《关键信息基础设施安全检测评估能力要求》.pdf

ICS00.000

XXXCIIPA

团体标准

—

T/CIIPA000072024

关键信息基础设施安全检测评估能力要求

Capabilityrequirementsforsecurityinspectionandevaluationofcritical

informationinfrastructure

（征求意见稿）

20XX-XX-XX发布20XX-XX-XX实施

中关村华安关键信息基础设施安全保护联盟发布

引言

关键信息基础设施是经济社会运行的神经中枢，是网络安全保护的重中之重。《中华人

民共和国网络安全法》第三十一条规定，关键信息基础设施在网络安全等级保护制度的基础

上，实行重点保护。《网络安全法》要求关键信息基础设施的运营者应当自行或者委托网络

安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评

估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。《关键信息基础设

施安全保护条例》进一步明确规定了运营者应当自行或者委托网络安全服务机构对关键信息

基础设施每年至少进行一次网络安全检测和风险评估。

关键信息基础设施安全检测评估是GB/T39204—2022《信息安全技术关键信息基础设

施安全保护要求》标准中提出的关键信息基础设施安全保护六个方面环节之一，检测和评估

关键信息基础设施安全状况、发现存在的问题和风险，为关键信息基础设施安全整改建设和

监督管理提供依据。关键信息基础设施安全检测评估是以合规测评为基础的网络安全风险和

能力判定。由于关键信息基础设施通常由一个或多个等级保护对象构成，因此，关键信息基

础设施安全检测评估应在其所有等级保护对象开展等级测评之后进行，以便复用等级测评结

果。

关键信息基础设施安全检测评估能力要求参考国家标准、行业标准及要求、检测评估机

构能力建设与评价的相关内容，结合关键信息基础设施安全保护制度及检测评估实际工作特

点，对关键信息基础设施运营者、网络安全检测评估机构开展检测评估活动提出基本能力要

求。在此背景下，为确保有效指导提升检测评估能力，满足关键信息基础设施安全保护工作

要求，特制定本标准。

5/31

关键信息基础设施安全检测评估能力要求

1范围

本文件确立了关键信息基础设施安全检测评估总体要求、能力组成，规范了从事关键信

息基础设施安全检测评估工作应具备的基本能力要求。

本文件适用于关键信息基础设施运营者、网络安全检测评估机构对关键信息基础设施开

展安全检测评估的能力建设参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适

用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2022信息安全技术术语

GB/T39204-2022信息安全技术关键信息基础设施安全保护要求

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T28448-2019信息安全技术网络安全等级保护测评要求

GB/T36959-2018信息安全技术网络安全等级保护检测评估机构能力要求和评估规范

3术语和定义

GB/T25069、GB/T39204、GB/T22239、GB/T28448、GB/T36959界定的以及下列术

语和定义适用于本文