ICS35.040

L80

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術關鍵信息基礎設施安全防護

能力評價方法

Informationsecuritytechnology－Theevaluationmethodforsecurityprotection

capabilityofcriticalinformationinfrastructure

在提交反饋意見時，請將您知道的相關專利連同支持文件一并附上。

（征求意見稿）

(本稿完成日期：2021-03-26)

XXXX-XX-XX發布XXXX-XX-XX實施

GB/TXXXXX—XXXX

目??次

前言.......................................................................................................................................................................II

1范圍.....................................................................................................................................................................1

2規范性引用文件.................................................................................................................................................1

3術語和定義.........................................................................................................................................................1

4評價模型.............................................................................................................................................................2

4.1模型組成.....................................................................................................................................................2

4.2能力等級.....................................................................................................................................................2

4.3能力域.........................................................................................................................................................2

4.4評價方法、流程及形式.............................................................................................................................3

5識別認定.............................................................................................................................................................4

5.1業務識別.....................................................................................................................................................5

5.2資產識別.....................................................................................................................................................6

5.3風險識別.....................................................................................................................................................7

6安全防護.............................................................................................................................................................8

6.1鑒別與授權.................................................................................................................................................8

6.2數據安全...................................................................................................................................................12

6.3邊界防護...................................................................................................................................................13

6.4容災備份...................................................................................................................................................15

6.5安全制度體系...........................................................................................................................................17

6.6人員管理...................................................................................................................................................18

6.7運維...........................................................................................................................................................22

6.8供應鏈管理...............................................................................................................................................24

7檢測評估...........................................................................................................................................................27

7.1安全檢測...................................................................................................................................................27

7.2分析評估...................................................................................................................................................29

7.3抽查檢測...................................................................................................................................................30

8監測預警...........................................................................................................................................................25

8.1監測...........................................................................................................................................................31

8.2預警.......................................................................................................................錯誤！未定義書簽。33

8.3通報...........................................................................................................................................................27

9事件處置...........................................................................................................................................................35

9.1應急預案...................................................................................................................................................35

9.2事件響應...................................................................................................................................................37

9.3恢復...........................................................................................................................................................39

9.4改進...........................................................................................................................................................40

I

GB/TXXXXX—XXXX

信息安全技術關鍵信息基礎設施安全防護能力評價方法

1范圍

本文件描述了關鍵信息基礎設施安全防護能力評價模型，給出了能力評價方法。

本文件適用于關鍵信息基礎設施運營者對關鍵信息基礎設施安全防護能力進行評價，也可適用于網

絡安全服務機構對關鍵信息基礎設施安全防護能力進行評價，并可供關鍵信息基礎設施保護工作部門和

關鍵信息基礎設施安全保護的其他參與者參考。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239—2019信息安全技術網絡安全等級保護基本要求

GB/T25069信息安全技術術語

GB/T30285—2013信息安全技術災難備份中心建設與運維管理規范

GB/T36637—2018信息安全技術ICT供應鏈安全風險管理指南

GB/TAAAAA—AAAA信息安全技術關鍵信息基礎設施網絡安全保護基本要求

3術語和定義

GB/T22239-2019、GB/T25069和GB/TAAAAA-AAAA界定的以及下列術語和定義適用于本文件。

3.1

關鍵信息基礎設施安全防護能力securityprotectioncapabilityofcriticalinformationinfrastructure

關鍵信息基礎設施運營者采取網絡安全措施保障其業務穩定、持續運行的能力。

3.2

供應鏈基礎設施supplychaininfrastructure

由組織內的硬件、軟件和流程等構成的集合，用于構建產品或服務的開發、生產、測試、部署、維

護、報廢等系統生命周期的環境。

注1：供應鏈基礎設施，主要包括組織內部支撐供應鏈生命周期的信息系統和物理設施，如供應鏈管理信息系統、

采購管理系統、軟件開發環境、零部件生產車間、產品倉庫等。

注2：供應鏈信息系統，屬于供應鏈基礎設施，是由計算機、其他信息終端、相關設備、軟件和數據等組成的，按

照一定的規則和程序支撐產品或服務的開發、采購、生產、集成、倉儲、交付、維護、外包等供應鏈生命周期的系統。

[來源：GB/T36637—2018，定義3.8，有修改]

1

GB/TXXXXX—XXXX

4評價模型

4.1模型組成

關鍵信息基礎設施安全防護能力評價模型包括能力級別、能力域和能力項以及相應的能力評價方

法，見圖1。

圖1模型組成

4.2能力等級

關鍵信息基礎設施安全防護能力依據5個能力域完成程度的高低進行分級評估，包括3個能力等級。

能力等級之間為遞進關系，高一級的能力要求包括所有低等級能力要求。能力等級及特征見表1。

表1安全能力等級及特征

關鍵信息基礎設施安全等級特征

防護能力等級

能力等級1能識別相關風險，防護措施成體系，能夠開展檢測評估活動，具備監

測預警能力；能夠按規定接受和報送相關信息；在突發事件發生后能

應對并按計劃恢復。

能力等級2能清晰識別相關風險，防護措施有效，能夠檢測評估出主要安全風險，

主動監測預警和態勢感知，事件響應較為及時，業務能夠及時恢復。

能力等級3識別認定完整清晰，防護措施體系化、自動化高，能夠及時檢測評估

出主要安全風險，使用自動化工具進行監測預警和態勢感知，信息共

享和協同程度高，事件響應及時有效，業務可近實時恢復。

4.3能力域

能力域明確了運營者在關鍵信息基礎設施安全防護所需具備的能力，包括識別認定、安全防護、檢

2

GB/TXXXXX—XXXX

測評估、監測預警、事件處置5個方面的關鍵能力，每個安全能力包含若干能力指標，每個能力指標包

含若干評價內容，評價內容主要來自GB/TAAAAA—AAAA和GB/T22239-2019，評價指標表見表2。

另外，對于包含工業控制系統或者采用云計算平臺等的關鍵信息基礎設施，應滿足GB/T22239-2019中

擴展要求中三級以上的相應要求。

表2評價指標表

評價內容

序號能力域能力項

GB/TAAAAA—AAAAGB/T22239-2019

1.識別認定業務識別6.1，6.4

2.資產識別6.2，6.4

3.風險識別6.3，6.4

4.安全防護鑒別與授權7.5.1b）.6.18.1.1.2，8.1.4.1，8.1.4.2

5.數據安全7.6.38.1.4.7，8.1.4.8，8.1.4.10，

8.1.4.11

6.邊界防護7.5.1a）、c）和7.5.28.1.2.1，8.1.3.1，8.1.3.2

7.容災備份7.6.38.1.4.9a)、b、)c)，

8.1.2.1a)、b)、e)

8.安全制度8.1，7.6，7.7.18.1.6

7.2

9.機構人員7.3、7.48.1.6，8.1.8，9.1.8

10.運維管理7.88.1.10.6，8.1.10.8，

8.1.10.14

11.供應鏈管理7.7.28.1.9.3，8.1.9.4，8.1.9.5，

8.1.9.10

12.檢測評估安全檢測7.5.3,7.6.4，7.6.28.1.4.5,8.1.7.5

13.分析評估8.2，7.5.38.1.3.5,8.1.4.3

14.抽查檢測8.2

15.監測預警監測9.1a)，9.2

16.預警9.1a)、b、)c)、d、)f)，9.3

17.通報9.1a)、d)，9.3b)、d)

18.事件處置應急預案和演練10.2，10.1c）

19.事件響應10.1、10.3.1、10.3.2，10.3.3

20.恢復10.3.2a）、d）

21.改進10.3.2d），10.4

4.4評價方法、流程及形式

4.4.1評價方法

關鍵信息基礎設施安全防護能力評價包括能力域級別評價、等級保護測評和商用密碼應用安全性評

估三部分。關鍵信息基礎設施安全防護能力域評價前，關鍵信息基礎設施應首先通過相應等級的等級保

3

GB/TXXXXX—XXXX

護測評和商用密碼應用安全性評估。然后，組織應按照能力域評價內容和評價操作方法開展評價工作，

給出對每項評價指標的判定結果和所處級別，得出每個能力域級別，綜合5個能力域級別以及等級保護

測評結果得出關鍵信息基礎設施安全防護能力等級。

一般來說，滿足某一級別某一能力域全部能力評價項為滿足本級別能力域，滿足某一級別所有能力

域全部能力評價項為達到某一級別關鍵信息基礎設施安全防護能力。特殊情況下，可對不同能力域的安

全風險進行分析，根據風險得出安全防護能力等級。例如：某關鍵信息基礎設施滿足5個能力域能力等

級1的能力評價項，則該關鍵信息基礎設施安全防護能力等級為1。某關鍵信息基礎設施安全防護能力

域能力等級沒有達到能力等級1，但是其檢測評估能力達到能力等級2或3，能夠盡快發現風險并轉移

或緩解風險，能夠使得關鍵信息基礎設施不受損害，業務連續性不受影響，評估后關鍵信息基礎設施安

全防護能力為能力等級1。

關鍵信息基礎設施安全防護能力應綜合考慮5個能力域級別與等級保護測評結果。對應能力等級1

的關鍵信息基礎設施等級保護測評結果應至少為中；對應能力等級2的關鍵信息基礎設施等級保護測評

結果應至少為良；對應能力等級3的關鍵信息基礎設施等級保護測評結果應為優。對于一個關鍵信息基

礎設施包含多個網絡安全等級保護對象的，等級保護測評結果應取多個網絡安全等級保護對象測評結果

中的最低值。

4.4.2評價實施流程

評價實施流程主要包括：評價準備、方案編制、現場實施和分析評價四個階段，與運營者的溝通與

洽談貫穿整個過程。

在評價準備階段，應明確被測對象、擬提供的證據、評價進度等相關信息，并組建評價實施團隊。

在方案編制階段，應確定評價對象、評價內容和評價方法，確定評價邊界和范圍，了解運營者的系

統運行狀況、安全機構、制度、人員等現狀，并根據需要選擇、調整、開發和優化測試用例，形成相應

安全評價方案。

在現場實施階段，應根據評價操作方法進行審核，并根據需要進行測試。必要時，應補充相關證據，

雙方對現場實施結果進行確認。

在分析評價階段，應對現場實施階段所形成的證據進行分析，給出對每個能力項的判定結果和所處

級別，得出每個能力域級別，從而判定關鍵信息基礎設施安全防護能力級別。評價報告中應給出整體安

全狀況、每個能力域的安全狀況、安全薄弱點、安全保護較好的方面等內容，以便于運營者全面了解自

身安全防護狀況和下一步提升方向。

注：在分析評價時，滿足相應能力項能力等級描述表相應等級的所有內容，為具備某一等級的能力項能力，不同等

級為依次遞進關系，滿足高一等級能力則必須首先滿足能力等級描述表中前一等級的內容。

4.4.3評價形式

關鍵信息基礎設施安全防護能力評價形式包括兩種：

運營者自評：由運營者自行對關鍵信息基礎設施安全防護情況進行評價。通過自評，掌握本組織安

全防護現狀，并針對薄弱環節采取有效改進措施，最終達到改善和提高本組織關鍵信息基礎設施安全防

護能力的目的。

外部評價：由外部組織（例如，網絡安全服務機構）按照能力等級和評價方法對安全防護情況進行

評價，最終達到為運營者提供更客觀、更詳實、更專業的安全防護能力的目的。

5識別認定

4

GB/TXXXXX—XXXX

5.1業務識別

5.1.1評價內容

見GB/TAAAAA-AAAA中6.1和6.4。

5.1.2評價操作方法

評價操作方法包括但不限于：

a）檢查關鍵信息基礎設施分析識別相關制度文檔，查看其：

1)是否按照國家和行業關鍵信息基礎設施識別規范或要求，制定相關制度，開展業務識別工

作；

2)識別流程是否符合相關規范要求；

3)是否對制度文檔進行定期更新；

b）檢查關鍵信息基礎設施業務識別相關成果文檔，查看其：

1)是否識別了本組織的關鍵業務，關鍵業務識別是否符合組織相關制度要求；

2)是否分析出關鍵業務所依賴的外部關鍵業務；

3)是否識別關鍵業務、目標和活動的重要性。

4)是否分析了本組織關鍵業務對外部關鍵業務的重要性；

5)是否梳理形成了關鍵業務鏈，關鍵業務鏈的描述是否明確；

6)是否在文檔中提供支撐本組織關鍵業務的關鍵信息基礎設施分布和運營情況；

7)是否根據業務、設施等變化及時進行重新識別；

8)是否定期對文檔進行更新；

9)是否通過技術手段支持業務識別；

c）訪談關鍵信息基礎設施保護相關人員或角色，詢問其：

1)是否收到過識別認定相關文檔或接受相關培訓；

2)業務識別情況是否經過了內部審核；

3)是否了解本組織的關鍵業務、與外部關鍵業務的依賴關系以及關鍵業務鏈；

4)是否了解支撐本組織關鍵業務鏈的關鍵信息基礎設施分布和運營情況。

5.1.3能力等級

能力等級如表3所示。

表3業務識別能力等級描述

能力項能力等級1能力等級2能力等級3

業務識別1）按照國家和行業關鍵1）有效實施了關鍵信息基礎設施識別認1）根據組織實施情

信息基礎設施識別規范定相關制度規范；況對關鍵信息基礎

或要求，制定相關制度，設施業務識別能力

開展業務識別工作，制度進行持續改進；

審核發布，并定期更新；

2）在發生重大變更時及

時更新關鍵信息基礎設

施識別認定相關制度規

范，并開展業務識別工

作。

5

GB/TXXXXX—XXXX

3）梳理關鍵業務，形成2）業務識別文檔清晰分析了業務之間的2）業務識別情況經

關鍵信息基礎設施業務相互依賴關系，描述了關鍵業務鏈的組成過內部審核，采用形

識別相關成果文檔；及相互關系，提供了每個業務鏈的關鍵信式化的方式進行業

息基礎設施或子系統名稱、運營者及所處務識別描述；根據業

位置等信息；務、設施等變化及時

進行重新識別，并更

新相關文檔；

4）按照識別認定流程，3）定期對網絡安全和關鍵業務相關人員3)能夠為業務識別

將業務識別情況通知本和角色進行培訓和宣貫，了解識別認定相提供技術支持，能夠

組織的相關部門；關要求和關鍵業務情況。通過自動化機制將

5）網絡安全和關鍵業務識別情況和相關文

相關人員和角色了解識檔通報相關人員或

別認定相關要求和關鍵角色，能夠通過技術

業務情況。手段或自動化方式

及時發現業務鏈變

更。

5.2資產識別

5.2.1評價內容

見GB/TAAAAA-AAAA中6.2和6.4。

5.2.2評價操作方法

評價操作方法包括但不限于：

a）檢查關鍵信息基礎設施資產清單，查看其：

1)是否識別了關鍵業務鏈所依賴的資產，包括關鍵業務鏈相關的數據、服務、信息系統、平

臺或支撐系統、基礎設施、服務、人員管理等；

2)是否基于資產類別、資產重要性和支撐業務的重要性（可采用風險評估等方法），對資產

進行優先排序；

3)是否依據資產排序，確定資產防護的優先級；

4)資產清單內容是否清晰詳細，形式是否規范；

b）檢查關鍵信息基礎設施資產清單更新和維護記錄，查看其：

1)是否在關鍵信息基礎設施發生改建、擴建等重大變化時，重新開展識別工作，并更新資產

清單；

2)是否對資產清單進行定期更新；

c）檢查關鍵信息基礎設施資產識別方式，查看其：

1)是否通過技術手段或自動化機制支持資產識別的過程；

2)資產識別流程是否規范，識別結果是否經過內部審核；

d）檢查關鍵信息基礎設施資產管理工具、文檔或記錄，查看其：

1)是否記錄了對關鍵信息基礎設施資產清單中相關資產的管理情況；

2)是否明確了各項資產的管理責任人；

6

GB/TXXXXX—XXXX

3)是否實現對關鍵信息基礎設施相關資產的自動化管理；

4)是否根據關鍵業務鏈所依賴資產的實際情況，實現資產的實時動態更新；

5)是否采用了資產定位技術手段，監控并追蹤受控區域內資產的位置和轉移情況；

6)是否使用自動機制識別關鍵信息基礎設施信息系統中新增的非授權軟件、硬件或固件組

件。

e）訪談關鍵信息基礎設施保護相關人員或角色，核實以上內容。

5.2.3能力等級

能力等級如表4所示。

表4資產識別能力等級描述

能力項能力等級1能力等級2能力等級3

資產識別1）形成關鍵信息基礎設施資產1）資產清單包括設備名稱、所處1）定期審核資產識別能力并持續

清單；位置、所支撐的業務、責任人等信改進；

2）基于資產類別、資產重要性息；

和支撐業務的重要性，對資產進2）確定資產防護的優先級，對資

行優先排序；產優先排序和資產防護優先級有

3）定期更新資產清單；較為充分的說明；

3）及時更新資產清單，并對資產

進行優先排序；

4）實現對關鍵信息基礎設施相4）對資產實施自動化管理。2）根據關鍵業務鏈所依賴資產

關資產的管理。的實際情況實時動態更新

3）采用了資產定位技術手段，監

控并追蹤受控區域內資產的位置

和轉移情況；

4）能夠使用自動機制識別關鍵信

息基礎設施信息系統中新增的非

授權軟件、硬件或固件組件。

5.3風險識別

5.3.1評價內容

見GB/TAAAAA-AAAA中6.3和6.4。

5.3.2評價操作方法

評價操作方法包括但不限于：

a）檢查風險管理策略、制度、更新記錄等相關文檔，查看其：

1)是否制定了風險管理策略和制度：

2)是否根據關鍵業務情況確定了風險承受度；

3)是否定期或不定期更新風險管理策略、制度等文檔。

b）檢查關鍵信息基礎設施業務風險分析相關文檔，查看其：

1)業務風險分析是否全面，是否涵蓋關鍵業務鏈所有環節；

2)是否形成業務風險應對方案；

7

GB/TXXXXX—XXXX

3)是否針對所有操作狀態（如在脅迫/攻擊下、恢復期間、正常操作期間），建立支持關鍵

業務提供的可恢復性要求；

4)是否確定風險處置的優先級；

5)是否定期實施風險分析；

6)是否定期或在發生重大變更時，重新開展風險分析；

7)能夠根據業務識別和資產識別等變更情況，重新開展風險識別；

c）檢查關鍵信息基礎設施合規性風險分析相關文檔，查看其：

1)是否梳理了網絡安全政策法規中涉及自身業務或系統的相關要求；

2)是否開展合規性風險分析并在政策出臺或變更后及時更新；

d）檢查關鍵信息基礎設施安全風險報告整體情況，查看其：

1)是否形成安全風險報告；

2)是否分析了關鍵業務鏈各環節的主要安全風險點，包括：識別關鍵業務鏈面臨的威脅、實

施脆弱性掃描、識別組織已有的安全措施、分析風險；

3)安全風險報告是否包括業務風險、系統風險、合規性風險等內容；

e）訪談關鍵信息基礎設施保護相關人員或角色，核實以上內容。

5.3.3能力等級

能力等級如表5所示。

表5風險識別能力等級描述

能力項能力等級1能力等級2能力等級3

風險識別1）制定了風險管理策略和制度，審1）及時更新風險管理策略和1）定期評審風險識別能力并持續改

核發布并定期更新；制度；進。

2）根據關鍵業務情況確定了風險

承受度；

3）根據關鍵業務鏈開展了安全風2）安全風險報告應包括：業2）業務風險分析包括了所有操作狀態

險及其影響分析；務風險、系統風險、合規性風（如在脅迫/攻擊下、恢復期間、正常

4）識別了關鍵業務鏈各環節的威險等內容。操作期間），建立支持關鍵業務提供的

脅、脆弱性、已有安全控制措施及3）及時開展風險識別工作并可恢復性要求；

主要安全風險點；更新安全風險報告。

5）梳理明晰網絡安全政策法規中涉

及自身業務或系統的相關要求；

6）確定風險處置的優先級；

7）形成安全風險報告；

8）定期開展風險識別工作并更新安

全風險報告。

6安全防護

6.1鑒別與授權

6.1.1評價內容

8

GB/TXXXXX—XXXX

見GB/TAAAAA-AAAA中7.5.1b）和7.6.1，以及GB/T22239-2019中8.1.1.2，9.1.1.2，8.1.4.1，

8.1.4.2。

6.1.2評價操作方法

評價操作方法包括但不限于：

a）檢查關鍵信息基礎設施相關文檔，查看其：

1)是否識別了重要業務操作和異常用戶操作行為，并形成了清單；

2)識別出的重要業務操作和異常用戶操作行為是否覆蓋了設備、服務或應用、數據等各個方

面；

3)重要業務操作和異常用戶操作行為清單內容是否清晰詳細，包含了操作說明、涉及的相關

部門及崗位、業務流程、應用程序、安全防護措施等，安全防護措施中是否有動態的身份

鑒別方式或者多因素鑒別方式等；

4)是否識別了重要的業務用戶、管理用戶、服務、應用、數據資源，并形成清單；

5)是否建立了用戶、服務、應用、數據的訪問控制策略；

6)重要業務操作和異常用戶操作行為的識別過程是否綜合考慮了業務以及網絡安全相關的

威脅和風險；

7)重要業務操作和異常用戶操作行為，重要的業務用戶、管理用戶、服務、應用、數據資源，

的識別流程是否規范，訪問控制策略制定過程是否規范；

8)重要業務操作和異常用戶操作行為識別結果，重要的業務用戶、管理用戶、服務、應用、

數據資源識別結果以及訪問控制策略是否經過內部審核；

9)相關文檔是否正式簽發，形式是否規范，包含了版本變更情況、版本號、變更時間等；

b）檢查關鍵信息基礎設施重要業務操作或異常用戶操作行為清單，重要的業務用戶、管理用戶、

服務、應用、數據資源清單，訪問控制策略的更新和維護記錄，查看其：

1)是否在關鍵信息基礎設施發生改建、擴建、業務流程變更等重大變化時，重新開展上述清

單識別制定工作，并更新清單；

2)是否根據管理要求定期更新清單和訪問控制策略；

3)是否根據業務風險以及外部威脅變化對清單進行不定期更新；

4)是否根據風險、外部威脅或業務流程的變化對訪問控制策略進行不定期更新；

c）檢查關鍵信息基礎設施相關機房的安全管控手段，查看其：

1)機房是否配置并啟用了電子門禁系統；

2)機房是否劃分區域，在重要區域配置并啟用了電子門禁系統；

3)門禁系統中是否使用PIN口令、IC卡或生物特征技術進行認證；

4)門禁系統中是否保存了人員進入的日志記錄；

d）檢查關鍵信息基礎設施相關用戶、服務或應用、數據的安全管控手段，查看其：

1)業務用戶是否僅擁有完成其工作的最小權限，當進行重要操作時，是否采用雙因素身份鑒

別的方式，

2)管理用戶訪問關鍵信息基礎設施時是否必須通過雙因素身份鑒別，并僅擁有完成其工作的

最小權限；

3)所有管理用戶訪問關鍵信息基礎設施進行重要操作時是否需雙用戶共同鑒別；

4)用戶訪問數據時是否必須通過雙因素身份鑒別，并限制用戶可訪問的數據總量、數據內容、

數據字段、數據文件或表等；

5)針對重要業務數據資源進行操作時，是否依據用戶和數據安全標記實現訪問控制；

9

GB/TXXXXX—XXXX

6)是否采取了與關鍵信息基礎設施重要業務操作或異常用戶操作行為清單中一致的安全防

護措施；

7)是否采取技術手段保護用戶遠程管理關鍵信息基礎設施時的身份鑒別信息安全；

8)是否采取技術手段保證用戶的身份標識、安全標記、訪問控制策略在不同等級系統、不同

業務系統、不同區域中的一致性；

9)用戶、服務或應用的訪問權限是否與訪問控制策略一致；

10)是否由授權主體對用戶、服務或應用等訪問主體進行權限分配，并實行雙重審核。

e）測試驗證上述身份鑒別、訪問控制以及遠程身份鑒別信息保護相關技術措施的可靠性和有效

性。

6.1.3能力等級

能力等級描述見表6所示。

表6鑒別與授權能力等級描述

能力項能力等級1能力等級2能力等級3

鑒別與授權1）運營者識別了重要業務操作和異常1）根據業務風險以及外部威脅變1)定期審核鑒別與授權能力

用戶操作行為，并形成了清單；化對清單進行不定期更新；并持續更新；

2）識別出的重要業務操作和異常用戶2）重要業務操作或異常用戶操作

操作行為覆蓋了設備、服務或應用、行為的識別過程綜合考慮了業務

數據等各個方面；以及網絡安全相關的威脅和風

3）重要業務操作和異常用戶操作行為險；

清單內容清晰詳細，包含了操作說明、3）重要業務操作和異常用戶操作

涉及的相關部門及崗位、業務流程、行為清單識別結果經過內部審

應用程序、安全防護措施等，安全防核；

護措施中有動態的身份鑒別方式或者

多因素身份鑒別方式等；

4）采取了與關鍵信息基礎設施重要業

務操作或異常用戶操作行為清單中一

致的安全防護措施；

5）重要業務操作和異常用戶操作行為

識別流程規范；

6）在關鍵信息基礎設施發生改建、擴

建、業務流程變更等重大變化時，重

新開展識別工作，并更新清單；

7）相關文檔正式簽發，形式規范，包

含了版本變更情況、版本號、變更時

間等；

8）根據管理要求對清單進行定期更

新；

10

GB/TXXXXX—XXXX

9)識別了重要的業務用戶、管理用4）重要的業務用戶、管理用戶、

戶、服務、應用、數據資源，并形成服務、應用、數據資源識別結果

清單；以及訪問控制策略經過內部審

10)建立了用戶、服務、應用、數據核；

的訪問控制策略；5）根據風險、外部威脅或業務流

11）訪問控制策略制定過程規范；程的變化對訪問控制策略進行不

12）在關鍵信息基礎設施發生改建、定期更新；

擴建、業務流程變更等重大變化時，6）用戶、服務或應用的訪問權限

重新開展識別工作，并更新清單；與訪問控制策略一致；

13）相關文檔正式簽發，形式規范，

包含了版本變更情況、版本號、變更

時間等；

14）根據管理要求對上述清單和訪問

控制策略進行定期更新；

15）由授權主體對用戶、服務或應用

等訪問主體進行權限分配，并實行雙

重審核；

16）機房配置并啟用了電子門禁系統；7）機房門禁系統中使用IC卡或2）機房門禁系統中使用PIN

17）門禁系統中保存了人員進入的日生物特征技術進行認證；口令、IC卡或生物特征中的

志記錄；兩種及兩種以上技術共同進

行認證；

18）重要業務用戶訪問重要服務或者8）業務用戶訪問重要服務或者應3）所有業務用戶訪問服務或

應用時必須通過雙因素身份鑒別，并用時必須通過雙因素身份鑒別,者應用時必須通過雙因素身

僅擁有完成其工作的最小權限；并僅擁有完成其工作的最小權份鑒別，并僅擁有完成其工

限；作的最小權限；

19）所有管理用戶進行重要操作時必9）所有管理用戶訪問關鍵信息基4）所有管理用戶訪問關鍵信

須通過雙因素身份鑒別，并僅擁有完礎設施時必須通過雙因素身份鑒息基礎設施進行非常重要操

成其工作的最小權限；別，并僅擁有完成其工作的最小作時必須雙用戶共同鑒別；

權限；

20）用戶訪問重要業務數據資源時必10）用戶訪問重要業務數據資源5）用戶訪問所有業務數據資

須通過雙因素身份鑒別，并限制用戶和管理賬戶相關資源時必須通過源和管理賬戶相關資源時時

可訪問的數據字段、數據文件或表等；雙因素身份鑒別，并限制用戶可必須通過雙因素身份鑒別，

21）針對重要業務數據資源進行操作訪問的數據總量、數據內容、數并限制用戶可訪問的數據總

時，依據用戶和數據安全標記實現訪據字段、數據文件或表等。量、數據內容、數據字段、

問控制；數據文件或表等。

22）采取技術手段保護用戶遠程管理

關鍵信息基礎設施時的身份鑒別信息

安全；

23）采取技術手段保證用戶的身份標

識、安全標記、訪問控制策略在不同

等級系統、不同業務系統、不同區域

中的一致性。

11

GB/TXXXXX—XXXX

11）身份鑒別、訪問控制以及遠

程身份鑒別信息保護相關技術措

施可靠、有效。

6.2數據安全

6.2.1評價內容

見GB/TAAAAA-AAAA中7.6.3和GB/T22239-2019中8.1.4.7，8.1.4.8，8.1.4.10和8.1.4.11。

6.2.2評價操作方法

評價操作方法包括但不限于：

a）檢查關鍵信息基礎設施數據安全管理制度、實施記錄、更新記錄等，查看其：

1)是否制定了數據安全管理制度；

2)是否規定了數據安全相關管理責任；

3)是否制定了針對數據管理的評價考核指標體系等；

4)是否建立了數據安全管理策略，明確了數據和個人信息保護的相應措施；

5)安全管理策略是否包含針對數據全生命周期的管理措施及針對數據分級分類的管控措施；

6)是否依據制定的數據安全管理制度及策略實際執行；

7)是否審核后發布，并定期或不定期更新；

b）檢查關鍵信息基礎設施數據安全管理策略，查看其：

1)是否依據數據安全管理策略采取了監控和防護措施；

2)對于存在輸出到境外的數據業務，確認是否符合國家相關規定；

3)是否采取技術手段對數據進行了安全保護，例如：對重要數據加密，對敏感數據脫敏，對

個人信息去標識化等。

4)重要數據（包括但不限于鑒別數據、重要業務數據和重要個人信息等）在傳輸和存儲過程

中是否采用了密碼技術保證其機密性；

5)重要數據（包括但不限于鑒別數據、重要業務數據和重要個人信息等）在傳輸和存儲過程

中是否采用校驗技術或密碼技術保證其完整性；

6)存有敏感信息或個人信息的存儲空間被釋放、重新分配時是否可以得到完全清除；

7)是否在關鍵信息基礎設施退役廢棄時，按照數據安全管理策略對存儲的數據進行處理；

c）檢查關鍵信息基礎設施中的個人信息保護情況，查看其：

1)是否僅采集和保護了與業務必需的用戶個人信息；

2)用戶個人信息被采取和存儲是否有知情權；

3)是否對訪問用戶個人信息實施了訪問控制策略。

d）訪談安全管理機構、數據安全和個人信息保護相關人員，核實以上情況；

e）測試數據安全技術防護手段，核實其防護效果。

6.2.3能力等級

能力等級描述見表7所示。

表7數據安全能力等級描述

能力項能力等級1能力等級2能力等級3

數據安全1）制定了數據安全管理制度，明確了1）嚴格執行了數據安全制度、策略和1）定期審核數據安全

12