ICS 00.000 X xX CIIPA 团 体标 准 T/CIIPA 00001-2024 关键信息基础设施安全分析识别能力要求 与评价 Capability requirements and evaluation for security analysis and identification of critical information infrastructure (征求意见） 20XX-XX-XX 发布 20XX-XX-XX实施 中关村华安关键信息基础设施安全保护联盟 发布 目 次 前 引 言 1 范围 2规范性引用文件 3术语和定义 4缩略语 5分析识别总体要求 5.1基本原则 5.2分析识别技术措施 5.3业务分析识别过程 5.4资产分析识别过程 5.5风险分析识别过程 12 5.6重大变更管理过程 6分析识别能力模型 6.1模型框架 6.2模型组成 6.3评价指标， 18 6.4评价方法 7CII运营者分析识别能力 .19 7.1能力组成， 19 7.2安全管理机构 .19 7.3安全管理人员， 7.4分析识别工具 20 7.5开展工作能力， .20 7.6变更管理能力 21 8网络安全服务机构分析识别能力 21 8.1能力组成 8.2基本条件 .21 8.3组织管理能力 8.4工具管理能力 .22 8.5分析识别实施能力 .23 8.6质量管理能力 .24 8.7规范性保证能力 8.8服务可持续性能力 .25 附录 A （规范性)CI运营者分析识别能力评价指标， ...26 附录B （规范性）网络安全服务机构分析识别能力评价指标. （规范性）关键信息基础设施安全分析识别人员能力要求 ...37 参考文献 前言 本文件按照《中关村华安关键信息基础设施安全保护联盟标准管理办法（暂行）》的要求，依据 GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由中关村华安关键信息基础设施安全保护联盟提出。 本文件由中关村华安关键信息基础设施安全保护联盟网络安全标准专业委员会技术归口和解释。 本文件起草单位：国家工业信息安全发展研究中心、中关村华安关键信息基础设施安全保护联盟、 中国电子科技集团公司第十五研究所、华为技术有限公司、中国信息通信研究院、合肥天惟信息安全技 术有限公司、天津恒御科技有限公司、北京国信城研科学技术研究院、中国信息安全测评中心、中国电 力科学研究院有限公司、工信部教育与考试中心、国家石油天然气管网集团有限公司油气调控中心、中 国联合网络通信有限公司研究院、中国联合网络通信有限公司软件研究院、杭州中尔网络科技有限公司、 中国矿业大学、北京工商大学、国家广播电视总局监管中心、上海计算机软件技术开发中心、北京知道 创宇信息技术股份有限公司、南方电网数字电网集团信息通信科技有限公司、广州市盛通建设工程质量 检测有限公司、中国交通通信信息中心、水利部信息中心、国家基础地理信息中心、中国人民财产保险 股份有限公司、成都久信信息技术股份有限公司、深圳开源互联网安全技术有限公司、北京北信源软件 股份有限公司、北京启明星辰信息安全技术有限公司、北方实验室（沈阳）股份有限公司、大唐科技研 究总院、中国移动通信集团有限公司。 本文件主要起草人：刘志尧、逮瑶、周呈辉、刘赫、高松、修凤洲、徐彬、张少昌、肖凡、白云波、 张毅、肖红阳、许亚玲、魏启超、葛方隽、林果园、高原、郭辑、刘浩然、吕峰、王琼、张博、周映、 张磊、张震、陈树辉、杜渐贺林佳、李恒、张建宇等。 本文件首次发布。 本文件在执行过程中的意见或建议反馈至中关村华安关键信息基础设施安全保护联盟（地址：北京 市海淀区板井路69号世纪金源商务中心607，100097，网址：http://www.cipa.com，邮箱： [email protected])。 引言 关键信息基础设施是经济社会运行的神经中枢，是网络安全保护的重中之重。《中华人民共和国网 络安全法》第三十一条规定，关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。随 着我国信息化建设的迅猛推进，网络资产数量快速增长，网络架构日趋复杂，所承载的业务系统也日益 增多。关键信息基础设施正朝着大平台、大系统、大数据的方向融合发展，但这种融合也带来了网络边 界模糊、攻击面增加、业务逻辑繁杂和业务间依赖加深的问题，因此驱需开展关键信息基础设施安全分 析识别工作，对关键信息基础设施的业务依赖性、关键资产和风险隐患进行分析识别。 关键信息基础设施安全分析识别是《GB/T39204-2022信息安全技术关键信息基础设施安全保护 要求》文件中提出的关键信息基础设施安全保护六个方面环节的首要环节，是开展安全防护、检测评估、 监测预警、主动防御和事件处置等活动的基础。研究制定关键信息基础设施安全分析识别能力要求和评 价，一是落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《GB/T39204-2022信 息安全技术关键信息基础设施安全保护要求》等法律法规及政策标准中关于关键信息基础设施安全分 析识别的要求，建立一套综合性的关键信息基础设施安全分析识别机制；二是规范关键信息基础设施安 全分析识别的原则、内容、范畴等，为有关部门、关键信息基础设施运营者、网络安全服务机构有效开 展关键信息基础设施安全分析识别提供参考，进而提高关键信息基础设施安全保护水平；三是实现关键 信息基础设施业务链、资产和风险的全面梳理，为安全防护、检测评估、监测预警、主动防御和事件处 置等后续工作提供坚实的基础。 本文件参考国家标准、行业标准及国内网络安全服务机构能力建设与评定的相关内容，结合关键信 息基础设施安全保护制度及分析识别实际工作的特点，对关键信息基础设施运营者、网络安全服务机构 等开展分析识别活动提出能力要求和评价标准。 关键信息基础设施安全分析识别能力要求 1范围 本文件确立了关键信息基础设施安全分析识别的总体要求和能力模型，规定了关键信息基础设施运 营者和网络安全服务机构从事关键信息基础设施安全分析识别工作应具备的基本能力要求和评价方法。 本文件适用于指导关键信息基础设施运营者、网络安全服务机构开展关键信息基础设施安全分析识 别活动，以及评价安全分析识别能力水平，也可为关键信息基础设施安全分析识别服务需求方选择网络 安全服务机构时提供参考。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件， GB/T25069信息安全技术术语 GB/T39204信息安全技术关键信息基础设施安全保护要求 GB/T20984信息安全技术信息安全风险评估方法 3术语和定义 GB/T25069、GB/T39204、GB/T20984界定的以及下列术语和定义适用于本文件。 3.1关键信息基础设施critical information infrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共 利益的重要网络设施、信息系统等。 [来源：GB/T 39204-2022，3.1] 3.2关键信息基础设施安全分析识别 security analysis and identificationforcritical information infrastructure 依据国家关键信息基础设施保护制度规定，按照有关管理规范和技术标准，围绕关键信息基础设施 承载的关键业务，开展业务分析识别、资产分析识别和风险分析识别的活动。 3.3关键业务链criticalbusiness chain 组织的一个或多个相互关联的业务构成的关键业务流程。 [来源：GB/T39204-2022，3.3] 3.4业务分析识别business analysis and identification 梳理关键业务链，识别关键业务和与其相关联的外部业务，分析关键业务对外部业务的依赖性和重 要性，确定支撑关键业务的关键信息基础设施分布和运营情况的过程。 3.5资产分析识别 asset analysis and identification 识别关键业务链所依赖的资产，建立网络、系统、数据、服务和其他类资产的资产清单，分析支撑 业务的重要资产，确定资产防护的优先级，并根据资产的实际情况动态更新的过程。 3.6风险分析识别 risk analysis and identification 识别关键业务链各环节的威胁、脆弱性，确定已有安全控制措施，分析主要风险点，确定风险处置 的优先级，形成安全风险报告的过程。 4缩略语 下列缩略语适用于本文件。 CII：关键信息基础设施（Critical InformationInfrastructure） CVSS：通用漏洞评分系统（CommonVulnerability Scoring System） BIA：业务影响评估（Business Impact Assessment） 5分析识别总体要求 5.1基本原则 开展关键信息基础设施安全分析识别应遵循以下基本原则： a）全面性原则：应覆盖关键信息基础设施的所有关键点，包括业务链、资产和风险等，确保关键 业务链、关键资产和主要风险的全面梳理。 b）合规性原则：应符合网络安全领域相关法律法规、标准规范等要求，采取合法、正当