搜索结果: GA/T 2182-2024, GA/T2182-2024, GAT 2182-2024, GAT2182-2024
| 标准编号 | GA/T 2182-2024 (GA/T2182-2024) | | 中文名称 | 信息安全技术 关键信息基础设施安全测评要求 | | 英文名称 | Information security technology - Evaluation requirements for cybersecurity for critical information infrastructure | | 行业 | 公安行业标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.04 | | 字数估计 | 61,628 | | 发布日期 | 2024-12-26 | | 实施日期 | 2025-05-01 | | 发布机构 | 公安部 | GA/T 2182-2024: 信息安全技术 关键信息基础设施安全测评要求
ICS 35.040
CCSL80
中华人民共和国公共安全行业标准
信息安全技术 关键信息基础设施安全
测评要求
2024-12-26发布
2025-05-01实施
中华人民共和国公安部 发 布
目次
前言 Ⅴ
引言 Ⅵ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 概述 2
5.1 关键信息基础设施安全测评与网络安全等级测评 2
5.2 关键信息基础设施安全测评框架 3
5.2.1 框架构成 3
5.2.2 单元测评 3
5.2.3 关联测评 4
5.2.4 整体评估 4
5.2.5 测评结论 4
6 单元测评 4
6.1 分析识别 4
6.1.1 业务识别 4
6.1.2 资产识别 5
6.1.3 风险识别 6
6.1.4 重大变更 6
6.2 安全防护 7
6.2.1 网络安全等级保护 7
6.2.2 安全管理制度 7
6.2.3 安全管理机构 8
6.2.4 安全管理人员 9
6.2.5 安全通信网络 11
6.2.6 安全计算环境 13
6.2.7 安全建设管理 15
6.2.8 安全运维管理 16
6.2.9 供应链安全保护 17
6.2.10 数据安全防护 18
6.3 检测评估 20
6.3.1 制度 20
6.3.2 方式和内容 21
6.4 监测预警 22
6.4.1 制度 22
6.4.2 监测 23
6.4.3 预警 24
6.5 主动防御 26
6.5.1 收敛暴露面 26
6.5.2 攻击发现和阻断 27
6.5.3 攻防演练 28
6.5.4 威胁情报 28
6.6 事件处置 29
6.6.1 制度 29
6.6.2 应急预案和演练 30
6.6.3 响应和处置 32
6.6.4 重新识别 34
6.7 其他安全要求 35
7 关联测评 35
7.1 概述 35
7.2 信息收集汇总 35
7.3 入侵痕迹分析 35
7.4 业务逻辑安全分析 35
7.5 模拟攻击路径设计 36
7.5.1 纵向路径 36
7.5.2 横向路径 36
7.5.3 物理路径 36
7.6 渗透测试 36
8 整体评估 37
8.1 网络安全管控能力评估 37
8.1.1 网络安全管控能力评估方法 37
8.1.2 网络安全管控能力评估结果 37
8.2 网络安全保护水平评估 38
8.2.1 网络安全保护水平评估方法 38
8.2.2 网络安全保护水平评估结果 38
8.3 关键业务安全风险分析与评价 38
8.3.1 风险分析与评价方法 38
8.3.2 风险评价结果 39
9 测评结论 40
附录A(资料性) 关键信息基础设施安全测评与网络安全等级测评的区别 41
附录B(规范性) 渗透测试要求 42
附录C(规范性) 本文件与GB/T 39204-2022、GB/T 22239-2019的关联关系 46
附录D(规范性) 关键信息基础设施综合安全保护能力存在重大安全缺陷的情形 54
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件与GB/T 22239《信息安全技术 网络安全等级保护基本要求》、GB/T 28448《信息安全技术
网络安全等级保护测评要求》、GB/T 39204《信息安全技术 关键信息基础设施安全保护要求》共同
构成关键信息基础设施安全保护系列标准。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由公安部网络安全保卫局提出。
本文件由公安部信息系统安全标准化技术委员会归口。
本文件起草单位:公安部第三研究所、公安部网络安全保卫局、公安部第一研究所、中国电子技术标
准化研究院、山东新潮信息技术有限公司、深圳市网安计算机安全检测技术有限公司、中国电子科技集
团公司第十五研究所、应急管理部大数据中心、清华大学、中国信息安全测评中心、国家信息技术安全研
究中心。
本文件主要起草人:袁静、郭启全、祝国邦、曲洁、朱建兴、范春玲、宫月、王惠莅、张杰、牛建红、张岩、
黄玉钏、邸丽清、孙晓丽、王李乐。
引 言
为了配合《中华人民共和国网络安全法》和《关键信息基础设施安全保护条例》的实施,在国家网络
安全等级保护制度基础上,充分借鉴我国相关部门在重要领域开展网络安全审查、网络安全检查等重点
工作的成熟经验,充分吸纳国外在关键信息基础设施安全保护方面的举措,结合我国现有网络安全测
评、评估成果,提出关键信息基础设施安全测评要求标准。
信息安全技术 关键信息基础设施安全
测评要求
1 范围
本文件规定了针对关键信息基础设施开展网络安全测评的要求和方法。
本文件适用于关键信息基础设施运营者及安全检测评估服务机构开展的关键信息基础设施安全测
评工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 20984-2022 信息安全技术 信息安全风险评估方法
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069-2022 信息安全技术 术语
GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求
GB/T 39204-2022 信息安全技术 关键信息基础设施安全保护要求
3 术语和定义
GB/T 22239-2019、GB/T 25069-2022、GB/T 28448-2019和GB/T 39204-2022界定的以及
下列术语和定义适用于本文件。
3.1
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领
域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重
要网络设施、信息系统等。
[来源:GB......
|