國家標準征求意見稿資料

一、工作簡況

1、任務來源

根據全國信息安全標準化技術委員會2019年下達的國家標準制修訂計劃：

《信息安全技術關鍵信息基礎設施安全防護能力評價方法》，該標準由交通運

輸信息中心負責承辦，由全國信息安全標準化技術委員會歸口管理。

2、主要起草單位和工作組成員

該標準由中國交通通信信息中心主要負責起草，協作起草單位為、中國電

子技術標準化研究院、國家信息中心、國家計算機網絡與信息安全管理中心、中

國信息安全測評中心、國家信息技術安全研究中心、中國互聯網絡信息中心、中

電數據服務有限公司、中國船舶重工集團第709研究所、國家工業信息安全發展

研究中心、能源局信息中心、全球能源互聯網研究院有限公司、中國移動通信集

團有限公司等。

3、主要工作過程

標準制定的主要工作過程如下：

a)成立編制組。2019年8月，接到全國信息安全標準化技術委員會關于

標準制定任務之后，課題組負責人隨即召集標準編制組的相關成員開

會，具體討論和分配了小組的任務、制定的重要事項、及需注意的事

項。

b)形成標準草案。2019年8月-9月，標準編制組開展關鍵信息基礎設施

安全防護能力評價方法的研究。標準編制組分析梳理了國內外關鍵信

息基礎設施安全標準化情況，對美國的C2M2模型及指標、美國NIST

的評估指標、CSA云評估，以及數據安全能力成熟度評估、系統安全

工程能力成熟度等相關材料進行了深入研究，編制完成《信息安全技

術關鍵信息基礎設施安全防護能力評價方法》標準草案。

c)形成標準征求意見稿。2019年10月，在全國信息安全標準化技術委

1

國家標準征求意見稿資料

員會組織召開的重慶會議周上，經過WG7與會專家討論，形成轉為

征求意見稿的會議決議。會后，編制組根據與會專家意見進行了修改，

并于2019年11月召開專家意見會，先后形成了兩版征求意見稿。2020

年5月，公安部第三研究所和公安部第一研究所加入到標準編制組，

標準進行了詳細討論和修改，形成征求意見稿第三版。2020年7月，

標準通過WG7組織召開的專家評審會和秘書處責任編輯審查，修改

后形成征求意見稿第五版。2020年8月10日-10月9日，信安標委秘

書處向工業和信息化部科技司、公安部十一局、國家保密局、國家密

碼管理局、國家認證認可監督管理委員會、中國信息安全測評中心、

中央網信辦網絡安全協調局等上級主管部門發函征求意見，并在信安

標委官網公開征求意見，征求意見范圍具有廣泛性和代表性。共收到

意見74條，意見處理結果為采納40條、未采納11條、部分采納23

條。標準在信安標委網站公開征求意見，編制組修改完善后形成征求

意見稿第六版。

二、標準編制原則和確定主要內容的論據及解決的主要問題

1、標準編制原則

本標準在編制過程中遵循了先進性和合理性原則。

先進性原則體現在與國際同步。本標準在制定過程中主要參考了國際相關

標準，并與國際標準的演進保持同步，本標準主要參考了美國的C2M2模型及指

標、美國NIST的評估指標、CSA云評估等。

合理性原則體現在與國內實際情況相結合。國外的關鍵信息基礎設施安全

保護現狀和標準現狀與我國不同，為結合我國實際，且與國內目前已有相關關鍵

信息基礎設施安全標準保持一致，本標準在我國已有關鍵信息基礎設施安全標準

的基礎上進行了修改、調整和擴充。

2、標準解決的問題及主要內容

加強關鍵信息基礎設施保護是維護網絡安全的重中之重。為落實《中華人

民共和國網絡安全法》和《關鍵信息基礎設施安全保護條例》提出的關鍵信息基

礎設施安全保護相關要求，評測關鍵信息基礎設施運營者安全保護能力，支撐國

家相關部門開展的關鍵基礎信息設施安全檢測評估等工作，借鑒美國、歐盟等國

2

國家標準征求意見稿資料

家在關鍵信息基礎設施安全評估方面的相關標準、評估方法和實施經驗，并結合

我國網絡安全等級保護、云服務安全、工控安全等相關標準，研究制定適用于我

國關鍵信息基礎設施領域的安全保護能力評價方法，指導關鍵信息基礎設施的運

營者和網絡安全服務機構對關鍵信息基礎設施的安全性和可能存在的風險進行

檢測評估，從而幫助關鍵信息基礎設施運營者提高其安全保護水平。

三、主要試驗[或驗證]情況分析

無。

四、知識產權情況說明

本標準不涉及專利。

五、產業化情況、推廣應用論證和預期達到的經濟效果

無。

六、采用國際標準和國外先進標準情況

標準參考了國際和國外相關標準情況，根據我國國情制定。

七、與現行相關法律、法規、規章及相關標準的協調性

本標準符合現有法律法規的要求。符合《中華人民共和國網絡安全法》和

《關鍵信息基礎設施安全保護條例》提出的關鍵信息基礎設施安全保護相關要

求，是在現有國家標準項目《信息安全技術關鍵信息基礎設施網絡安全保護基

本要求》和《信息安全技術關鍵信息基礎設施安全控制措施》基礎上制定的標

準。

在研國家標準項目《關鍵信息基礎設施邊界確定方法》明確的為關鍵信息

基礎設施邊界及范圍的確定，在本標準中的邊界防護，不僅包括關鍵信息基礎設

施和非關鍵信息基礎設施邊界，還包括關鍵信息基礎設施內部不同網絡、不同等

級系統等的邊界。在研國家標準項目《信息安全技術關鍵信息基礎設施安全檢

查評估指南》為支撐相關部門開展抽查檢測工作時使用，《信息安全技術關鍵

信息基礎設施安全保障指標體系》為行業管理部門判斷本行業關鍵信息基礎設施

安全態勢使用。

按照我國《網絡安全法》規定，關鍵信息基礎設施是在等級保護基礎上進

行重點保護，因此，《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》

制定時主要考慮了關鍵信息基礎設施的特點，并避免與GB/T22239-2019《信息

3

國家標準征求意見稿資料

安全技術網絡安全等級保護基本要求》重復。但是在進行關鍵信息基礎設施安

全防護能力評價時，只是基于《信息安全技術關鍵信息基礎設施網絡安全保護

基本要求》稍顯不足，在本標準中，融合了與關鍵信息基礎設施安全防護能力密

切相關的GB/T22239-2019中的部分條款作為評價內容，作為關鍵信息基礎設施

安全防護能力的一部分。

在總體評價時，兼顧等級保護測評結果和我國密碼測評相關結果，整體考

慮關鍵信息基礎設施安全防護能力水平。

八、重大分歧意見的處理經過和依據

無。

九、標準性質的建議

根據本標準的性質，建議本標準為推薦性標準。

十、貫徹標準的要求和措施建議

建議關鍵信息基礎設施運營者、第三方評估機構、安全保護工作部門等相關

單位進行宣貫。

十一、替代或廢止現行相關標準的建議

無。

十二、其它應予說明的事項

無。

《信息安全技術關鍵信息基礎設施安全防護能力評價方法》編制工作組

2021-3-26

4

國家標準征求意見稿資料

一、工作簡況

1、任務來源

根據全國信息安全標準化技術委員會2019年下達的國家標準制修訂計劃：

《信息安全技術關鍵信息基礎設施安全防護能力評價方法》，該標準由交通運

輸信息中心負責承辦，由全國信息安全標準化技術委員會歸口管理。

2、主要起草單位和工作組成員

該標準由中國交通通信信息中心主要負責起草，協作起草單位為、中國電

子技術標準化研究院、國家信息中心、國家計算機網絡與信息安全管理中心、中

國信息安全測評中心、國家信息技術安全研究中心、中國互聯網絡信息中心、中

電數據服務有限公司、中國船舶重工集團第709研究所、國家工業信息安全發展

研究中心、能源局信息中心、全球能源互聯網研究院有限公司、中國移動通信集

團有限公司等。

3、主要工作過程

標準制定的主要工作過程如下：

a)成立編制組。2019年8月，接到全國信息安全標準化技術委員會關于

標準制定任務之后，課題組負責人隨即召集標準編制組的相關成員開

會，具體討論和分配了小組的任務、制定的重要事項、及需注意的事

項。

b)形成標準草案。2019年8月-9月，標準編制組開展關鍵信息基礎設施

安全防護能力評價方法的研究。標準編制組分析梳理了國內外關鍵信

息基礎設施安全標準化情況，對美國的C2M2模型及指標、美國NIST

的評估指標、CSA云評估，以及數據安全能力成熟度評估、系統安全

工程能力成熟度等相關材料進行了深入研究，編制完成《信息安全技

術關鍵信息基礎設施安全防護能力評價方法》標準草案。

c)形成標準征求意見稿。2019年10月，在全國信息安全標準化技術委

1

國家標準征求意見稿資料

員會組織召開的重慶會議周上，經過WG7與會專家討論，形成轉為

征求意見稿的會議決議。會后，編制組根據與會專家意見進行了修改，

并于2019年11月召開專家意見會，先后形成了兩版征求意見稿。2020

年5月，公安部第三研究所和公安部第一研究所加入到標準編制組，

標準進行了詳細討論和修改，形成征求意見稿第三版。2020年7月，

標準通過WG7組織召開的專家評審會和秘書處責任編輯審查，修改

后形成征求意見稿第五版。2020年8月10日-10月9日，信安標委秘

書處向工業和信息化部科技司、公安部十一局、國家保密局、國家密

碼管理局、國家認證認可監督管理委員會、中國信息安全測評中心、

中央網信辦網絡安全協調局等上級主管部門發函征求意見，并在信安

標委官網公開征求意見，征求意見范圍具有廣泛性和代表性。共收到

意見74條，意見處理結果為采納40條、未采納11條、部分采納23

條。標準在信安標委網站公開征求意見，編制組修改完善后形成征求

意見稿第六版。

二、標準編制原則和確定主要內容的論據及解決的主要問題

1、標準編制原則

本標準在編制過程中遵循了先進性和合理性原則。

先進性原則體現在與國際同步。本標準在制定過程中主要參考了國際相關

標準，并與國際標準的演進保持同步，本標準主要參考了美國的C2M2模型及指

標、美國NIST的評估指標、CSA云評估等。

合理性原則體現在與國內實際情況相結合。國外的關鍵信息基礎設施安全

保護現狀和標準現狀與我國不同，為結合我國實際，且與國內目前已有相關關鍵

信息基礎設施安全標準保持一致，本標準在我國已有關鍵信息基礎設施安全標準

的基礎上進行了修改、調整和擴充。

2、標準解決的問題及主要內容

加強關鍵信息基礎設施保護是維護網絡安全的重中之重。為落實《中華人

民共和國網絡安全法》和《關鍵信息基礎設施安全保護條例》提出的關鍵信息基

礎設施安全保護相關要求，評測關鍵信息基礎設施運營者安全保護能力，支撐國

家相關部門開展的關鍵基礎信息設施安全檢測評估等工作，借鑒美國、歐盟等國

2

國家標準征求意見稿資料

家在關鍵信息基礎設施安全評估方面的相關標準、評估方法和實施經驗，并結合

我國網絡安全等級保護、云服務安全、工控安全等相關標準，研究制定適用于我

國關鍵信息基礎設施領域的安全保護能力評價方法，指導關鍵信息基礎設施的運

營者和網絡安全服務機構對關鍵信息基礎設施的安全性和可能存在的風險進行

檢測評估，從而幫助關鍵信息基礎設施運營者提高其安全保護水平。

三、主要試驗[或驗證]情況分析

無。

四、知識產權情況說明

本標準不涉及專利。

五、產業化情況、推廣應用論證和預期達到的經濟效果

無。

六、采用國際標準和國外先進標準情況