国家标准《网络安全技术 关键信息基础设施安全保护能力指标体系》（征求意见稿）编制说明

国家标准征求意见稿资料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2021年下达的国家标准制修订计划，《信息安全

技术关键信息基础设施安全防护能力评价方法》，该标准由中国交通通信信息

中心和中国电子技术标准化研究院负责承办，国标计划号：20210984-T-469。后

经研究，标准名称调整为《网络安全技术关键信息基础设施安全保护指标体系》，

由全国网络安全标准化技术委员会归口管理。

1.2制定背景

随着网络和信息化的快速发展，关键信息基础设施已成为各国的重要战略资

源，对关键信息基础设施发动网络攻击成为敌对势力蓄意破坏国家安全和社会稳

定的首选目标。为保障国家安全和社会稳定，美国、欧盟等都制定出台了大量关

键信息基础设施安全法律、法规和标准，加强对本国关键信息基础设施的安全管

理。党的十八大以来，以习近平同志为核心的党中央高度重视网络安全工作，总

书记在“4·19讲话”中强调要加快构建关键信息基础设施安全保障体系，2016

年以来，我国先后发布了《中华人民共和国网络安全法》和《关键信息基础设施

安全保护条例》等法律法规政策文件，明确了关键信息基础设施的范围、职责分

工以及保障关键信息基础设施安全的技术和管理要求，推动了我国关键信息基础

设施安全保障体系的建设。

为贯彻总体国家安全观，全面落实国家关基相关法律法规要求，针对如何确

保关基在遭受网络攻击、自然灾害与网络战的运行安全与数据安全、不同行业关

基保护差异性、科学合理的持续评估等突出问题，开展关键信息基础设施安全防

护能力评价方法标准研制,进一步明确关基运营者安全保护能力目标，构建科学

的关基运营者安全保护能力评估模型和指标体系，支撑《关键信息基础设施安全

保护条例》中第十五条提出的运营者网络安全防护能力建设，并为《网络安全法》

中第三十九条和《条例》中第二十六条、第十五条等相关法律法规中关于对关键

信息基础设施的抽查检测、检查检测以及网络安全监测、检测和风险评估等活动

提供指导。

1.3起草过程

1

国家标准征求意见稿资料

1.3.1标准启动阶段

2019年8月，接到全国信息安全标准化技术委员会关于标准制定任务之后，

课题组负责人随即召集标准编制组的相关成员开会，具体讨论和分配了小组的任

务、制定的重要事项、及需注意的事项。

1.3.2标准草案阶段

2019年8月至9月，标准编制组开展关键信息基础设施安全防护能力评价

方法的研究。标准编制组分析梳理了国内外关键信息基础设施安全标准化情况，

对美国的C2M2模型及指标、美国NIST的评估指标、CSA云评估，以及数据安

全能力成熟度评估、系统安全工程能力成熟度等相关材料进行了深入研究，编制

完成《信息安全技术关键信息基础设施安全防护能力评价方法》标准草案。

1.3.3标准征求意见稿阶段

1）2019年10月，在全国信息安全标准化技术委员会组织召开的重庆会议

周上，经过WG7与会专家讨论，形成转为征求意见稿的会议决议。会后，编制

组根据与会专家意见进行了修改，并于2019年11月召开专家意见会，先后形成

了两版征求意见稿。

2）2020年5月，公安部第三研究所和公安部第一研究所加入到标准编制

组，标准进行了详细讨论和修改，形成征求意见稿第三版。2020年7月，标准

通过WG7组织召开的专家评审会和秘书处责任编辑审查，修改后形成征求意见

稿第五版。

3）2020年8月10日至10月9日，信安标委秘书处向工业和信息化部科

技司、公安部十一局、国家保密局、国家密码管理局、国家认证认可监督管理委

员会、中国信息安全测评中心、中央网信办网络安全协调局等上级主管部门发函

征求意见，并在信安标委官网公开征求意见，征求意见范围具有广泛性和代表性。

共收到意见74条，意见处理结果为采纳40条、未采纳11条、部分采纳23条，

编制组修改完善后形成征求意见稿第六版。

4）2021年5月17日至2021年7月16日，标准在国标委官网公开征求意

见，无意见。

1.3.4标准送审稿阶段

1）2021年5月，形成标准送审稿。在全国信息安全标准化技术委员会组

织召开的会议周上，经过WG7与会专家讨论和投票，转为送审稿。

2

国家标准征求意见稿资料

2）2022年10月，本标准依据的主要标准《信息安全技术关键信息基础

设施安全保护要求》（GB/T39204-2022）发布，本标准根据GB/T39204-2022

国家标准进行了修改完善。

3）2023年1月至9月，根据国家关键信息基础设施安全保护工作的安排，

标准编制组重新对国内外关键信息基础设施安全保护状况和评价方法进行了调

研，包括对国际标准通用评估准则（CC）、《信息安全技术关键信息基础设施

安全保护要求》（GB/T39204-2022）、等级保护三级要求、美国网络安全成熟

度模型（C2M2和CMMC）、美国关基网络安全控制性能指标（CPG）、美国

国防部信息网DODIN等，并根据目前关键信息基础设施安全保护形式和要求对

关键信息基础设施安全防护能力及能力评价进一步研究，调整思路重新编制完成

标准文稿，因标准内容改动较大，按照征求意见稿阶段进行标准推进。在本版本

标准编制期间，标准编制组多次邀请行业专家研讨，征求相关行业意见，并征求

方滨兴院士意见。经多次修改完善后，形成目前征求意见稿。

4）2023年10月至2024年4月，在能源、金融、水利等行业开展了试点，

并多次征集相关专家意见，形成完善。

5）2024年4月，再次提交网安标委秘书处，并通过专家审查会评审，建议

名称修改为《关键信息基础设施安全保护能力指标体系》，因内容改动较大，拟

再次以征求意见稿发起征求意见。

二、标准编制原则和确定主要内容的论据及解决的主要问题

2.1标准编制原则

本标准在编制过程中遵循了先进性、合理性和突出关基特色原则。

先进性原则体现在与国际同步。本标准在制定过程中主要参考了国际相关

标准，并与国际标准的演进保持同步，本标准主要参考了美国的C2M2模型及指

标、美国NIST的评估指标、CSA云评估美国关基网络安全控制性能指标（CPG）、

等。

合理性原则体现在与国内实际情况相结合。国外的关键信息基础设施安全

保护现状和标准现状与我国不同，为结合我国实际，且与国内目前已有相关关键

信息基础设施安全标准保持一致，本标准在我国已有关键信息基础设施安全标准

的基础上进行了修改、调整和扩充。

突出关基特色原则体现在能力持续增长和责任共担。关注关基的能力持续

3

国家标准征求意见稿资料

增长，从基本、全面、战略等维度的设计，安全目标与实施例证的编制模式都有

利于引导运营者持续提升关基安全能力。指标设计中重点针对运营者进行能力评

价，此外，还考察了运营者运用行业保护部门和国家有关部门提供相关安全保护

方法和手段的能力，责任共担有利于整体关基能力快速提升。

2.2主要内容及其确定依据

加强关键信息基础设施保护是维护网络安全的重中之重。为落实《中华人

民共和国网络安全法》和《关键信息基础设施安全保护条例》提出的关键信息基

础设施安全保护相关要求，评测关键信息基础设施运营者安全保护能力，支撑国

家相关部门开展的关键基础信息设施安全检测评估等工作，借鉴美国、欧盟等国

家在关键信息基础设施安全评估方面的相关标准、评估方法和实施经验，并结合

我国网络安全等级保护、云服务安全、工控安全等相关标准，研究制定适用于我

国关键信息基础设施领域的安全保护能力评价方法，指导关键信息基础设施的运

营者和网络安全服务机构对关键信息基础设施的安全性和可能存在的风险进行

检测评估，从而帮助关键信息基础设施运营者提高其安全保护水平。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效

益和生态效益

3.1试验验证的分析、综述报告

标准正在同步在能源、水利、金融三个行业开展试点。

3.2技术经济论证

关键信息基础设施运营者使用本标准可有助于提升本身网络安全防护能力，

减少发生网络安全事件或者因网络安全原因导致停止服务而造成业务中断和经

济损失的可能性。

3.3预期的经济效益、社会效益和生态效益

标准用于指导关键信息基础设施运营者提升关键信息基础设施安全防护能

力，以避免遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民

生、公共利益。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

4

国家标准征求意见稿资料

标准吸取了CMMC、C2M2等能力成熟度模型经验，重点继承了“安全域-能力

域-安全实践”三维评估体系主体架构，与安全能力指标体系中将采用的能力评

估模型中“能力保护级别-能力指标-安全度量”三级指标体系基本对应。

标准采用了CPG美国关基网络安全控制性能指标中安全目标+实例论证的表

达方式以及指标中核心技术点，安全能力指标体系中每个指标采用“安全目标+

实施例证”的方式，便于使用运营者或者评估方直观对比现阶段情况与未来建设

重点。

标准研究了DODIN典型安全实践中系统架构、安全堆栈标准化、统一运营、

威胁情报等多项经验，并将其融入安全目标与实例论证中。例如：威胁情报、统

一安全运营在指标态势感知、主动防御等维度均有体现，安全堆栈标准化在主动

防护进行体现。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标

准，并说明未采用国际标准的原因

无。

六、与有关法律、行政法规及相关标准的关系

本标准符合现有法律法规的要求。符合《中华人民共和国网络安全法》和

《关键信息基础设施安全保护条例》提出的关键信息基础设施安全保护相关要求，

是在已发布国家标准《信息安全技术关键信息基础设施安全保护要求》（GB/T

39204-2022）和《信息安全技术关键信息基础设施安全控制措施》国家标准项

目基础上制定的标准。

按照我国《网络安全法》规定，关键信息基础设施是在等级保护基础上进

行重点保护，因此，《信息安全技术关键信息基础设施络安全保护基本要求》

制定时主要考虑了关键信息基础设施的特点，并避免与GB/T22239-2019《信息

安全技术网络安全等级保护基本要求》重复。但是在进行关键信息基础设施安

全防护能力评价时，只是基于《信息安全技术关键信息基础设施安全保护要求》

（GB/T39204-2022）稍显不足，在本标准中，融合了与关键信息基础设施安全

防护能力密切相关的GB/T22239-2019中的部分条款作为评价内容，并突出行业、

国家等相关配合指标作为关键信息基础设施安全防护能力的一部分。

七、重大分歧意见的处理经过和依据

5

国家标准征求意见稿资料

无。

八、涉及专利的有关说明

无。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期的

建议等措施建议

建议关键信息基础设施运营者、网络安全服务机构、安全保护工作部门等相

关单位进行宣贯。

十、其他应当说明的事项

标准名称修改为《网络安全技术