2025-04-01 18:35 北京
从“制度设计”转向“实操落地”,《关键信息基础设施安全测评要求》标准发布!
近日,《关键信息基础设施安全测评要求》标准(以下简称《测评要求》)正式发布,并将自2025年5月1日起实施。作为我国首个聚焦关键信息基础设施(CII)安全测评的行业标准,《测评要求》由公安部第三研究所联合公安部第一研究所和中国电子技术标准化研究院等多家单位共同研制而成,标志着我国网络安全保障体系在关基保护领域迈出关键一步。
关键信息基础设施是国家安全和社会稳定的核心支撑,其安全风险直接关系国计民生。《测评要求》围绕关基的业务依赖性、威胁复杂性、后果严重性三大特征,以等保制度为基础,结合关基特性细化测评指标,形成覆盖全生命周期的安全评估框架,是关基保护制度落地的重要技术支撑。
关键信息基础设施安全测评(以下简称“关基测评”)目标是发现关基现存的或潜在的安全风险,为运营者开展建设整改、提升其关基安全保护水平及安全管控能力提供指导,主要由单元测评、关联测评和整体评估三部分组成。关基测评在开展整体评估时复用相关等级测评结果。
单元测评:按照GB/T 39204-2022《信息安全技术 关键信息基础设施安全保护要求》中相关要求,对关基及其运营者进行逐条检测评估,目标是识别单点安全问题和采取的安全保护措施。测评指标一部分来源于GB/T 39204-2022的各要求项,一部分来源于行业关基保护标准以及运营者的其他增强性需求。
关联测评:在单元测评结果的基础上,结合关基的实际业务场景及信息化情况,对关基开展的综合性实战化安全检测评估,能够发现关基整体性深层次的安全隐患。
整体评估:包括网络安全管控能力评估、网络安全保护水平评估及网络安全风险分析与评价三部分。其中前两部分需综合单元测评结果、关联测评结果以及等级测评结果进行整体评估。
根据整体评估结果及重大安全缺陷情况,关基测评将对关基安全保护能力进行定性判断,并依据判定规则得出测评结论。
近年来,面对日益规模化、专业化的高级网络威胁,关键信息基础设施领域面临的安全挑战愈加严峻。作为国家关键信息基础设施安全建设的重要参与者,360数字安全集团始终密切关注安全对抗形式变化及国家网络安全制度和标准体系发展进程。
基于近二十年来的攻防实践积累和安全能力沉淀,360不仅为全球数字安全的发展提供了以“看见”为核心的数字安全中国方案,还深度参与打造以“人工智能+”为核心的新质生产力。依托自研而成的国内首个安全大模型——360安全大模型,360持续打造出覆盖从顶层设计到安全建设落地全生命周期的关基安全解决方案。
《测评要求》的发布是我国关基保护从“制度设计”转向“实操落地”的关键里程碑。未来,360将全面贯彻落实《测评要求》,充分发挥攻防实战经验优势,持续为关键信息基础设施安全保护提供优秀的解决方案和专业的产品及服务,为筑牢国家网络安全屏障作出更大贡献!
往期推荐
| |||
| |||
| |||
|
