信息安全技术重要信息基础设施安全保护与评估要求.docx

ICS35.240CCSL70

DB11

北京市地方标准

DB11/XXXXX—2024

信息安全技术重要信息基础设施安全保护与评估要求

Informationsecuritytechnology-

Cybersecurityprotectionandassessmentrequirementfor

Importantinformationinfrastructure

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

北京市市场监督管理局发布

I

DB11/XXXXX—20XX

目次

前言 II

引言 1

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5概述 2

5.1安全通信网络 2

5.2安全区域边界 2

5.3安全计算环境 2

5.4安全管理中心 2

5.5安全管理制度 2

5.6安全组织机构 3

5.7安全管理人员 3

5.8安全数据 3

5.9供应链安全管理 3

5.10安全运营 3

6安全保护要求 3

6.1网络安全等级保护 3

6.2安全通信网络 3

6.3安全区域边界 3

6.4安全计算环境 3

6.5安全管理中心 4

6.6安全数据 4

6.7安全管理制度 5

6.8安全组织机构 6

6.9安全管理人员 6

6.10供应链安全管理 6

6.11安全运营 7

7安全评估要求 8

7.1安全评估方法 8

7.2安全评估要求 9

7.3安全评估结论 34

参考文献 35

II

DB11/XXXXX—20XX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件由北京市公安局、北京市网信办共同提出并归口。

本文件由北京市公安局、北京市网信办共同组织实施。本文件起草单位：XXXX

本文件主要起草人：XXXX

1

DB11/XXXXX—20XX

引言

《网络安全法》和《关键信息基础设施安全保护条例》的出台，极大地推动了我国网络安全保护工作的发展，北京市作为首都所在城市，立足全国政治中心、文化中心、国际交往中心、科技创新中心“四个中心”的核心功能定位，部分重要信息系统一旦发生严重网络安全事件可能引发全球关注，故北京市建立实施重要信息基础设施安全保护制度。

本标准作为北京市重要信息基础设施安全保护制度需配套技术性标准规范，针对北京市的重要信息基础设施，在等级保护基本要求的基础上，提出增强型和补充型的安全要求，加强安全保障措施，提高重要信息基础设施的攻防实战能力。

1

DB11/XXXXX—20XX

重要信息基础设施安全保护与评估要求

1范围

本文件规定了重要信息基础设施在《信息安全技术网络安全等级保护基本要求》(GB/T22239—2019)基础上的增强型安全保护要求，以及评估要求，包括安全评估方法、安全评估要求、安全评估结论。

本文件适用于重要信息基础设施运营者开展全生存周期安全保护，同时指导测评机构、监督指导部门开展重要信息基础设施的检测评估工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T30285信息安全技术灾难恢复中心建设与运维管理规范GB/T31506—2022信息安全技术政务网站系统安全指南

GB/T35273—2020信息安全技术个人信息安全规范GB/T37046信息安全技术灾难恢复能力评估准则

3术语和定义

GB/T25069-2022中界定的以及下列术语和定义适用于本文件。3.1

重要信息基础设施importantinformationinfrastructure

依据相关政策、程序认定的，在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和