《关键信息基础设施安全检测评估能力要求》.pdf

ICS00.000

XXXCIIPA

团体标准

—

T/CIIPA000072024

关键信息基础设施安全检测评估能力要求

Capabilityrequirementsforsecurityinspectionandevaluationofcritical

informationinfrastructure

（征求意见稿）

20XX-XX-XX发布20XX-XX-XX实施

中关村华安关键信息基础设施安全保护联盟发布

关键信息基础设施安全检测评估能力要求

1范围

本文件确立了关键信息基础设施安全检测评估总体要求、能力组成，规范了从事关键信

息基础设施安全检测评估工作应具备的基本能力要求。

本文件适用于关键信息基础设施运营者、网络安全检测评估机构对关键信息基础设施开

展安全检测评估的能力建设参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适

用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T25069-2022信息安全技术术语

GB/T39204-2022信息安全技术关键信息基础设施安全保护要求

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T28448-2019信息安全技术网络安全等级保护测评要求

GB/T36959-2018信息安全技术网络安全等级保护检测评估机构能力要求和评估规范

3术语和定义

GB/T25069、GB/T39204、GB/T22239、GB/T28448、GB/T36959界定的以及下列术

语和定义适用于本文件。

3.1关键信息基础设施criticalinformationinfrastructure

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业

等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安

全、国计民生、公共利益的重要网络设施、信息系统等。

3.2检测评估testingandevaluation

为检测评估安全防护措施的有效性，发现网络安全风险隐患，建立相应的检测评估制度，

确定检测评估的流程及内容等，开展安全检测与风险隐患评估，分析潜在安全风险可能引发

的安全事件。

3.3访谈interview

检测评估人员通过引导关键信息基础设施保护相关人员进行有目的（有针对性）的交流

以帮助检测评估人员理解、澄清或取得证据的过程。

3.4核查examine

检测评估人员通过对检测评估对象（如制度文档、各类设备及相关安全配置等）进行观

察、查验和分析，以帮助检测评估人员理解、澄清或取得证据的过程。

3.5测试test

6/31

检测评估人员使用预定的方法/工具使检测评估对象（各类设备或安全配置）产生特定

的结果，将运行结果与预期的结果进行比对的过程。

3.6评估evaluate

检测评估人员对关键信息基础设施可能存在的威胁及其可能产生的后果进行综合评价

和预测的过程。

3.7关键信息基础设施安全检测评估testingandevaluationforcriticalinformation

infrastructure

检测评估机构依据国家关键信息基础设施保护制度规定，按照有关管理规范和技术标准，

对关键信息基