ICS 35.030 T CCS L 80 团 体 标 准 T/CIIPA 00006—2024 关键信息基础设施安全服务能力要求 Capability requirements for security service of critical information infrastructure 2025-03-07发布 2025-03-09实施 中关村华安关键信息基础设施安全保护联盟 发布 中 国 标 准 出 版 社 出版 T/CIIPA 00006—2024 目 次 前言 引言 IV ： 范围 规范性引用文件 2 3 术语和定义 缩略语 安全服务框架 总体要求 6.1 基本原则 6.2 基本条件 安全服务能力模型 7.1 模型组成 7.2 评价指标 7.3 评价方法、流程及形式 7.4 评价准则 8安全服务供给能力要求 8.1 安全咨询 8.2 教育培训 8.3 设计开发 8.4 安全防护 10 8.5 检测评估 13 8.6 技术对抗 13 8.7 应急处理 安全服务保障能力要求. 18 9.1 组织管理 18 9.2 项目管理 19 9.3 供应链管理 20 9.4 服务工具管理 9.5 远程服务 20 9.6 法律保障 21 9.7 数据安全机制 21 9.8 质量管理 21 9.9 保密管理 21 T/CIIPA 00006—2024 9.10 教育培训 22 9.11 服务可持续性 22 9.12 可持续性发展 22 9.13 服务机构行为规范性 22 附录A（资料性） 安全服务主要内容、关键活动和交付成果 23 附录B（资料性） 安全服务类别与GB/T30283一2022服务类别（代码）的对应关系 34 附录C（规范性） 服务机构安全服务能力评价指标· 36 参考文献 64 II T/CIIPA 00006—2024 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中关村华安关键信息基础设施安全保护联盟提出。 本文件由中关村华安关键信息基础设施安全保护联盟网络安全标准专业委员会归口 本文件起草单位：国网思极网安科技（北京）有限公司、中关村华安关键信息基础设施安全保护联 盟、中国工商银行股份有限公司、中国电力科学研究院有限公司、国家广播电视总局监管中心、国家工业 信息安全发展研究中心、教育部教育管理信息中心、北京北信源软件股份有限公司、中国信息安全测评 中心、中邮信息科技（北京)有限公司、中国大唐集团科学技术研究总院有限公司、中国建设银行股份有 限公司、中国电信集团有限公司、深圳万物安全科技有限公司、四川北斗弘鹏科技有限公司、湖南浩基信 息技术有限公司、中科信息安全共性技术国家工程研究中心有限公司、甘肃赛飞安全科技有限公司、 杭州中尔网络科技有限公司、工业和信息化部教育与考试中心、水利部信息中心、中国移动通信集团有 限公司、中国民生银行股份有限公司、南京众智维信息科技有限公司、银行卡检测中心（北京银联金卡科 技有限公司）、成都久信信息技术股份有限公司。 本文件主要起草人：夏颖、郭启全、乔淑娟、逐瑶、姜帆、杨阳、刘正坤、李永刚、张松、任磊、尹琴、 祁剑、于越、宫春江、靳喜军、君、石天浩、王文路、许科展、于俊杰、伊玮珑、孙滢、肖红阳、李炎、郑世涛、 胡建勋、伊鹏达、杜建斌、谢占斐、陈傲晗、葛方隽、孙茂增、王天昊、徐子龙、谢金鑫、彭洋、陶然、苏勇、 吴、王明军。 T/CIIPA00006—2024 引言 关键信息基础设施安全保护自身具有实战引领、服务为先和业务融合的特点，从安全服务人手，以 风险治理为根，以安全运营为翼，了解业务方能定制安全，专业安全服务先行是做好关键信息基础设施 安全保护工作的核心要义。在当今数字化时代，关键信息基础设施的安全问题日益凸显，其安全服务能 力的标准化、专业化已成为行业发展的迫切需求。为此制定本文件，旨在规范网络安全服务机构的服务 行为，提升其安全服务能力，确保关键信息基础设施的稳健运行， 本文件围绕关键信息基础设施安全服务机构的核心能力进行深入剖析，主要包括两大方面：一是安 全服务供给能力，在网络安全服务机构对外提供安全服务的能力层面，旨在从经验积累、专业人员、专业 工具三个方面，明确提出了服务能力要求，以确保网络安全服务机构能够为关键信息基础设施运营者提 供管理、技术、运营等不同维度高效、专业的安全服务。二是安全服务保障能力，在网络安全服务机构自 据安全机制、质量管理、保密管理、教育培训、服务可持续性、可持续性发展、服务机构行为规范性等多个 角度出发，设定严格的标准和要求，以强化网络安全服务机构内部的安全管理和风险防范。 通过实施本文件，期望能够提升关键信息基础设施网络安全服务机构的整体服务质量和水平，进一 步筑牢关键信息基础设施安全防线，为数字经济的健康发展提供有力支撑。 V T/CIIPA00006—2024 引言 关键信息基础设施安全保护自身具有实战引领、服务为先和业务融合的特点，从安全服务人手，以 风险治理为根，以安全运营为翼，了解业务方能定制安全，专业安全服务先行是做好关键信息基础设施 安全保护工作的核心要义。在当今数字化时代，关键信息基础设施的安全问题日益凸显，其安全服务能 力的标准化、专业化已成为行业发展的迫切需求。为此制定本文件，旨在规范网络安全服务机构的服务 行为，提升其安全服务能力，确保关键信息基础设施的稳健运行， 本文件围绕关键信息基础设施安全服务机构的核心能力进行深入剖析，主要包括两大方面：一是安 全服务供给能力，在网络安全服务机构对外提供安全服务的能力层面，旨在从经验积累、专业人员、专业 工具三个方面，明确提出了服务能力要求，以确保网络安全服务机构能够为关键信息基础设施运营者提 供管理、技术、运营等不同维度高效、专业的安全服务。二是安全服务保障能力，在网络安全服务机构自 据安全机制、质量管理、保密管理、教育培训、服务可持续性、可持续性发展、服务机构行为规范性等多个 角度出发，设定严格的标准和要求，以强化网络安全服务机构内部的安全管理和风险防范。 通过实施本文件，期望能够提升关键信息基础设施网络安全服务机构的整体服务质量和水平，进一 步筑牢关键信息基础设施安全防线，为数字经济的健康发展提供有力支撑。 V T/CIIPA00006—2024 引言 关键信息基础设施安全保护自身具有实战引领、服务为先和业务融合的特点，从安全服务人手，以 风险治理为根，以安全运营为翼，了解业务方能定制安全，专业安全服务先行是做好关键信息基础设施 安全保护工作的核心要义。在当今数字化时代，关键信息基础设施的安全问题日益凸显，其安全服务能 力的标准化、专业化已成为行业发展的迫切需求。为此制定本文件，旨在规范网络安全服务机构的服务 行为，提升其安全服务能力，确保关键信息基础设施的稳健运行， 本文件围绕关键信息基础设施安全服务机构的核心能力进行深入剖析，主要包括两大方面：一是安 全服务供给能力，在网络安全服务机构对外提供安全服务的能力层面，旨在从经验积累、专业人员、专业 工具三个方面，明确提出了服务能力要求，以确保网络安全服务机构能够为关键信息基础设施运营者提 供管理、技术、运营等不同维度高效、专业的安全服务。二是安全服务保障能力，在网络安全服务机构自 据安全机制、质量管理、保密管理、教育培训、服务可持续性、可持续性发展、服务机构行为规范性等多个 角度出发，设定严格的标准和要求，以强化网络安全服务机构内部的安全管理和风险防范。 通过实施本文件，期望能够提升关键信息基础设施网络安全服务机构的整体服务质量和水平，进一 步筑牢关键信息基础设施安全防线，为数字经济的健康发展提供有力支撑。 V