须保留文件以证明您的措施。这也与英国GDPR的问责制原则对齐,及其关于文件的规定。我们可以在任何调查或检查期间要求查看这些记录。

简单来说

安全要求是什么?

NIS的第4部分,特别是第12部分,特别概述了RDSP的义务。这些包括额外法律的要求,“DSP规定',它提供了许多领域的细节。

主要要求在第12(1)条中详述。据此,RDSP必须:

'识别并采取适当的和按比例措施来管理网络和信息系统安全的风险

根据第12(2)条,这些措施必须:

  • 确保适合风险的安全程度;
  • 防止并尽量减少影响数字服务的事件的影响;和
  • 考虑到DSP规定的要求。

在确定您的措施时,您可以考虑最先进的状态 - 这是指技术发展的状态;换句话说,您可以使用的安全措施的类型。这类似于英国GDPR,但是你是你不是允许考虑实施成本。

本指南本部分概述了RDSPS的安全要求。它基于DSP调节,具有直接效果。我们将很快提供关于这些要求的进一步详细指导。与此同时,您可以从欧盟网络安全机构(ENISA)找到指导可能会帮助您。

其他资源

Enisa发表了关于技术安全措施的指导对于数字服务提供商。

RDSPS必须有什么考虑因素?

第12(2)(c)概述,在考虑安全措施时,您必须:

'考虑到欧盟规定第2条规定的以下要素2018/151:

(i)系统和设施的安全;

(ii)事件处理;

(iii)业务连续性管理;

(iv)监测审计和测试;和

(v)遵守国际标准。

这些都是参考DSP条例的要求,它有直接的影响。这些要求详列于下。

什么是“系统和设施安全”的意思?

这是指网络和信息系统的安全性以及这些系统的物理环境。

如DSP监管第1(a)条所述,您在该领域的措施应承担以下内容:

  • 系统管理您的网络和信息系统;
  • 物理和环境安全措施;
  • 供应保障;和
  • 访问系统的访问控制。

这些要求与英国GDPR下的安全原则的期望保持一致,尽管它们在实施措施时必须考虑的一些元素而不同。例如,在英国GDPR下(如果适合您的情况),我们已经期待您:

  • 拥有整体信息安全策略,以及有关风险,数据安全,人力资源,操作安全性,加密等的特定组织策略,并确保通过适当的技术措施实施此类策略
  • 实施适当的技术和组织措施时,考虑到物理和环境安全;
  • 具有技术和组织访问控制系统,以确保此类访问被授权并限制为需要它的人。

这些要求也与许多领域对齐网络精华计划,特别是在访问控制方面。

我们在系统的系统管理方面需要考虑什么?

您应该建立适当的策略,以管理信息安全,包括:

  • 风险分析;
  • 人力资源;
  • 业务安全;
  • 安全架构;
  • 安全数据;
  • 系统生命周期管理;和
  • 加密,适用。

在物理和环境安全方面需要考虑什么?

您应该旨在实现一系列保护系统免受损坏的措施。您需要解决包含系统故障,人为错误,恶意行动(外部和内部)和自然现象的因素。

在供应的安全方面需要考虑什么?

您需要建立和维护适当的政策,以便您知道关键耗材的可访问性和可追溯性。

在访问控制方面需要考虑什么?

您应该采取措施,确保基于业务和安全要求授权和限制物理和逻辑访问。这类似于众所周知的“最小特权原则” - 基本上,只有那些需要访问房屋的特定区域的用户或某些系统应该具有这种访问。

'事件处理'是什么意思?

事件处理是指您支持检测,分析和遏制任何事件的程序以及您的后续响应的程序。DSP监管第2(2)条有许多事件处理要求。这些必须包括:

  • 事件检测过程和程序;
  • 事件报告的流程和政策;
  • 事件响应;和
  • 事件评估。

同样,这些要求也类似于英国GDPR下的数据控制器的预期,尽管它们通过指定RDSP必须考虑的数量的元素而不同,但如果您是控制器,我们希望您有(如果合适的话)为您的情况):

  • 适当的安全监测过程以及时检测异常行为和潜在数据漏洞;
  • 事件管理政策和程序,包括事件处理和响应,升级和分析;
  • 定期测试安全措施有效性的过程,例如通过漏洞扫描和渗透测试,然后作用于这种测试的结果;和
  • 先前事件的文件和持续改进过程的存在。

我们在事故检测方面必须做些什么?

您应该旨在实施允许您对任何异常事件及时和充分意识的流程和程序。您还需要维护和测试这些进程。

我们必须在事件报告方面做些什么?

您应该有程序和策略在您将如何通知ICO的任何事件,以及如何识别系统内的弱点和漏洞,您的环境和安全措施。

我们必须在事件回复方面做些什么?

您应该确保您拥有既定程序,以便您的组织能够以适当的方式响应任何事件。这应包括报告此类措施的结果。

我们在事件评估方面必须做些什么?

如果您遭受事件,您应该有流程,以使您能够完全评估其严重程度。这应该涵盖事件分析,相关信息的收集,以及使用这一点来支持持续改进过程。

'业务连续性管理'是什么意思?

DSP监管的第2(3)条要求您拥有在破坏性事件发生后维持或恢复可接受的预定级别的服务。这涉及应急计划和灾难恢复。

本规定与英国GDPR非常相似,这概述了数据控制器能够在物理或技术事件后恢复个人数据的访问和可用性。

我们必须在应急计划方面做些什么?

您需要建立应急计划,以确保您的服务连续性。您应该基于业务影响分析。您还需要定期测试和评估您的计划,例如通过练习。

我们在灾难恢复方面必须做些什么?

您必须具有恢复功能,并且能够定期测试和评估这些。

“监控,审计和测试”是什么意思?

DSP监管第2(4)条要求您建立和维护有关系统评估,检验和核查的政策和流程。

我们必须在系统评估方面做些什么?

您必须计划并进行一系列观测或测量以检查您的系统是否按预期运行。

我们在检查和核查方面必须做些什么?

你需要检查:

  • 您正在遵循您的指导方针;
  • 您的记录是准确的;和
  • 正在满足任何效率和有效性目标。

我们必须对过程做些什么?

您需要设计流程来揭示系统安全机制中的缺陷。这必须包括技术过程,以及参与运营的人员。

遵守国际标准怎么样?

DSP调节在该区域中对RDSP的特定要求奠定了特定的要求。相反,第2(5)条澄清了NIS中“标准”的含义是指:

  • 根据第1025/2012号规定的国际标准化机构通过的标准;和/或
  • 任何与网络和信息系统安全相关的欧洲,国家或国际接受的标准和规范。

适当标准的示例可以包括在信息安全管理系统和OSO / IEC 22301上的ISO / IEC 27001,以及业务连续性管理系统以及任何其他相关标准。

其他资源

您可以访问有关的信息ISO / IEC 27001:2013ISO / IEC 22301:2012ISO在线浏览平台的标准。

有没有文件要求?

是的。DSP规则要求您确保您拥有“足够的”文档可用于展示遵守上述安全元素。如果我们需要验证您的合规性,例如在调查事件或随访检查期间,您还需要将此文件提供给ICO。

如果您没有必要的文件,我们可以对您进行监管行动。

要求检查表

系统和设施的安全

我们对我们的网络和信息系统进行系统管理,并实施政策和程序:
风险分析
人力资源
操作安全
安全架构
安全数据
系统生命周期管理
我们实施物理和环境安全措施,以保护我们的系统免受损坏,涵盖:
加密(适用/适当)
系统错误
人为错误
恶意行为
自然现象
我们制定和维持适当的政策,以确保供应安全,包括:
关键耗材的可访问性
关键用品的可追溯性

我们实施措施以确保根据业务需求限制物理和逻辑访问,包括:

实行最低特权原则
必要时,建立安全区域。

事件处理

我们已经建立了事件检测流程和程序:
确保及时,充分意识到异常事件
测试和维护
我们已经建立了事件报告流程和程序:
确保我们通知ICO和其他相关组织,例如NCSC
识别系统和安全措施的缺点。
我们建立了以下过程和程序:
确保适当的事件响应
测试此响应并报告结果
我们建立了事件评估程序和程序,包括:
事件分析
收集相关信息
连续改进过程

业务连续性管理

我们确保通过应急计划和灾难恢复,确保我们能够维护/恢复可接受的预定级别的服务
我们进行业务影响分析并使用结果建立应急计划
我们测试并评估此类计划,例如通过练习
我们建立恢复能力
我们测试并评估这些能力,例如通过练习

监控,审计和测试

我们建立了有关系统评估,检验和验证的政策,包括:
评估系统的观察是按预期运行的
验证遵循指南
确保记录是准确的
确保满足效率和有效性目标。

遵守国际标准

在适当的情况下,我们遵循ISO 27001和/或ISO 22301等国际标准