| 主要差异项 | 关键信息基础设施安全测评 | 网络安全等级保护测评 |
| 测评目的 | 确定CII的安全保护水平及其运营者的网络安全管控能力是否满足国家安全的要求,发现CII现存的或潜在的影响国家网络安全的风险 | 确定等级保护对象是否满足相应安全保护等级要求 |
| 测评依据 | GB/T 22239-2019、GB/T 39204-2022、GA/T 2182-2024、CII安全保护制度要求、行业要求 | GB/T 22239-2019、等级保护行业标准 |
| 测评范围 | CII及其运营者 | 等级保护对象 |
| 测评性质 | 以网络安全等级测评为基础的网络安全风险和能力判定 | 合规测评 |
| 测评内容 | 关键信息基础设施安全测评包括:单元测评、关联测评和整体评估。单元测评:针对GB/T39204—2022中各条要求项开展测评实施,获取相应测评证据。关联测评:关联测评在单元测评基础上,结合CII安全保护制度要求、行业要求、已知的和潜在的风险集等对单个安全子类进行安全分析,并结合CII的业务场景、所属领域已知安全事件、可能面临的威胁等,通过设计测试用例、分析攻击路径、渗透测试等对CII实施综合性安全测试,着重在发现安全问题和判断已有控制措施的有效性。整体评估:对CII的安全保护水平及其运营者的网络安全管控能力进行评估,并针对发现的所有安全问题和面临威胁进行风险分析和评价 | 等级测评包括单元测评、整体测评和风险分析。a)单元测评:针对GB/T22239—2019中各条要求项开展测评实施,获取相应测评证据。b)整体测评:从安全控制点、安全控制点间、区域间三个方面开展测评,着重在具体控制措施之间的互补削弱关系分析。c)风险分析和评价:针对不符合项或部分符合项进行风险分析和评价 |
| 测评结果 | 重心在分析面临的安全威胁及发现安全问题,分析威胁及问题带来的安全风险,用于运营者提升安全保护水平和能力,以及CII安全保护主管部门、保护工作部门监管 | 表明与GB/T22239—2019相应等级要求的符合性情况,用于运营者提升等级保护对象安全防护能力,以及网络安全等级保护主管部门监管 |
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。