《关键信息基础设施安全测评要求》(关基测评)标准正式实施

公安部网络安全保卫局组织起草的《关键信息基础设施安全测评要求》(GA/T 2182-2024)行业标准,自2025年5月1日起实施。作为我国首个聚焦关键信息基础设施安全测评的行业标准,其出台标志着我国网络安全保障体系在关基保护领域迈出关键一步。

   研制背景  
为支撑关键信息基础设施安全保护制度落地实施,在公安部网络安全保卫局指导下,根据《网络安全法》《关键信息基础设施安全保护条例》,公安部第三研究所联合公安部第一研究所和中国电子技术标准化研究院等多家单位共同研制了公安行业标准《信息安全技术 关键信息基础设施安全测评要求》(GA/T 2182-2024)。关键信息基础设施是国家安全和社会稳定的核心支撑,其安全风险直接关系国计民生。近年来,《网络安全法》《关键信息基础设施安全保护条例》等法规逐步完善,但关基安全测评缺乏统一标准,导致实际工作中存在责任边界模糊、技术要求参差、测评流程缺乏规范等问题。《测评要求》的发布填补了这一空白,其以等保制度为基础,结合关基特性细化测评指标,形成覆盖全生命周期的安全评估框架,是关基保护制度落地的重要技术支撑。

   标准范围  
规范内容:标准规定了针对关键信息基础设施(以下简称“关基”)开展安全测评的要求和方法。适用对象:适用于规范关基运营者及网络安全服务机构开展关基安全测评工作。

   内容框架 
标准整体分为九个章节四个附录。

  1. 范围
  2. 规范性引用文件
  3. 术语和定义
  4. 缩略语
  5. 概述(含关基测评与等保测评的差异)
  6. 单元测评​:涵盖分析识别、安全防护、检测评估等7大类要求36
  7. 关联测评​:包括信息收集、入侵痕迹分析、渗透测试等实战化评估36
  8. 整体评估​:综合单元测评、关联测评及等保结果的三维评价体系14
  9. 测评结论

附录清单​:

  • 附录A:关基测评与等保测评区别
  • 附录B:渗透测试基线要求
  • 附录C:与GB/T 39204-2022、GB/T 22239-2019的关联关系
  • 附录D:重大安全缺陷判定标准346

   

《关键信息基础设施安全测评要求》(关基测评)标准正式实施插图

主要内容  
01 关键信息基础设施安全测评框架关键信息基础设施安全测评(以下简称“关基测评”)目标是发现关基现存的或潜在的安全风险,为运营者开展建设整改、提升其关基安全保护水平及安全管控能力提供指导。关基测评由单元测评、关联测评和整体评估三部分组成。关基测评在开展整体评估时复用相关等级测评结果。

《关键信息基础设施安全测评要求》(关基测评)标准正式实施插图1

02 单元测评单元测评是按照GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》中相关要求,对关基及其运营者进行逐条检测评估,目标是识别单点安全问题和采取的安全保护措施。测评指标一部分来源于GB/T 39204-2022的各要求项,一部分来源于行业关基保护标准以及运营者的其他增强性需求。

《关键信息基础设施安全测评要求》(关基测评)标准正式实施插图2

03 关联测评关联测评是在单元测评结果的基础上,结合关基的实际业务场景及信息化情况,对关基开展的综合性实战化安全检测评估。关联测评能够发现关基整体性深层次的安全隐患。为规范关联测评的深入程度,附录B规定了渗透测试基线要求。04 整体评估整体评估包括网络安全管控能力评估、网络安全保护水平评估及网络安全风险分析与评价三部分。其中前两部分需综合单元测评结果、关联测评结果以及等级测评结果进行整体评估。

《关键信息基础设施安全测评要求》(关基测评)标准正式实施插图3

05 测评结论根据整体评估结果及重大安全缺陷情况,对关基安全保护能力进行定性判断,并依据判定规则得出测评结论。

《关键信息基础设施安全测评要求》(关基测评)标准正式实施插图4

   标准应用  
《关键信息基础设施安全测评要求》是推动关基安全保护、建立全面安全防护体系的重要手段,是各级公安机关推进关基安全保护工作的重要依托。通过与相关保护工作部门协作,此标准将帮助运营者深入挖掘并消除安全隐患,实现从“发现”到“整改”的闭环管理。在此过程中,公安机关将发挥专业优势和监管职能,为运营者提供必要的指导和协助,确保其高效开展安全隐患的整改,持续提升关基的安全保护能力,维护国家安全,保障经济和社会稳定发展。未来,随着配套细则和行业标准的逐步完善,关基安全测评将与等保、数据安全审查等制度形成协同效应,共同筑牢国家网络安全屏障。对运营者而言,需尽快对照标准开展差距分析,将安全能力建设融入业务发展的全流程,方能在数字化浪潮中行稳致远。