信息安全技术 关键信息基础设施安全防护能力评价方法-编制说明

国家标准征求意见稿资料

一、工作简况

1、任务来源

根据全国信息安全标准化技术委员会2019年下达的国家标准制修订计划：

《信息安全技术关键信息基础设施安全防护能力评价方法》，该标准由交通运

输信息中心负责承办，由全国信息安全标准化技术委员会归口管理。

2、主要起草单位和工作组成员

该标准由中国交通通信信息中心主要负责起草，协作起草单位为、中国电

子技术标准化研究院、国家信息中心、国家计算机网络与信息安全管理中心、中

国信息安全测评中心、国家信息技术安全研究中心、中国互联网络信息中心、中

电数据服务有限公司、中国船舶重工集团第709研究所、国家工业信息安全发展

研究中心、能源局信息中心、全球能源互联网研究院有限公司、中国移动通信集

团有限公司等。

3、主要工作过程

标准制定的主要工作过程如下：

a)成立编制组。2019年8月，接到全国信息安全标准化技术委员会关于

标准制定任务之后，课题组负责人随即召集标准编制组的相关成员开

会，具体讨论和分配了小组的任务、制定的重要事项、及需注意的事

项。

b)形成标准草案。2019年8月-9月，标准编制组开展关键信息基础设施

安全防护能力评价方法的研究。标准编制组分析梳理了国内外关键信

息基础设施安全标准化情况，对美国的C2M2模型及指标、美国NIST

的评估指标、CSA云评估，以及数据安全能力成熟度评估、系统安全

工程能力成熟度等相关材料进行了深入研究，编制完成《信息安全技

术关键信息基础设施安全防护能力评价方法》标准草案。

c)形成标准征求意见稿。2019年10月，在全国信息安全标准化技术委

1

国家标准征求意见稿资料

员会组织召开的重庆会议周上，经过WG7与会专家讨论，形成转为

征求意见稿的会议决议。会后，编制组根据与会专家意见进行了修改，

并于2019年11月召开专家意见会，先后形成了两版征求意见稿。2020

年5月，公安部第三研究所和公安部第一研究所加入到标准编制组，

标准进行了详细讨论和修改，形成征求意见稿第三版。2020年7月，

标准通过WG7组织召开的专家评审会和秘书处责任编辑审查，修改

后形成征求意见稿第五版。2020年8月10日-10月9日，信安标委秘

书处向工业和信息化部科技司、公安部十一局、国家保密局、国家密

码管理局、国家认证认可监督管理委员会、中国信息安全测评中心、

中央网信办网络安全协调局等上级主管部门发函征求意见，并在信安

标委官网公开征求意见，征求意见范围具有广泛性和代表性。共收到

意见74条，意见处理结果为采纳40条、未采纳11条、部分采纳23

条。标准在信安标委网站公开征求意见，编制组修改完善后形成征求

意见稿第六版。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准编制原则

本标准在编制过程中遵循了先进性和合理性原则。

先进性原则体现在与国际同步。本标准在制定过程中主要参考了国际相关

标准，并与国际标准的演进保持同步，本标准主要参考了美国的C2M2模型及指

标、美国NIST的评估指标、CSA云评估等。

合理性原则体现在与国内实际情况相结合。国外的关键信息基础设施安全

保护现状和标准现状与我国不同，为结合我国实际，且与国内目前已有相关关键

信息基础设施安全标准保持一致，本标准在我国已有关键信息基础设施安全标准

的基础上进行了修改、调整和扩充。

2、标准解决的问题及主要内容

加强关键信息基础设施保护是维护网络安全的重中之重。为落实《中华人

民共和国网络安全法》和《关键信息基础设施安全保护条例》提出的关键信息基

础设施安全保护相关要求，评测关键信息基础设施运营者安全保护能力，支撑国

家相关部门开展的关键基础信息设施安全检测评估等工作，借鉴美国、欧盟等国

2

国家标准征求意见稿资料

家在关键信息基础设施安全评估方面的相关标准、评估方法和实施经验，并结合

我国网络安全等级保护、云服务安全、工控安全等相关标准，研究制定适用于我

国关键信息基础设施领域的安全保护能力评价方法，指导关键信息基础设施的运

营者和网络安全服务机构对关键信息基础设施的安全性和可能存在的风险进行

检测评估，从而帮助关键信息基础设施运营者提高其安全保护水平。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准情况

标准参考了国际和国外相关标准情况，根据我国国情制定。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准符合现有法律法规的要求。符合《中华人民共和国网络安全法》和

《关键信息基础设施安全保护条例》提出的关键信息基础设施安全保护相关要

求，是在现有国家标准项目《信息安全技术关键信息基础设施网络安全保护基

本要求》和《信息安全技术关键信息基础设施安全控制措施》基础上制定的标

准。

在研国家标准项目《关键信息基础设施边界确定方法》明确的为关键信息

基础设施边界及范围的确定，在本标准中的边界防护，不仅包括关键信息基础设

施和非关键信息基础设施边界，还包括关键信息基础设施内部不同网络、不同等

级系统等的边界。在研国家标准项目《信息安全技术关键信息基础设施安全检

查评估指南》为支撑相关部门开展抽查检测工作时使用，《信息安全技术关键

信息基础设施安全保障指标体系》为行业管理部门判断本行业关键信息基础设施

安全态势使用。

按照我国《网络安全法》规定，关键信息基础设施是在等级保护基础上进

行重点保护，因此，《信息安全技术关键信息基础设施网络安全保护基本要求》

制定时主要考虑了关键信息基础设施的特点，并避免与GB/T22239-2019《信息

3

国家标准征求意见稿资料

安全技术网络安全等级保护基本要求》重复。但是在进行关键信息基础设施安

全防护能力评价时，只是基于《信息安全技术关键信息基础设施网络安全保护

基本要求》稍显不足，在本标准中，融合了与关键信息基础设施安全防护能力密

切相关的GB/T22239-2019中的部分条款作为评价内容，作为关键信息基础设施

安全防护能力的一部分。

在总体评价时，兼顾等级保护测评结果和我国密码测评相关结果，整体考

虑关键信息基础设施安全防护能力水平。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

根据本标准的性质，建议本标准为推荐性标准。

十、贯彻标准的要求和措施建议

建议关键信息基础设施运营者、第三方评估机构、安全保护工作部门等相关

单位进行宣贯。

十一、替代或废止现行相关标准的建议

无。

十二、其它应予说明的事项

无。

《信息安全技术关键信息基础设施安全防护能力评价方法》编制工作组

2021-3-26

4

国家标准征求意见稿资料

一、工作简况

1、任务来源

根据全国信息安全标准化技术委员会2019年下达的国家标准制修订计划：

《信息安全技术关键信息基础设施安全防护能力评价方法》，该标准由交通运

输信息中心负责承办，由全国信息安全标准化技术委员会归口管理。

2、主要起草单位和工作组成员

该标准由中国交通通信信息中心主要负责起草，协作起草单位为、中国电

子技术标准化研究院、国家信息中心、国家计算机网络与信息安全管理中心、中

国信息安全测评中心、国家信息技术安全研究中心、中国互联网络信息中心、中

电数据服务有限公司、中国船舶重工集团第709研究所、国家工业信息安全发展

研究中心、能源局信息中心、全球能源互联网研究院有限公司、中国移动通信集

团有限公司等。

3、主要工作过程

标准制定的主要工作过程如下：

a)成立编制组。2019年8月，接到全国信息安全标准化技术委员会关于

标准制定任务之后，课题组负责人随即召集标准编制组的相关成员开

会，具体讨论和分配了小组的任务、制定的重要事项、及需注意的事

项。

b)形成标准草案。2019年8月-9月，标准编制组开展关键信息基础设施

安全防护能力评价方法的研究。标准编制组分析梳理了国内外关键信

息基础设施安全标准化情况，对美国的C2M2模型及指标、美国NIST

的评估指标、CSA云评估，以及数据安全能力成熟度评估、系统安全

工程能力成熟度等相关材料进行了深入研究，编制完成《信息安全技

术关键信息基础设施安全防护能力评价方法》标准草案。

c)形成标准征求意见稿。2019年10月，在全国信息安全标准化技术委

1

国家标准征求意见稿资料

员会组织召开的重庆会议周上，经过WG7与会专家讨论，形成转为

征求意见稿的会议决议。会后，编制组根据与会专家意见进行了修改，

并于2019年11月召开专家意见会，先后形成了两版征求意见稿。2020

年5月，公安部第三研究所和公安部第一研究所加入到标准编制组，

标准进行了详细讨论和修改，形成征求意见稿第三版。2020年7月，

标准通过WG7组织召开的专家评审会和秘书处责任编辑审查，修改

后形成征求意见稿第五版。2020年8月10日-10月9日，信安标委秘

书处向工业和信息化部科技司、公安部十一局、国家保密局、国家密

码管理局、国家认证认可监督管理委员会、中国信息安全测评中心、

中央网信办网络安全协调局等上级主管部门发函征求意见，并在信安

标委官网公开征求意见，征求意见范围具有广泛性和代表性。共收到

意见74条，意见处理结果为采纳40条、未采纳11条、部分采纳23

条。标准在信安标委网站公开征求意见，编制组修改完善后形成征求

意见稿第六版。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准编制原则

本标准在编制过程中遵循了先进性和合理性原则。

先进性原则体现在与国际同步。本标准在制定过程中主要参考了国际相关

标准，并与国际标准的演进保持同步，本标准主要参考了美国的C2M2模型及指

标、美国NIST的评估指标、CSA云评估等。

合理性原则体现在与国内实际情况相结合。国外的关键信息基础设施安全

保护现状和标准现状与我国不同，为结合我国实际，且与国内目前已有相关关键

信息基础设施安全标准保持一致，本标准在我国已有关键信息基础设施安全标准

的基础上进行了修改、调整和扩充。

2、标准解决的问题及主要内容

加强关键信息基础设施保护是维护网络安全的重中之重。为落实《中华人

民共和国网络安全法》和《关键信息基础设施安全保护条例》提出的关键信息基

础设施安全保护相关要求，评测关键信息基础设施运营者安全保护能力，支撑国

家相关部门开展的关键基础信息设施安全检测评估等工作，借鉴美国、欧盟等国

2

国家标准征求意见稿资料

家在关键信息基础设施安全评估方面的相关标准、评估方法和实施经验，并结合

我国网络安全等级保护、云服务安全、工控安全等相关标准，研究制定适用于我

国关键信息基础设施领域的安全保护能力评价方法，指导关键信息基础设施的运

营者和网络安全服务机构对关键信息基础设施的安全性和可能存在的风险进行

检测评估，从而帮助关键信息基础设施运营者提高其安全保护水平。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准情况