- 1、本文档共28页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
ICS00.000
XXXCIIPA
团体标准
—
T/CIIPA000072024
关键信息基础设施安全检测评估能力要求
Capabilityrequirementsforsecurityinspectionandevaluationofcritical
informationinfrastructure
(征求意见稿)
20XX-XX-XX发布20XX-XX-XX实施
中关村华安关键信息基础设施安全保护联盟发布
引言
关键信息基础设施是经济社会运行的神经中枢,是网络安全保护的重中之重。《中华人
民共和国网络安全法》第三十一条规定,关键信息基础设施在网络安全等级保护制度的基础
上,实行重点保护。《网络安全法》要求关键信息基础设施的运营者应当自行或者委托网络
安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评
估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。《关键信息基础设
施安全保护条例》进一步明确规定了运营者应当自行或者委托网络安全服务机构对关键信息
基础设施每年至少进行一次网络安全检测和风险评估。
关键信息基础设施安全检测评估是GB/T39204—2022《信息安全技术关键信息基础设
施安全保护要求》标准中提出的关键信息基础设施安全保护六个方面环节之一,检测和评估
关键信息基础设施安全状况、发现存在的问题和风险,为关键信息基础设施安全整改建设和
监督管理提供依据。关键信息基础设施安全检测评估是以合规测评为基础的网络安全风险和
能力判定。由于关键信息基础设施通常由一个或多个等级保护对象构成,因此,关键信息基
础设施安全检测评估应在其所有等级保护对象开展等级测评之后进行,以便复用等级测评结
果。
关键信息基础设施安全检测评估能力要求参考国家标准、行业标准及要求、检测评估机
构能力建设与评价的相关内容,结合关键信息基础设施安全保护制度及检测评估实际工作特
点,对关键信息基础设施运营者、网络安全检测评估机构开展检测评估活动提出基本能力要
求。在此背景下,为确保有效指导提升检测评估能力,满足关键信息基础设施安全保护工作
要求,特制定本标准。
5/31
关键信息基础设施安全检测评估能力要求
1范围
本文件确立了关键信息基础设施安全检测评估总体要求、能力组成,规范了从事关键信
息基础设施安全检测评估工作应具备的基本能力要求。
本文件适用于关键信息基础设施运营者、网络安全检测评估机构对关键信息基础设施开
展安全检测评估的能力建设参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适
用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069-2022信息安全技术术语
GB/T39204-2022信息安全技术关键信息基础设施安全保护要求
GB/T22239-2019信息安全技术网络安全等级保护基本要求
GB/T28448-2019信息安全技术网络安全等级保护测评要求
GB/T36959-2018信息安全技术网络安全等级保护检测评估机构能力要求和评估规范
3术语和定义
GB/T25069、GB/T39204、GB/T22239、GB/T28448、GB/T36959界定的以及下列术
语和定义适用于本文
文档评论(0)