关键信息基础设施安全保护能力计分方法、能力组件计分示例、某关键信息基础设施运营者自评计分示例

(资料性)能力组件计分示例对能力组件的评估可参考本附录的计算分值，也可以根据具体行业特色和实际应用场景对分值进行调整。单项指标项符合要求时，得分为分值满分，不符合要求则得分为0分，部分符合视情得分。B.1管理规范能力族所含组件计分管理规范能力族包括保护计划、制度策略和管理考核3个组件项，组件计分示例见表B.1。表B.1管理规范能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值SM_MSC.1保护计划基本保护级能制定符合关键信息基础设施业务安全保护的特点并适合本组织的关键信息基础设施安全保护计划，明确关键信息基础设施的安全保护目标；查看保护计划，有关键信息基础设施安全保护的保护计划（1分）；查看保护计划，关基安全保护计划有明确的安全保护目标（2分）；查看保护计划，关基安全保护计划符合本关基业务安全保护的特点（2分）。5能[选择，选取多个：每年一次、按需要]对关键信息基础设施安全保护计划进行审核修订。查看保护计划审核修订记录，对保护计划审核修订频次进行了赋值（2分）；查看保护计划审核修订记录，按规定频次对保护计划进行审核修订（3分）。5

表B.1管理规范能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值SM_MSC.1保护计划基本保护级能制定符合关键信息基础设施业务安全保护的特点并适合本组织的关键信息基础设施安全保护计划，明确关键信息基础设施的安全保护目标；查看保护计划，有关键信息基础设施安全保护的保护计划（1分）；查看保护计划，关基安全保护计划有明确的安全保护目标（2分）；查看保护计划，关基安全保护计划符合本关基业务安全保护的特点（2分）。5能[选择，选取多个：每年一次、按需要]对关键信息基础设施安全保护计划进行审核修订。查看保护计划审核修订记录，对保护计划审核修订频次进行了赋值（2分）；查看保护计划审核修订记录，按规定频次对保护计划进行审核修订（3分）。5SM_MSC.2制度策略基本保护级能根据国家要求、行业要求及本组织情况制定符合组织范围的关键信息基础设施的安全管理制度，管理制度包括[选择，选取多个：风险管理、安全考核、安全培训、供应链安全、监测预警、事件处置、协同防护、[赋值：其他制度]]，并按照制度实施；查看制度文件，对管理制度进行了选择，制度全面（1分）；查看制度文件，管理制度符合国家和行业要求和本组织情况（2分）。3能根据业务情况定期优化安全管理制度；查看制度文件和记录，定期优化了安全管理制度，有优化记录（2分）。2能根据国家要求、行业要求及本组织情况制定符合组织范围的关键信息基础设施的安全保护策略，安全策略包括[选择，选取多个：风险管理策略、安全互联策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略（配置、漏洞、补丁、病毒库等）、供应链安全管理策略、安全运维策略、[赋值：其他安全策略]]；查看安全策略，对安全策略进行了选择，策略完备（1分）；查看安全策略，安全策略符合国家和行业要求和本组织情况（2分）。3能根据业务情况定期优化安全策略。查看安全策略和优化记录，定期优化了安全策略，有优化记录（2分）。2

表B.1管理规范能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值SM_MSC.3管理考核基本保护级能落实网络安全工作责任制，建立符合本组织特点的监督考核机制；查看制度文档，有网络安全工作责任制文档（1分）；查看制度文档，有网络安全工作责任制落实记录（2分）；查看制度文档，有本组织的监督考核机制（1分）；查看制度文档，监督考核机制符合本组织特点（1分）。5能根据监督考核机制[赋值：时间频度]开展网络安全相关考核。查看制度文档，对网络安全相关考核频次进行了赋值（1分）；查看制度文档和考核记录，按照频次开展了网络安全相关考核，有内部考核记录等（4分）。5B.2资源保障能力族所含组件计分资源保障能力族包括保护团队、基础资源保障和经费保障3个组件项，组件计分示例见表B.2。表B.2组织保障能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值SM_RGC.1保护团队基本保护级有关键信息基础设施安全保护团队，能够确保安全运维、应急处置等日常工作；查看制度文件，建立了专门的安全管理机构，一名领导班子成员作为首席网络安全官（1分）；查看制度文件，为每个关键信息基础设施明确了一名安全管理责任人（1分）；查看制度文件，关键岗位配备了专人，并配备2人以上共同管理（1分）；查看相关制度和记录，日常常规活动正常，有日志或记录（1分）；查看相关制度和记录，有应急处置团队及记录（1分）。5具备对网络攻击行为进行主动发现、分析和提出防护建议的能力；查看记录，安全团队能发现网络攻击并进行分析（1分）；查看记录，安全团队能根据分析结果提出安全防护建议（1分）。2能及时收集、汇总、分析各方网络安全信息，开展网络安全威胁分析和态势研判，及时通报预警处置；查看记录，有威胁情报分析团队及记录，能进行态势研判（1分）；查看记录，安全团队能按规定进行通报预警（1分）。2保护团队人员应具备符合GB/T42446-2023相应要求的能力。查看记录或证书，保护团队人员有相应能力的考核记录或资质证书（1分）。1强化保护级具备独立应对网络安全攻防实战对抗的能力；查看制度等文档，有组织内部的网络安全攻防团队（2分）；查看记录，采用查看沙盘推演、实地演练等方式的记录验证团队实战对抗能力（3分）。5具备实战化、对抗化（体系化）、常态化的组织内部组建的应急响应团队。查看制度或记录，有组织内部的网络安全应急响应团队（2分）；查看制度或记录，响应团队可及时、持续提供应急响应服务（3分）。5

表B.2组织保障能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值SM_RGC.2基础资源保障基本保护级运营者应具备满足关键业务安全稳定运行要求的基础设施保障能力，包括：场地设施、电力设施、通信线路等。查看满足关键业务安全稳定运行要求的备用场地设施（3分）；查看满足关键业务安全稳定运行要求的应急或备用的电力设施（2分）；查看满足关键业务安全稳定运行要求的多运营商通信线路（3分）；查看满足关键业务安全稳定运行要求的其他基础设施（2分）。10SM_RGC.3经费保障基本保护级能在年度经费预算编制明确关键信息基础设施安全保护预算内容，优先保障关键信息基础设施安全经费投入；查看年度预算方案，在CII年度资金预算实施中明确关基预算编制内容，并按照规划设计建设使用（1分）；查看年度预算方案，预算根据不同科目清晰划分（1分）。查看经费相关材料，关基安全经费投入占比不低于信息化总经费的5%（2分）。4能对经费使用进行审批和审计，明确经费使用范围和标准，确保经费使用的合规性和有效性。检查相关文件，查看建立基于财力保障的领导机构决策机制情况，CII安全管理机构人员参与本组织信息化相关经费决策（2分）；检查财务相关制度，建立完善的资金管理制度与流程，规范预算编制、审批和执行流程（2分）；检查财务相关制度，明确预算的使用范围和标准，制定相关的费用控制和核算流程，确保资金使用的合规性和有效性（2分）。6B.3风险管理能力族所含组件计分风险管理能力族包括风险识别和分析和管理活动2个组件项，组件计分示例见表B.3。表B.3风险管理能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值SM_RMC.1风险管理策略基本保护级能制定覆盖系统全生命周期阶段的网络安全风险管理策略；查看策略，有网络安全风险管理策略（1分）；查看策略，风险管理策略覆盖系统全生命周期阶段（2分）。3网络安全风险管理策略包括风险评估方法、风险监控策略、风险接受准则等；查看策略，网络安全风险管理策略包括风险评估方法、风险监控策略、风险接受准则等（3分）。3网络安全风险管理策略与组织业务目标相符。查看策略，网络安全风险管理策略匹配组织业务目标（4分）。4SM_RMC.2风险管理活动基本保护级能识别参与风险管理活动的利益相关方；查看策略等，识别出风险管理活动的利益相关方（1分）；查看策略等，已识别的利益相关方完整、无遗漏（1分）。2能根据网络安全风险管理策略进行风险评估，识别并形成风险点清单；查看策略、评估记录等，根据风险管理策略进行了风险评估（1分）；查看策略和清单等，形成了风险点清单（2分）。3能根据网络安全风险管理策略监控识别的风险；查看风险点清单和记录，对风险点清单中的风险点进行监控，有监控记录（2分）。2能对风险管理活动周期性进行审查，以确保符合网络安全风险管理策略。查看记录，对风险管理活动进行了周期性审查，有相关记录（1分）；查看策略和记录等，风险管理活动符合策略并持续优化，有修订或优化记录（2分）。3B.4供应链安全能力族所含组件计分供应链安全能力族包括供应链安全管理、供应方安全管理、运维外包管理、供应链风险预警与应急处置4个组件项，组件计分示例见表B.4。表B.4供应链安全能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值SM_SCC.1供应链安全管理基本保护级具备供应链安全管理制度和策略，包括供应方管理、产品开发采购管理等；查看供应链安全制度中包含供应链风险、供应方管理、产品开发和采购管理、安全维护等方面的内容（1.5分）；查看检查供应链安全管理制度明确供应链安全管理的目标、原则和责任（0.5分）；查看供应链风险评估要求，识别潜在的安全威胁和漏洞，并制定相应的应对措施（0.5分）；查看供应链管理要求，包括对供应方的准入、评估、分级、淘汰要求、明确供应方安全责任（0.5分）；查看对开发商的相关管理要求，包括开发环境、开发工具、开发人员等要求（0.5分）；查看采购的管理要求、供应链培训要求和供应链应急响应要求的内容（0.5分）。4采购网络关键设备和网络安全专用产品目录中的设备产品应通过国家检测认证；检查采购网络关键设备和网络安全专用产品目录中的设备采购记录，产品通过国家检测认证（2分）。2

表B.4供应链安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值采购影响或可能影响国家安全的产品或服务时应申请开展国家网络安全审查；检查采购产品或服务进行了网络安全风险预判，有预判记录，（1分）；风险预判后：——无影响或可能影响国家安全的产品或服务（1分）；——有影响或可能影响国家安全的产品或服务，申请开展了国家网络安全审查（1分）。2自行或委托第三方网络安全服务机构进行源代码安全检测，或由供应方提供可信第三方网络安全服务机构出具的代码安全检测报告。查看检测报告，有自行或委托第三方网络安全服务机构的源代码安全检测报告，或由供应方提供可信第三方网络安全服务机构出具的代码安全检测报告。2SM_SCC.2供应方安全管理基本保护级选择符合GB/T32914—2023相应要求的供应方，建立合格供应方目录，明确相关机构责任，防范非技术因素导致供应中断风险；检查供应方管理制度，明确相关机构责任以及防范非技术因素导致供应中断风险的措施（1分）；检查供应方目录，抽检供应方入围流程和结果，符合GB/T32914—2023和供应方管理制度要求（1分）；检查供应中断应对措施执行情况（1分）。3签订协议要求供应方履行网络安全和保密责任，加强安全管理，不得设置后门、非法操作或谋取不正当利益；查看协议，与供应方签署的合同或者协议中明确网络安全和保密责任、明确不得设置后门、执行非法操作或谋取不正当利益的行为（2分）。2要求供应方承诺出现安全风险及时通报并修复漏洞，提供中文版技术资料，培训技术支持及应急响应措施；查看合同、协议或其它有同等法律效力的文件，其中要求供应方承诺出现安全风险及时通报并修复漏洞（1分）；查看合同、协议或其它有同等法律效力的文件，其中要求提供中文版技术资料，培训技术支持及应急响应措施（1分）。2监督审核供应方服务，对定制研发软件要求供应方具备安全开发相关资质或建立安全开发规范，建立维护安全开发环境，建立工具设备安全管理和准入控制。检查软件供应方的安全开发资质或建立安全开发规范的记录或文档（1分）；检查供应方建立维护安全开发环境的记录（1分）；检查供应方建立工具设备安全管理和准入控制的记录或文档（1分）。3表B.4供应链安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值SM_SCC.3运维外包管理基本保护级能明确外包运维服务商的技术能力要求，包括但不限于风险监测识别、漏洞修复、完整性保护、安全测试等；核查是否与选定的外包运维服务商签订相关的协议，明确约定外包运维的范围、工作内容；（2分）查看制度或相关文件，明确对外包运维服务商相关的安全要求，如可能涉及对敏感信息的访问、处理、存储要求；（2分）查看网络安全事件记录，核查是否出现外包运维服务网络安全事件，所出现的事件是否与运营者对外包运维服务商的管理不当引起。（1分）5能在与外包运维服务商签订的协议中明确外包运维人员与本组织运维人员的工作范围和相关责任，并按照协议落实；查看外包运维服务合作协议，是否明确工作范围及相关责任；（1分）查看与维护人员签订安全保密协议，并对外包人员开展背景审查（例如：无犯罪记录证明等）。（2分）3能确保在[赋值：时间周期]内外包运维人员持续稳定。查看外包运维服务合作协议，是否明确对外包运维人员的稳定性提出明确要求；（1分）查看外包运维服务人员的在本岗工作时间，如工作时间小于合作协议的时间，应给出合理的解释，否则不认为满足持续稳定要求。（1分）2SM_SCC.4供应链风险预警与应急处置基本保护级在发现使用的网络产品和服务存在安全缺陷、漏洞等风险时，及时采取措施予以消除；查看相关制度或记录，有识别和消除使用的网络产品和服务的安全缺陷、漏洞等风险的措施（3分）；查看相关制度或记录，发现使用的网络产品和服务存在安全缺陷、漏洞等风险时，及时采取措施予以消除（3分）。6按照规定向相关部门报告涉及重大风险的情况。查看相关制度或记录，判断有无重大风险：——有重大风险，有向相关部门上报记录（4分）；——无重大风险，查看上报流程规定，有上报演练记录（4分）。4B.5架构安全能力族所含组件计分架构安全能力族包括网络防护架构、通信链路与关键设备冗余、应用数据分离3个组件项，组件计分示例见表B.5。表B.5架构安全能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值SA_BIS.1网络防护架构基本保护级a）能按照GB/TXXXXX-XXXX明确关键信息基础设施常态化和最小化边界；查看制度文件及实际环境等，有配套的日常边界和最小化边界管理规范类文件（1分）；查看制度文件及实际环境等，有明确的常态化和最小化边界划分（1分）。2b）能制定网络区域划分、安全互联和网络访问控制等安全策略；查看文档，制定了关键信息基础设施的网络区域划分、安全互联策略、网络访问控制策略等相关文档（0.5分）；查看文档及实际环境，按照相关的安全策略文档，开展了网络区域划分、安全互联和网络访问控制工作，实际操作与安全策略文档一致（0.5分）。1

表B.5架构安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值c）能按照网络区域划分原则划分网络区域，网络拓扑图与实际网络运行环境一致；查看网络区域划分相关设计文档，网络区域按照分区分域原则划分；（1分）；查看网络拓扑图符合网络区域划分原则，与实际网络运行环境一致（1分）。2d）能识别重要网络区域，重要网络区域部署在可控区域；查看网络区域划分相关设计文档，明确重要网络区域；（0.5分）查看实际网络部署环境，重要网络区域部署在内部区域非直接暴漏在互联网（0.5分）。1e）能将面向互联网提供服务的业务系统，部署在可控的网络环境中；查看互联网提供服务业务相关设计文档网络环境部署内容，部署在类似DMZ相关区域（1分）；查看实际网络部署环境，互联网提供服务的业务系统部署在DMZ区（1分）。2f）具备物理层、网络层、应用层、数据层、供应链等多个层面的防护能力。按照纵深防御的理念进行安全架构的设计，查看设计文件有相关的设计（1分）；查看落地实施情况如：查看网络区域划分、访问控制策略、安全防护策略等日常运维情况按照设计文档落实执行（1分）。2

表B.5架构安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值强化保护级a）具备主动安全防护技术框架，技术框架能够适应不断变化的网络环境，通过持续的监控、分析和自动化响应来提高安全性；查看网络防护架构有主动安全防护技术框架相关的设计内容（2分）；主动安全防护技术框架相关的设计内容符合物理环境、业务环境等要求（3分）。5b）在安全防护技术框架中包括协同防护接口、异构性和冗余性、内部架构、业务流程、重要资源、核心算法、通信线路等内容，保障网络架构的弹性能力。查看主动安全防护技术框架中有明确的协同防护接口、异构性和冗余性、内部架构、业务流程、重要资源、核心算法、通信线路等内容（2分）；查看主动防护技术框架设计内容是在技术侧落地（3分）。5战略保护级a）对承载关键业务的软硬件设施具备两种以上异构能力。如采用不同技术架构的芯片、操作系统、防火墙等；查看设施说明书及实际环境，承载关键业务的核心链路侧如：路由器、交换机、防火墙、IPS等，有两种以上异构能力（如采用不同技术架构的芯片、防火墙等）（2分）；查看设施说明书及实际环境，承载关键业务的软硬件设施（如：计算资源、存储资源配套的软件），有两种以上异构能力（如采用支撑不同指令集的操作系统等）（3分）。5b）具备极限情况下，最小化边界内网络架构、安全架构支撑能力。查看相关制度、记录及实际环境，针对最小化边界有独立的网络基础设施、安全基础设施可以提供极限情况下的网络环境和安全防护（5分）。5

表B.5架构安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值SA_BIS_EXT.1云平台防护架构基本保护级运营者应具备云平台网络隔离能力，如云服务平台与云租户、不同云租户虚拟网络之间的隔离；查看承载关键信息基础设施的云平台网络隔离设计，设计包含云服务平台与云租户、不同云租户虚拟网络之间的隔离（5分）；查看实际环境，承载关键信息基础设施的云平台有网络隔离技术实现，云服务平台与云租户、不同云租户虚拟网络之间的隔离，梳理访问控制的主客体清单（2分）；通过策略/安全组件进行隔离，查看相关访问控制策略以及访问控制策略更新情况，确保隔离的有效性（3分）。10SA_BIS.2通信链路与关键设备冗余基本保护级a）具备通信线路“一主双备”的多电信运营商多路由保护能力；查看网络拓扑图，明确设计维度采用一主双备或者一主多备网络通信线路设计（1分）；访谈网络管理员通信线路采用多路由保护，查看与电信运营商签署的合同协议或者技术措施查看通信链路中的IP地址，查看其归属运营商的信息（1分）。2b）具备关键节点和重要设施“双节点”冗余能力；核查关键网络设备、关键安全设备、关键计算设备(数据库服务器、数据存储设备等)、通信线路硬件冗余措施有效（2分）；查看网络设备的配置信息，如交换机、路由器等。确认设置了主备路径和备份设备的配置，检查设备间的冗余协议，如VRRP（虚拟路由冗余协议）或HSRP（热备份路由协议）等（2分）。4

表B.5架构安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值c）保障网络设备的业务处理能力和带宽满足业务高峰期需要。查看网络设备的业务处理能力和带宽设计情况（2分）；查看实际生产环境中，按照设计进行执行，实际生产环境业务处理能力和带宽满足业务高峰期需要：——通过访谈，询问网络各个部分的带宽满足业务高峰期需要。如业务应用的高峰流量是多少，各个网络接入链路带宽是多少，有过网络带宽瓶颈的事件发生（1分）；——在有监控环境的条件下，通过监控平台查看网络带宽在业务高峰期的使用情况。在无监控条件下，通过流量分析工具分析有足够的接入带宽或完善的流量控制措施等能够保障在高峰期(正常业务情况下，带宽占用率不超过90%)的业务运行需要（1分）。4强化保护级运营者应保障关键信息基础设施在遭受自然灾害或遭受大规模攻击等特定情况下，所具备的应急线路能维持关键业务的正常运行。查看应急线路规划设计，在关键信息基础设施在遭受自然灾害或遭受大规模攻击等特定情况下，能提供网络服务（2分）；查看实际环境，有应急线路，在关键信息基础设施在遭受自然灾害或遭受大规模攻击等特定情况下，能提供网络服务，满足关键信息基础设施最小化（最核心）功能业务运行使用（4分）；查看实际环境，有应急线路，在关键信息基础设施在遭受自然灾害或遭受大规模攻击等特定情况下，能提供网络服务，满足关键信息基础设施正常稳定运行（4分）。10

表B.5架构安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值SA_BIS.3应用数据分离基本保护级a）能制定业务应用与数据分离设计规划和实施计划。如将业务软件和数据库部署在不同安全域的不同服务器集群；查看规划等文档和实际环境，有业务应用与数据分离设计规划和实施计划（2分）。2b）能按照阶段逐步执行，完成关键业务的服务与数据分离。查看业务应用与数据分离设计规划和实施计划，并按照阶段逐步执行（2分）；查看实际环境，完成关键业务的服务与数据分离实施，充分考虑业务需求、数据访问模式、数据增长趋势、数据安全和合规性要求等因素，满足日常访问需求（3分）；核查业务应用与数据交互接口，查看存在安全风险（3分）。8B.6业务连续性能力族所含组件计分业务连续性能力族包括业务依赖性分析、业务连续性管理、灾难备份和恢复3个组件项，组件计分示例见表B.6。表B.6业务连续性安全能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值SA_BCC.1业务依赖性分析基本保护级a）能识别关键业务和关联业务，梳理业务链并分析依赖性和重要性；查看清单，梳理了本组织的业务链，识别本组织的关键业务和关联业务，有关键业务和关联业务的清单（3分）；查看记录和实际环境，通过技术措施对关键业务链进行了梳理，并将关键业务、关联业务业务链通过系统/平台化方式呈现（2分）。5b）能识别关联业务的脆弱性，包括关键信息基础设施跨系统、跨区域间的依赖性以及跨行业的关联业务等。查看记录和实际环境，通过技术措施识别了关联业务的脆弱性，包括关键信息基础设施跨系统、跨区域间的依赖性以及跨行业的关联业务等，有脆弱性分析相关报告（3分）；查看记录和实际环境，可以通过技术措施，将关联业务风险进行了综合展示与呈现（2分）。5SA_BCC.2业务连续性管理基本保护级a）能开展业务影响和风险分析，根据结果明确核心业务、优先次序、关键过程、可接受故障范围以及恢复优先顺序；检查开展业务风险评估和风险分析情况，查看形成相关报告（1分）；查看报告和实际环境，报告明确核心业务、优先次序、关键过程以及可接受故障范围以及恢复优先顺序等内容（1分）。2b）制定业务连续性计划和方案，并在方案中制定满足行业规定的业务连续性指标；查看业务连续性计划和方案，有业务连续性计划和方案（0.5分）；查看业务连续性方案，业务连续性方案中的内容包含行业规定的业务连续性指标，以及根据业务重要性确定恢复优先级和恢复策略（0.5分）；查看业务连续性演练内容，根据连续性计划和方案开展演练，识别业务连续性风险，并根据风险调优业务连续性计划和方案（1分）。2表B.6业务连续性安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值c）能对关键信息基础设施关联业务进行针对性安全防护；查看制度策略等文档和实际环境，关键信息基础设施关联业务有基础安全防护措施，满足国家各类相关要求相关要求（0.5分）。0.5d）能实现功能模块级弹性。当某个功能模块发生安全事件时，能够保障及时使用备选模块保证业务连续性；查看制度策略等文档和实际环境，有功能模块级的热备方案设计（0.5分）；查看制度策略等文档和实际环境，有功能模块级的热备落地实现，并在演练过程中进行演练切换，确保主功能模块发生故障，备功能模块可及时切换使用，通过落地实现的功能、演练方案和报告进行验证（1分）。1.5e）能识别关键核心功能，明确业务高并发以及极限情况下的系统性能指标；查看制度策略等文档和实际环境，有关键核心功能清单（1分）；查看制度策略等文档和实际环境，有高并发与极限情况的系统性能指标，如：并发量、内存、CPU、磁盘IO等为满足业务稳定运行的关键指标清单（1分）。2f）能对高并发场景下进行压力测试，根据压力测试结果，对系统进行定期优化。查看制度策略等文档和实际环境，有高并发场景的压力测试计划与方案（1分）；查看制度策略等文档和实际环境，按照计划对高并发场景进行了压力测试，并根据测试情况定期优化；查看压力测试报告与系统优化报告等（1分）。2强化保护级a）具有对关联业务的熔断能力，能当系统出现异常或恶意攻击时，及时停止对该系统的访问，防止进一步的损害或数据泄露；查看制度策略等文档和实际环境，有关联业务熔断计划与机制，可通过相关的设计文档进行验证（1分）；查看制度策略等文档和实际环境，有技术熔断措施，并在演练中进行演练，熔断有效性，查看相关工具、演练中的相关报告进行验证（1分）。2

表B.6业务连续性安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值b）具有对关联业务的反熔断能力，能确保关键信息基础设施在面临网络攻击时关键业务正常运行，关联业务可持续为关键信息基础设施业务提供服务；查看制度策略等文档和实际环境，评估系统的反熔断能力。如，在攻防演练或模拟攻防测试中，系统遭受攻击保持关键业务的正常运行，并且关联业务持续为关键业务提供服务。查看攻防演练相关报告佐证反熔断能力（2分）。2c）能实现系统级弹性。能通过协议、系统配置或者软件硬件的应用实现网络拓扑结构的分区分域弹性策略；能利用如网络交换机、路由调度算法、路径多样性、流控制，实现网络拓扑结构的弹性目标；查看制度策略等文档和实际环境，有系统级弹性的设计能力，有详细的设计方案且方案可落地（1分）；查看制度策略等文档和实际环境，可以通过技术措施落地系统弹性设计，协议、系统配置或者软件硬件的应用实现网络拓扑结构的分区分域弹性策略（1分）；查看制度策略等文档和实际环境，通过网络交换机、路由调度算法、路径多样性、流控制实现网络拓扑架构的弹性能力，可以根据相关设备的配置进行验证（1分）。3d）能提供极限情况下关键业务运行所需必要的基础设施资源，如：网络资源、计算资源、存储资源、电力资源等。查看制度策略等文档，有极限情况下关键业务所需的基础设施资源清单，清单包含网络资源、计算资源、存储资源、电力资源等内容（1分）；查看按照极限情况下关键业务所需的基础设施资源清单，匹配的基础资源且基础资源在演练中进行验证可以使用，查看演练报告进行验证（2分）。3战略保护级a）在极限情况下，关联业务被攻击时仍能持续为关键业务提供服务，以保障关键业务正常运行；查看制度策略等文档和实际环境，有基于关键业务流程、应用和数据高可用和安全性的双活切换方案与设计（2分）；查看制度策略等文档和实际环境，可以根据根据攻防演练情况，确保遭受各类攻击时业务、应用、数据和安全措施有效性并可实时切换，查看报告与切换记录，并进行验证（3分）。5表B.6业务连续性安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值b）能在极限情况下保障关键业务的业务连续性与安全性。查看极限情况下的业务连续性与安全性的详细方案与计划，方案与计划符合业务场景（2分）；查看相关记录等文档，在演练、攻防模拟或者实际事件中验证业务连续性与安全性受影响程度，根据相关报告进行验证，如果受影响则证明方案和落地存在问题，需要调优，查看近一年有无任何业务中断或者被攻击影响业务的事件，如存在则则证明极限连续性方案存在问题（3分）。5SA_BCC.3灾难备份和恢复基本保护级a）制定灾备和恢复计划，能按照计划执行；查看灾备和恢复方案或计划，灾备和恢复方案或计划符合关基业务与运营者实际运营环境（2分）；查看灾备和恢复方案计划的实际运行情况，可以按照计划进行恢复和落地（2分）；查看对灾备和恢复计划进行优化和调优，查看调优记录（2分）。6b）能按照灾备计划进行业务恢复演练，保证生产系统不可用时备份系统能接替生产系统部分或全部职能。查看演练记录，可以通过沙盘推演、桌面推演或模拟攻击进行验证，判断灾难恢复的能力，确保生产业务不可用时，备份系统可以接替生产系统核心职能（2分）；查看验证记录，可以通过沙盘推演、桌面推演或模拟攻击进行验证，判断灾难恢复的能力，确保生产业务不可用时，备份系统可以接替生产系统全部职能（2分）。4强化保护级运营者应具备关键信息基础设施异地双活能力，如：两地三中心部署，保障业务切换时不影响数据服务。关键信息基础设施有1：1双活能力，查看灾难备份恢复的设计与两地三中心的设计（5分）；查看主中心与备份中心业务切换记录，确认不影响数据服务（5分）。10表B.6业务连续性安全能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值战略保护级运营者应具备在极限情况下保障关键功能持续运行的能力。查看相关文档，梳理了关键信息基础设施关键功能并形成清单（5分）；查看实际环境或实地验证，验证梳理的关键业务的关键功能可以不依赖其他业务独立运行，提供验证报告（2分）；通过演练或者模拟攻击，验证极限状态下关键功能可持续运行，查看相关记录，验证相关能力（3分）。10

B.7网络基础设施防护能力族所含组件计分网络基础设施防护能力族包括网络接入安全、网络传输安全、系统互联安全3个组件项，组件计分示例见表B.7。表B.7网络基础设施防护能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值TP_NIP.1网络接入安全基本保护级能制定接入网络的设备入网安全策略；查看IT设备入网安全策略，有策略（1分）；查看IT设备入网安全策略，安全策略对网络接入行为有明确的允许或禁止要求（2分）；查看IT设备入网安全策略与实际环境，安全策略与实际运行情况保持一致（2分）。5能对未授权设备进行动态发现及管控，只允许通过运营者授权的设备接入。查看策略文档和实际环境，部署了网络准入类工具或等效措施（1分）；查看策略文档和实际环境，配置了合理的检测和准入策略（2分）；查看记录和实际环境，对未授权设备的违规接入有检测和告警记录（2分）。5强化保护级运营者应能定期对网络接入安全有效性进行验证，并进行优化，确保网络接入安全。查看文档和实际环境，部署了网络准入有效性验证环境（5分）；通过模拟攻击等方法验证，网络准入类工具或等效措施有效（5分）。10TP_NIP.2网络传输安全基本保护级能采用密码技术对网络传输通道进行完整性保护；查看策略文档和实际环境，有网络传输通道完整性保护策略或技术方案（2分）；查看策略文档和实际环境，部署了相关技术工具或等效措施（2分）；查看相关文档或说明等，技术工具符合国家对密码产品检测认证相关要求（1分）。5能采用密码技术对网络传输通道进行机密性保护。查看文档，制定了网络传输通道机密性保护策略或技术方案（2分）；查看策略文档和实际环境，部署了相关技术工具或等效措施（2分）；查看相关文档或说明等，技术工具符合国家对密码产品检测认证相关要求（1分）。5

表B.7网络基础设施防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值TP_NIP.3系统互联安全基本保护级能制定不同业务系统之间、不同网络区域的系统之间、不同运营者运营的系统之间的安全互联策略；查看文档，制定了安全互联策略（1分）；查看策略，安全互联策略明确了不同业务系统之间、不同网络区域的系统之间、不同运营者运营的系统之间的互联通信情况（2分）。3能采用技术手段根据安全互联策略对系统进行互联管控；查看文档和实际环境，采取技术手段对不同业务系统之间的互联行为进行管控（1分）；查看文档和实际环境，采取技术手段对不同网络区域系统之间的互联行为进行管控（1分）；查看文档和实际环境，采取技术手段对不同运营者运营的系统之间的互联行为进行管控（1分）；查看文档和实际环境，互联管控策略有效，并根据系统调整进行更新（1分）。4能在不同系统之间互联通信前先经过双向安全认证。查看文档和实际环境，采取消息鉴别码、数字证书等密码技术进行双向认证（2分）；查看相关文档或说明等，技术工具符合国家对密码产品检测认证相关要求（1分）。3强化保护级运营者应能定期对系统互联策略和执行情况进行有效性验证，确保系统互联安全。查看文档和实际环境，对系统互联通信行为进行识别，包括日志记录、数据流量等信息（5分）；查看文档和实际环境，有有效性验证环境，对互联策略进行分析与验证（5分）。10TP_NIP_EXT.3工控系统互联安全基本保护级工业控制系统网络与企业其他系统网络之间互联应采用符合国家或行业规定的专用产品，实现单向安全隔离。查看文档和实际环境，采取技术手段对工业控制系统网络与企业其他系统网络的边界进行安全隔离（4分）；查看策略、日志和实际环境，安全隔离技术工具产生日志告警信息，安全隔离策略准确有效（4分）；查看相关文档或说明等，技术工具符合国家或行业相关规定（2分）。10

B.8边界安全防护能力族所含组件计分边界安全防护能力族包括边界入侵防范、边界访问控制、恶意代码防范、网络安全审计4个组件项，组件计分示例见表B.8。表B.8边界安全防护能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值TP_BSP.1边界入侵防范基本保护级具备对网络边界进行入侵防范的能力。包括对边界进行入侵检测、入侵告警、抑制、阻断等措施；查看文档，有效识别网络边界，制定入侵防范策略（2分）；查看策略文档和实际环境，在网络边界处部署入侵检测、入侵防御类技术工具，产生日志告警等相关记录，配置信息与防范策略保持一致（2分）；查看策略文档、更新记录和实际环境，及时更新技术工具特征库、软件版本、功能授权等信息（1分）。5具备对拒绝服务攻击、高级可持续威胁（APT）等网络攻击行为进行有效分析与防范的能力。查看策略文档和实际环境，存在互联网出口的场景下，在网络边界处部署抗拒绝服务攻击技术工具，或通过电信运营商流量清洗等服务对拒绝服务攻击进行防范（2分）；查看实际环境，在网络边界及关键网络节点处部署流量检测等技术工具，对网络攻击行为进行检测与防范（2分）；查看实际环境，技术工具产生日志告警信息，配置参数及时更新（1分）。5强化保护级具有边界入侵防范措施有效性验证记录或测试报告；查看实际环境，有边界入侵防范措施有效性验证环境（2分）；通过模拟攻击等方法进行验证，判断入侵防范技术工具或等效措施有效（2分）；查看实际环境，当入侵防范技术工具进行更新时，对防范措施进行了有效性验证，并生成测试报告（1分）。5

表B.8边界安全防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值能根据网络攻击的类型、攻击阶段、攻击规模等因素，调整边界入侵防范策略，包括诱捕、干扰、阻断等策略。查看实际环境，对网络攻击行为进行识别分析，包括攻击类型、攻击阶段、攻击规模等（2分）；查看实际环境，根据攻击行为制定针对性防范策略，包括诱捕策略、干扰策略、阻断策略等（2分）；查看实际环境，根据入侵防范策略可以产生真实告警信息（1分）。5战略保护级运营者应能自动化调整边界入侵防范策略，实现边界自适应防护。查看实际环境，部署自动化分析系统，对入侵行为进行有效分析（5分）；查看实际环境，自动化生成入侵防范策略，并通过有效性验证环境的测试验证（2分）；查看实际环境，联动入侵防范技术工具，自动化调整策略参数（3分）。10TP_BSP.2边界访问控制基本保护级具有对应用、会话级的访问进行控制的措施，且具有相关记录；查看文档，根据业务系统访问情况制定访问控制策略，包括应用层、会话层信息（1分）；查看实际环境，在网络边界及关键网络节点处，部署访问控制技术工具，配置应用级、会话级访问控制策略，产生日志信息（1分）。2能对非授权访问外部网络的行为进行检测和管控的措施，确保检测与管控措施有效，具有相关结果记录；查看文档，有内部网络访问外部网络行为的策略或名单（1分）；查看实际环境，部署上网行为管控系统或等效技术措施，对非授权访问外部网络的行为进行检测和阻断（1分）；查看实际环境，产生检测与阻断的日志记录（1分）。3能动态发现及管控未授权设备，只允许授权设备接入运行；查看文档，制定了授权设备接入策略和清单（1分）；查看实际环境，部署了技术工具对设备接入行为进行动态实时检测（1分）；查看实际环境，对非授权设备的接入行为进行管控，产生日志告警信息（1分）。3能对不同系统之间的互操作、数据交换和信息流向进行严格控制。查看文档，对系统之间的互操作、数据交换行为进行识别，并制定了访问控制策略（1分）；查看实际环境，在系统边界处部署技术工具，对系统之间的互操作、数据交换和信息流进行访问控制，产生日志记录（1分）。2表B.8边界安全防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值强化保护级具有边界安全防护验证机制，能对应用、会话级的访问控制措施有效性进行验证；查看实际环境，有边界安全防护措施有效性验证环境（2分）；查看实际环境，对应用、会话级的访问控制措施有效性进行验证，形成测试报告（3分）。5能周期性开展边界安全防护验证或有效性测试。查看记录，每年至少一次对应用、会话级的访问控制措施有效性进行验证，形成测试报告（3分）；查看实际环境，当访问控制策略进行更新时，对控制措施进行有效性验证，形成测试报告（2分）。5TP_BSP.3恶意代码防范基本保护级具有在网络边界、关键网络节点处对恶意代码进行检测和清除的措施；查看实际环境，在网络边界、关键网络节点处部署恶意代码检测清除工具，对恶意代码进行检测和清除（2分）；查看实际环境，技术工具记录了恶意代码检测和清除的日志记录（2分）。4能检测典型的木马、蠕虫等恶意代码，并进行隔离阻断或清除；查看实际环境，部署的技术工具可以对恶意代码类型及危害信息进行识别，通过MD5、病毒特征码和规则匹配等方式对恶意代码进行隔离或清除，对隔离或清除行为进行日志记录（3分）。3能及时维护更新恶意代码库。查看实际环境，采用线上或离线等方式对恶意代码特征库进行更新，更新周期不超过6个月（3分）。3强化保护级运营者应能对未知或新型恶意代码进行检测隔离或清除，例如通过行为分析、机器学习等技术强化检测能力。查看系统文档和实际环境，通过机器学习、人工智能等方式，构建新的检测分析引擎，对已知恶意代码变种、未知恶意代码进行识别（5分）；查看实际环境，人工智能检测引擎与传统检测引擎相结合（3分）；查看实际环境，对检测模型进行持续更新优化，提升检测能力（2分）。10TP_BSP.4网络安全审计基本保护级能在网络边界部署安全审计措施；查看实际环境，在网络边界、关键网络节点处部署安全审计工具（1分）；查看实际环境，安全审计工具对网络流量进行安全审计，生成审计记录（1分）。2能对网络边界、重要网络节点的安全日志进行集中收集与分析；查看实际环境，部署日志收集工具，对网络边界、重要网络节点的安全日志进行集中收集与分析（3分）。3

表B.8边界安全防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值在日志中保存系统运行状态、日常操作、故障维护、远程运维等内容，并能对日志记录进行有效保护；查看日志，日志记录内容包括系统运行状态、日常操作、故障维护、远程运维等内容（1分）；查看实际环境，采取权限管控、完整性保护等相关措施，对日志记录进行保护，防止恶意访问和篡改（1分）。2将日志留存符合相关法律法规政策文件等要求的时间。查看日志和实际环境，配置日志留存参数，原则上确保日志记录保存期限不少于6个月或符合相关要求（3分）。3强化保护级运营者应能制定安全审计规范，对集中收集的日志格式进行统一规范。查看文档，根据安全审计数据情况制定安全审计规范，明确日志类型、日志格式等内容（5分）；查看实际环境，部署技术工具，集中收集各类安全日志信息，通过数据过滤、数据富化等技术手段对日志信息进行数据解析，形成统一规范的安全审计信息（5分）。10B.9计算环境防护能力族所含组件计分计算环境防护能力族包括计算环境身份鉴别、计算环境访问控制、计算环境恶意软件防范、计算环境安全审计、计算环境入侵防范与阻断5个组件项，组件计分示例见表B.9。表B.9计算环境防护能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值TP_CEP.1计算环境身份鉴别基本保护级a）具备动态或多因子方式的身份鉴别能力，并进行日志记录；a）查看实际环境，采用动态或多因子方式进行身份鉴别（3分）；b）查看记录，有对身份鉴别的日志记录，且信息完整（3分）。6b）明确重要业务操作、重要用户操作或异常用户操作行为并形成清单。a）查看文档，有重要业务操作、重要用户操作或异常用户操作行为的管理清单（2分）；b）查看记录，有针对清单中操作行为的审计记录（2分）。4强化保护级能动态识别用户异常行为并进行二次身份鉴别的能力。a）查看实际环境，有技术措施动态识别用户异常行为（5分）；b）查看实际环境，识别异常行为后及时阻断，并进行二次身份鉴别（5分）。10TP_CEP.2计算环境访问控制基本保护级a）对重要业务数据资源的操作，采用基于安全标记等技术实现访问控制；a）查看实际环境，有针对重要业务数据资源操作的访问控制措施（1分）；b）查看实际环境，访问控制通过安全标记等技术实现（1分）。2b）采用密码技术保证系统资源访问控制信息的完整性；a）查看实际环境，采用密码技术进行系统资源访问控制信息完整性保护（1分）；b）查看相关说明和实际环境，密码技术采用国产密码算法（1分）。2c）能监控访问行为的合规性；a）查看实际环境，识别了业务正常访问行为（1分）；b）查看实际环境，有合规性行为管理清单（1分）；c）查看实际环境，有访问行为持续监控的技术措施（1分）。3

表B.9计算环境防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值d）能保持同一用户身份和访问控制策略在不同网络安全等级保护系统、不同业务系统、不同区域中的一致性。查看实际环境，根据情况判断：——有跨信息系统、业务系统、网络区域的用户身份和访问控制策略统一管理措施（3分）；——在信息系统、业务系统、网络区域中，用户身份和访问控制策略配置保持一致（3分）。3强化保护级a）能构建计算环境防护验证机制；查看实际环境，有计算环境防护验证机制或流程（3分）。3b）能周期性对计算环境的防护能力有效性进行验证。a）查看文档等，有明确的防护能力验证周期（1分）；b）查看文档等，验证内容包括但不限于身份鉴别、访问控制、恶意软件防范等（2分）；c）查看文档和实际环境，通过人工核验的方式实现计算环境防护能力验证（2分）；d）查看实际环境，通过工具验证的方式实现计算环境防护能力验证（2分）。7TP_CEP.3计算环境恶意软件防范基本保护级a）能确保防止非特权用户绕过恶意软件防范机制；a）查看实际环境，有恶意软件防范维护机制，包括但不限于文件保护、进程保护等，确保防止非特权用户绕过恶意软件防范机制（1分）；b）查看实际环境，有恶意软件防范机制报警机制，当出现特权用户绕过恶意软件防范机制时触发报警（1分）。2b）能集中管理恶意软件防范机制并及时更新；a）查看实际环境，有集中管理的恶意软件防范机制（1分）；b）查看实际环境，能定期升级和更新恶意软件防范机制（1分）。2c）能及时掌握系统的恶意软件误报率，并分析误报对信息系统可用性的潜在影响；a）查看实际环境，有恶意软件防范误报率统计功能（1分）；b）查看实际环境，通过日志等途径回溯误报详细信息，以及对系统可用性的潜在影响（1分）。2

表B.9计算环境防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值d）采用[选择，选取一个或多个：免受恶意软件攻击的技术措施，主动免疫可信验证机制]及时识别入侵和病毒行为，并将其有效阻断；a）查看实际环境，有入侵和病毒行为识别机制。——采用免受恶意程序攻击的技术措施，如杀毒软件、终端威胁检测响应系统等（1分）；——采用主动免疫可信验证机制（1分）；b）查看实际环境，当发现入侵和病毒行为时可有效阻断（1分）。2e）能构建恶意软件分析模型，通过静态分析、动态分析（例如：用户行为分析或威胁信息利用）方法对恶意软件进行深度检测。a）查看实际环境，有恶意软件分析模型，无需完全依赖恶意软件库（1分）；b）查看实际环境，通过静态分析、动态分析等方式对恶意软件进行深度检测。——能利用用户行为进行分析（1分）；——能利用威胁信息进行分析（1分）。2强化保护级能对恶意软件检测能力进行训练与提升，如采用基于行为分析、机器学习等方式。a）查看实际环境，有恶意软件检测能力训练和提升机制（4分）；b）查看实际环境，采用技术手段实现检测能力训练和提升：——采用行为分析方式，针对异常行为进行训练（6分）；——采用机器学习技术，构建检测模型提升检测能力（6分）。10TP_CEP.4计算环境安全审计基本保护级a）能对应用、主机、网络各个层面以及数据导入、导出相关设备或服务组件的重要用户行为和重要安全事件进行审计；a）查看实际环境，有安全审计功能（1分）；b）查看审计记录，审计记录覆盖应用、主机、网络等层面，以及数据导入、导出相关设备或服务组件（1分）；c）查看审计记录，审计记录要素记录全面，包括重要用户行为和重要安全事件（1分）。3b）能对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖，以及审计进程遭到未授权的中断；a）查看实际环境，有审计记录保护和定期备份功能（1分）；b）查看实际环境，审计进程无法被未授权中断（1分）。2

表B.9计算环境防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值c）能确保安全审计与权威的时间源（例如：中国科学院国家授时中心、运营商时钟源或内部构建时钟同步体系）同步；a查看实际环境，）有时间源同步（1分）；b）查看实际环境，与权威时间源进行同步；——与中国科学院国家授时中心进行时间同步（1分）；——与运营商时钟源进行实践同步（1分）；——有内部时钟同步体系（1分）。2d）采用密码技术保证审计记录的完整性；a）查看实际环境，采用密码技术对审计记录进行完整性保护（1分）；b）查看相关说明，密码技术的使用满足国家密码管理局的要求（1分）。2e）对审计记录的留存符合法律法规政策文件的信息留存要求。查看实际环境，审计记录留存不少于6个月或符合相关要求（1分）。1TP_CEP.5计算环境入侵防范与阻断基本保护级a）制定主机入侵防范策略，及时识别并对异常行为进行阻断或限制并提供报警；a）查看实际环境，有主机入侵防范策略（1分）；b）查看实际环境，及时识别和阻断或限制异常行为（1分）；c）查看实际环境，对识别、阻断或限制的异常行为进行告警（1分）。3b）能通过技术手段检测和防范对重要节点进行入侵的行为，实时监测数据导入、导出行为；a）查看实际环境，有重要节点入侵行为检测和防范设备（1分）；b）查看实际环境，实时监测数据导入和导出的行为（2分）。3c）能采取技术手段，对高级可持续威胁（APT）等网络攻击行为的入侵进行防范；a）查看实际环境，有高级可持续威胁防范设备（1分）；b）查看实际环境，部署位置设计合理，至少覆盖核心链路和重要区域（1分）；c）查看实际环境，应用人工智能、威胁情报等技术识别高级可持续威胁（2分）。4B.10数据安全防护能力族所含组件计分数据安全防护能力族包括数据分类分级、数据处理活动、数据责任、数据跨境4个组件项，组件计分示例见表B.10。表B.10数据安全防护能力族所含组件得分示例序号能力组件能力等级指标项评估方法指标项分值TP_DSP.1数据分类分级基本保护级a）能识别数据资产，建立数据资产台账（包括资产责任人、责任权属关系）；a）查看文档和实际环境，有数据资产台账（2分）；b）查看台账，台账中包括资产责任人、责任权属关系等内容（3分）；5b）能依据GB/T43697-2024及行业的数据分类分级要求，对数据进行分类分级。a）查看文档，有数据分类分级规范或同类型文件（1分）；b）查看文档和实际环境，明确重要数据与核心数据，并定期梳理（2分）；c）查看文档，有数据分类分级目录（1分）；d）查看文档和实际环境，明确重要数据和个人信息的数据处理活动，包括收集、存储、使用、加工、传输、提供、公开等环节（1分）。5强化保护级能通过技术手段对数据进行分类分级。a）查看实际环境，有数据分类分级工具（2分）；b）查看实际环境，工具能根据数据分类分级规范或同类型文件完成数据资产扫描和形成数据分类分级目录（3分）；c）查看实际环境，能识别新增数据资产，并更新至数据分类分级目录（3分）；d）查看实际环境，工具采用人工智能等技术提高数据分类分级准确率（2分）。10TP_DSP.2数据处理活动基本保护级a）能根据数据分类分级结果制定对应的全生命周期数据处理活动保护策略；a）查看文档，有全生命周期数据处理活动保护策略（1分）；b）查看策略，保护策略中包括数据安全保护计划、数据安全管理责任、数据安全保障体系、评价考核制度等内容（1分）。2b）能采取数据加密、防泄露、防勒索等措施对重要数据、核心数据等进行保护，防止数据泄露；a）查看实际环境，有重要数据、核心数据保护措施（0.5分）；b）查看实际环境，保护措施包括但不限于数据加密、防泄漏、防勒索等（0.5分）。1表B.10数据安全防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值c）能对数据全生命周期各阶段的数据处理活动全面监测，识别数据全生命周期各阶段的安全风险，对数据安全事件进行快速预警、快速响应并处置；a）查看实际环境，有数据处理活动全面监测措施（0.5分）；b）查看实际环境，能识别数据全生命周期各阶段的安全风险（0.5分）；c）查看实际环境，能对数据安全事件进行快速预警响应，并进行处置（0.5分）；d）查看数据安全策略和实际环境，数据安全策略符合组织数据安全全流程监测需要（0.5分）。2d）能定期组织开展数据安全风险评估，对评估中发现的安全问题制定整改方案及工作计划，并形成报告；a）查看文档，有数据安全风险评估制度或流程（0.5分）；b）查看文档，有定期开展的数据安全风险评估报告（1分）；c）查看文档，有安全问题整改方案和工作计划（0.5分）。2e）能对数据安全防护的需要，制定应急预案，并开展应急演练，通过应急演练校验应急预案的合理性并优化；a）查看文档，有完善的数据安全应急预案（1分）；b）查看文档，有数据安全应急演练工作报告或同类型材料（0.5分）；c）查看文档，应急演练工作报告中包含应急预案修订内容（0.5分）。2f）对数据可用性要求高的，能进行数据异地实时备份。查看文档和实际环境，有数据异地实时备份机制（1分）。1强化保护级a）能定期对数据防护能力有效性进行验证；a）查看实际环境，有数据安全防护能力有效性验证机制（2分）；b）查看文档和实际环境，有周期性数据安全防护能力有效性验证报告，包括但不限于数据访问控制能力、数据防泄漏能力、数据安全检测能力、数据安全审计能力（2分）。4b）能对运行数据和配置数据的传输和存储具有加密措施，并针对数据传输具有信源加密措施，加密方式符合国家密码相关要求。a）有运行数据和配置数据的传输和存储加密措施（1分）；b）有数据传输过程中的信源加密措施（1分）；c）加密方式符合国家密码相关要求（1分）。3

表B.10数据安全防护能力族所含组件得分示例（续）序号能力组件能力等级指标项评估方法指标项分值c）能根据监测到的数据安全风险，自动化联动数据安全防护措施，实现风险的自动化处置；a）有技术手段联动数据安全风险和数据安全防护措施（1分）；b）能根据不同风险自定义联动响应策略（1分）；c）实现风险自动化处置（1分）；3战略保护级能确保在极限情况下数据不泄露。a）有极限情况下的数据安全保护策略（4分）；b）有极限情况下数据加密措施，确保极限情况下数据不泄露（6分）；10TP_DSP.3数据责任基本保护级能明确数据安全管理责任，压实数据全生命周期各阶段内部部门主体责任，例如：业务部门、运维部门在数据公开与共享等活动中的安全责任。a）有数据安全管理制度（5分）；b）制度中明确数据全生命周期各阶段内部部门主体责任（3分）；c）主体责任包括业务部门、运维部门在数据公开与共享等活动中的安全责任等（2分）。10TP_DSP.4数据跨境基本保护级运营者应将在我国境内运营中收集和产生的个人信息和重要数据存储在境内。因业务需要，确需向境外提供数据的，应当按照国家相关规定和标准进行安全评估，法律、行政法规另有规定的，依照其规定。a）有在我国境内运营中收集和产生的个人信息和重要数据存储管理清单（4分）；b）数据存储位置：——无需向境外提供数据，存储在境内（6分）；——确需向境外提供数据，根据要求进行了安全评估（6分）。10B.11安全运维能力族所含组件计分安全运维能力族包括资产、漏洞、配置管理,以及检测评估、运维管控、集中管理、协同防护5个组件项，组件计分示例见表B.11。表B.11安全运维能力族所含组件得分示例序号能力组件能力级别指标项评估方法指标项分值SO_SOC.1资产、漏洞、配置管理基本保护级具备资产安全管理相关的管理制度与流程规范，能按照制度和规范落实资产安全管理；检查资产安全管理相关的管理制度与流程规范（1分）；检查资产安全管理相关的管理制度与流程落实情况（1分）。2能采取技术手段对资产信息和漏洞进行识别，如采用资产探测、漏洞扫描等技术工具；部署了资产管理、漏洞扫描、配置管理等技术工具，相关工具配置相应的策略，能识别资产信息和漏洞（2分）。2能采取技术手段对资产的安全配置参数进行识别，如网络设备、安全设备、服务器、终端等设备，以及数据库、中间件等软件；部署了资产管理、漏洞扫描、配置管理等技术工具，相关工具配置相应的策略，识别资产的安全配置参数，资产类型包括：网络设备、安全设备（1分）；服务器、终端、数据库、中间件（1分）。2能使用自动化工具对安全配置、漏洞、补丁、病毒库等进行安全管理，对于漏洞、补丁，能在经过验证后及时修补；部署网络安全管理系统或等效工具，可以统一管理资产的安全配置、漏洞、补丁、病毒库（1分）；有测试环境或模拟环境，能对资产漏洞补丁进行模拟验证补丁修复的可行性（1分）；将验证后的资产漏洞补丁在生产环境中及时修补（1分）。3在关键信息基础设施发生改建、扩建等较大变化时，及时更新资产清单。定期识别资产信息、漏洞等信息，尤其在关键信息基础设施改建、扩建等较大变更等情况（1分）。1强化保护级能对资产信息、漏洞信息、安全配置参数等进行关联；查看资产管理或配置管理或等效的技术工具，对资产信息、漏洞信息、安全配置参数关联对应（4分）。4

表B.11安全运维能力族所含组件得分示例（续）序号能力组件能力级别指标项评估方法指标项分值能对资产信息、漏洞信息、安全配置参数与资产变更进行动态更新与管理；通过已部署的工具，查看其配置的策略情况，配置策略覆盖关键业务的资产，对资产信息、漏洞、配置缺陷与资产变更进行定期识别与管理：查看相关工具的检测库特征库更新信息日志不超过1个月（2分）；查看资产变更记录文档，与已部署的资产管理工具上的信息一致（2分）。4能根据威胁情况动态更新资产的安全配置参数。检查安全配置策略更新记录，确认已包含近期（1周内）的安全事件与告警的解决建议（1分）；检查资产供应方和国家信息安全漏洞（CNNVD）等漏洞信息平台发布的高危漏洞（1个月内），查看资产已更新完最新的补丁（1分）。2SO_SOC.2检测评估基本保护级对关键信息基础设施每年至少进行一次检测评估，并及时整改发现的问题，当关键信息基础设施发生变更时，需要经过检测评估并整改后方可上线；查看关键信息基础设施安全风险评估或相关报告（1分）；查看关键信息基础设施变更后，已完成相关检测评估工作（如无变更，默认符合）（1分）。2能定期开展网络安全等级测评、商用密码应用安全性评估、数据安全风险评估、供应链安全评估等工作，对发现的安全问题制定整改方案并及时整改，确保符合法律法规要求；查看网络安全等级测评报告，确认每年一次，且通过测评（1分）；查看商用密码应用安全性评估报告，确认每年一次，且通过测评（2分）；查看数据安全风险评估报告，确认已通过或符合要求（1分）；查看供应链安全评估报告，确认已通过或符合要求（1分）；查看整改方案和整改记录，能对以上测评和评估工作发现的安全问题制定整改方案并及时整改，符合法律法规要求（2分）。7能向行业及国家相关单位上报检测评估结果、整改方案及实施计划，并持续提高检测评估结果。查看检测评估结果、整改方案及实施计划上报给行业及国家相关单位的相关记录（1分）。1表B.11安全运维能力族所含组件得分示例（续）序号能力组件能力级别指标项评估方法指标项分值SO_SOC.3运维管控基本保护级能对关键信息基础设施的运维地点进行管控，确保运维地点位于中国境内，如确需境外运维，应符合我国相关规定；查看运维记录，核实关键信息基础设施的运维地点位于中国境内（2分）。2能对关键信息基础设施的远程运维进行管控，例如采用加密隧道等；查看远程运维（非直联资产设备场景）方式通过加密隧道进行通信，或通过可控的网络（如专线）（2分）。2能对运维工具进行管控，具有运维工具受控清单；查看运维工具登记记录，并抽查运维日志，核实运维工具均在运营者登记备案（2分）；查看运维工具登记备案记录和恶意程序检测报告，核实使用的未登记备案的运维工具通过恶意程序检测等测试（2分）。4能识别出不在受控清单内的运维工具，使用前对其进行恶意软件检测等测试，并提供通过测试的报告。查看已识别非受控清单内的运维工具，特殊情况下确需使用非受控清单内的运维工具，需查验其通过恶意软件检测测试报告（2分）。2SO_SOC.4集中管理基本保护级能对系统账户及权限进行集中管理，如采用安全管理系统，明确三权分立的用户策略；查看安全管理系统，明确了三权分立（系统管理员、审计管理员、安全管理员）的用户角色和权限，并启用用户策略（2分）；查看不能以默认账号和密码进行登录，应禁用或更改默认账号及密码（2分）。4能统一配置和管理安全设备（例如：防火墙、入侵检测系统、安全网关等），实现安全策略、日志的集中管理；查看安全管理系统或日志管理系统，查看其对安全设备（如防火墙、入侵检测系统、网关、密钥管理系统等）的日志进行集中管理（2分）；查看安全管理系统，查看其对安全设备（如防火墙、入侵检测系统、网关、密钥管理系统等）的进行了统一配置和管理（2分）。4能随着外部威胁的变化及时调整安全策略。查看安全管理策略变更记录最新日期及时更新（如更新日期在1个月内），并询问策略变更原因（2分）。2

表B.11安全运维能力族所含组件得分示例（续）序号能力组件能力级别指标项评估方法指标项分值强化保护级能将日志进行集中收集与分析，包括网络设备、安全设备、服务器、终端等类型；部署了网络安全的审计工具，可对网络边界、重要网络节点的网络设备、安全设备、服务器、终端的安全日志进行集中收集与分析的能力。包括系统运行状态、日常操作、故障维护、远程运维等类型（3分）；并对安全日志进行有效保护，防止未经授权的访问和篡改（3分）；审计日志留存不少于6个月或符合相关要求（2分）。8能将网络边界与计算环境的安全防范措施进行关联，包括日志分析、策略优化等。核查网络设备、安全设备、服务器、终端等类型的安全日志可以关联分析，以发现重要用户行为和重要安全事件（1分）；核查网络边界与计算环境的安全防范措施安全策略相关联、一致，避免安全策略相斥影响业务正常运行（1分）。2SO_SOC.5协同防护基本保护级建立协同防护的管理制度，明确业务应用、系统建设、技术实施、运营运维、综合管理等内部部门的协同联动机制；检查运营者的内部协同防护的管理制度，核实明确业务应用、系统建设、技术实施、运营运维、综合管理等部门的协同联动要求与机制（2分）。2具备协同防护流程管理能力，能将边界安全风险、主机安全风险、应用安全风险等内容通知责任人进行风险处置；查看流程化管理相关平台或等效流程工单管理机制，有边界安全风险、云平台安全风险、主机安全风险、应用安全风险等功能模块，实际验证或查看相关记录，核实平台及时接收到相关安全风险（2分）；查看协同防护相关记录，核实其在接受到安全风险后，通知责任人进行风险处置（1分）；查看风险处置记录，查看风险接受和处置正确执行（1分）。4

表B.11安全运维能力族所含组件得分示例（续）序号能力组件能力级别指标项评估方法指标项分值能够通过信息共享等措施与行业保护工作部门、行业运营者等单位建立协同联动机制，可以根据行业保护部门或同行业其他运营者提供的共享信息快速协同，识别本组织的安全威胁并处置。检查运营者的协同联动机制建设制度，以及运营者相关责任满足业务安全需求（2分）；检查运营者的协同联动机制执行记录，查看其能快速协同，识别本组织的安全威胁并处置（2分）。4强化保护级能将边界安全风险、主机安全风险、应用安全风险等内容通过平台通知责任人进行风险处置；查看流程化管理平台或等效流程工单系统的风险处置记录，核实其在接受到安全风险后，通过平台通知责任人进行风险处置，且处置动作正确执行（2分）；确保所有操作行为都有流程记录，查看有其他不按照流程化管理平台约束的操作行为，如有则不符合（2分）。4能通过行业搭建的态势感知、监测预警或者应急指挥平台自动接收共享信息，并通过运营者自身平台进行自动化处置。检查运营者平台部署情况，运营者有态势感知、监测预警等平台，且接入行业态势感知、监测预警或者应急指挥平台（3分）；检查运营者信息共享接收和处置记录，自动接收共享信息并进行处置（3分）。6战略保护级运营者应能对风险信息进行自动化处置。核查流程化管理平台的相关自动化处置流程已包含已知的可能会发生的重要网络安全事件（4分）；核查自动化处置记录，确保流程能按计划执行（4分）；定期对自动化处置流程进行优化和补充（2分）。10

B.12态势感知能力族所含组件计分态势感知能力族包括安全监测、预警通报、威胁信息3个组件项，组件计分示例见表B.12。表B.12态势感知能力族所含组件得分示例序号能力组件能力级别指标项评估方法指标项分值SO_SAC.1安全监测基本保护级能对关键网络节点、关键业务进行7*24小时安全监测；查看已部署的技术措施开启的功能和配置的策略情况，确保监测对象和范围覆盖关键网络节点和关键业务（1分）；合理配置并启用安全监测策略，进行7*24小时实时监测，确保收集的网络安全日志进行有效分析（2分）。3能将对关键业务所涉及的系统的所有监测信息进行整合分析，如将网络层安全设备（如防火墙、态势感知探针等）和端点侧安全软件（如服务器、客户端上配置安全功能或安装的安全等）全面网络安全多源异构数据整合分析，构建动态感知能力；通过Syslog、Kafka、NetFlow、SNMPTrap、FTP等协议全面收集网络安全日志，包括网络设备、安全设备、服务器与终端操作系统、数据库、应用系统等对象的日志（2分）；建立统一的数据模型，将网络层和端点侧的多源异构数据整合分析，为研判、分析等提供依据（2分）。4能及时对监测信息进行研判并发现安全事件，并能对安全事件进行快速识别和精准定位；对各类日志信息进行关联分析，构建违规操作模型、攻击入侵模型、异常行为模型，强化监测预警能力（1分）；通过技术方式对网络安全告警进行了自动化降噪处理及分析，快速识别网络安全事件（1分）。2具备将全面监测的信息进行展示的能力。查看网络安全管理平台或等效的安全管理平台界面，能将关键业务所涉及资产的攻击入侵、异常行为、安全事件等监测信息进行展示（1分）。1

表B.12态势感知能力族所含组件得分示例（续）序号能力组件能力级别指标项评估方法指标项分值强化保护级运营者应具备利用人工智能等类型的新技术对事件进行智能研判与定性分析的能力。查看网络安全监测分析工作应用大数据或人工智能（含安全大模型）等新技术，提高监测分析的准确率和效率（5分）；查看根据关键业务情况对安全监测的策略进行优化，以提升准确率、降低误报率，如依据关键业务的特性设计安全规则等（5分）。10SO_SAC.2预警通报基本保护级具备网络安全告警的能力。建立告警响应处置流程，明确告警的不同级别、响应和处置流程，能够对网络攻击、异常行为等进行分析研判，并向管理员发送告警信息；查看网络安全管理平台提供管理工作界面告警、邮件告警、电话警告、对接外部系统告警等多种告警模式告知相关工作人员（1分）；查看网络安全事件处置报告按照已有制度流程响应和处置，响应和处置快速有效（如无