ICS35.030CCSL80团 体 标 准T/CIIPA00007—2024关键信息基础设施安全检测评估能力要求Capabilityrequirementsforsecurityinspectionandevaluationofcriticalinformationinfrastructure 2025-03-07发布2025-03-09实施中关村华安关键信息基础设施安全保护联盟发布中国标准出版社出版 全国团体标准信息平台 目 次前言Ⅲ…………………………………………………………………………………………………………引言Ⅳ…………………………………………………………………………………………………………1 范围1………………………………………………………………………………………………………2 规范性引用文件1…………………………………………………………………………………………3 术语和定义1………………………………………………………………………………………………4 检测评估总体要求2……………………………………………………………………………………… 4.1 基本原则2…………………………………………………………………………………………… 4.2 方式和内容3…………………………………………………………………………………………5 检测评估能力3…………………………………………………………………………………………… 5.1 核心能力3…………………………………………………………………………………………… 5.2 能力组成4…………………………………………………………………………………………… 5.3 评价指标5…………………………………………………………………………………………… 5.4 评价准则和方法5……………………………………………………………………………………6 运营者检测评估能力5…………………………………………………………………………………… 6.1 能力组成5…………………………………………………………………………………………… 6.2 管理机构6…………………………………………………………………………………………… 6.3 专业人员6…………………………………………………………………………………………… 6.4 检测评估装备6……………………………………………………………………………………… 6.5 合规检测评估7……………………………………………………………………………………… 6.6 风险检测评估7………………………………………………………………………………………7 网络安全检测评估机构检测评估能力8………………………………………………………………… 7.1 能力组成8…………………………………………………………………………………………… 7.2 基本条件8…………………………………………………………………………………………… 7.3 组织管理能力9……………………………………………………………………………………… 7.4 测评实施能力9……………………………………………………………………………………… 7.5 设施和设备安全与保障能力10……………………………………………………………………… 7.6 质量管理能力11……………………………………………………………………………………… 7.7 规范性保证能力11…………………………………………………………………………………… 7.8 风险控制能力12……………………………………………………………………………………… 7.9 可持续性发展能力12…………………………………………………………………………………附录A(规范性) 运营者检测评估能力评价指标14………………………………………………………附录B(规范性) 网络安全检测评估机构检测评估能力评价指标17……………………………………附录C(规范性) 关键信息基础设施安全检测评估机构评估人员能力要求23…………………………附录D(资料性) 检测评估技术措施25……………………………………………………………………ⅠT/CIIPA00007—2024 全国团体标准信息平台 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村华安关键信息基础设施安全保护联盟提出。本文件由中关村华安关键信息基础设施安全保护联盟网络安全标准专业委员会归口。本文件起草单位:中国电子科技集团公司第十五研究所、中关村华安关键信息基础设施安全保护联盟、国家工业信息安全发展研究中心、中国信息安全测评中心、国家广播电视总局监管中心、杭州安信检测技术有限公司、银行卡检测中心(北京银联金卡科技有限公司)、广州竞远安全技术股份有限公司、北京北信源软件股份有限公司、国网思极检测技术(北京)有限公司、中国电力科学研究院有限公司、中国联合网络通信有限公司研究院、大唐科技研究总院、工业和信息化部教育与考试中心、教育部教育管理信息中心、中国工商银行股份有限公司、中邮信息科技(北京)有限公司、水利部信息中心、中国民生银行股份有限公司、中国联合网络通信集团有限公司、中国电信集团有限公司、中国移动通信集团有限公司、湖南浩基信息技术有限公司、甘肃赛飞安全科技有限公司、中科信息安全共性技术国家工程研究中心有限公司、成都久信信息技术股份有限公司、四川北斗弘鹏科技有限公司、湖北珞格科技发展有限公司、杭州中尔网络科技有限公司、合肥天帷信息安全技术有限公司、北京众安天下科技有限公司。本文件主要起草人:霍珊珊、郭启全、刘健、逯瑶、张益、刘赫、刘琛、杨龙、裴帅、赵霖、孙琪、于盟、曹禹、周呈辉、王尊、杜宇鸽、邸丽清、杨波、李炎、何冠辉、叶玉杰、孙茂增、王天昊、原野、梁承东、彭世强、林皓、杨华、徐建、陶然、张仕文、吴谬、王明军、邓力萍、胡健勋、刘元、成嘉轩、邹远辉、刘洋、张傑、王柯龙、杨蔚、徐亮亮、杜建斌、谢占斐、陈傲晗、魏启超。 ⅢT/CIIPA00007—2024 全国团体标准信息平台 引 言 关键信息基础设施是经济社会运行的神经中枢,是网络安全保护的重中之重。《中华人民共和国网络安全法》第三十一条规定,关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护。《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》对关键信息基础设施运营者开展网络安全检测和风险评估的责任和义务进行了规定。关键信息基础设施安全检测评估是GB/T39204—2022中提出的关键信息基础设施安全保护六个方面环节之一,检测和评估关键信息基础设施安全状况、发现存在的问题和风险,为关键信息基础设施安全整改建设和监督管理提供依据。关键信息基础设施安全检测评估是以合规测评为基础的网络安全风险和能力判定。由于关键信息基础设施通常由一个或多个等级保护对象构成,因此,关键信息基础设施安全检测评估在其所有等级保护对象开展等级测评之后进行,以便复用等级测评结果。关键信息基础设施安全检测评估能力要求参考国家标准、行业标准及要求、检测评估机构能力建设与评价的相关内容,结合关键信息基础设施安全保护制度及检测评估实际工作特点,对关键信息基础设施运营者、网络安全检测评估机构开展检测评估活动提出基本能力要求。在此背景下,为确保有效指导提升检测评估能力,满足关键信息基础设施安全保护工作要求,特制定本文件。 ⅣT/CIIPA00007—2024 全国团体标准信息平台