ICS 35.020 CCS L 05 DB 11 北京市 地方标准 DB11/T 2413—2025 信息安全技术 重要信息基础设施安全保护 与评估要求 Information security technology — Cybersecurity protection and assessme nt requirements for important information infrastructure 2025 - 06 - 24发布 2025 - 10 - 01实施 北京市市场监督管理局 发布 DB11/T 2413—2025 I 目次 前 言 ................................ ................................ ............ II 引 言 ................................ ................................ ........... III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 安全保护要求 ................................ ................................ ......... 1 4.1 网络安全等级保护 ................................ ................................ .1 4.2 安全通信网络 ................................ ................................ .....1 4.3 安全区域边界 ................................ ................................ .....1 4.4 安全计算环境 ................................ ................................ .....2 4.5 安全管理中心 ................................ ................................ .....2 4.6 安全管理制度 ................................ ................................ .....2 4.7 安全管理机构 ................................ ................................ .....2 4.8 安全管理人员 ................................ ................................ .....2 4.9 供应链安全 ................................ ................................ .......3 4.10 数据安全 ................................ ................................ ........ 3 4.11 安全运营 ................................ ................................ ........ 4 5 安全评估要求 ................................ ................................ ......... 5 5.1 安全评估方法 ................................ ................................ .....5 5.2 安全评估单元 ................................ ................................ .....5 5.3 安全评估判定方法 ................................ ................................ 20 参考文 献 ................................ ................................ ........ 22 DB11/T 2413 —2025 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起 草。 本文件由北京市公安局、北京市委网信办共同提出并归口。 本文件由北京市公安 局、北京市委网信办共同组织实施。 本文件起草单位：北京市公安局关键信息基础设施保护中心、北京市公安局网络安全保卫总队、中 共北京市委网络安全和信息化委员会办公室、公安部第三研究所、国家计算机网络应急技术处理协调中 心北京分中心、公安部第一研究所、北京市大数据中心、北京市数字教育中心、北京市标准化研究院、 首都信息发展股份有限公司、北京安信天行科技有限公司、深信服科技股份有限公司、国投云网数字科 技有限公司、科来网络技术股份有限公司、瑞数信息技术（上海）有限公司、国网北京市电力公司、中 国政法大学法治与可持续发展中心、 中国法学会法治研究所。 本文件主要起草人：张帆、问闻、郭毅、杨虎、周永战、陈亮、韩国宁、李杰、邝琳、李宝彦、徐 硕、陈广勇、刘宇畅、王丛妍、艾春迪、储迅潮、于跃、张志豪、迟海成、李童、贾宝刚、赵章界、陈 昊、李一鸣、刘云、张益谦、安亚鹏、方莉莉、叶润国、刘佳、闫明、张卫云、关福君、赵子慧、李秋 香、宫月、刘卜瑜、韩盟、周献飞、周巧霖、郝作成、刘金瑞、荣晓燕、李文静。DB11/T 2413—2025 III 引言 为落实 《中华人民共和国网络安全法》 相关要求， 加强北京市市域内重要信息基础设施的安全保护， 在国家等级保护制度和关键信息基础设施保护制度的基础上， 借鉴我国相关部门在重要行业和领域开展 网络安全保护工作的成熟经验，结合我国和北京市现有的网络安全保障成果，从安全通信网络、安全区 域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员等方面，提出重 要信息基础设施增强型安全保护与评估要求，切实加强重要信息基础设施安全保护。 DB11/T 2413—2025 1 信息安全技术 重要信息基础设施安全保护与评估要求 1 范围 本文件规定了重要信息基础设施的安全保护要求和评估要求。 本文件适用于重要信息基础设施安全保护和 安全评估工作。 2 规范性引用文件 下列文件中的内容通过文中的规范 性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22240 信息安全技术 网络安全等级保护定级指南 GB/T 25069 信息安全技术 术语 GB/T 39204—2022 信息安全技术 关键信息基础设施安全保护要求 3 术语和定义 GB/T 25069 界定的以及下列术语和定义适用于本文件 。 3.1 重要信息基础设施 important information infrastructure 北京市重要信息基础设施 是指北京市公共通信和信息服务、电子政务、能源、交通、金融、教育、 水务、卫生健康、城市管理、广播电视等重要行业和领域中，一旦遭受攻击或者数据泄露，可能严重危 害首都城市运行，直接威胁国家安全或者严重危害经济运行、社会稳定、公共健康和地区安全的网络设 施、信息系统等。 4 安全保护要求 4.1 网络安全等级保护 重要信息基础设施的网络安全保护等级应不低于 GB/T 22240 规定的第三级，且应达到相应等级的安 全保护要求。 4.2 安全通信网络 对业务连续性要求较高的，应采用至少两条不同运营商的通信线路，并实现通信线路 的故障实时检 测和链路自动切换。 4.3 安全区域边界 安全区域边界应符合以下要求： a) 应依据GB/T 39204—2022中10.1要求，收敛暴露面； b) 应采取措施 保证跨网络 通信双方的身份真实性，并授予最小访问控制权限； c) 应在网络区域间采取访问控制措施，防止网络区域之间的横向攻击； d) 应禁止将数据库服务器部署在互联网用户直接访问的网络区域。 DB11/T 2413 —2025 2 4.4