国家标准计划《信息安全技术 关键信息基础设施安全防护能力评价方法》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 中国交通通信信息中心 、中国电子技术标准化研究院 、国家信息中心等 。

随着关键基础设施的信息化和网络化，对关键基础设施的网络攻击成为敌对势力发动蓄意攻击的首选目标，为保障国家社会的持续稳定，各国政策逐渐聚焦于急需网络安全保障的关键基础设施--国家关键信息基础设施，发布了一系列的法律法规，战略和实施计划，将提高关键信息基础设施的安全性和可靠性作为一项长期政策。

为落实《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》提出的关键信息基础设施安全保护相关要求，评测关键信息基础设施运营者安全保护能力，支撑国家相关部门开展的关键基础信息设施安全检测评估等工作，借鉴美国、欧盟等国家在关键信息基础设施安全评估方面的相关标准、评估方法和实施经验，并结合我国网络安全等级保护、云服务安全、工控安全等相关标准，研究制定适用于我国关键信息基础设施领域的安全保护能力评价方法，包括评价流程，以及单项评价和整体综合评价方法。

指导关键信息基础设施的运营者和网络安全服务机构对关键信息基础设施的安全性和可能存在的风险进行检测评估，从而帮助关键信息基础设施运营者提高其安全保护水平。

范围：本标准描述了关键信息基础设施安全保护能力成熟度模型、模型使用方法，给出了不同成熟度的评价指标，适用于关键信息基础设施运营者对自身安全能力进行评价，也可适用于网络安全服务机构对关键信息基础设施运营者安全能力进行评价。 主要技术内容：1.标准提出基于风险管理的关键信息基础设施安全保护生命周期：识别认定、安全防护、检测评估、监测预警和事件处置5个主要环节，从组织建设、制度流程、人员职责、保护技术等方面分等级评价关键信息基础设施保护能力的方法。2.建立对关键信息基础设施运营者安全保护能力进行科学、量化评价的方法、指标体系，通过基于标准的、有效的评价工作，帮助运营者了解掌握其安全保护能力的现状、与最佳实践的差距、提升安全保护能力的目标方向，利用评估结果的横向（不同运营者）纵向（不同时间段）分析对比，发现关键信息基础设施安全保护能力发展变化和共性问题，适用于运营者、主管部门和第三方测评机构开展安全保护能力的评价活动。3.在标准研制过程中，拟选择能源、交通、电信等关键信息基础设施行业和领域，开展标准验证工作。4.标准着重于关键信息基础设施保护能力成熟度分级评价方法，《信息安全技术 关键信息基础设施安全检查评估指南》是对关键信息基础设施运营者关键信息基础设施安全状况的一次检查评估，《信息安全技术 关键信息基础设施安全保障指标体系》是安全保护工作部门判断行业关键信息基础设施安全态势使用。