关键信息基础设施安全保护能力计分方法、能力组件计分示例、某关键信息基础设施运营者自评计分示例

（资料性）

安全保护能力计分方法

A.1评估原则

在使用指标体系进行能力评估时，应首先按照GB/T22239—2019通过相应等级测评，并应遵循以

下原则。

a）组件选择抽取。不同类型的关键信息基础设施业务特性不同，对组件及所包括的指标项不同,

可根据关键信息基砧设施类型选取不同指标集合进行评估。

b）能力逐级申请。基本保护级、强化保护级、战略保护级是逐级申请评估。

c）满足某一级别条件。达到对应级别的分数要求，且无高风险项。

d）评估增加的组件。申请更高级别时，可评估新增组件，已在低级别评估过的组件可采用其结果。

e）结果复用。可视情复用已有相关评估结果，如GB/T22239—2019、GB/T39204—2022等。

A.2计算方法

对关键信息基础设施安全保护能力综合指标的评估采取打分制，满分为100分。其中，基本保护级

得分为60至75分，强化保护级得分为76至90分，战略保护级得分为91至100分。

a）能力等级计算公式如下

1）基本保护级得分

0=知&X7.5

3(A.1)

酒%=100%（A.2）

其中：

——n表示基本保护级能力族数量：

一一N表示基本保护级单一能力族得分，

——四表示基本级能力族权重。

2）强化保护级得分

=瑞士—•即x7.5+-Lx1.5（A.3）

“回团

溜=1&=100%（A.4）

其中：

——n表示基本保护级能力族数量；

一一m表示强化保护级能力族数量；

一一N表示基本保护级单一能力族得分；

——Mi表示强化保护级单一能力族得分；

----Wj表示基本级能力族权重；

一一Wq表示强化级能力族权重。

3）战略保护级得分：

%=疆空&X7.5+篷遇些X1.5+溪损%（A.5）

程=i%=100%（A.6）

1

其中：

一一n表示基本保护级能力族数量；

-m表示强化保护级能力族数量；

T表示战略保护级能力族数量；

——Ni表示基本保护级单一能力族得分;

-Mi表示强化保护级单一能力族得分;

——Mi表示战略保护级单一能力族得分;

Wj表小基本级能力族权重：

一一Wq表示强化级能力旅权重；

——Wz表示战略级能力族权重。

b）能力族得分计算方法

每一项能力族度最满分为10分。计算公式如下：

团二盘止（A7）

□

其中：

——x表示指标项得分；

一一c表示该能力族组件数量；

------N表示能力族得分。

c）组件项得分计算方法

组件项得分为指标项得分总和，计算公式如下：

z=Z4（A.8）

1=1

其中：

——Z表示组件项得分；

一一n表示该能力族组件数量；

------Ai表示指标项得分。

d）指标项得分计算方法

每一个组件项中包括一个或多个指标项，运营者根据自身情况计算。附录B提供了一种指标

项得分计算方法示例。

2

（资料性）

能力组件计分示例

对能力组件的评估可参考本附录的计算分值，也可以根据具体行业特色和实际应用场景对分值进行调整。单项指标项符合要求时，得分为分值满分，不符合要求

则得分为。分，部分符合视情得分。

B.1管理规范能力族所含蛆件计分

管理规范能力族包括保护计划、制度策略和管理考核3个组件项，组件计分示例见表B.L

表a1管理规范第力族所含组件得分示例

序号能力料件能力等皴指标项评估方法指除项分值

1.葩本保护级a）能制定符合美键信息葩础设施业务安全保护的特点并适合a）杳行保护计划,有关键信息基础设避安全保护的俣护计划（1分》；5

本组织的关燧俏息基础设脩安全保护计划,明确关键信息b）ifi行保护计划.关葩安全保护计划行.明唬的安仝俣护目标（2分》；

基础设施的安全保护目标：O在行保护计划.关基安全保护计划符合本关基业务安全保护的特点（2

SM.MSC.I分）.

2.保护计划b）能（选择.选取多个：年年一次"按需要］对关该侑息基础设a）声杳保护计划审核修订记录,对保护计划审核修订频次进行了赋值（25

域安全保护计划进行审核修订.分）：

b）杳看保护计划审核修订记录，按规定颇次对保护计划进行审核修订（3

分）。

表B.1管理规范能力族所含义且件得分示例（续）

序号族力件能力等缀指标项评估方法指标项分的

3.荻木保护级c）能制定符合美键信息基础设轴业务安全保护的特点井透合d）笠存保护计划,有关键信息施础设雁安全保护的俣护计划《1分）；5

木组织的关耀信息携础设施安全保护计划，明确关键信息e）长看保护计划.关基安全保护计划行明确的安全俣护目标（2分》；

基础设施的安全保护目标；f）ifi看保护计划，关范安全保护计划符合本关茶业务安全保护的特点（2

SM_MSC.I分），

4.保护计划d）能L选择•选取多个：每年一次、按需要］对关送信息基础设c）会看保护计划审核修订记录,对保护计划审核修订叛次进行了赋的（25

施安全保护”划进行审核脩订.分）：

d）查看保护计划审核怪订记录.按规定箱次对保护计5进行审核修i/（3

分）.

5.荔木保护娘a）能根据国家锭求、行业要求及本扭织情况制定符合组织范“）簧行制度文件，对管理制度进行了选择，制度全面（1分）；3

由的关键信息用础设防的安全管理制度，管理制发包括［选b）和行制度文件，管理制度符合国家和行业曹求和木加织情况（2分）,

择，选取多个：风险管理、安全考核、安全培训、供应能安

全、监海葡警.本件处曾、协同防护、闺佰：H—制度］］.

并按照制度实还；

6.b）能根据业务情况定期优化安全管理制度：能。制度文件和记业•定期优化了安全管理制慢,有代化记录（2分）.2

SM.MSC.2

7.制度策珞C）能根据国家要求、行业密求及本如织情况制定符合组织范a）查看安全策略.对安全策略进行了选择,策略完各（1分）x3

国的关他倍感基础设族的安全保护策略.安全策略包括（选b）杳看安全策略.安全策略符合国家和行业要求和本组织情况（2分）,

择,选取多个：风险管理策略.安全互联策略、安全审计策

略，身份管理策略、入侵防范策略、数据安全防护策略.自

动化机制策略'：«»,漏洞、补丁、病毒库等》、供应健安

全管理策略.安全运维策珞,［赋值：其他安全策略］］:

8.d）能根据业务僧以定期优化安全策略.查无安全策略和优化记录，定期优化了安全筑珞.方代化记录（2分）.2

表B.1管理规范能力族所含义且件得分示例（续）

序号族力件能力等缀指标项评估方法指标项分的

9.荻木保护级a>能落实网络安全工作也任制，建立符合本加织特戊的监督a）笠看制度文档，有网络安全工作费任制文档（n»；5

考核机制；b）告看制度文档，疗网络安全工作费任制落实记录《2分》；

C）告看制度文档，有本出织的监督考核机制（1分：，；

SM_MSC.3

管理考核<1）近而制度文巧.监督考核机制符合本组织特点（1分）.

10.b）能根擀监督考核机制［赋（ft：时间频度］开展囹络安全相关a）含石制度文档.对树络安全相关考核频次进行了献（ft（1分）：5

考核.b）直看制度文档和考核记录.按照箱次开展J'网络安全相关考核,有内

郃考核记双等（4分）.

B.2资瀛保障能力族所含组件计分

资源保障能力族包括保护团队、基础资源保障和经费保障3个组件项，组件计分示例见表B.2。

表&2组织保障能力族所含组件得分示例

序号能力组件能力等级指标项评估方法指标项分值

1.赴本保护级a）有"美键信息基础设施安全保护团队，能够确保安全运维、应*）查籽制皮文件，建立了专门的安全管理机构,一名领导班子成员作为5

急处置等n常工作；首煤网络安全官（1分）；

b）杳看制型文件,为打个关说信息葩础设施明确了一名安全管理员任人

2.

（1分》；

3.c）查看制度文件,关键忸位配备了专人,并配备2人以上共同管理（1

分）：

d）杳看相关制度和记录，n常常规活动正常，有日志或记录（】分》；

e）杳看相关制度和记录,有应急处置团队及记录（1分）.

SM.RGC.I

4.b）J1备对网格攻已行为进行主动发现、分析和提出防护建议a）查希记求,安全团队能发现网络攻击并进行分析：1分）；2

保护团队

的能力：b）杳在记录，安全团队能根据分析结果提出安全防护建设（1分）。

5.C）能及时收朱、汇总、分析各方网络安全信息，开展网络安全a）查存记录，布诚胁情报分析团队及记录，健进行莅势研判（1分》；2

威防分析和态势研判，及时酒报预警处置：h）直看记录，安全团队能按规定进行通报预警（1分）.

6.d）保护团队人员用具备符合GWT424462023相应要求的能优？1记录或证书.保护团队人员有相同能力的考核记录或资质证书＜11

力.分）.

7.皿化保护观a）具任独立应对网络安全攻防实战对抗的傕力；a）台籽制度等文档，有组织内部的网络安全攻防团队（2分）：5

b）住看记录，采用汽灯沙盘推演、实地演练等方式的记录验证团队实

战对抗能力（3分》.

8.b）具备实战化.在抗化（体系化）、常态化的组织内部组建的a）食看制度或记录,有组织内部的网第安全应急响应团队（2分）：5

应急响应团队.b）查看制度或记录.响闹团队可及时、持续提供附:&聃的服务（3分）.

表B.2组织保障能力族所含到W件得分示例（续）

序号徒力组件能力等级指标项评估方法指标项分值

9.5M.RGC.2基本保护级运营者应具法满足关键业务安全校定运行要求的堪础设施保障a）在看满足关鞋业务安全稳定运行要求的备用场地设施（3分）：10

磐础资源保能力，包括：场地设施.电力设施、通信戏路等。b）套彩满足美犍业务安全稳定运行要求的附急或各用的电力设施＜2

蹿分）：

C）杳若满足关城业务安全稳定运行要求的多运营商通信线路（3分）：

d）查看满足关蚣业务安全稳定运行要求的其他基础设施（2分）.

10.基本保护级a）能在年度经费预秣编制明跑关键佰息基碣设施安全保护旅a＞杳若年度预算方案.在CII年度资金预舞实施叶明礴关基预算编制4

算内容,优先俣小关键信息基础设施安全经费投入：内容.并按照规划设计建设使用（1分）।

b）簧启年度预算方案,预算根据不同科目清新划分（1分）.

c＞查看经费相关材料,关基安全经费投入占比不低于信息化总经圻的

SM.RGC.35%（2分〉.

II.经费保障b）能对经费使用进行审批和审计，明确经费使用范附和标准，a＞拉查相关文件，我看铤立基「•财力保障的领导机构决策机制情况,CH6

确保经费使川的合规性和有效性.安全管理机构人员参与本组用信息化相关经坨决策（2分）;

b）拉在财务相美制度，建立完善的资金管理断度与流程，煜范预兑编:M、

审批和执行流程（2分》；

c＞拉15财务相关制度,明确预算的使用葩国和标强，制定相关的费用控

制和核算流程，确保资金使用的合规性和有效性（2分）.

7

B-3风险管理能力族所含组件计分

风险管理能力族包括风险识别和分析和管理活动2个组件项,组件计分示例见表B.3。

表B.3风险管理能力族所含组件得分示例

序号能力组件能力等级指标项评估方法指标项分值

1.a）能制定覆菰系浣全生命周期阶段的网络安全风险管理策a）龙看策略，有网络安全风险笆理策略（1分）；

3

略；b＞查不策略.风险管理设略也茨系统全生命周期阶段《2分》.

2.SM_RMC.1风b）网络安全风险管理策略包括凤降评估方法、风险监控策略、杳看策略,网格安全风险管理策略包括风险评估方法.风险监控策略，风

基本保护级3

及管理策略风险接受准则等：限技受准则等（3分）.

3.

C）网络安全风险管理策略与组织业务「1标相符.查石策略,网络安全风险管理策略兀配组织业务目标（4分）.4

4.a）表育策略等，识别出风险管理活动的利益相美方（1分）;

a）能识别参与风险管理活动的利益相关方；2

b）式布策略好，己识别的何献相关方允整、无遗而《1分）.

5.b）能根据网络安尘风险管理策略进行风险评估,识别并形成a）查右策略.评估记录等.报据风险管理策略进行了风险评估（1分〉：

3

风险点清生；b）ft看策略和清单等.形成了风险点清单（2分）.

SM_RMC.2风

6.珞本保护级点看风险点滴隼和记录.对风险点清单中的风险点进行监控,有监控记录

险管理活动c）能根据网络安全风险管理策略监控识别的风险：2

（2分）.

7.a）在看记录.对风险管理活动进行了周期性审it有相关记录（1分）：

d）能对风除管理活动周期性进行审查，以确保符合网络安全

b）杳看策略和记录等.风险管理活动符合市电并持续优化.有修订或优3

风险管理策略.

化记录（2分）.

B.4供应链安全能力族所含组件计分

供应链安全能力族包括供应链安全管理、供应方安全管理、运维外包管理、供应健风险预警与应急处置4个组件项，组件计分示例见表B.4。

表8.4供应链安全能力族所含身件得分示例

序号能力组件能力等级指标项评估方法指标项分值

8.范本保护级a）具备供应饿安全管理制度和优略，包括供应方管理、产品开a）口看供应链安全舸度中包含供应链风险、供应方管理、产品开发和4

发采购管理等；采购管理、安全班护等方面的内容（1.5分）；

h）台柠检查供应链安全管理》”叟明确供应链安全管理的口标、质则和

贵任（0.5分）：

O杳看供应链风降评估要求.识别潜在的安全成肋和而涧，并M定相

SM_SCC.1应的应对措施（0.5分）：

供应链安全d）ifi看供应迸管理要求,包括对供应方的准入、评估、分殴、淘汰要

管理求、明他供应方安全爽a<0.5分）；

e）直看对开发商的相关管理要求,包括开发环境、开发工具、开发人员

等要求（0.5分）：

f）ft看采购的管理要求'供应桂培调要求和供应链应急响应要求的内

容（0.5分）.

9.b）采的网络关搜议备和网络安全专用产品目录中的设分产品检杳采购网络关键设备和网络安全专用产品目录中的谀分果购记录，产品2

应通过国家检刈认证।通过国家检测认证（2分）.

9

表B.4供应链安全能力族所含组件得分示例（续）

序号徒力组件能力等级指标项评估方法指标项分值

10.C）采购影响或可能影晌国家安全的产品或服务时应申请开展a＞检15采购产品或服务进行了网络安全风险预判，有预判记录,（1分）；2

国家网络安全审查；b＞风险预判后：

——无影响或可能影响国家安全的产晶或服务（：分）；

一一有影响或可能影响国家安全的产品或服务，申请开展了国家网

络安全审杳（1分）.

II.＜1＞自行或委托第三方网络安全服务机构进行源代码安全检查?;,检测报告.有自行或委托第三方网络安全服务机构的源代码安全检2

测.或由供应万提供可信第三方网络安全服务机构出具的测报告,或由供应方摄供可信第三方网络安全服务机构出具的代码安全

代码安全检测报告.检冽报告.

12.基本保护级a）选界符合GB/T329142023相应要求的供应方，建立合格a＞检杳供应方管理制度，明礴相关机构诜任以及防范非技术因素导致3

供应方H录，明确相关机构决任，防范非技术因素导致供应供应中断风冷的措施（1分）；

中断风险；b＞检Si供应方目录，抽检供应方入围流程和结果，符合GB/T32914-

2023和供应方管理制度要求《1分）；

O检爽供应中断应对措施执行情况（1分）.

13.b）推”协议要求供应方履行网络安全和保密近任.加强安全会而协议,与供应方筌署的合同或者协议中明确树结安全和保密责任、明2

SM_SCC.2

管理.不知设置后门、非法株作或课取不正当利益：附不得设置后门、执行非法悌作或谋取不正当利券的厅为（2分）.

供应方安全

14.C）要求供应方承诺出现安全风磔及时刻报井修戈漏洞，提供a＞表不合同、例议或其它有同等法律效力的文件，其中要求供应方承2

管理

中文版技术傀科，培训技术支持及应急响应措施；诺出现安全风险及时通报并修及漏洞（1分）：

b＞表看合同、例议或其它有同等法律效力的文件，其中委求提供中文

版技术货料，培训技术支持及应急响应拾施（1分）.

15.d）监料审核供应方用务.对定制研发软件要求供应方具备安a＞检查软件供陶方的安全开发资顺或建立安全开发现范的记录或文档3

全开发相关资侦或建立安全开发现瑟.建立维护安全开发（1分）：

环境•建立工具设备安全管理和准入控制.b＞检在供应方建立维护安全开发环境的记录（1分）：

c＞检宜供应方建立工耳设备安全管理和准入控制的记业或文档（1分》.

表B.4供应链安全能力族所含组件得分示例（续）

10

序号能力组件能力等锻指标项评估方法指标项分值

16.基本保护级a）核表是否与选定的外包运僮服务商签订相关的例议，明确约定外包

运雄的范国、工作内容：《2分》

b）查冷耐度或相关文件，明琥对外包运推服务商相委的安全要求，如

a）能明确外包运JttH务商的技术能力要求，包括但不限「•风险

可能涉及对敏*信息的访何、处理、存储要求；（2分）5

监测识别、漏洞修发、完整性保护、安全测试等；

c）1S籽网络安全事件记录，核衣是否出现外包运班城务网络安全事

件，所出现的事件是否与运营者对外包运州服务商的管理不当弓1

5M_SCC.3起。（1分）

17.运维外包管3）查看外包运维服务合作协议,是否明倘工作衽围及相关责任：（1

理b）能在与外包运维隶务商签订的协议中明礴外包运维人员「本分）

3

组织运维人员的工作范闱和相关责任,并按照协议落实：b）查衣与维护人员兜订安全保密协议,并对外包人员开展背粉审S5

（例如：无犯罪记录证明等〉.《2分）

18.a）套看外包运维服务合作伪议，是否明确对外包运雄人m的榜定性提

出明确亶求；（1分）

C）能确保在［赋值：时间周期〕内外包运淮人员持续枪定.b＞爽冷外包运itt服务人员的在本憎工作时间，如工作时间小『•合作协2