注册

国家标准计划《信息安全技术 关键信息基础设施安全测评要求》由 TC260(全国信息安全标准化技术委员会)归口 ,主管部门为国家标准化管理委员会

主要起草单位 公安部第三研究所公安部第一研究所中国电子技术标准化研究院中国电子科技集团公司第十五研究所国家能源局信息中心应急管理部大数据中心国家信息技术安全研究中心中国信息安全测评中心北京国家金融科技认证中心有限公司国家工业信息安全发展研究中心山东新潮信息技术有限公司深圳市网安计算机安全检测技术有限公司江苏金盾检测技术股份有限公司辽宁浪潮创新信息技术有限公司北方实验室(沈阳)股份有限公司杭州安信检测技术有限公司杭州中尔网络科技有限公司北京时代新威信息技术有限公司中国科学院软件研究所

目录

基础信息

制修订
制订
项目周期
22个月
申报日期
2022-11-07
公示开始日期
2023-01-19
公示截止日期
2023-02-02
标准类别
安全
国际标准分类号
35.030
35 信息技术、办公机械
归口单位
全国信息安全标准化技术委员会
执行单位
全国信息安全标准化技术委员会
主管部门
国家标准化管理委员会

起草单位

目的意义

《网络安全法》中“关键信息基础设施运行安全”一节第三十八条明确提出的要求“关键信息基础设施每年至少进行一次检测评估”;《关键信息基础设施安全保护条例》第十七条要求“运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估”,从国家层面而言,关基保护工作主管部门迫切需要通过对关基的安全检测和风险评估推动、督促关基运营者不断提升其安全保护能力,从而建立起以信息共享为基础,实现事前预防、事中控制、事后恢复与惩治的关基的综合防控体系;从运营者自身来说,也需要通过检测评估发现安全风险,及时处置风险,不断提升其安全保护能力。

本标准是关键信息设施安全保护标准体系中的7个核心标准之一,通过吸取国际、国内先进的安全测评经验和相关内容,结合我国关键信息基础设施安全保护的特点、网络安全领域的保护及测评现状,为法律法规要求的关键信息基础设施安全检测和风险评估工作提供方法和技术支撑,制定出具有指导意义的安全标准文档,为规范关键信息基础设施的安全测评工作提供依据。

同时,本项目的研究将进一步推动我国对关键信息基础设施安全保护相关理论的研究,促进我国关键信息基础设施保护工作的开展,对促进关键信息基础设施安全测试评估的技术进步和行业发展、以及保障社会公共信息体系的安全都具有极其重要的意义。

范围和主要技术内容

本标准规定了关键信息基础设施在分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等环节的安全检测评估要求。主要技术内容包括: 1)依据《关键信息基础设施安全保护要求》条款,给出各要求项的单元测评实施方法;并结合等级测评结果给出单元测评结果分析方法; 2)在单元测评结果基础上,结合安全措施相关性及系统互联影响等,提出立足测评关键信息基础设施整体安全的关联测评方法,包括关联测评的路径、测试方法及手段、测试用例等; 3)提出关键信息基础设施的信息资产分析及威胁分析方法; 4)在单元测评、关联测评等结果基础上,对关键信息基础设施进行整体评估,包括关基运营者的网络安全管控能力、关基自身的网络安全保护能力、以及面临的业务安全风险等进行综合评估。