《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204-2022）作为关键信息基础设施安全保护标准体系的构建基础，该标准为运营者开展关键信息基础设施（以下简称“CII”或“关基”）保护工作需求提供了强有力的标准保障。

新规亮点变化：

相比之前的监管要求，《关基安全保护要求》在安全管理机构方面，新增了成立网络安全工作委员会或领导小组，并明确提出了将领导班子成员作为首席网络安全官的要求；

在应急演练方面，此前的监管要求没有同时明确开展应急演练的时间和频次，例如《网络安全法》《关保条例》只规定了定期开展应急演练，《国家网络安全检查操作指南》只规定对应急预案每年至少评估一次，以及只规定每年应开展应急演练却无具体的频次要求。而《关基安全保护要求》在此方面进行了细化完善，进一步明确了每年至少组织开展1次本组织的应急演练；

《关基安全保护要求》在产品服务采购方面也进行了补充和扩展，为运营者提供了更多具体可执行的操作要求，大大增强了采购环节的安全性。例如，建立和维护合格供应方目录；强化采购渠道管理，保持采购的网络产品和服务来源的稳定或多样性；获得提供者对网络产品和服务的10年以上知识产权授权；自行或委托第三方对定制开发的软件进行源代码安全检测。

关于安全计算环境方面，在此前的监管依据中，例如《国家网络安全检查操作指南》2.5.4.3c)关于补丁、漏洞、账户管理等的检查方法包括使用终端检查工具或采用人工方式，而此次《关基安全保护要求》明确提出了应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。

安全合规要求在等保基础上更高

等级保护2.0重点是围绕“一个中心，三重防护”为核心,从技术和管理的角度来指导各单位如何开展安全保护工作，关基保护是在等保基础上实行重点保护，明确运营单位应作为信息系统第一责任主体，并设置专门的安全管理机构，实现了从技术到能力、从制度到责任的跨越。

对数据安全防护有更高的要求

《关基安全保护要求》的发布是继《数据安全法》发布后，再一次把数据安全作为纲领性要求进行了独立阐述，也诠释了数据作为关键信息基础设施安全保护的重要性，对于关键信息基础设施的安全保护提出了更高要求。

安全防护技术要求更高，投入更高

由于关基安全自身的特性，关基保护与传统的网络安全防护有巨大的差异。关基防护目标从“保障系统安全”转向“保障业务连续性”，从“事件影响消除”转向“风险防范和化解”。由此，关基保护需要要求更高，投入更高的安全防护技术。