信息安全技术 关键信息基础设施安全防护能力评价方法

ICS35.040

L80

中华人民共和国国家标准

GB/TXXXXX—XXXX

信息安全技术关键信息基础设施安全防护

能力评价方法

Informationsecuritytechnology－Theevaluationmethodforsecurityprotection

capabilityofcriticalinformationinfrastructure

在提交反馈意见时，请将您知道的相关专利连同支持文件一并附上。

（征求意见稿）

(本稿完成日期：2021-03-26)

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX—XXXX

目  次

前言.......................................................................................................................................................................II

1范围.....................................................................................................................................................................1

2规范性引用文件.................................................................................................................................................1

3术语和定义.........................................................................................................................................................1

4评价模型.............................................................................................................................................................2

4.1模型组成.....................................................................................................................................................2

4.2能力等级.....................................................................................................................................................2

4.3能力域.........................................................................................................................................................2

4.4评价方法、流程及形式.............................................................................................................................3

5识别认定.............................................................................................................................................................4

5.1业务识别.....................................................................................................................................................5

5.2资产识别.....................................................................................................................................................6

5.3风险识别.....................................................................................................................................................7

6安全防护.............................................................................................................................................................8

6.1鉴别与授权.................................................................................................................................................8

6.2数据安全...................................................................................................................................................12

6.3边界防护...................................................................................................................................................13

6.4容灾备份...................................................................................................................................................15

6.5安全制度体系...........................................................................................................................................17

6.6人员管理...................................................................................................................................................18

6.7运维...........................................................................................................................................................22

6.8供应链管理...............................................................................................................................................24

7检测评估...........................................................................................................................................................27

7.1安全检测...................................................................................................................................................27

7.2分析评估...................................................................................................................................................29

7.3抽查检测...................................................................................................................................................30

8监测预警...........................................................................................................................................................25

8.1监测...........................................................................................................................................................31

8.2预警.......................................................................................................................错误！未定义书签。33

8.3通报...........................................................................................................................................................27

9事件处置...........................................................................................................................................................35

9.1应急预案...................................................................................................................................................35

9.2事件响应...................................................................................................................................................37

9.3恢复...........................................................................................................................................................39

9.4改进...........................................................................................................................................................40

I

GB/TXXXXX—XXXX

信息安全技术关键信息基础设施安全防护能力评价方法

1范围

本文件描述了关键信息基础设施安全防护能力评价模型，给出了能力评价方法。

本文件适用于关键信息基础设施运营者对关键信息基础设施安全防护能力进行评价，也可适用于网

络安全服务机构对关键信息基础设施安全防护能力进行评价，并可供关键信息基础设施保护工作部门和

关键信息基础设施安全保护的其他参与者参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T30285—2013信息安全技术灾难备份中心建设与运维管理规范

GB/T36637—2018信息安全技术ICT供应链安全风险管理指南

GB/TAAAAA—AAAA信息安全技术关键信息基础设施网络安全保护基本要求

3术语和定义

GB/T22239-2019、GB/T25069和GB/TAAAAA-AAAA界定的以及下列术语和定义适用于本文件。

3.1

关键信息基础设施安全防护能力securityprotectioncapabilityofcriticalinformationinfrastructure

关键信息基础设施运营者采取网络安全措施保障其业务稳定、持续运行的能力。

3.2

供应链基础设施supplychaininfrastructure

由组织内的硬件、软件和流程等构成的集合，用于构建产品或服务的开发、生产、测试、部署、维

护、报废等系统生命周期的环境。

注1：供应链基础设施，主要包括组织内部支撑供应链生命周期的信息系统和物理设施，如供应链管理信息系统、

采购管理系统、软件开发环境、零部件生产车间、产品仓库等。

注2：供应链信息系统，属于供应链基础设施，是由计算机、其他信息终端、相关设备、软件和数据等组成的，按

照一定的规则和程序支撑产品或服务的开发、采购、生产、集成、仓储、交付、维护、外包等供应链生命周期的系统。

[来源：GB/T36637—2018，定义3.8，有修改]

1

GB/TXXXXX—XXXX

4评价模型

4.1模型组成

关键信息基础设施安全防护能力评价模型包括能力级别、能力域和能力项以及相应的能力评价方

法，见图1。

图1模型组成

4.2能力等级

关键信息基础设施安全防护能力依据5个能力域完成程度的高低进行分级评估，包括3个能力等级。

能力等级之间为递进关系，高一级的能力要求包括所有低等级能力要求。能力等级及特征见表1。

表1安全能力等级及特征

关键信息基础设施安全等级特征

防护能力等级

能力等级1能识别相关风险，防护措施成体系，能够开展检测评估活动，具备监

测预警能力；能够按规定接受和报送相关信息；在突发事件发生后能

应对并按计划恢复。

能力等级2能清晰识别相关风险，防护措施有效，能够检测评估出主要安全风险，

主动监测预警和态势感知，事件响应较为及时，业务能够及时恢复。

能力等级3识别认定完整清晰，防护措施体系化、自动化高，能够及时检测评估

出主要安全风险，使用自动化工具进行监测预警和态势感知，信息共

享和协同程度高，事件响应及时有效，业务可近实时恢复。

4.3能力域

能力域明确了运营者在关键信息基础设施安全防护所需具备的能力，包括识别认定、安全防护、检

2

GB/TXXXXX—XXXX

测评估、监测预警、事件处置5个方面的关键能力，每个安全能力包含若干能力指标，每个能力指标包

含若干评价内容，评价内容主要来自GB/TAAAAA—AAAA和GB/T22239-2019，评价指标表见表2。

另外，对于包含工业控制系统或者采用云计算平台等的关键信息基础设施，应满足GB/T22239-2019中

扩展要求中三级以上的相应要求。

表2评价指标表

评价内容

序号能力域能力项

GB/TAAAAA—AAAAGB/T22239-2019

1.识别认定业务识别6.1，6.4

2.资产识别6.2，6.4

3.风险识别6.3，6.4

4.安全防护鉴别与授权7.5.1b）.6.18.1.1.2，8.1.4.1，8.1.4.2

5.数据安全7.6.38.1.4.7，8.1.4.8，8.1.4.10，

8.1.4.11

6.边界防护7.5.1a）、c）和7.5.28.1.2.1，8.1.3.1，8.1.3.2

7.容灾备份7.6.38.1.4.9a)、b、)c)，

8.1.2.1a)、b)、e)

8.安全制度8.1，7.6，7.7.18.1.6

7.2

9.机构人员7.3、7.48.1.6，8.1.8，9.1.8

10.运维管理7.88.1.10.6，8.1.10.8，

8.1.10.14

11.供应链管理7.7.28.1.9.3，8.1.9.4，8.1.9.5，

8.1.9.10

12.检测评估安全检测7.5.3,7.6.4，7.6.28.1.4.5,8.1.7.5

13.分析评估8.2，7.5.38.1.3.5,8.1.4.3

14.抽查检测8.2

15.监测预警监测9.1a)，9.2

16.预警9.1a)、b、)c)、d、)f)，9.3

17.通报9.1a)、d)，9.3b)、d)

18.事件处置应急预案和演练10.2，10.1c）

19.事件响应10.1、10.3.1、10.3.2，10.3.3

20.恢复10.3.2a）、d）

21.改进10.3.2d），10.4

4.4评价方法、流程及形式

4.4.1评价方法

关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和商用密码应用安全性评

估三部分。关键信息基础设施安全防护能力域评价前，关键信息基础设施应首先通过相应等级的等级保

3

GB/TXXXXX—XXXX

护测评和商用密码应用安全性评估。然后，组织应按照能力域评价内容和评价操作方法开展评价工作，

给出对每项评价指标的判定结果和所处级别，得出每个能力域级别，综合5个能力域级别以及等级保护

测评结果得出关键信息基础设施安全防护能力等级。

一般来说，满足某一级别某一能力域全部能力评价项为满足本级别能力域，满足某一级别所有能力

域全部能力评价项为达到某一级别关键信息基础设施安全防护能力。特殊情况下，可对不同能力域的安

全风险进行分析，根据风险得出安全防护能力等级。例如：某关键信息基础设施满足5个能力域能力等

级1的能力评价项，则该关键信息基础设施安全防护能力等级为1。某关键信息基础设施安全防护能力

域能力等级没有达到能力等级1，但是其检测评估能力达到能力等级2或3，能够尽快发现风险并转移

或缓解风险，能够使得关键信息基础设施不受损害，业务连续性不受影响，评估后关键信息基础设施安

全防护能力为能力等级1。

关键信息基础设施安全防护能力应综合考虑5个能力域级别与等级保护测评结果。对应能力等级1

的关键信息基础设施等级保护测评结果应至少为中；对应能力等级2的关键信息基础设施等级保护测评

结果应至少为良；对应能力等级3的关键信息基础设施等级保护测评结果应为优。对于一个关键信息基

础设施包含多个网络安全等级保护对象的，等级保护测评结果应取多个网络安全等级保护对象测评结果

中的最低值。

4.4.2评价实施流程

评价实施流程主要包括：评价准备、方案编制、现场实施和分析评价四个阶段，与运营者的沟通与

洽谈贯穿整个过程。

在评价准备阶段，应明确被测对象、拟提供的证据、评价进度等相关信息，并组建评价实施团队。

在方案编制阶段，应确定评价对象、评价内容和评价方法，确定评价边界和范围，了解运营者的系

统运行状况、安全机构、制度、人员等现状，并根据需要选择、调整、开发和优化测试用例，形成相应

安全评价方案。

在现场实施阶段，应根据评价操作方法进行审核，并根据需要进行测试。必要时，应补充相关证据，

双方对现场实施结果进行确认。

在分析评价阶段，应对现场实施阶段所形成的证据进行分析，给出对每个能力项的判定结果和所处

级别，得出每个能力域级别，从而判定关键信息基础设施安全防护能力级别。评价报告中应给出整体安

全状况、每个能力域的安全状况、安全薄弱点、安全保护较好的方面等内容，以便于运营者全面了解自

身安全防护状况和下一步提升方向。

注：在分析评价时，满足相应能力项能力等级描述表相应等级的所有内容，为具备某一等级的能力项能力，不同等

级为依次递进关系，满足高一等级能力则必须首先满足能力等级描述表中前一等级的内容。

4.4.3评价形式

关键信息基础设施安全防护能力评价形式包括两种：

运营者自评：由运营者自行对关键信息基础设施安全防护情况进行评价。通过自评，掌握本组织安

全防护现状，并针对薄弱环节采取有效改进措施，最终达到改善和提高本组织关键信息基础设施安全防

护能力的目的。

外部评价：由外部组织（例如，网络安全服务机构）按照能力等级和评价方法对安全防护情况进行

评价，最终达到为运营者提供更客观、更详实、更专业的安全防护能力的目的。

5识别认定

4

GB/TXXXXX—XXXX

5.1业务识别

5.1.1评价内容

见GB/TAAAAA-AAAA中6.1和6.4。

5.1.2评价操作方法

评价操作方法包括但不限于：

a）检查关键信息基础设施分析识别相关制度文档，查看其：

1)是否按照国家和行业关键信息基础设施识别规范或要求，制定相关制度，开展业务识别工

作；

2)识别流程是否符合相关规范要求；

3)是否对制度文档进行定期更新；

b）检查关键信息基础设施业务识别相关成果文档，查看其：

1)是否识别了本组织的关键业务，关键业务识别是否符合组织相关制度要求；

2)是否分析出关键业务所依赖的外部关键业务；

3)是否识别关键业务、目标和活动的重要性。

4)是否分析了本组织关键业务对外部关键业务的重要性；

5)是否梳理形成了关键业务链，关键业务链的描述是否明确；

6)是否在文档中提供支撑本组织关键业务的关键信息基础设施分布和运营情况；

7)是否根据业务、设施等变化及时进行重新识别；

8)是否定期对文档进行更新；

9)是否通过技术手段支持业务识别；

c）访谈关键信息基础设施保护相关人员或角色，询问其：

1)是否收到过识别认定相关文档或接受相关培训；

2)业务识别情况是否经过了内部审核；

3)是否了解本组织的关键业务、与外部关键业务的依赖关系以及关键业务链；

4)是否了解支撑本组织关键业务链的关键信息基础设施分布和运营情况。

5.1.3能力等级

能力等级如表3所示。

表3业务识别能力等级描述

能力项能力等级1能力等级2能力等级3

业务识别1）按照国家和行业关键1）有效实施了关键信息基础设施识别认1）根据组织实施情

信息基础设施识别规范定相关制度规范；况对关键信息基础

或要求，制定相关制度，设施业务识别能力

开展业务识别工作，制度进行持续改进；

审核发布，并定期更新；

2）在发生重大变更时及

时更新关键信息基础设

施识别认定相关制度规

范，并开展业务识别工

作。

5

GB/TXXXXX—XXXX

3）梳理关键业务，形成2）业务识别文档清晰分析了业务之间的2）业务识别情况经

关键信息基础设施业务相互依赖关系，描述了关键业务链的组成过内部审核，采用形

识别相关成果文档；及相互关系，提供了每个业务链的关键信式化的方式进行业

息基础设施或子系统名称、运营者及所处务识别描述；根据业

位置等信息；务、设施等变化及时

进行重新识别，并更

新相关文档；

4）按照识别认定流程，3）定期对网络安全和关键业务相关人员3)能够为业务识别

将业务识别情况通知本和角色进行培训和宣贯，了解识别认定相提供技术支持，能够

组织的相关部门；关要求和关键业务情况。通过自动化机制将

5）网络安全和关键业务识别情况和相关文

相关人员和角色了解识档通报相关人员或

别认定相关要求和关键角色，能够通过技术

业务情况。手段或自动化方式

及时发现业务链变

更。

5.2资产识别

5.2.1评价内容

见GB/TAAAAA-AAAA中6.2和6.4。

5.2.2评价操作方法

评价操作方法包括但不限于：

a）检查关键信息基础设施资产清单，查看其：

1)是否识别了关键业务链所依赖的资产，包括关键业务链相关的数据、服务、信息系统、平

台或支撑系统、基础设施、服务、人员管理等；

2)是否基于资产类别、资产重要性和支撑业务的重要性（可采用风险评估等方法），对资产

进行优先排序；

3)是否依据资产排序，确定资产防护的优先级；

4)资产清单内容是否清晰详细，形式是否规范；

b）检查关键信息基础设施资产清单更新和维护记录，查看其：

1)是否在关键信息基础设施发生改建、扩建等重大变化时，重新开展识别工作，并更新资产

清单；

2)是否对资产清单进行定期更新；

c）检查关键信息基础设施资产识别方式，查看其：

1)是否通过技术手段或自动化机制支持资产识别的过程；

2)资产识别流程是否规范，识别结果是否经过内部审核；

d）检查关键信息基础设施资产管理工具、文档或记录，查看其：

1)是否记录了对关键信息基础设施资产清单中相关资产的管理情况；

2)是否明确了各项资产的管理责任人；

6

GB/TXXXXX—XXXX

3)是否实现对关键信息基础设施相关资产的自动化管理；

4)是否根据关键业务链所依赖资产的实际情况，实现资产的实时动态更新；

5)是否采用了资产定位技术手段，监控并追踪受控区域内资产的位置和转移情况；

6)是否使用自动机制识别关键信息基础设施信息系统中新增的非授权软件、硬件或固件组

件。

e）访谈关键信息基础设施保护相关人员或角色，核实以上内容。

5.2.3能力等级

能力等级如表4所示。

表4资产识别能力等级描述

能力项能力等级1能力等级2能力等级3

资产识别1）形成关键信息基础设施资产1）资产清单包括设备名称、所处1）定期审核资产识别能力并持续

清单；位置、所支撑的业务、责任人等信改进；

2）基于资产类别、资产重要性息；

和支撑业务的重要性，对资产进2）确定资产防护的优先级，对资

行优先排序；产优先排序和资产防护优先级有

3）定期更新资产清单；较为充分的说明；

3）及时更新资产清单，并对资产

进行优先排序；

4）实现对关键信息基础设施相4）对资产实施自动化管理。2）根据关键业务链所依赖资产

关资产的管理。的实际情况实时动态更新

3）采用了资产定位技术手段，监

控并追踪受控区域内资产的位置

和转移情况；

4）能够使用自动机制识别关键信

息基础设施信息系统中新增的非

授权软件、硬件或固件组件。

5.3风险识别

5.3.1评价内容

见GB/TAAAAA-AAAA中6.3和6.4。

5.3.2评价操作方法

评价操作方法包括但不限于：

a）检查风险管理策略、制度、更新记录等相关文档，查看其：

1)是否制定了风险管理策略和制度：

2)是否根据关键业务情况确定了风险承受度；

3)是否定期或不定期更新风险管理策略、制度等文档。

b）检查关键信息基础设施业务风险分析相关文档，查看其：

1)业务风险分析是否全面，是否涵盖关键业务链所有环节；

2)是否形成业务风险应对方案；

7

GB/TXXXXX—XXXX

3)是否针对所有操作状态（如在胁迫/攻击下、恢复期间、正常操作期间），建立支持关键

业务提供的可恢复性要求；

4)是否确定风险处置的优先级；

5)是否定期实施风险分析；

6)是否定期或在发生重大变更时，重新开展风险分析；

7)能够根据业务识别和资产识别等变更情况，重新开展风险识别；

c）检查关键信息基础设施合规性风险分析相关文档，查看其：

1)是否梳理了网络安全政策法规中涉及自身业务或系统的相关要求；

2)是否开展合规性风险分析并在政策出台或变更后及时更新；

d）检查关键信息基础设施安全风险报告整体情况，查看其：

1)是否形成安全风险报告；

2)是否分析了关键业务链各环节的主要安全风险点，包括：识别关键业务链面临的威胁、实

施脆弱性扫描、识别组织已有的安全措施、分析风险；

3)安全风险报告是否包括业务风险、系统风险、合规性风险等内容；

e）访谈关键信息基础设施保护相关人员或角色，核实以上内容。

5.3.3能力等级

能力等级如表5所示。

表5风险识别能力等级描述

能力项能力等级1能力等级2能力等级3

风险识别1）制定了风险管理策略和制度，审1）及时更新风险管理策略和1）定期评审风险识别能力并持续改

核发布并定期更新；制度；进。

2）根据关键业务情况确定了风险

承受度；

3）根据关键业务链开展了安全风2）安全风险报告应包括：业2）业务风险分析包括了所有操作状态

险及其影响分析；务风险、系统风险、合规性风（如在胁迫/攻击下、恢复期间、正常

4）识别了关键业务链各环节的威险等内容。操作期间），建立支持关键业务提供的

胁、脆弱性、已有安全控制措施及3）及时开展风险识别工作并可恢复性要求；

主要安全风险点；更新安全风险报告。

5）梳理明晰网络安全政策法规中涉

及自身业务或系统的相关要求；

6）确定风险处置的优先级；

7）形成安全风险报告；

8）定期开展风险识别工作并更新安

全风险报告。

6安全防护

6.1鉴别与授权

6.1.1评价内容

8

GB/TXXXXX—XXXX

见GB/TAAAAA-AAAA中7.5.1b）和7.6.1，以及GB/T22239-2019中8.1.1.2，9.1.1.2，8.1.4.1，

8.1.4.2。

6.1.2评价操作方法

评价操作方法包括但不限于：

a）检查关键信息基础设施相关文档，查看其：

1)是否识别了重要业务操作和异常用户操作行为，并形成了清单；

2)识别出的重要业务操作和异常用户操作行为是否覆盖了设备、服务或应用、数据等各个方

面；

3)重要业务操作和异常用户操作行为清单内容是否清晰详细，包含了操作说明、涉及的相关

部门及岗位、业务流程、应用程序、安全防护措施等，安全防护措施中是否有动态的身份

鉴别方式或者多因素鉴别方式等；

4)是否识别了重要的业务用户、管理用户、服务、应用、数据资源，并形成清单；

5)是否建立了用户、服务、应用、数据的访问控制策略；

6)重要业务操作和异常用户操作行为的识别过程是否综合考虑了业务以及网络安全相关的

威胁和风险；

7)重要业务操作和异常用户操作行为，重要的业务用户、管理用户、服务、应用、数据资源，

的识别流程是否规范，访问控制策略制定过程是否规范；

8)重要业务操作和异常用户操作行为识别结果，重要的业务用户、管理用户、服务、应用、

数据资源识别结果以及访问控制策略是否经过内部审核；

9)相关文档是否正式签发，形式是否规范，包含了版本变更情况、版本号、变更时间等；

b）检查关键信息基础设施重要业务操作或异常用户操作行为清单，重要的业务用户、管理用户、

服务、应用、数据资源清单，访问控制策略的更新和维护记录，查看其：

1)是否在关键信息基础设施发生改建、扩建、业务流程变更等重大变化时，重新开展上述清

单识别制定工作，并更新清单；

2)是否根据管理要求定期更新清单和访问控制策略；

3)是否根据业务风险以及外部威胁变化对清单进行不定期更新；

4)是否根据风险、外部威胁或业务流程的变化对访问控制策略进行不定期更新；

c）检查关键信息基础设施相关机房的安全管控手段，查看其：

1)机房是否配置并启用了电子门禁系统；

2)机房是否划分区域，在重要区域配置并启用了电子门禁系统；

3)门禁系统中是否使用PIN口令、IC卡或生物特征技术进行认证；

4)门禁系统中是否保存了人员进入的日志记录；

d）检查关键信息基础设施相关用户、服务或应用、数据的安全管控手段，查看其：

1)业务用户是否仅拥有完成其工作的最小权限，当进行重要操作时，是否采用双因素身份鉴

别的方式，

2)管理用户访问关键信息基础设施时是否必须通过双因素身份鉴别，并仅拥有完成其工作的

最小权限；

3)所有管理用户访问关键信息基础设施进行重要操作时是否需双用户共同鉴别；

4)用户访问数据时是否必须通过双因素身份鉴别，并限制用户可访问的数据总量、数据内容、

数据字段、数据文件或表等；

5)针对重要业务数据资源进行操作时，是否依据用户和数据安全标记实现访问控制；

9

GB/TXXXXX—XXXX

6)是否采取了与关键信息基础设施重要业务操作或异常用户操作行为清单中一致的安全防

护措施；

7)是否采取技术手段保护用户远程管理关键信息基础设施时的身份鉴别信息安全；

8)是否采取技术手段保证用户的身份标识、安全标记、访问控制策略在不同等级系统、不同

业务系统、不同区域中的一致性；

9)用户、服务或应用的访问权限是否与访问控制策略一致；

10)是否由授权主体对用户、服务或应用等访问主体进行权限分配，并实行双重审核。

e）测试验证上述身份鉴别、访问控制以及远程身份鉴别信息保护相关技术措施的可靠性和有效

性。

6.1.3能力等级

能力等级描述见表6所示。

表6鉴别与授权能力等级描述

能力项能力等级1能力等级2能力等级3

鉴别与授权1）运营者识别了重要业务操作和异常1）根据业务风险以及外部威胁变1)定期审核鉴别与授权能力

用户操作行为，并形成了清单；化对清单进行不定期更新；并持续更新；

2）识别出的重要业务操作和异常用户2）重要业务操作或异常用户操作

操作行为覆盖了设备、服务或应用、行为的识别过程综合考虑了业务

数据等各个方面；以及网络安全相关的威胁和风

3）重要业务操作和异常用户操作行为险；

清单内容清晰详细，包含了操作说明、3）重要业务操作和异常用户操作

涉及的相关部门及岗位、业务流程、行为清单识别结果经过内部审

应用程序、安全防护措施等，安全防核；

护措施中有动态的身份鉴别方式或者

多因素身份鉴别方式等；

4）采取了与关键信息基础设施重要业

务操作或异常用户操作行为清单中一

致的安全防护措施；

5）重要业务操作和异常用户操作行为

识别流程规范；

6）在关键信息基础设施发生改建、扩

建、业务流程变更等重大变化时，重

新开展识别工作，并更新清单；

7）相关文档正式签发，形式规范，包

含了版本变更情况、版本号、变更时

间等；

8）根据管理要求对清单进行定期更

新；

10

GB/TXXXXX—XXXX

9)识别了重要的业务用户、管理用4）重要的业务用户、管理用户、

户、服务、应用、数据资源，并形成服务、应用、数据资源识别结果

清单；以及访问控制策略经过内部审

10)建立了用户、服务、应用、数据核；

的访问控制策略；5）根据风险、外部威胁或业务流

11）访问控制策略制定过程规范；程的变化对访问控制策略进行不

12）在关键信息基础设施发生改建、定期更新；

扩建、业务流程变更等重大变化时，6）用户、服务或应用的访问权限

重新开展识别工作，并更新清单；与访问控制策略一致；

13）相关文档正式签发，形式规范，

包含了版本变更情况、版本号、变更

时间等；

14）根据管理要求对上述清单和访问

控制策略进行定期更新；

15）由授权主体对用户、服务或应用

等访问主体进行权限分配，并实行双

重审核；

16）机房配置并启用了电子门禁系统；7）机房门禁系统中使用IC卡或2）机房门禁系统中使用PIN

17）门禁系统中保存了人员进入的日生物特征技术进行认证；口令、IC卡或生物特征中的

志记录；两种及两种以上技术共同进

行认证；

18）重要业务用户访问重要服务或者8）业务用户访问重要服务或者应3）所有业务用户访问服务或

应用时必须通过双因素身份鉴别，并用时必须通过双因素身份鉴别,者应用时必须通过双因素身

仅拥有完成其工作的最小权限；并仅拥有完成其工作的最小权份鉴别，并仅拥有完成其工

限；作的最小权限；

19）所有管理用户进行重要操作时必9）所有管理用户访问关键信息基4）所有管理用户访问关键信

须通过双因素身份鉴别，并仅拥有完础设施时必须通过双因素身份鉴息基础设施进行非常重要操

成其工作的最小权限；别，并仅拥有完成其工作的最小作时必须双用户共同鉴别；

权限；

20）用户访问重要业务数据资源时必10）用户访问重要业务数据资源5）用户访问所有业务数据资

须通过双因素身份鉴别，并限制用户和管理账户相关资源时必须通过源和管理账户相关资源时时

可访问的数据字段、数据文件或表等；双因素身份鉴别，并限制用户可必须通过双因素身份鉴别，

21）针对重要业务数据资源进行操作访问的数据总量、数据内容、数并限制用户可访问的数据总

时，依据用户和数据安全标记实现访据字段、数据文件或表等。量、数据内容、数据字段、

问控制；数据文件或表等。

22）采取技术手段保护用户远程管理

关键信息基础设施时的身份鉴别信息

安全；

23）采取技术手段保证用户的身份标

识、安全标记、访问控制策略在不同

等级系统、不同业务系统、不同区域

中的一致性。

11

GB/TXXXXX—XXXX

11）身份鉴别、访问控制以及远

程身份鉴别信息保护相关技术措

施可靠、有效。

6.2数据安全

6.2.1评价内容

见GB/TAAAAA-AAAA中7.6.3和GB/T22239-2019中8.1.4.7，8.1.4.8，8.1.4.10和8.1.4.11。

6.2.2评价操作方法

评价操作方法包括但不限于：

a）检查关键信息基础设施数据安全管理制度、实施记录、更新记录等，查看其：

1)是否制定了数据安全管理制度；

2)是否规定了数据安全相关管理责任；

3)是否制定了针对数据管理的评价考核指标体系等；

4)是否建立了数据安全管理策略，明确了数据和个人信息保护的相应措施；

5)安全管理策略是否包含针对数据全生命周期的管理措施及针对数据分级分类的管控措施；

6)是否依据制定的数据安全管理制度及策略实际执行；

7)是否审核后发布，并定期或不定期更新；

b）检查关键信息基础设施数据安全管理策略，查看其：

1)是否依据数据安全管理策略采取了监控和防护措施；

2)对于存在输出到境外的数据业务，确认是否符合国家相关规定；

3)是否采取技术手段对数据进行了安全保护，例如：对重要数据加密，对敏感数据脱敏，对

个人信息去标识化等。

4)重要数据（包括但不限于鉴别数据、重要业务数据和重要个人信息等）在传输和存储过程

中是否采用了密码技术保证其机密性；

5)重要数据（包括但不限于鉴别数据、重要业务数据和重要个人信息等）在传输和存储过程

中是否采用校验技术或密码技术保证其完整性；

6)存有敏感信息或个人信息的存储空间被释放、重新分配时是否可以得到完全清除；

7)是否在关键信息基础设施退役废弃时，按照数据安全管理策略对存储的数据进行处理；

c）检查关键信息基础设施中的个人信息保护情况，查看其：

1)是否仅采集和保护了与业务必需的用户个人信息；

2)用户个人信息被采取和存储是否有知情权；

3)是否对访问用户个人信息实施了访问控制策略。

d）访谈安全管理机构、数据安全和个人信息保护相关人员，核实以上情况；

e）测试数据安全技术防护手段，核实其防护效果。

6.2.3能力等级

能力等级描述见表7所示。

表7数据安全能力等级描述

能力项能力等级1能力等级2能力等级3

数据安全1）制定了数据安全管理制度，明确了1）严格执行了数据安全制度、策略和1）定期审核数据安全

12