ICS00.000

XXXCIIPA

團(tuán)體標(biāo)準(zhǔn)

T/CIIPA00007—2024

關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估能力要求

Capabilityrequirementsforsecurityinspectionandevaluationofcritical

informationinfrastructure

（征求意見(jiàn)稿）

20XX-XX-XX發(fā)布20XX-XX-XX實(shí)施

中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟發(fā)布

引言

關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全保護(hù)的重中之重?！吨腥A人

民共和國(guó)網(wǎng)絡(luò)安全法》第三十一條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)

上，實(shí)行重點(diǎn)保護(hù)?！毒W(wǎng)絡(luò)安全法》要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)

安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)

估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)。《關(guān)鍵信息基礎(chǔ)設(shè)

施安全保護(hù)條例》進(jìn)一步明確規(guī)定了運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)關(guān)鍵信息

基礎(chǔ)設(shè)施每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。

關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估是GB/T39204—2022《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)

施安全保護(hù)要求》標(biāo)準(zhǔn)中提出的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)六個(gè)方面環(huán)節(jié)之一，檢測(cè)和評(píng)估

關(guān)鍵信息基礎(chǔ)設(shè)施安全狀況、發(fā)現(xiàn)存在的問(wèn)題和風(fēng)險(xiǎn)，為關(guān)鍵信息基礎(chǔ)設(shè)施安全整改建設(shè)和

監(jiān)督管理提供依據(jù)。關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估是以合規(guī)測(cè)評(píng)為基礎(chǔ)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和

能力判定。由于關(guān)鍵信息基礎(chǔ)設(shè)施通常由一個(gè)或多個(gè)等級(jí)保護(hù)對(duì)象構(gòu)成，因此，關(guān)鍵信息基

礎(chǔ)設(shè)施安全檢測(cè)評(píng)估應(yīng)在其所有等級(jí)保護(hù)對(duì)象開(kāi)展等級(jí)測(cè)評(píng)之后進(jìn)行，以便復(fù)用等級(jí)測(cè)評(píng)結(jié)

果。

關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估能力要求參考國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及要求、檢測(cè)評(píng)估機(jī)

構(gòu)能力建設(shè)與評(píng)價(jià)的相關(guān)內(nèi)容，結(jié)合關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度及檢測(cè)評(píng)估實(shí)際工作特

點(diǎn)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)開(kāi)展檢測(cè)評(píng)估活動(dòng)提出基本能力要

求。在此背景下，為確保有效指導(dǎo)提升檢測(cè)評(píng)估能力，滿(mǎn)足關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作

要求，特制定本標(biāo)準(zhǔn)。

5/31

關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估能力要求

1范圍

本文件確立了關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估總體要求、能力組成，規(guī)范了從事關(guān)鍵信

息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估工作應(yīng)具備的基本能力要求。

本文件適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施開(kāi)

展安全檢測(cè)評(píng)估的能力建設(shè)參考。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適

用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2022信息安全技術(shù)術(shù)語(yǔ)

GB/T39204-2022信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

GB/T36959-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)檢測(cè)評(píng)估機(jī)構(gòu)能力要求和評(píng)估規(guī)范

3術(shù)語(yǔ)和定義

GB/T25069、GB/T39204、GB/T22239、GB/T28448、GB/T36959界定的以及下列術(shù)

語(yǔ)和定義適用于本文件。

3.1關(guān)鍵信息基礎(chǔ)設(shè)施criticalinformationinfrastructure

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)

等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安

全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

3.2檢測(cè)評(píng)估testingandevaluation

為檢測(cè)評(píng)估安全防護(hù)措施的有效性，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患，建立相應(yīng)的檢測(cè)評(píng)估制度，

確定檢測(cè)評(píng)估的流程及內(nèi)容等，開(kāi)展安全檢測(cè)與風(fēng)險(xiǎn)隱患評(píng)估，分析潛在安全風(fēng)險(xiǎn)可能引發(fā)

的安全事件。

3.3訪談interview

檢測(cè)評(píng)估人員通過(guò)引導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)人員進(jìn)行有目的（有針對(duì)性）的交流

以幫助檢測(cè)評(píng)估人員理解、澄清或取得證據(jù)的過(guò)程。

3.4核查examine

檢測(cè)評(píng)估人員通過(guò)對(duì)檢測(cè)評(píng)估對(duì)象（如制度文檔、各類(lèi)設(shè)備及相關(guān)安全配置等）進(jìn)行觀

察、查驗(yàn)和分析，以幫助檢測(cè)評(píng)估人員理解、澄清或取得證據(jù)的過(guò)程。

3.5測(cè)試test

6/31

檢測(cè)評(píng)估人員使用預(yù)定的方法/工具使檢測(cè)評(píng)估對(duì)象（各類(lèi)設(shè)備或安全配置）產(chǎn)生特定

的結(jié)果，將運(yùn)行結(jié)果與預(yù)期的結(jié)果進(jìn)行比對(duì)的過(guò)程。

3.6評(píng)估evaluate

檢測(cè)評(píng)估人員對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施可能存在的威脅及其可能產(chǎn)生的后果進(jìn)行綜合評(píng)價(jià)

和預(yù)測(cè)的過(guò)程。

3.7關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估testingandevaluationforcriticalinformation

infrastructure

檢測(cè)評(píng)估機(jī)構(gòu)依據(jù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，

對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。

3.8單元測(cè)評(píng)unitevaluation

單元測(cè)評(píng)主要依據(jù)GB/T39204—2022《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》

中各安全子類(lèi)（包括分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置）以

及運(yùn)營(yíng)者自定義的特殊安全子類(lèi)的測(cè)評(píng)。

3.9關(guān)聯(lián)測(cè)評(píng)correlationevaluation

關(guān)聯(lián)測(cè)評(píng)是在單元測(cè)評(píng)結(jié)果的基礎(chǔ)上，結(jié)合已知的和潛在的風(fēng)險(xiǎn)集、關(guān)鍵信息基礎(chǔ)設(shè)施

的業(yè)務(wù)場(chǎng)景、所屬領(lǐng)域已知安全事件、可能面臨的威脅等，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施的綜合

性安全檢測(cè)評(píng)估，包括信息收集匯總、入侵痕跡分析、業(yè)務(wù)邏輯安全分析、設(shè)計(jì)模擬攻擊路

徑及測(cè)試用例、開(kāi)展?jié)B透測(cè)試等。

3.10整體評(píng)估overallevaluation

整體評(píng)估主要包括針對(duì)運(yùn)營(yíng)者的網(wǎng)絡(luò)安全管控能力評(píng)估、針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施自身的

網(wǎng)絡(luò)安全保護(hù)水平評(píng)估，以及針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施所承載關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與

評(píng)價(jià)三部分。

4檢測(cè)評(píng)估總體要求

4.1基本原則

關(guān)鍵信息基礎(chǔ)設(shè)施是指一旦遭到破壞、喪失功能或數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、

國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)。為給關(guān)鍵信息基礎(chǔ)設(shè)施的安全提供保障，

進(jìn)行安全檢測(cè)評(píng)估顯得尤為重要。關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估基本原則包括：

a）全面性原則：安全檢測(cè)評(píng)估應(yīng)覆蓋關(guān)鍵信息基礎(chǔ)設(shè)施的所有關(guān)鍵點(diǎn)，包括網(wǎng)絡(luò)設(shè)備、

服務(wù)器、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)等，確保沒(méi)有遺漏潛在的安全隱患。

b）主動(dòng)性原則：安全檢測(cè)評(píng)估應(yīng)主動(dòng)進(jìn)行，而不是等待問(wèn)題發(fā)生后再采取措施。定期

進(jìn)行安全檢測(cè)評(píng)估可以及時(shí)發(fā)現(xiàn)和修復(fù)安全漏洞，預(yù)防安全事件的發(fā)生。

c）系統(tǒng)性原則：安全檢測(cè)評(píng)估應(yīng)采用系統(tǒng)化的方法，結(jié)合威脅情報(bào)、漏洞掃描、滲透

測(cè)試、配置核查等多種手段，形成一個(gè)完整的檢測(cè)評(píng)估體系。

d）獨(dú)立性原則：安全檢測(cè)評(píng)估應(yīng)由獨(dú)立的第三方機(jī)構(gòu)或內(nèi)部獨(dú)立部門(mén)進(jìn)行，以確保評(píng)

估結(jié)果的客觀性和公正性，避免利益沖突。

e）合規(guī)性原則：安全檢測(cè)評(píng)估應(yīng)符合網(wǎng)絡(luò)安全領(lǐng)域國(guó)家和行業(yè)的相關(guān)法律法規(guī)、標(biāo)準(zhǔn)

規(guī)范等要求，避免非授權(quán)開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估。

f）持續(xù)改進(jìn)原則：安全檢測(cè)評(píng)估不僅要發(fā)現(xiàn)問(wèn)題，還要提出改進(jìn)建議，并進(jìn)行后續(xù)跟

蹤，確保改進(jìn)措施落實(shí)到位，建立持續(xù)改進(jìn)的安全管理機(jī)制。

7/31

g）風(fēng)險(xiǎn)管理原則：安全檢測(cè)評(píng)估應(yīng)以風(fēng)險(xiǎn)為導(dǎo)向，識(shí)別和評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施面臨

的安全風(fēng)險(xiǎn)，并采取相應(yīng)的措施進(jìn)行風(fēng)險(xiǎn)控制和管理，確保安全投入與風(fēng)險(xiǎn)的平衡。

h）保密性原則：在進(jìn)行安全檢測(cè)評(píng)估過(guò)程中，應(yīng)嚴(yán)格保密相關(guān)信息，防止敏感數(shù)據(jù)泄

露，維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全。

4.2方式和內(nèi)容

4.2.1安全檢測(cè)評(píng)估方式

a）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)自行或委托專(zhuān)業(yè)網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)，對(duì)自身的關(guān)鍵

信息基礎(chǔ)設(shè)施進(jìn)行全面的安全性檢測(cè)評(píng)估，該評(píng)估需每年至少進(jìn)行一次，并針對(duì)發(fā)現(xiàn)的問(wèn)題

進(jìn)行及時(shí)整改。

b）當(dāng)涉及多個(gè)運(yùn)營(yíng)者時(shí)，應(yīng)定期組織或參與跨運(yùn)營(yíng)者的關(guān)鍵信息基礎(chǔ)設(shè)施安全聯(lián)合檢

測(cè)評(píng)估工作，并對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行及時(shí)整改。

c）若關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大變化，如改建、擴(kuò)建或所有權(quán)變更等，關(guān)鍵信息基礎(chǔ)

設(shè)施運(yùn)營(yíng)者應(yīng)自行或委托專(zhuān)業(yè)網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)進(jìn)行重新檢測(cè)評(píng)估，包括分析關(guān)鍵業(yè)務(wù)

鏈和關(guān)鍵資產(chǎn)的變更情況，評(píng)估變更對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施帶來(lái)的新風(fēng)險(xiǎn)，并確保在有效整改

潛在風(fēng)險(xiǎn)和安全問(wèn)題后才可上線(xiàn)運(yùn)行。

d）對(duì)于特定的業(yè)務(wù)系統(tǒng)或系統(tǒng)資產(chǎn)，應(yīng)在獲得相關(guān)部門(mén)的批準(zhǔn)或授權(quán)后，采用模擬網(wǎng)

絡(luò)攻擊的方式來(lái)測(cè)試關(guān)鍵信息基礎(chǔ)設(shè)施在面對(duì)真實(shí)網(wǎng)絡(luò)攻擊時(shí)的防御和響應(yīng)能力。

4.2.2安全檢測(cè)評(píng)估內(nèi)容

a）對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全檢測(cè)評(píng)估將圍繞分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)

預(yù)警、主動(dòng)防御、事件處置等6個(gè)方面的活動(dòng)展開(kāi)，具體檢測(cè)評(píng)估指標(biāo)要求參見(jiàn)GB/T39204-

2022《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》。

b）在進(jìn)行安全檢測(cè)評(píng)估時(shí)，需綜合考慮多個(gè)維度，包括但不限于網(wǎng)絡(luò)安全制度的執(zhí)行

情況、安全組織構(gòu)建狀況、安全人員和資金的投入、安全教育培訓(xùn)的實(shí)施、網(wǎng)絡(luò)安全等級(jí)保

護(hù)制度的落實(shí)、安全技術(shù)防護(hù)的完備性、數(shù)據(jù)安全的保護(hù)情況、供應(yīng)鏈安全保護(hù)情況、安全

風(fēng)險(xiǎn)評(píng)估的全面性、安全應(yīng)急和攻防演練的實(shí)效性等。同時(shí)，需要特別關(guān)注數(shù)據(jù)在關(guān)鍵信息

基礎(chǔ)設(shè)施中跨系統(tǒng)、跨區(qū)域間的流通以及其資產(chǎn)的安全保護(hù)情況。

5檢測(cè)評(píng)估能力

5.1核心能力

關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估能力組成，如圖1所示，包括運(yùn)營(yíng)者、網(wǎng)絡(luò)安全檢測(cè)評(píng)

估機(jī)構(gòu)相應(yīng)核心能力要求。

圖1檢測(cè)評(píng)估能力核心要求

關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估能力評(píng)價(jià)流程，如圖2所示：

8/31

圖2檢測(cè)評(píng)估能力評(píng)價(jià)流程

5.2能力組成

5.2.1運(yùn)營(yíng)者檢測(cè)評(píng)估能力

運(yùn)營(yíng)者的詳細(xì)能力要求、評(píng)價(jià)指標(biāo)參見(jiàn)第6章，必要項(xiàng)總結(jié)為三個(gè)方面：

a）專(zhuān)門(mén)的管理機(jī)構(gòu)、嚴(yán)格的人員成長(zhǎng)與管理機(jī)制；

b）具備攻擊的發(fā)現(xiàn)與響應(yīng)能力；

c）常態(tài)化可自我提升的風(fēng)險(xiǎn)管理體系。

通過(guò)文檔記錄審核、管理流程審核、資源評(píng)估來(lái)評(píng)價(jià)安全管理機(jī)構(gòu)、安全管理人員和合

規(guī)檢測(cè)評(píng)估環(huán)節(jié)的能力水平；通過(guò)裝備有效性評(píng)估來(lái)評(píng)價(jià)檢測(cè)評(píng)估裝備的有效性；用風(fēng)險(xiǎn)控

制評(píng)估來(lái)評(píng)價(jià)風(fēng)險(xiǎn)檢測(cè)評(píng)估能力水平。

5.2.2網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)檢測(cè)評(píng)估能力

網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)的詳細(xì)能力要求、評(píng)價(jià)指標(biāo)的權(quán)重見(jiàn)第7章，必要項(xiàng)總結(jié)為兩個(gè)

方面：

a）有經(jīng)驗(yàn)、有積累、有專(zhuān)業(yè)人員、有專(zhuān)業(yè)工具儲(chǔ)備；

b）具備質(zhì)量控制能力和防止系統(tǒng)發(fā)生風(fēng)險(xiǎn)的能力。

通過(guò)文檔記錄審核、管理流程審核、資源評(píng)估來(lái)評(píng)價(jià)基本條件、組織管理能力、質(zhì)量管

理能力、規(guī)范性保證能力環(huán)節(jié)的能力水平；通過(guò)裝備有效性評(píng)估來(lái)評(píng)價(jià)設(shè)施和設(shè)備安全與保

障能力水平；用風(fēng)險(xiǎn)控制評(píng)價(jià)來(lái)評(píng)價(jià)風(fēng)險(xiǎn)控制能力水平；用能力驗(yàn)證來(lái)評(píng)估測(cè)評(píng)試試能力的

水平。

5.3評(píng)價(jià)指標(biāo)

運(yùn)營(yíng)者檢測(cè)評(píng)估能力評(píng)價(jià)指標(biāo)包括安全管理機(jī)構(gòu)、安全管理人員、檢測(cè)評(píng)估裝備、合規(guī)

檢測(cè)評(píng)估和風(fēng)險(xiǎn)檢測(cè)評(píng)估等方面，涉及合規(guī)項(xiàng)39項(xiàng)，必要項(xiàng)13項(xiàng)。

網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)檢測(cè)評(píng)估能力評(píng)價(jià)指標(biāo)包括基本條件、組織管理能力、測(cè)評(píng)實(shí)施

能力、設(shè)施和設(shè)備安全與保障能力、質(zhì)量管理能力、規(guī)范性保證能力、風(fēng)險(xiǎn)控制能力和可持

續(xù)性發(fā)展能力，合規(guī)項(xiàng)42項(xiàng)，必要項(xiàng)15項(xiàng)。評(píng)價(jià)指標(biāo)詳見(jiàn)附錄A、B。

5.4評(píng)價(jià)準(zhǔn)則和方法

9/31

運(yùn)營(yíng)者的檢測(cè)評(píng)估能力合規(guī)指標(biāo)進(jìn)行了權(quán)重和必要項(xiàng)標(biāo)識(shí)，僅供運(yùn)營(yíng)者優(yōu)化提升借鑒使

用，原則上無(wú)評(píng)價(jià)結(jié)論。網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)的檢測(cè)評(píng)估能力合規(guī)指標(biāo)需要有明確的評(píng)價(jià)

結(jié)論。

網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)的檢測(cè)評(píng)估能力評(píng)價(jià)方法見(jiàn)表1。首先判斷必要項(xiàng)的滿(mǎn)足情況，

如出現(xiàn)必要項(xiàng)不滿(mǎn)足，則評(píng)價(jià)結(jié)論為不通過(guò)；在必要項(xiàng)全部滿(mǎn)足的情況下，再對(duì)合規(guī)項(xiàng)進(jìn)行

評(píng)價(jià)（詳見(jiàn)附錄B），根據(jù)權(quán)重×符合率的算法計(jì)算得出整體分值，分值大于等于80分則

評(píng)價(jià)結(jié)論為通過(guò)，分值低于80分則評(píng)價(jià)結(jié)論為不通過(guò)。

表1網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)檢測(cè)評(píng)估能力評(píng)價(jià)表

網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)的檢測(cè)評(píng)估能力評(píng)分標(biāo)準(zhǔn)

評(píng)價(jià)結(jié)論

合規(guī)項(xiàng)加權(quán)計(jì)算分值必要項(xiàng)評(píng)價(jià)

8

單合規(guī)項(xiàng)滿(mǎn)足數(shù)

通過(guò)∑(?權(quán)重?100)≥80全部滿(mǎn)足

單合規(guī)項(xiàng)總數(shù)

?=1?

8

單合規(guī)項(xiàng)滿(mǎn)足數(shù)

不通過(guò)∑(?權(quán)重?100)<80全部滿(mǎn)足

單合規(guī)項(xiàng)總數(shù)

?=1?

不通過(guò)N/A存在不滿(mǎn)足情況

6運(yùn)營(yíng)者檢測(cè)評(píng)估能力

6.1能力組成

運(yùn)營(yíng)者檢測(cè)評(píng)估能力評(píng)價(jià)指標(biāo)項(xiàng)分為5個(gè)部分，如表2所示。安全管理機(jī)構(gòu)占權(quán)重的

20%，包含5個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)2個(gè)；安全管理人員占權(quán)重的20%，包含7個(gè)合規(guī)項(xiàng)，

其中必要項(xiàng)3個(gè)；檢測(cè)評(píng)估裝備占權(quán)重的10%，包含7個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)2個(gè)；合規(guī)檢

測(cè)評(píng)估占權(quán)重的25%，包含4個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)2個(gè)，是運(yùn)營(yíng)者角色特點(diǎn)的重點(diǎn)考核內(nèi)

容；風(fēng)險(xiǎn)檢測(cè)評(píng)估占權(quán)重的25%，包含16個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)4個(gè)。

表2運(yùn)營(yíng)者檢測(cè)評(píng)估能力組成

能力層面權(quán)重合規(guī)項(xiàng)必要項(xiàng)

安全管理機(jī)構(gòu)20%5項(xiàng)2項(xiàng)

安全管理人員20%7項(xiàng)3項(xiàng)

檢測(cè)評(píng)估裝備10%7項(xiàng)2項(xiàng)

合規(guī)檢測(cè)評(píng)估25%4項(xiàng)2項(xiàng)

風(fēng)險(xiǎn)檢測(cè)評(píng)估25%16項(xiàng)4項(xiàng)

合計(jì)100%39項(xiàng)13項(xiàng)

6.2安全管理機(jī)構(gòu)

a）運(yùn)營(yíng)者應(yīng)成立針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施指導(dǎo)和管理的網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組，

由單位第一負(fù)責(zé)人擔(dān)任其領(lǐng)導(dǎo)職務(wù)，明確一名領(lǐng)導(dǎo)班子成員作為首席網(wǎng)絡(luò)安全官，專(zhuān)職管理

或分管關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

b）運(yùn)營(yíng)者應(yīng)設(shè)置專(zhuān)門(mén)的網(wǎng)絡(luò)安全管理機(jī)構(gòu)，明確機(jī)構(gòu)的安全管理職責(zé)和安全崗位編制。

c）運(yùn)營(yíng)者應(yīng)建立并實(shí)施網(wǎng)絡(luò)安全考核及監(jiān)督問(wèn)責(zé)機(jī)制，并通過(guò)考核和監(jiān)督問(wèn)責(zé)相關(guān)工

作記錄文檔查驗(yàn)該機(jī)制是否正確有效運(yùn)行。

d）應(yīng)為每個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施明確一名安全管理責(zé)任人。

10/31

e）應(yīng)將安全管理機(jī)構(gòu)人員納入本組織關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)決策體系。

6.3安全管理人員

a）應(yīng)對(duì)安全管理機(jī)構(gòu)的關(guān)鍵崗位的人員進(jìn)行安全技能考核，符合要求的人員方能上崗。

安全管理機(jī)構(gòu)明確關(guān)鍵崗位，通常包括與關(guān)鍵業(yè)務(wù)系統(tǒng)直接相關(guān)的系統(tǒng)管理、網(wǎng)絡(luò)管理、安

全管理等崗位。關(guān)鍵崗位宜從內(nèi)部人員中選拔，配備專(zhuān)人，并配備兩人以上共同管理。

b）應(yīng)定期安排安全管理機(jī)構(gòu)人員參加國(guó)家、行業(yè)或業(yè)界網(wǎng)絡(luò)安全相關(guān)活動(dòng)，及時(shí)獲取

網(wǎng)絡(luò)安全動(dòng)態(tài)。

c）應(yīng)建立網(wǎng)絡(luò)安全教育培訓(xùn)制度，定期開(kāi)展網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核，關(guān)鍵信息

基礎(chǔ)設(shè)施從業(yè)人員每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于40個(gè)學(xué)時(shí)。教育培訓(xùn)內(nèi)容應(yīng)包括網(wǎng)絡(luò)安

全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)，以及網(wǎng)絡(luò)安全保護(hù)技術(shù)、網(wǎng)絡(luò)安全管理等。

d）網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核應(yīng)根據(jù)崗位的不同而設(shè)定不同周期。

e）應(yīng)對(duì)安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行背景調(diào)查，并留存相關(guān)的背景調(diào)查

材料。當(dāng)安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員的身份、安全背景等發(fā)生變化（例如：取得

非中國(guó)國(guó)籍）或必要時(shí)，應(yīng)根據(jù)情況重新按照相關(guān)要求進(jìn)行安全背景審查。

f）應(yīng)在人員發(fā)生內(nèi)部崗位調(diào)動(dòng)時(shí)，重新評(píng)估調(diào)動(dòng)人員對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的邏輯和物

理訪問(wèn)權(quán)限，修改訪問(wèn)權(quán)限并通知相關(guān)人員或角色。應(yīng)在人員離崗時(shí)，及時(shí)終止離崗人員的

所有訪問(wèn)權(quán)限，收回與身份鑒別相關(guān)的軟硬件設(shè)備，進(jìn)行面談并通知相關(guān)人員或角色。

g）應(yīng)明確從業(yè)人員安全保密職責(zé)和義務(wù)，包括安全職責(zé)、獎(jiǎng)懲機(jī)制、離崗后的脫密期

限等，并簽訂安全保密協(xié)議。

6.4檢測(cè)評(píng)估裝備

a）檢測(cè)評(píng)估裝備包含但不限于安全基線(xiàn)核查工具、漏洞掃描系統(tǒng)、入侵檢測(cè)系統(tǒng)、安

全事件信息管理系統(tǒng)、監(jiān)測(cè)預(yù)警系統(tǒng)、滲透測(cè)試工具等。

b）檢測(cè)評(píng)估裝備應(yīng)能覆蓋關(guān)鍵信息基礎(chǔ)設(shè)施的各個(gè)方面，包括網(wǎng)絡(luò)通信、計(jì)算環(huán)境、

應(yīng)用及數(shù)據(jù)、管理制度等。

c）檢測(cè)評(píng)估裝備應(yīng)通過(guò)具備資質(zhì)的檢測(cè)機(jī)構(gòu)的測(cè)試或認(rèn)證。

d）針對(duì)檢測(cè)評(píng)估裝備的使用和操作流程應(yīng)制定詳細(xì)的標(biāo)準(zhǔn)和規(guī)范。

e）應(yīng)定期評(píng)價(jià)檢測(cè)評(píng)估裝備的有效性和適用性，并根據(jù)評(píng)估結(jié)果進(jìn)行持續(xù)改進(jìn)升級(jí)。

f）具備自動(dòng)化工具對(duì)互聯(lián)網(wǎng)及內(nèi)網(wǎng)暴露面進(jìn)行識(shí)別與風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)資產(chǎn)和互聯(lián)網(wǎng)暴

露面的安全管理。

g）具備對(duì)拒絕服務(wù)攻擊、高級(jí)可持續(xù)威脅等網(wǎng)絡(luò)攻擊行為進(jìn)行有效分析的自動(dòng)化工具

或平臺(tái)。

6.5合規(guī)檢測(cè)評(píng)估

a）運(yùn)營(yíng)者應(yīng)建立合規(guī)檢測(cè)評(píng)估的制度和流程，明確合規(guī)檢測(cè)評(píng)估的目的、范圍、方法、

周期等要求。

b）運(yùn)營(yíng)者應(yīng)組建專(zhuān)業(yè)的安全團(tuán)隊(duì)或委托專(zhuān)業(yè)的第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)定期開(kāi)展合規(guī)

檢測(cè)評(píng)估。

c）合規(guī)檢測(cè)評(píng)估的內(nèi)容包括法律法規(guī)層面、標(biāo)準(zhǔn)規(guī)范層面、運(yùn)營(yíng)者管理制度層面落實(shí)

情況。

d）應(yīng)對(duì)合規(guī)檢測(cè)評(píng)估發(fā)現(xiàn)的問(wèn)題進(jìn)行跟蹤并及時(shí)進(jìn)行整改，形成問(wèn)題整改清單文檔。

6.6風(fēng)險(xiǎn)檢測(cè)評(píng)估

11/31

a）運(yùn)營(yíng)者應(yīng)建立風(fēng)險(xiǎn)檢測(cè)評(píng)估的制度和流程，明確風(fēng)險(xiǎn)檢測(cè)評(píng)估的目的、范圍、方法

和周期等要求。

b）運(yùn)營(yíng)者應(yīng)組建專(zhuān)業(yè)的安全團(tuán)隊(duì)或委托專(zhuān)業(yè)的第三方風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)，定期開(kāi)展風(fēng)

險(xiǎn)檢測(cè)評(píng)估。

c）風(fēng)險(xiǎn)檢測(cè)評(píng)估應(yīng)包括法律法規(guī)層面、行業(yè)標(biāo)準(zhǔn)規(guī)范層面、以及運(yùn)營(yíng)者內(nèi)部管理制度

層面的風(fēng)險(xiǎn)識(shí)別和控制措施落實(shí)情況。

d）對(duì)風(fēng)險(xiǎn)檢測(cè)評(píng)估中發(fā)現(xiàn)的問(wèn)題，運(yùn)營(yíng)者應(yīng)進(jìn)行跟蹤并及時(shí)進(jìn)行整改，形成問(wèn)題整改

清單文檔，并確保整改措施的有效實(shí)施。

e）明確風(fēng)險(xiǎn)識(shí)別的標(biāo)準(zhǔn)和方法，對(duì)風(fēng)險(xiǎn)進(jìn)行分類(lèi)，區(qū)分高、中、低風(fēng)險(xiǎn)，并制定相應(yīng)

的應(yīng)對(duì)策略。

f）采用定量和定性相結(jié)合的方法對(duì)風(fēng)險(xiǎn)的可能性和影響進(jìn)行評(píng)估，確保評(píng)估結(jié)果的準(zhǔn)

確性和可靠性。

g）使用主流的風(fēng)險(xiǎn)檢測(cè)工具和技術(shù)，提高風(fēng)險(xiǎn)檢測(cè)評(píng)估的效率和準(zhǔn)確性。

h）建立有效的風(fēng)險(xiǎn)溝通機(jī)制，確保風(fēng)險(xiǎn)信息在組織內(nèi)部和相關(guān)利益相關(guān)者之間得到及

時(shí)和準(zhǔn)確的傳遞，并定期報(bào)告風(fēng)險(xiǎn)檢測(cè)評(píng)估的狀態(tài)。

i）根據(jù)風(fēng)險(xiǎn)檢測(cè)評(píng)估的結(jié)果，制定或更新風(fēng)險(xiǎn)管理策略和措施，不斷改進(jìn)風(fēng)險(xiǎn)管理流

程和策略，提高風(fēng)險(xiǎn)管理的整體效能。

j）確保風(fēng)險(xiǎn)檢測(cè)評(píng)估和管理過(guò)程符合相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。

k）具備風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)，記錄所有檢測(cè)到的風(fēng)險(xiǎn)事件，為風(fēng)險(xiǎn)分析和決策提供數(shù)據(jù)支持。

l）具備風(fēng)險(xiǎn)預(yù)警機(jī)制，當(dāng)監(jiān)測(cè)到潛在風(fēng)險(xiǎn)時(shí)，能夠及時(shí)發(fā)出預(yù)警并采取預(yù)防措施。

m）有能力發(fā)現(xiàn)使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)，及時(shí)采取措施予

以消除。

n）能夠定期組織開(kāi)展攻防演練，并及時(shí)整改發(fā)現(xiàn)的問(wèn)題；在不適合開(kāi)展實(shí)網(wǎng)攻防演練

場(chǎng)景下，能采取仿真環(huán)境或沙盤(pán)推演等方式進(jìn)行模擬演練。

o）能夠定期組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，對(duì)評(píng)估中發(fā)現(xiàn)的安全問(wèn)題制定整改方案及工

作計(jì)劃，并形成報(bào)告。

p）應(yīng)對(duì)數(shù)據(jù)全生命周期各階段的數(shù)據(jù)處理活動(dòng)進(jìn)行全面檢測(cè)，識(shí)別數(shù)據(jù)全生命周期各

階段的安全風(fēng)險(xiǎn)。

7網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)檢測(cè)評(píng)估能力

7.1能力組成

網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)檢測(cè)評(píng)估能力評(píng)價(jià)指標(biāo)項(xiàng)分為8個(gè)部分，如表3所示。基本條件

占整體權(quán)重的20%，包含8個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)6個(gè)；組織管理能力占權(quán)重的5%，包含5

個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)1個(gè)；測(cè)評(píng)實(shí)施能力占權(quán)重的30%，包含11個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)3

個(gè)；設(shè)施和設(shè)備安全與保障能力占權(quán)重的20%，包含5個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)1個(gè)；質(zhì)量管

理能力占權(quán)重的5%，包含2個(gè)合規(guī)項(xiàng)；規(guī)范性保證能力占權(quán)重的5%，包含5個(gè)合規(guī)項(xiàng)，其

中必要項(xiàng)2個(gè)；風(fēng)險(xiǎn)控制能力占權(quán)重的10%，包含2個(gè)合規(guī)項(xiàng)，其中必要項(xiàng)2個(gè)；可持續(xù)發(fā)

展能力占權(quán)重的5%，包含4個(gè)合規(guī)項(xiàng)。

表3網(wǎng)絡(luò)安全檢測(cè)評(píng)估機(jī)構(gòu)檢測(cè)評(píng)估能力組成

能力層面權(quán)重合規(guī)項(xiàng)必要項(xiàng)

基本條件20%8項(xiàng)6項(xiàng)

組織管理能力5%5項(xiàng)1項(xiàng)

12/31

能力層面權(quán)重合規(guī)項(xiàng)必要項(xiàng)

測(cè)評(píng)實(shí)施能力30%11項(xiàng)3項(xiàng)

設(shè)施和設(shè)備安全與保障能力20%5項(xiàng)1項(xiàng)

質(zhì)量管理能力5%2項(xiàng)0項(xiàng)

規(guī)范性保證能力5%5項(xiàng)2項(xiàng)

風(fēng)險(xiǎn)控制能力10%2項(xiàng)2項(xiàng)

可持續(xù)發(fā)展能力5%4項(xiàng)0項(xiàng)

合計(jì)100%42項(xiàng)15項(xiàng)

7.2基本條件

a）在中華人民共和國(guó)境內(nèi)注冊(cè)成立，由中國(guó)公民、法人投資或者國(guó)家投資的企事業(yè)單

位。

b）產(chǎn)權(quán)關(guān)系明晰，注冊(cè)資金500萬(wàn)元以上，獨(dú)立經(jīng)營(yíng)核算，無(wú)違法違規(guī)記錄。

c）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)通過(guò)提供案例、過(guò)程記錄等資料，證明其具有從事網(wǎng)絡(luò)安全相關(guān)工

作2年以上的工作經(jīng)驗(yàn)。

d）法人、主要負(fù)責(zé)人、檢測(cè)評(píng)估人員僅限中華人民共和國(guó)境內(nèi)的中國(guó)公民，且無(wú)犯罪

記錄。

e）具有網(wǎng)絡(luò)安全相關(guān)工作經(jīng)歷的技術(shù)和管理人員不少于15人，專(zhuān)職滲透測(cè)試人員不少

于2人，崗位職責(zé)清晰，且人員相對(duì)穩(wěn)定。

f）具有固定的辦公場(chǎng)所，配備滿(mǎn)足安全檢測(cè)評(píng)估需要的檢測(cè)評(píng)估工具、實(shí)驗(yàn)環(huán)境等。

g）具有完備的安全保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理、檔案管理和培訓(xùn)教育

等規(guī)章制度。

h）不涉及網(wǎng)絡(luò)安全產(chǎn)品開(kāi)發(fā)、銷(xiāo)售或信息系統(tǒng)安全集成等可能影響檢測(cè)評(píng)估結(jié)果公正

性的業(yè)務(wù)（自用除外）。

7.3組織管理能力

a）檢測(cè)評(píng)估機(jī)構(gòu)管理者應(yīng)掌握關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)政策文件，熟悉相關(guān)的標(biāo)準(zhǔn)

規(guī)范。

b）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)按一定方式組織并設(shè)立相關(guān)部門(mén)，明確其職責(zé)、權(quán)限和相互關(guān)系，

保證各項(xiàng)工作的有序開(kāi)展。

c）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)具有勝任關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估工作的專(zhuān)業(yè)技術(shù)人員和管

理人員，大學(xué)本科（含）以上學(xué)歷所占比例不低于70%。

d）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)設(shè)置滿(mǎn)足關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估工作需要的崗位，如檢測(cè)

評(píng)估技術(shù)員、檢測(cè)評(píng)估項(xiàng)目負(fù)責(zé)人、技術(shù)主管、質(zhì)量主管、保密安全員、設(shè)備管理員和檔案

管理員等，崗位職責(zé)明確，人員穩(wěn)定。

e）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)制定完善的規(guī)章制度，包括但不限于以下內(nèi)容：

——安全保密制度應(yīng)符合國(guó)家法律法規(guī)的要求，主要包括對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施基本情

況、網(wǎng)絡(luò)架構(gòu)與拓?fù)湫畔?、組件組成、風(fēng)險(xiǎn)漏洞、網(wǎng)絡(luò)攻擊事件等方面及檢測(cè)評(píng)估活動(dòng)生

成的數(shù)據(jù)和記錄的保密要求。

——項(xiàng)目管理制度應(yīng)依據(jù)GB/T39204制定完備的、符合自身特點(diǎn)的測(cè)評(píng)項(xiàng)目管理程

序，主要應(yīng)包括測(cè)評(píng)工作的組織形式、工作職責(zé)，測(cè)評(píng)各階段的工作內(nèi)容和管理要求等。

——設(shè)備管理制度應(yīng)包括機(jī)構(gòu)人員在儀器設(shè)備（含測(cè)評(píng)設(shè)備和工具）管理中的相關(guān)職

責(zé)、儀器設(shè)備的購(gòu)置、使用和運(yùn)行維護(hù)的各項(xiàng)規(guī)定等。

13/31

——文檔管理制度應(yīng)包括機(jī)構(gòu)人員在測(cè)評(píng)文檔（含電子文檔）管理中的相關(guān)職責(zé)、檔案

借閱、保管直至銷(xiāo)毀的各項(xiàng)規(guī)定等。

——人員管理制度應(yīng)包括人員錄用、考核、日常管理以及離職等方面的內(nèi)容和要求。

——培訓(xùn)教育制度應(yīng)包括培訓(xùn)計(jì)劃的制定、培訓(xùn)工作的實(shí)施、培訓(xùn)的考核與上崗以及人

員培訓(xùn)檔案建立等內(nèi)容和要求。

——申訴、投訴及爭(zhēng)議處理制度應(yīng)明確包括檢測(cè)評(píng)估機(jī)構(gòu)各崗位人員在申訴、投訴和爭(zhēng)

議處理活動(dòng)中相應(yīng)的職責(zé)，建立從受理、確認(rèn)到處置、答復(fù)等環(huán)節(jié)的完整程序。

7.4測(cè)評(píng)實(shí)施能力

7.4.1人員能力

a）檢測(cè)評(píng)估機(jī)構(gòu)從事關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估工作的專(zhuān)業(yè)技術(shù)人員（以下簡(jiǎn)稱(chēng)

檢測(cè)評(píng)估人員）應(yīng)具有把握國(guó)家政策，理解和掌握相關(guān)技術(shù)標(biāo)準(zhǔn)，熟悉關(guān)鍵信息基礎(chǔ)設(shè)施安

全檢測(cè)評(píng)估的方法、流程和工作規(guī)范等方面的知識(shí)及能力，并有依據(jù)檢測(cè)評(píng)估結(jié)果做出專(zhuān)業(yè)

判斷以及出具關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估報(bào)告等任務(wù)的能力。

b）檢測(cè)評(píng)估人員應(yīng)參加專(zhuān)門(mén)培訓(xùn)、考試并取得行業(yè)認(rèn)可的網(wǎng)絡(luò)安全檢測(cè)評(píng)估領(lǐng)域?qū)I(yè)

證書(shū)。

c）檢測(cè)評(píng)估人員、檢測(cè)評(píng)估項(xiàng)目組長(zhǎng)和技術(shù)主管崗位人員應(yīng)分別取得初、中、高級(jí)關(guān)

鍵信息基礎(chǔ)設(shè)施安全測(cè)評(píng)人員資格，檢測(cè)評(píng)估人員數(shù)量不應(yīng)少于15人。

d）檢測(cè)評(píng)估人員除具備關(guān)鍵信息基礎(chǔ)設(shè)施安全測(cè)評(píng)人員資格外，每年應(yīng)參加多種形式

的測(cè)評(píng)業(yè)務(wù)和技術(shù)培訓(xùn)，檢測(cè)評(píng)估人員每年培訓(xùn)時(shí)長(zhǎng)累計(jì)不少于40學(xué)時(shí)。

e）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)指定一名技術(shù)主管,全面負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估方面的

技術(shù)工作。

7.4.2測(cè)評(píng)能力

a）安全技術(shù)測(cè)評(píng)實(shí)施能力，包括分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防

御、事件處置等方面測(cè)評(píng)指導(dǎo)書(shū)的開(kāi)發(fā)、使用、維護(hù)及獲取相關(guān)結(jié)果的專(zhuān)業(yè)判斷。

b）安全管理測(cè)評(píng)實(shí)施能力，包括分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防

御、事件處置等方面測(cè)評(píng)指導(dǎo)書(shū)的開(kāi)發(fā)、使用、維護(hù)及獲取相關(guān)結(jié)果的專(zhuān)業(yè)判斷。

c）安全測(cè)試與分析能力，指根據(jù)實(shí)際測(cè)評(píng)要求，開(kāi)發(fā)與測(cè)評(píng)相關(guān)的工作指導(dǎo)書(shū)，借助

專(zhuān)用測(cè)評(píng)設(shè)備和工具，實(shí)現(xiàn)漏洞發(fā)現(xiàn)與問(wèn)題分析等方面的能力。

d）整體測(cè)評(píng)實(shí)施能力，指根據(jù)單元測(cè)評(píng)的結(jié)果記錄、結(jié)果匯總和問(wèn)題分析，從運(yùn)營(yíng)者

的網(wǎng)絡(luò)安全管控能力評(píng)估、網(wǎng)絡(luò)安全保護(hù)水平評(píng)估和關(guān)鍵業(yè)務(wù)安全風(fēng)險(xiǎn)分析與評(píng)價(jià)三個(gè)方

面，給出整體測(cè)評(píng)具體結(jié)果的能力。

e）風(fēng)險(xiǎn)分析能力，指依據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的相關(guān)規(guī)范和標(biāo)準(zhǔn)，采用風(fēng)險(xiǎn)分

析的方法分析關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估結(jié)果中存在的安全問(wèn)題可能對(duì)關(guān)鍵信息基礎(chǔ)

設(shè)施安全造成影響的能力。

f）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)依據(jù)檢測(cè)評(píng)估工作流程，有計(jì)劃、按步驟地開(kāi)展檢測(cè)評(píng)估工作，并

保證檢測(cè)評(píng)估活動(dòng)的每個(gè)環(huán)節(jié)都得到有效的控制，具體要求分為四個(gè)階段：

1）檢測(cè)評(píng)估準(zhǔn)備階段，收集關(guān)鍵信息基礎(chǔ)設(shè)施的相關(guān)資料信息，填寫(xiě)規(guī)范的系統(tǒng)調(diào)查

表，全面掌握關(guān)鍵信息基礎(chǔ)設(shè)施的詳細(xì)情況，為檢測(cè)評(píng)估工作的開(kāi)展打下基礎(chǔ)。

2）方案編制階段，正確合理地確定檢測(cè)評(píng)估對(duì)象、檢測(cè)評(píng)估指標(biāo)及檢測(cè)評(píng)估內(nèi)容等，

并依據(jù)現(xiàn)行有效的技術(shù)標(biāo)準(zhǔn)、規(guī)范開(kāi)發(fā)檢測(cè)評(píng)估方案、檢測(cè)評(píng)估指導(dǎo)書(shū)、檢測(cè)評(píng)估結(jié)果記錄

表格等。檢測(cè)評(píng)估方案應(yīng)通過(guò)技術(shù)評(píng)審并有相關(guān)記錄，檢測(cè)評(píng)估指導(dǎo)書(shū)應(yīng)進(jìn)行版本有效性維

護(hù)，且滿(mǎn)足以下要求：

14/31

——符合相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估標(biāo)準(zhǔn)；

——提供足夠詳細(xì)的信息以確保檢測(cè)評(píng)估數(shù)據(jù)獲取過(guò)程的規(guī)范性和可操作性。

3）現(xiàn)場(chǎng)檢測(cè)評(píng)估階段，嚴(yán)格執(zhí)行檢測(cè)評(píng)估方案和檢測(cè)評(píng)估指導(dǎo)書(shū)中的內(nèi)容和要求，并

依據(jù)操作規(guī)程熟練地使用檢測(cè)評(píng)估設(shè)備和工具，規(guī)范、準(zhǔn)確、完整地填寫(xiě)檢測(cè)評(píng)估結(jié)果記錄，

獲取足夠證據(jù)，客觀、真實(shí)、科學(xué)地反映出關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)狀況，檢測(cè)評(píng)估過(guò)

程應(yīng)予以監(jiān)督并記錄。

4）報(bào)告編制階段，客觀描述關(guān)鍵信息基礎(chǔ)設(shè)施已采取的有效保護(hù)措施和存在的主要安

全問(wèn)題，指出關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)現(xiàn)狀與相應(yīng)保護(hù)要求之間的差距，分析差距可能導(dǎo)

致的風(fēng)險(xiǎn)，給出關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估結(jié)論，形成檢測(cè)評(píng)估報(bào)告。

7.5設(shè)施和設(shè)備安全與保障能力

a）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)具備必要的辦公環(huán)境、設(shè)備、設(shè)施和管理系統(tǒng)，使用的技術(shù)裝備、

設(shè)施原則上應(yīng)當(dāng)符合以下條件：

1）產(chǎn)品研制、生產(chǎn)單位是由中國(guó)公民、法人投資或者國(guó)家投資或者控股的，在中華人

民共和國(guó)境內(nèi)具有獨(dú)立的法人資格。

2）產(chǎn)品的核心技術(shù)、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán)。

3）產(chǎn)品研制、生產(chǎn)單位及其主要業(yè)務(wù)、技術(shù)人員無(wú)犯罪記錄。

4）產(chǎn)品研制、生產(chǎn)單位聲明沒(méi)有故意留有或者設(shè)置漏洞、后門(mén)、木馬等程序和功能。

5）對(duì)國(guó)家安全、社會(huì)秩序、公共利益不構(gòu)成危害。

6）應(yīng)配備經(jīng)安全認(rèn)證或者安全檢測(cè)符合要求的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品。

7）如使用開(kāi)源軟件或三方組件，應(yīng)論證選用的必要性，應(yīng)證明文件其來(lái)自官方渠道，

需要安全檢測(cè)機(jī)構(gòu)檢測(cè)和證明未設(shè)置漏洞、后門(mén)、木馬等程序和功能。

b）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)配備滿(mǎn)足關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估工作需要的設(shè)備和工具，

如脆弱性識(shí)別工具、威脅分析工具等（參考附錄D）。檢測(cè)評(píng)估設(shè)備和工具應(yīng)通過(guò)權(quán)威機(jī)構(gòu)

的檢測(cè)并提供檢測(cè)報(bào)告。

c）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)具備符合相關(guān)要求的機(jī)房以及必要的軟、硬件設(shè)備，用于滿(mǎn)足關(guān)鍵

信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估技術(shù)培訓(xùn)和模擬檢測(cè)評(píng)估的需要。

d）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)確保檢測(cè)評(píng)估設(shè)備和工具運(yùn)行狀態(tài)良好，并通過(guò)持續(xù)更新、升級(jí)等

手段保證其提供準(zhǔn)確的檢測(cè)評(píng)估結(jié)果。

e）檢測(cè)評(píng)估設(shè)備和工具均應(yīng)有正確的標(biāo)識(shí)。

7.6質(zhì)量管理能力

7.6.1管理體系建設(shè)

a）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)建立、實(shí)施和維護(hù)符合關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估工作需要的

管理體系，并確保檢測(cè)評(píng)估機(jī)構(gòu)各級(jí)人員能夠理解和執(zhí)行。

b）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)制定相應(yīng)的質(zhì)量目標(biāo)，不斷提升自身的檢測(cè)評(píng)估質(zhì)量和管理水平。

c）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)指定一名質(zhì)量主管，明確其質(zhì)量保證的職責(zé)。質(zhì)量主管不應(yīng)受到任

何可能影響工作質(zhì)量的因素或利益沖突的影響，并有權(quán)直接與檢測(cè)評(píng)估機(jī)構(gòu)最高管理層溝

通。

7.6.2管理體系維護(hù)

a）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)保證管理體系的有效運(yùn)行，發(fā)現(xiàn)問(wèn)題及時(shí)反饋并采取糾正措施，確

保其有效性。

b）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格遵守申訴、投訴及爭(zhēng)議處理制度，并應(yīng)記錄采取的措施。

15/31

7.7規(guī)范性保證能力

7.7.1公正性保證能力

a）檢測(cè)評(píng)估機(jī)構(gòu)及其檢測(cè)評(píng)估人員應(yīng)當(dāng)嚴(yán)格執(zhí)行有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，開(kāi)展客觀、

公正、安全的檢測(cè)評(píng)估服務(wù)。

b）檢測(cè)評(píng)估機(jī)構(gòu)的人員應(yīng)不受可能影響其檢測(cè)評(píng)估結(jié)果的來(lái)自于商業(yè)、財(cái)務(wù)和其他方

面的壓力。

7.7.2可靠與保密性保證能力

a）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)建立并保存工作人員的人員檔案，包括人員基本信息、社會(huì)背景、

工作經(jīng)歷、培訓(xùn)記錄、專(zhuān)業(yè)資格、獎(jiǎng)懲情況等，保障人員的穩(wěn)定和可靠。

b）檢測(cè)評(píng)估機(jī)構(gòu)使用的檢測(cè)評(píng)估設(shè)備和工具應(yīng)具備全面的功能列表，且不存在功能列

表之外的隱蔽功能。

c）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)重視安全保密工作，指派安全保密工作的責(zé)任人。

d）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)依據(jù)保密管理制度，定期對(duì)工作人員進(jìn)行保密教育，檢測(cè)評(píng)估機(jī)構(gòu)

和檢測(cè)評(píng)估人員應(yīng)當(dāng)保守在檢測(cè)評(píng)估活動(dòng)中知悉的國(guó)家秘密、工作秘密、商業(yè)秘密、個(gè)人隱

私等。

e）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)明確崗位保密要求，與全體人員簽訂《保密責(zé)任書(shū)》，規(guī)定其應(yīng)當(dāng)

履行的安全保密義務(wù)和承擔(dān)的法律責(zé)任，并負(fù)責(zé)檢查落實(shí)。

f）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)采取技術(shù)和管理措施來(lái)確保關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估相關(guān)信

息的安全、保密和可控，這些信息包括但不限于：

——被測(cè)評(píng)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供的資料；

——關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估活動(dòng)生成的數(shù)據(jù)和記錄；

——依據(jù)上述信息做出的分析與專(zhuān)業(yè)判斷。

g）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)借助有效的技術(shù)手段，確保關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估相關(guān)信

息的整個(gè)數(shù)據(jù)生命周期的安全和保密。

7.7.3檢測(cè)評(píng)估方法與程序的規(guī)范性

檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)保證與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估工作有關(guān)的所有工作程序、指導(dǎo)

書(shū)、標(biāo)準(zhǔn)規(guī)范、工作表格、核查記錄表等現(xiàn)行有效并便于檢測(cè)評(píng)估人員獲得。

7.7.4檢測(cè)評(píng)估記錄的規(guī)范性

a）檢測(cè)評(píng)估記錄應(yīng)當(dāng)清晰規(guī)范，并獲得關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的書(shū)面確認(rèn)。

b）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)具有安全保管記錄的能力，所有的檢測(cè)評(píng)估記錄應(yīng)保存三年以上。

7.7.5檢測(cè)評(píng)估報(bào)告的規(guī)范性

a）檢測(cè)評(píng)估報(bào)告應(yīng)依據(jù)機(jī)構(gòu)統(tǒng)一制訂的關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估報(bào)告模版的格

式和內(nèi)容要求編寫(xiě)。。

b）檢測(cè)評(píng)估報(bào)告應(yīng)包括所有檢測(cè)評(píng)估結(jié)果、根據(jù)檢測(cè)評(píng)估結(jié)果做出的專(zhuān)業(yè)判斷以及理

解和解釋檢測(cè)評(píng)估結(jié)果所需要的所有信息，以上信息均應(yīng)正確、準(zhǔn)確、清晰地表述。

c）檢測(cè)評(píng)估報(bào)告由檢測(cè)評(píng)估項(xiàng)目負(fù)責(zé)人作為第一編制人，技術(shù)主管（或質(zhì)量主管）負(fù)

責(zé)審核，機(jī)構(gòu)管理者或其授權(quán)人員簽發(fā)或批準(zhǔn)。

7.8風(fēng)險(xiǎn)控制能力

a）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)充分評(píng)估檢測(cè)評(píng)估工作可能給關(guān)鍵信息基礎(chǔ)設(shè)施帶來(lái)的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)

包括但不限于以下方面：

16/31

1）檢測(cè)評(píng)估機(jī)構(gòu)由于自身能力或資源不足造成的風(fēng)險(xiǎn)。

2）檢測(cè)評(píng)估驗(yàn)證活動(dòng)可能對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施正常運(yùn)行造成影響的風(fēng)險(xiǎn)。

3）檢測(cè)評(píng)估設(shè)備和工具接入可能對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施正常運(yùn)行造成影響的風(fēng)險(xiǎn)。

4）檢測(cè)評(píng)估過(guò)程中可能發(fā)生的關(guān)鍵信息基礎(chǔ)設(shè)施重要信息（如網(wǎng)絡(luò)拓?fù)洹P地址、業(yè)

務(wù)流程、安全機(jī)制、安全隱患和有關(guān)文檔等）泄漏的風(fēng)險(xiǎn)等。

b）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)通過(guò)多種措施對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施可能面臨的風(fēng)險(xiǎn)加以規(guī)避和控制。

7.9可持續(xù)性發(fā)展能力

a）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)根據(jù)自身情況制定戰(zhàn)略規(guī)劃，通過(guò)不斷的投入保證自身的持續(xù)建設(shè)

和發(fā)展。

b）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)定期對(duì)管理體系進(jìn)行評(píng)審并持續(xù)改進(jìn)，不斷提高管理要求。設(shè)定中

期、遠(yuǎn)期目標(biāo)，通過(guò)目標(biāo)的實(shí)現(xiàn)，逐步提升質(zhì)量管理能力。

c）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)根據(jù)培訓(xùn)制度做好培訓(xùn)工作，并保存培訓(xùn)和考核記錄。

d）檢測(cè)評(píng)估機(jī)構(gòu)應(yīng)投入資源進(jìn)行檢測(cè)評(píng)估實(shí)踐總結(jié)和檢測(cè)評(píng)估技術(shù)研究工作，檢測(cè)評(píng)

估機(jī)構(gòu)間宜進(jìn)行經(jīng)驗(yàn)交流和技術(shù)研討，保持與檢測(cè)評(píng)估技術(shù)發(fā)展的同步性和先進(jìn)性。

17/31

附錄A運(yùn)營(yíng)者檢測(cè)評(píng)估能力評(píng)價(jià)指標(biāo)

（規(guī)范性）

必要項(xiàng)

層面權(quán)重合規(guī)項(xiàng)指標(biāo)描述合規(guī)項(xiàng)數(shù)量

標(biāo)識(shí)

a）運(yùn)營(yíng)者應(yīng)成立針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施指導(dǎo)和管理的網(wǎng)絡(luò)安全工作委員會(huì)或領(lǐng)導(dǎo)小組，由單位第一負(fù)責(zé)人擔(dān)任其

/

領(lǐng)導(dǎo)職務(wù)，明確一名領(lǐng)導(dǎo)班子成員作為首席網(wǎng)絡(luò)安全官，專(zhuān)職管理或分管關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

安全b）運(yùn)營(yíng)者應(yīng)設(shè)置專(zhuān)門(mén)的網(wǎng)絡(luò)安全管理機(jī)構(gòu)，明確機(jī)構(gòu)的安全管理職責(zé)和安全崗位編制。是

管理20%c）運(yùn)營(yíng)者應(yīng)建立并實(shí)施網(wǎng)絡(luò)安全考核及監(jiān)督問(wèn)責(zé)機(jī)制，并通過(guò)考核和監(jiān)督問(wèn)責(zé)相關(guān)工作記錄文檔查驗(yàn)該機(jī)制是否5

/

機(jī)構(gòu)正確有效運(yùn)行。

d）應(yīng)為每個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施明確一名安全管理責(zé)任人。是

e）應(yīng)將安全管理機(jī)構(gòu)人員納入本組織關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)決策體系。/

a）應(yīng)對(duì)安全管理機(jī)構(gòu)的關(guān)鍵崗位的人員進(jìn)行安全技能考核，符合要求的人員方能上崗。安全管理機(jī)構(gòu)明確關(guān)鍵崗

位，通常包括與關(guān)鍵業(yè)務(wù)系統(tǒng)直接相關(guān)的系統(tǒng)管理、網(wǎng)絡(luò)管理、安全管理等崗位。關(guān)鍵崗位應(yīng)宜從內(nèi)部人員中選/

拔，配備專(zhuān)人，并配備兩人以上共同管理。

b）應(yīng)定期安排安全管理機(jī)構(gòu)人員參加國(guó)家、行業(yè)或業(yè)界網(wǎng)絡(luò)安全相關(guān)活動(dòng)，及時(shí)獲取網(wǎng)絡(luò)安全動(dòng)態(tài)。/

安全c）應(yīng)建立網(wǎng)絡(luò)安全教育培訓(xùn)制度，定期開(kāi)展網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核，關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員每人每年

管理20%教育培訓(xùn)時(shí)長(zhǎng)不得少于40個(gè)學(xué)時(shí)。教育培訓(xùn)內(nèi)容應(yīng)包括網(wǎng)絡(luò)安全相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)，以及網(wǎng)絡(luò)安全保護(hù)技7是

人員術(shù)、網(wǎng)絡(luò)安全管理等。

d）網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核應(yīng)根據(jù)崗位的不同而設(shè)定不同周期。/

e）應(yīng)對(duì)安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行背景調(diào)查，并留存相關(guān)的背景調(diào)查材料。當(dāng)安全管理機(jī)構(gòu)的負(fù)

責(zé)人和關(guān)鍵崗位人員的身份、安全背景等發(fā)生變化（例如：取得非中國(guó)國(guó)籍）或必要時(shí)，應(yīng)根據(jù)情況重新按照相/

關(guān)要求進(jìn)行安全背景審查。

18/31

必要項(xiàng)

層面權(quán)重合規(guī)項(xiàng)指標(biāo)描述合規(guī)項(xiàng)數(shù)量

標(biāo)識(shí)

f）應(yīng)在人員發(fā)生內(nèi)部崗位調(diào)動(dòng)時(shí)，重新評(píng)估調(diào)動(dòng)人員對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的邏輯和物理訪問(wèn)權(quán)限，修改訪問(wèn)權(quán)限

并通知相關(guān)人員或角色。應(yīng)在人員離崗時(shí)，及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限，收回與身份鑒別相關(guān)的軟硬件設(shè)是

備，進(jìn)行面談并通知相關(guān)人員或角色。

g）應(yīng)明確從業(yè)人員安全保密職責(zé)和義務(wù)，包括安全職責(zé)、獎(jiǎng)懲機(jī)制、離崗后的脫密期限等，并簽訂安全保密協(xié)

是

議。

a）檢測(cè)評(píng)估裝備包含但不限于安全基線(xiàn)核查工具、漏洞掃描系統(tǒng)、入侵檢測(cè)系統(tǒng)、安全事件信息管理系統(tǒng)、監(jiān)測(cè)

是

預(yù)警系統(tǒng)、滲透測(cè)試工具等。

b）檢測(cè)評(píng)估裝備應(yīng)能覆蓋關(guān)鍵信息基礎(chǔ)設(shè)施的各個(gè)方面，包括網(wǎng)絡(luò)通信、計(jì)算環(huán)境、應(yīng)用及數(shù)據(jù)、管理制度等。/

檢測(cè)

c）檢測(cè)評(píng)估裝備應(yīng)通過(guò)具備資質(zhì)的檢測(cè)機(jī)構(gòu)的測(cè)試或認(rèn)證。/

評(píng)估10%7

d）針對(duì)檢測(cè)評(píng)估裝備的使用和操作流程應(yīng)制定詳細(xì)的標(biāo)準(zhǔn)和規(guī)范。/

裝備

e）應(yīng)定期評(píng)價(jià)檢測(cè)評(píng)估裝備的有效性和適用性，并根據(jù)評(píng)估結(jié)果進(jìn)行持續(xù)改進(jìn)升級(jí)。/

f）具備自動(dòng)化工具對(duì)互聯(lián)網(wǎng)及內(nèi)網(wǎng)暴露面進(jìn)行識(shí)別與風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)資產(chǎn)和互聯(lián)網(wǎng)暴露面的安全管理。/

g）具備對(duì)拒絕服務(wù)攻擊、高級(jí)可持續(xù)威脅等網(wǎng)絡(luò)攻擊行為進(jìn)行有效分析的自動(dòng)化工具或平臺(tái)。是

a）運(yùn)營(yíng)者應(yīng)建立合規(guī)檢測(cè)評(píng)估的制度和流程，明確合規(guī)檢測(cè)評(píng)估的目的、范圍、方法、周期等要求。/

合規(guī)

b）運(yùn)營(yíng)者應(yīng)組建專(zhuān)業(yè)的安全團(tuán)隊(duì)或委托專(zhuān)業(yè)的第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)定期開(kāi)展合規(guī)檢測(cè)評(píng)估。是

檢測(cè)25%4

c）合規(guī)檢測(cè)評(píng)估的內(nèi)容包括法律法規(guī)層面、標(biāo)準(zhǔn)規(guī)范層面、運(yùn)營(yíng)者管理制度層面落實(shí)情況。/

評(píng)估

d）應(yīng)對(duì)合規(guī)檢測(cè)評(píng)估發(fā)現(xiàn)的問(wèn)題進(jìn)行跟蹤并及時(shí)進(jìn)行整改，形成問(wèn)題整改清單文檔。是

a）運(yùn)營(yíng)者應(yīng)建立風(fēng)險(xiǎn)檢測(cè)評(píng)估的制度和流程，明確風(fēng)險(xiǎn)檢測(cè)評(píng)估的目的、范圍、方法和周期等要求。是

b）運(yùn)營(yíng)者應(yīng)組建專(zhuān)業(yè)的安全團(tuán)隊(duì)或委托專(zhuān)業(yè)的第三方風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)，定期開(kāi)展風(fēng)險(xiǎn)檢測(cè)評(píng)估。是

風(fēng)險(xiǎn)

c）風(fēng)險(xiǎn)檢測(cè)評(píng)估應(yīng)包括法律法規(guī)層面、行業(yè)標(biāo)準(zhǔn)規(guī)范層面、以及運(yùn)營(yíng)者內(nèi)部管理制度層面的風(fēng)險(xiǎn)識(shí)別和控制措施

檢測(cè)25%16/

落實(shí)情況。

評(píng)估

d）對(duì)風(fēng)險(xiǎn)檢測(cè)評(píng)估中發(fā)現(xiàn)的問(wèn)題，運(yùn)營(yíng)者應(yīng)進(jìn)行跟蹤并及時(shí)進(jìn)行整改，形成問(wèn)題整改清單文檔，并確保整改措施

/

的有效實(shí)施。

19/31

必要項(xiàng)

層面權(quán)重合規(guī)項(xiàng)指標(biāo)描述合規(guī)項(xiàng)數(shù)量

標(biāo)識(shí)

e）明確風(fēng)險(xiǎn)識(shí)別的標(biāo)準(zhǔn)和方法，對(duì)風(fēng)險(xiǎn)進(jìn)行分類(lèi)，區(qū)分高、中、低風(fēng)險(xiǎn)，并制定相應(yīng)的應(yīng)對(duì)策略。/

f）采用定量和定性相結(jié)合的方法對(duì)風(fēng)險(xiǎn)的可能性和影響進(jìn)行評(píng)估，確保評(píng)估結(jié)果的準(zhǔn)確性和可靠性。/

g）使用主流的風(fēng)險(xiǎn)檢測(cè)工具和技術(shù)，提高風(fēng)險(xiǎn)檢測(cè)評(píng)估的效率和準(zhǔn)確性。/

h）建立有效的風(fēng)險(xiǎn)溝通機(jī)制，確保風(fēng)險(xiǎn)信息在組織內(nèi)部和相關(guān)利益相關(guān)者之間得到及時(shí)和準(zhǔn)確的傳遞，并定期報(bào)

/

告風(fēng)險(xiǎn)檢測(cè)評(píng)估的狀態(tài)。

i）根據(jù)風(fēng)險(xiǎn)檢測(cè)評(píng)估的結(jié)果，制定或更新風(fēng)險(xiǎn)管理策略和措施，不斷改進(jìn)風(fēng)險(xiǎn)管理流程和策略，提高風(fēng)險(xiǎn)管理的

/

整體效能。

j）確保風(fēng)險(xiǎn)檢測(cè)評(píng)估和管理過(guò)程符合相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。/

k）具備風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)，記錄所有檢測(cè)到的風(fēng)險(xiǎn)事件，為風(fēng)險(xiǎn)分析和決策提供數(shù)據(jù)支持。/

l）具備風(fēng)險(xiǎn)預(yù)警機(jī)制，當(dāng)監(jiān)測(cè)到潛在風(fēng)險(xiǎn)時(shí)，能夠及時(shí)發(fā)出預(yù)警并采取預(yù)防措施。/

m）有能力發(fā)現(xiàn)使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)，及時(shí)采取措施予以消除。是

n）能夠定期組織開(kāi)展攻防演練，并及時(shí)整改發(fā)現(xiàn)的問(wèn)題；在不適合開(kāi)展實(shí)網(wǎng)攻防演練場(chǎng)景下，能采取仿真環(huán)境或

是

沙盤(pán)推演等方式進(jìn)行模擬演練。

o）能夠定期組織開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，對(duì)評(píng)估中發(fā)現(xiàn)的安全問(wèn)題制定整改方案及工作計(jì)劃，并形成報(bào)告。/

p）應(yīng)對(duì)數(shù)據(jù)全生命周期各階段的數(shù)據(jù)處理活動(dòng)進(jìn)行全面檢測(cè)，識(shí)別數(shù)據(jù)全生命周期各階段的安全風(fēng)險(xiǎn)。/