GA/T 2182-2024 信息安全技术 关键信息基础设施安全测评要求

ICS35040

CCSL.80

中华人民共和国公共安全行业标准

GA/T2182—2024

信息安全技术关键信息基础设施安全

测评要求

Informationsecuritytechnology—Evaluationrequirementsforcybersecurity

forcriticalinformationinfrastructure

2024-12-26发布2025-05-01实施

中华人民共和国公安部发布

GA/T2182—2024

目次

前言

…………………………Ⅴ

引言

…………………………Ⅵ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

关键信息基础设施安全测评与网络安全等级测评

5.1………………2

关键信息基础设施安全测评框架

5.2…………………3

框架构成

5.2.1………………………3

单元测评

5.2.2………………………3

关联测评

5.2.3………………………4

整体评估

5.2.4………………………4

测评结论

5.2.5………………………4

单元测评

6…………………4

分析识别

6.1……………4

业务识别

6.1.1………………………4

资产识别

6.1.2………………………5

风险识别

6.1.3………………………6

重大变更

6.1.4………………………6

安全防护

6.2……………7

网络安全等级保护

6.2.1……………7

安全管理制度

6.2.2…………………7

安全管理机构

6.2.3…………………8

安全管理人员

6.2.4…………………9

安全通信网络

6.2.5…………………11

安全计算环境

6.2.6…………………13

安全建设管理

6.2.7…………………15

安全运维管理

6.2.8…………………16

供应链安全保护

6.2.9………………17

数据安全防护

6.2.10………………18

检测评估

6.3……………20

制度

6.3.1……………20

Ⅰ

GA/T2182—2024

方式和内容

6.3.2……………………21

监测预警

6.4……………22

制度

6.4.1……………22

监测

6.4.2……………23

预警

6.4.3……………24

主动防御

6.5……………26

收敛暴露面

6.5.1……………………26

攻击发现和阻断

6.5.2………………27

攻防演练

6.5.3………………………28

威胁情报

6.5.4………………………28

事件处置

6.6……………29

制度

6.6.1……………29

应急预案和演练

6.6.2………………30

响应和处置

6.6.3……………………32

重新识别

6.6.4………………………34

其他安全要求

6.7………………………35

关联测评

7…………………35

概述

7.1…………………35

信息收集汇总

7.2………………………35

入侵痕迹分析

7.3………………………35

业务逻辑安全分析

7.4…………………35

模拟攻击路径设计

7.5…………………36

纵向路径

7.5.1………………………36

横向路径

7.5.2………………………36

物理路径

7.5.3………………………36

渗透测试

7.6……………36

整体评估

8…………………37

网络安全管控能力评估

8.1……………37

网络安全管控能力评估方法

8.1.1…………………37

网络安全管控能力评估结果

8.1.2…………………37

网络安全保护水平评估

8.2……………38

网络安全保护水平评估方法

8.2.1…………………38

网络安全保护水平评估结果

8.2.2…………………38

关键业务安全风险分析与评价

8.3……………………38

风险分析与评价方法

8.3.1…………38

风险评价结果

8.3.2…………………39

测评结论

9…………………40

Ⅱ

GA/T2182—2024

附录资料性关键信息基础设施安全测评与网络安全等级测评的区别

A()…………41

附录规范性渗透测试要求

B()…………42

附录规范性本文件与的关联关系

C()GB/T39204—2022、GB/T22239—2019…46

附录规范性关键信息基础设施综合安全保护能力存在重大安全缺陷的情形

D()…54

Ⅲ

GA/T2182—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件与信息安全技术网络安全等级保护基本要求信息安全技术

GB/T22239《》、GB/T28448《

网络安全等级保护测评要求信息安全技术关键信息基础设施安全保护要求共同

》、GB/T39204《》

构成关键信息基础设施安全保护系列标准

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由公安部网络安全保卫局提出

。

本文件由公安部信息系统安全标准化技术委员会归口

。

本文件起草单位公安部第三研究所公安部网络安全保卫局公安部第一研究所中国电子技术标

:、、、

准化研究院山东新潮信息技术有限公司深圳市网安计算机安全检测技术有限公司中国电子科技集

、、、

团公司第十五研究所应急管理部大数据中心清华大学中国信息安全测评中心国家信息技术安全研

、、、、

究中心

。

本文件主要起草人袁静郭启全祝国邦曲洁朱建兴范春玲宫月王惠莅张杰牛建红张岩

:、、、、、、、、、、、

黄玉钏邸丽清孙晓丽王李乐

、、、。

Ⅴ

GA/T2182—2024

引言

为了配合中华人民共和国网络安全法和关键信息基础设施安全保护条例的实施在国家网络

《》《》,

安全等级保护制度基础上充分借鉴我国相关部门在重要领域开展网络安全审查网络安全检查等重点

,、

工作的成熟经验充分吸纳国外在关键信息基础设施安全保护方面的举措结合我国现有网络安全测

,,

评评估成果提出关键信息基础设施安全测评要求标准

、,。

Ⅵ

GA/T2182—2024

信息安全技术关键信息基础设施安全

测评要求

1范围

本文件规定了针对关键信息基础设施开展网络安全测评的要求和方法

。

本文件适用于关键信息基础设施运营者及安全检测评估服务机构开展的关键信息基础设施安全测

评工作

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术信息安全风险评估方法

GB/T20984—2022

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069—2022

信息安全技术网络安全等级保护测评要求

GB/T28448—2019

信息安全技术关键信息基础设施安全保护要求

GB/T39204—2022

3术语和定义

和界定的以及

GB/T22239—2019、GB/T25069—2022、GB/T28448—2019GB/T39204—2022

下列术语和定义适用于本文件

。

31

.

关键信息基础设施criticalinformationinfrastructure

公共通信和信息服务能源交通水利金融公共服务电子政务国防科技工业等重要行业和领

、、、、、、、

域以及其他一旦遭到破坏丧失功能或者数据泄露可能严重危害国家安全国计民生公共利益的重

,、,、、

要网络设施信息系统等

、。

来源

[:GB/T39204—2022,3.1]

32

.

供应链sulchain

ppy

将多个资源和过程联系在一起并根据服务协议或其他采购协议建立连续供应关系的组织系列

,。

注其中每一组织充当需方供方或双重角色

:、。

来源

[:GB/T39204—2022,3.2]

33

.

关键业务链criticalbusinesschain

组织的一个或多个相互关联的业务构成的关键业务流程

。

来源

[:GB/T39204—2022,3.3]

1

GA/T2182—2024

34

.

核查examine

测评人员通过对测评对象如制度文档各类设备及相关安全配置等进行观察查验和分析以帮

(、)、,

助测评人员理解澄清或取得证据的过程

、。

来源

[:GB/T28448—2019,3.2]

35

.

风险评估riskassessment

风险识别风险分析和风险评价的整个过程

、。

来源

[:GB/T25069—2022,3.174]

36

.

渗透测试penetrationtesting

以未经授权的动作绕过某一系统的安全机制来检查信息系统的安全功能以发现信息系统安全问

,

题的手段

。

来源

[:GB/T25069—2022,3.520]

4缩略语

下列缩略语适用于本文件

。

应用程序接口

API:(ApplicationProgramInterface)

应用程序

APP:(Application)

关键信息基础设施

CII:(CriticalInformationInfrastructure)

拒绝服务

DoS:(DenialofService)

网际互联协议

IP:(InternetProtocol)

可编程逻辑控制器

PLC:(ProgrammableLogicController)

射频识别

RFID:(RadioFrequencyIdentification)

软件开发工具包

SDK:(SoftwareDevelopmentKit)

结构化查询语言

SQL:(StructuredQueryLanguage)

通用串行总线

USB:(UniversalSerialBus)

5概述

51关键信息基础设施安全测评与网络安全等级测评

.

关键信息基础设施安全测评目标是通过单元测评关联测评及整体评估发现现存的或潜在的

、CII

安全风险为运营者开展建设整改提升其安全保护水平及安全管控能力提供方向

,、CII。

由于一般由一个或多个等级保护对象构成关键信息基础设施安全测评应基于构成的所

CII,CII

有等级保护对象的网络安全等级测评结果因此关键信息基础设施安全测评应在所涵盖的所有

。,CII

等级保护对象开展网络安全等级测评工作之后开展以便复用相关等级保护对象的等级测评结果

,CII。

关键信息基础设施安全测评应汇总网络安全等级测评结果中相应安全子类

、GB/T39204—2022

的增强要求项测评结果等两方面的测评结果在关联测评和整体评估时将单元测评结果与等级测评结

,

果中对应的安全子类测评结果开展融合分析确定发现的安全问题并以此为基础开展渗透测试和整

、,,

体评估

。

关键信息基础设施安全测评是针对及其运营者开展的以发现现存的或潜在的影响国家网

CIICII

络安全风险为目的网络安全风险和能力判定网络安全等级测评则是针对等级保护对象开展的以确定

,

2

GA/T2182—2024

其是否满足相应安全保护等级要求的合规测评二者在测评目的测评依据测评范围测评性质测评

,、、、、

内容测评结果等方面均存在差异具体参见附录

、,A。

52关键信息基础设施安全测评框架

.

521框架构成

..

关键信息基础设施安全测评框架构成包括单元测评关联测评整体评估和测评结论图给出了

、、。1

关键信息基础设施安全测评框架

。

图1关键信息基础设施安全测评框架

522单元测评

..

针对中各安全子类以及运营者自定义的特殊安全子类的测评称为单元测

GB/T39204—2022CII

评单元测评是关键信息基础设施安全测评工作的基本活动每个单元测评包括测评指标测评实施和

。,、

结果分析部分其中在测评指标中一部分测评指标来源于的各要求项一部

3。,,GB/T39204—2022,

分测评指标来源于关键信息基础设施安全保护相关的行