国家标准计划《信息安全技术 关键信息基础设施安全检查评估指南》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国互联网络信息中心 、国家信息技术安全研究中心 、中国信息安全测评中心 、工业和信息化部电子科学技术情报研究所 、国家计算机网络应急技术处理协调中心 。

关键信息基础设施安全检查评估指南是落实网络安全法要求，规范关键信息基础设施检测评估相关方法、流程，定义了检测评估的主要内容，从而提升关键信息基础设施的网络安全防护能力。

本标准适用于关键信息基础设施运营者自行开展检测评估，网络安全服务机构对关键信息基础设施进行抽查和检测评估工作均可参考使用。

本标准提供了关键信息基础设施检查评估工作的方法、流程和内容，定义了关键信息基础设施检查评估所采用的方法，规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求，以及在检查评估具体要求和内容。 本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。 检查评估工作由合规检查、技术检测和分析评估三个主要方法组成，每个方法包含若干内容和项目。 合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求，输出是否合规的结论，对不合规的具体项目进行说明，采取的方法包括现场资料核实、人员访谈、配置核查等形式。 技术检测分为主动方式和被动方式，主动方式是采用专业安全工具，配合专业安全人员，选取合适的技术检测接入点，通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段，采取远程检测和现场检测相结合的方式，发现其安全性和可能存在的风险隐患，也可参考其他安全检测资料和报告，对技术检测结果进行验证。被动方式是辅助监测分析手段，通过选取合适的监测接入点，部署相应的监测工具，实时监测并分析检查评估对象的安全状况，发现其存在的安全漏洞、安全隐患。两种技术检测方式最终输出技术检测结果。 分析评估是围绕关键信息基础设施承载业务特点，对关键信息基础设施的关键属性进行识别和分析，依据技术检测发现的安全隐患和问题，参考风险评估方法，对关键属性面临的风险进行风险分析，进而对关键信息基础设施的整体安全状况的评估。