信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法-編制說明

國家標(biāo)準(zhǔn)征求意見稿資料

一、工作簡況

1、任務(wù)來源

根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2019年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃：

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》，該標(biāo)準(zhǔn)由交通運(yùn)

輸信息中心負(fù)責(zé)承辦，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。

2、主要起草單位和工作組成員

該標(biāo)準(zhǔn)由中國交通通信信息中心主要負(fù)責(zé)起草，協(xié)作起草單位為、中國電

子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息中心、國家計算機(jī)網(wǎng)絡(luò)與信息安全管理中心、中

國信息安全測評中心、國家信息技術(shù)安全研究中心、中國互聯(lián)網(wǎng)絡(luò)信息中心、中

電數(shù)據(jù)服務(wù)有限公司、中國船舶重工集團(tuán)第709研究所、國家工業(yè)信息安全發(fā)展

研究中心、能源局信息中心、全球能源互聯(lián)網(wǎng)研究院有限公司、中國移動通信集

團(tuán)有限公司等。

3、主要工作過程

標(biāo)準(zhǔn)制定的主要工作過程如下：

a)成立編制組。2019年8月，接到全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于

標(biāo)準(zhǔn)制定任務(wù)之后，課題組負(fù)責(zé)人隨即召集標(biāo)準(zhǔn)編制組的相關(guān)成員開

會，具體討論和分配了小組的任務(wù)、制定的重要事項(xiàng)、及需注意的事

項(xiàng)。

b)形成標(biāo)準(zhǔn)草案。2019年8月-9月，標(biāo)準(zhǔn)編制組開展關(guān)鍵信息基礎(chǔ)設(shè)施

安全防護(hù)能力評價方法的研究。標(biāo)準(zhǔn)編制組分析梳理了國內(nèi)外關(guān)鍵信

息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)化情況，對美國的C2M2模型及指標(biāo)、美國NIST

的評估指標(biāo)、CSA云評估，以及數(shù)據(jù)安全能力成熟度評估、系統(tǒng)安全

工程能力成熟度等相關(guān)材料進(jìn)行了深入研究，編制完成《信息安全技

術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》標(biāo)準(zhǔn)草案。

c)形成標(biāo)準(zhǔn)征求意見稿。2019年10月，在全國信息安全標(biāo)準(zhǔn)化技術(shù)委

1

國家標(biāo)準(zhǔn)征求意見稿資料

員會組織召開的重慶會議周上，經(jīng)過WG7與會專家討論，形成轉(zhuǎn)為

征求意見稿的會議決議。會后，編制組根據(jù)與會專家意見進(jìn)行了修改，

并于2019年11月召開專家意見會，先后形成了兩版征求意見稿。2020

年5月，公安部第三研究所和公安部第一研究所加入到標(biāo)準(zhǔn)編制組，

標(biāo)準(zhǔn)進(jìn)行了詳細(xì)討論和修改，形成征求意見稿第三版。2020年7月，

標(biāo)準(zhǔn)通過WG7組織召開的專家評審會和秘書處責(zé)任編輯審查，修改

后形成征求意見稿第五版。2020年8月10日-10月9日，信安標(biāo)委秘

書處向工業(yè)和信息化部科技司、公安部十一局、國家保密局、國家密

碼管理局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、中國信息安全測評中心、

中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局等上級主管部門發(fā)函征求意見，并在信安

標(biāo)委官網(wǎng)公開征求意見，征求意見范圍具有廣泛性和代表性。共收到

意見74條，意見處理結(jié)果為采納40條、未采納11條、部分采納23

條。標(biāo)準(zhǔn)在信安標(biāo)委網(wǎng)站公開征求意見，編制組修改完善后形成征求

意見稿第六版。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在編制過程中遵循了先進(jìn)性和合理性原則。

先進(jìn)性原則體現(xiàn)在與國際同步。本標(biāo)準(zhǔn)在制定過程中主要參考了國際相關(guān)

標(biāo)準(zhǔn)，并與國際標(biāo)準(zhǔn)的演進(jìn)保持同步，本標(biāo)準(zhǔn)主要參考了美國的C2M2模型及指

標(biāo)、美國NIST的評估指標(biāo)、CSA云評估等。

合理性原則體現(xiàn)在與國內(nèi)實(shí)際情況相結(jié)合。國外的關(guān)鍵信息基礎(chǔ)設(shè)施安全

保護(hù)現(xiàn)狀和標(biāo)準(zhǔn)現(xiàn)狀與我國不同，為結(jié)合我國實(shí)際，且與國內(nèi)目前已有相關(guān)關(guān)鍵

信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)保持一致，本標(biāo)準(zhǔn)在我國已有關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)

的基礎(chǔ)上進(jìn)行了修改、調(diào)整和擴(kuò)充。

2、標(biāo)準(zhǔn)解決的問題及主要內(nèi)容

加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是維護(hù)網(wǎng)絡(luò)安全的重中之重。為落實(shí)《中華人

民共和國網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》提出的關(guān)鍵信息基

礎(chǔ)設(shè)施安全保護(hù)相關(guān)要求，評測關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者安全保護(hù)能力，支撐國

家相關(guān)部門開展的關(guān)鍵基礎(chǔ)信息設(shè)施安全檢測評估等工作，借鑒美國、歐盟等國

2

國家標(biāo)準(zhǔn)征求意見稿資料

家在關(guān)鍵信息基礎(chǔ)設(shè)施安全評估方面的相關(guān)標(biāo)準(zhǔn)、評估方法和實(shí)施經(jīng)驗(yàn)，并結(jié)合

我國網(wǎng)絡(luò)安全等級保護(hù)、云服務(wù)安全、工控安全等相關(guān)標(biāo)準(zhǔn)，研究制定適用于我

國關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的安全保護(hù)能力評價方法，指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)

營者和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全性和可能存在的風(fēng)險進(jìn)行

檢測評估，從而幫助關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提高其安全保護(hù)水平。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

無。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

無。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況

標(biāo)準(zhǔn)參考了國際和國外相關(guān)標(biāo)準(zhǔn)情況，根據(jù)我國國情制定。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性

本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求。符合《中華人民共和國網(wǎng)絡(luò)安全法》和

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》提出的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)要

求，是在現(xiàn)有國家標(biāo)準(zhǔn)項(xiàng)目《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基

本要求》和《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》基礎(chǔ)上制定的標(biāo)

準(zhǔn)。

在研國家標(biāo)準(zhǔn)項(xiàng)目《關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》明確的為關(guān)鍵信息

基礎(chǔ)設(shè)施邊界及范圍的確定，在本標(biāo)準(zhǔn)中的邊界防護(hù)，不僅包括關(guān)鍵信息基礎(chǔ)設(shè)

施和非關(guān)鍵信息基礎(chǔ)設(shè)施邊界，還包括關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)部不同網(wǎng)絡(luò)、不同等

級系統(tǒng)等的邊界。在研國家標(biāo)準(zhǔn)項(xiàng)目《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢

查評估指南》為支撐相關(guān)部門開展抽查檢測工作時使用，《信息安全技術(shù)關(guān)鍵

信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》為行業(yè)管理部門判斷本行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施

安全態(tài)勢使用。

按照我國《網(wǎng)絡(luò)安全法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施是在等級保護(hù)基礎(chǔ)上進(jìn)

行重點(diǎn)保護(hù)，因此，《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》

制定時主要考慮了關(guān)鍵信息基礎(chǔ)設(shè)施的特點(diǎn)，并避免與GB/T22239-2019《信息

3

國家標(biāo)準(zhǔn)征求意見稿資料

安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》重復(fù)。但是在進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施安

全防護(hù)能力評價時，只是基于《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)

基本要求》稍顯不足，在本標(biāo)準(zhǔn)中，融合了與關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力密

切相關(guān)的GB/T22239-2019中的部分條款作為評價內(nèi)容，作為關(guān)鍵信息基礎(chǔ)設(shè)施

安全防護(hù)能力的一部分。

在總體評價時，兼顧等級保護(hù)測評結(jié)果和我國密碼測評相關(guān)結(jié)果，整體考

慮關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力水平。

八、重大分歧意見的處理經(jīng)過和依據(jù)

無。

九、標(biāo)準(zhǔn)性質(zhì)的建議

根據(jù)本標(biāo)準(zhǔn)的性質(zhì)，建議本標(biāo)準(zhǔn)為推薦性標(biāo)準(zhǔn)。

十、貫徹標(biāo)準(zhǔn)的要求和措施建議

建議關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、第三方評估機(jī)構(gòu)、安全保護(hù)工作部門等相關(guān)

單位進(jìn)行宣貫。

十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議

無。

十二、其它應(yīng)予說明的事項(xiàng)

無。

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》編制工作組

2021-3-26

4

國家標(biāo)準(zhǔn)征求意見稿資料

一、工作簡況

1、任務(wù)來源

根據(jù)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2019年下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃：

《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》，該標(biāo)準(zhǔn)由交通運(yùn)

輸信息中心負(fù)責(zé)承辦，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。

2、主要起草單位和工作組成員

該標(biāo)準(zhǔn)由中國交通通信信息中心主要負(fù)責(zé)起草，協(xié)作起草單位為、中國電

子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息中心、國家計算機(jī)網(wǎng)絡(luò)與信息安全管理中心、中

國信息安全測評中心、國家信息技術(shù)安全研究中心、中國互聯(lián)網(wǎng)絡(luò)信息中心、中

電數(shù)據(jù)服務(wù)有限公司、中國船舶重工集團(tuán)第709研究所、國家工業(yè)信息安全發(fā)展

研究中心、能源局信息中心、全球能源互聯(lián)網(wǎng)研究院有限公司、中國移動通信集

團(tuán)有限公司等。

3、主要工作過程

標(biāo)準(zhǔn)制定的主要工作過程如下：

a)成立編制組。2019年8月，接到全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會關(guān)于

標(biāo)準(zhǔn)制定任務(wù)之后，課題組負(fù)責(zé)人隨即召集標(biāo)準(zhǔn)編制組的相關(guān)成員開

會，具體討論和分配了小組的任務(wù)、制定的重要事項(xiàng)、及需注意的事

項(xiàng)。

b)形成標(biāo)準(zhǔn)草案。2019年8月-9月，標(biāo)準(zhǔn)編制組開展關(guān)鍵信息基礎(chǔ)設(shè)施

安全防護(hù)能力評價方法的研究。標(biāo)準(zhǔn)編制組分析梳理了國內(nèi)外關(guān)鍵信

息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)化情況，對美國的C2M2模型及指標(biāo)、美國NIST

的評估指標(biāo)、CSA云評估，以及數(shù)據(jù)安全能力成熟度評估、系統(tǒng)安全

工程能力成熟度等相關(guān)材料進(jìn)行了深入研究，編制完成《信息安全技

術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》標(biāo)準(zhǔn)草案。

c)形成標(biāo)準(zhǔn)征求意見稿。2019年10月，在全國信息安全標(biāo)準(zhǔn)化技術(shù)委

1

國家標(biāo)準(zhǔn)征求意見稿資料

員會組織召開的重慶會議周上，經(jīng)過WG7與會專家討論，形成轉(zhuǎn)為

征求意見稿的會議決議。會后，編制組根據(jù)與會專家意見進(jìn)行了修改，

并于2019年11月召開專家意見會，先后形成了兩版征求意見稿。2020

年5月，公安部第三研究所和公安部第一研究所加入到標(biāo)準(zhǔn)編制組，

標(biāo)準(zhǔn)進(jìn)行了詳細(xì)討論和修改，形成征求意見稿第三版。2020年7月，

標(biāo)準(zhǔn)通過WG7組織召開的專家評審會和秘書處責(zé)任編輯審查，修改

后形成征求意見稿第五版。2020年8月10日-10月9日，信安標(biāo)委秘

書處向工業(yè)和信息化部科技司、公安部十一局、國家保密局、國家密

碼管理局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、中國信息安全測評中心、

中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局等上級主管部門發(fā)函征求意見，并在信安

標(biāo)委官網(wǎng)公開征求意見，征求意見范圍具有廣泛性和代表性。共收到

意見74條，意見處理結(jié)果為采納40條、未采納11條、部分采納23

條。標(biāo)準(zhǔn)在信安標(biāo)委網(wǎng)站公開征求意見，編制組修改完善后形成征求

意見稿第六版。

二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)在編制過程中遵循了先進(jìn)性和合理性原則。

先進(jìn)性原則體現(xiàn)在與國際同步。本標(biāo)準(zhǔn)在制定過程中主要參考了國際相關(guān)

標(biāo)準(zhǔn)，并與國際標(biāo)準(zhǔn)的演進(jìn)保持同步，本標(biāo)準(zhǔn)主要參考了美國的C2M2模型及指

標(biāo)、美國NIST的評估指標(biāo)、CSA云評估等。

合理性原則體現(xiàn)在與國內(nèi)實(shí)際情況相結(jié)合。國外的關(guān)鍵信息基礎(chǔ)設(shè)施安全

保護(hù)現(xiàn)狀和標(biāo)準(zhǔn)現(xiàn)狀與我國不同，為結(jié)合我國實(shí)際，且與國內(nèi)目前已有相關(guān)關(guān)鍵

信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)保持一致，本標(biāo)準(zhǔn)在我國已有關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)

的基礎(chǔ)上進(jìn)行了修改、調(diào)整和擴(kuò)充。

2、標(biāo)準(zhǔn)解決的問題及主要內(nèi)容

加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是維護(hù)網(wǎng)絡(luò)安全的重中之重。為落實(shí)《中華人

民共和國網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》提出的關(guān)鍵信息基

礎(chǔ)設(shè)施安全保護(hù)相關(guān)要求，評測關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者安全保護(hù)能力，支撐國

家相關(guān)部門開展的關(guān)鍵基礎(chǔ)信息設(shè)施安全檢測評估等工作，借鑒美國、歐盟等國

2

國家標(biāo)準(zhǔn)征求意見稿資料

家在關(guān)鍵信息基礎(chǔ)設(shè)施安全評估方面的相關(guān)標(biāo)準(zhǔn)、評估方法和實(shí)施經(jīng)驗(yàn)，并結(jié)合

我國網(wǎng)絡(luò)安全等級保護(hù)、云服務(wù)安全、工控安全等相關(guān)標(biāo)準(zhǔn)，研究制定適用于我

國關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的安全保護(hù)能力評價方法，指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)

營者和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施的安全性和可能存在的風(fēng)險進(jìn)行

檢測評估，從而幫助關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者提高其安全保護(hù)水平。

三、主要試驗(yàn)[或驗(yàn)證]情況分析

無。

四、知識產(chǎn)權(quán)情況說明

本標(biāo)準(zhǔn)不涉及專利。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果

無。

六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況