中关村华安关键信息基础设施安全保护联盟自我承诺
中关村华安关键信息基础设施安全保护联盟发布的T/CIIPA 00007—2024《关键信息基础设施安全检测评估能力要求》团体标准遵循开放、公平、透明、协商一致和促进贸易和交流的原则,按照在本平台公布的《标准制定程序文件_CIIPA》制定。T/CIIPA 00007—2024《关键信息基础设施安全检测评估能力要求》团体标准规定的内容符合国家有关法律法规和强制性标准的要求,没有侵犯他人合法权益。
中关村华安关键信息基础设施安全保护联盟在自愿基础上作出本承诺,并对以上承诺内容的真实性负责。
中关村华安关键信息基础设施安全保护联盟
2025年03月07日
| 团体详细信息 | |||
|---|---|---|---|
| 团体名称 | 中关村华安关键信息基础设施安全保护联盟 | ||
| 登记证号 | 51110000MJ0101046N | 发证机关 | 北京市民政局 |
| 业务范围 | 开展关键信息基础设施安全保护领域相关的技术研究、技术交流、标准制定、人才培养、咨询服务、会议会展、支持科技成果转化服务、交流合作、承办委托。 | ||
| 法定代表人/负责人 | 林皓 | ||
| 依托单位名称 | |||
| 通讯地址 | 北京市海淀区世纪金源商务中心607 | 邮编 : 100097 | |
| 标准详细信息 | |||
|---|---|---|---|
| 标准状态 | 现行 | ||
| 标准编号 | T/CIIPA 00007—2024 | ||
| 中文标题 | 关键信息基础设施安全检测评估能力要求 | ||
| 英文标题 | Capability requirements for security inspection and evaluation of criticalinformation infrastructure | ||
| 国际标准分类号 | 35.030 | ||
| 中国标准分类号 | CCS L 80 | ||
| 国民经济分类 | I6550 信息处理和存储支持服务 | ||
| 发布日期 | 2025年03月07日 | ||
| 实施日期 | 2025年03月09日 | ||
| 起草人 | 霍珊珊、郭启全、刘健、逯瑶、张益、刘赫、刘琛、杨龙、裴帅、赵霖、孙琪、于盟曹禹、周呈辉、王尊、杜字鸽、邸丽清、杨波、李炎、何冠辉、叶玉杰、孙茂增、王天昊、原野、梁承东、彭世强林皓、杨华、徐建、陶然、张仕文、吴谬、王明军、邓力萍、胡健勋、刘元、成嘉轩、邹远辉、刘洋、张傑、王柯龙、杨蔚、徐亮亮、杜建斌、谢占斐、陈傲晗、魏启超。 | ||
| 起草单位 | 中国电子科技集团公司第十五研究所、中关村华安关键信息基础设施安全保护联盟、国家工业信息安全发展研究中心、中国信息安全测评中心、国家广播电视总局监管中心、杭州安信检测技术有限公司、银行卡检测中心(北京银联金卡科技有限公司)、广州竞远安全技术股份有限公司北京北信源软件股份有限公司、国网思极检测技术(北京)有限公司、中国电力科学研究院有限公司、中国联合网络通信有限公司研究院、大唐科技研究总院、工业和信息化部教育与考试中心、教育部教育管理信息中心、中国工商银行股份有限公司、中邮信息科技(北京)有限公司、水利部信息中心、中国民生银行股份有限公司、中国联合网络通信集团有限公司、中国电信集团有限公司、中国移动通信集团有限公司、湖南浩基信息技术有限公司、甘肃赛飞安全科技有限公司、中科信息安全共性技术国家工程研究中心有限公司、成都久信信息技术股份有限公司、四川北斗弘鹏科技有限公司、湖北珞格科技发展有限公司、杭州中尔网络科技有限公司、合肥天帷信息安全技术有限公司、北京众安天下科技有限公司。 | ||
| 范围 | 本文件确立了关键信息基础设施安全检测评估总体要求,能力组成,规范了从事关键信息基础设施安全检测评估工作应具备的基本能力要求。 本文件适用于关键信息基础设施运营者、网络安全检测评估机构对关键信息基础设施开展安全检测评估的能力建设参考。 | ||
| 主要技术内容 | GB/T25069、GB/T39204、GB/T22239、GB/T28448和GB/T36959界定的以及下列术语和定义适用于本文件。 3. 关键信息基础设施criticalinformation infrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。 3.2 检测评估 testing and evaluation为检测评估安全防护措施的有效性,发现网络安全风险隐患,建立相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。3.3 访谈interview 检测评估人员通过引导关键信息基础设施保护相关人员进行有目的(有针对性)的交流以帮助检测评估人员理解、澄清或取得证据的过程。 3.4 核查examination 检测评估人员通过对检测评估对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮助检测评估人员理解、澄清或取得证据的过程, 3.5测试 test检测评估人员使用预定的方法/工具使检测评估对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。3.6 评估evaluation检测评估人员对关键信息基础设施可能存在的威胁及其可能产生的后果进行综合评价和预测的过程, 3.7 关键信息基础设施安全检测评估 testing, and evaluation for critical information infrastructure检测评估机构依据国家关键信息基础设施保护制度规定,按照有关管理规范和技术标准,对关键信息基础设施的安全保护状况进行检测评估的活动。 3.8单元测评 unit evaluation主要依据GB/T39204-2022中各安全子类(包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置)以及运营者自定义的特殊安全子类的测评。 3.9 关联测评correlation evaluation在单元测评结果的基础上,结合已知的和潜在的风险集、关键信息基础设施的业务场景、所属领域已知安全事件、可能面临的威胁等,对关键信息基础设施实施的综合性安全检测评估,包括信息收集汇总、入侵痕迹分析、业务逻辑安全分析、设计模拟攻击路径及测试用例、开展渗透测试等。3.10 整体评估overallevaluation 主要包括针对运营者的网络安全管控能力评估、针对关键信息基础设施自身的网络安全保护水平评估,以及针对关键信息基础设施所承载关键业务的网络安全风险分析与评价三部分。 4.1基本原则 关键信息基础设施是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统。为关键信息基础设施安全提供保障的安全检测评估工作应遵循的基本原则包括: a)全面性原则:安全检测评估应覆盖关键信息基础设施的所有关键点,包括网络设备、服务器、应用系统、数据库等,确保没有遗漏潜在的安全隐患; 主动性原则:安全检测评估应主动进行,而不是等待问题发生后再采取措施。运营者应定期进b)行安全检测评估可以及时发现和修复安全漏洞,预防安全事件的发生。系统性原则:安全检测评估应采用系统化的方法,结合威胁情报、漏洞扫描、渗透测试、配置核c)查等多种手段,形成一个完整的检测评估体系; 独立性原则:安全检测评估应由独立的第三方机构或内部独立部门进行,以确保评估结果的客d)观性和公正性,避免利益冲突; 合规性原则:安全检测评估应符合网络安全领域国家和行业的相关法律法规、标准规范等要e)求,避免非授权开展关键信息基础设施安全检测评估; 5持续改进原则:安全检测评估不仅要发现问题,还要提出改进建议,并进行后续跟踪,确保改进措施落实到位,建立持续改进的安全管理机制; 8)风险管理原则:安全检测评估应以风险为导向,识别和评估关键信息基础设施面临的安全风险,并采取相应的措施进行风险控制和管理,确保安全投人与风险的平衡;h)保密性原则:在进行安全检测评估过程中,应严格保密相关信息,防止敏感数据泄露,维护关键信息基础设施的数据安全。 |
||
| 是否包含专利信息 | 否 | ||
| 标准文本 | 查看 | ||
| 标准公告 | |||
|---|---|---|---|
| 标准发布公告 | 2025/3/6 14:31:17 | ||
*由中关村华安关键信息基础设施安全保护联盟于2025/3/6 14:31:17在团体标准信息平台公布,最后修改时间:2025/3/6 14:31:17
评论