范围:本文件确立了关键信息基础设施安全检测评估总体要求,能力组成,规范了从事关键信息基础设施安全检测评估工作应具备的基本能力要求。 本文件适用于关键信息基础设施运营者、网络安全检测评估机构对关键信息基础设施开展安全检测评估的能力建设参考; 主要技术内容:GB/T25069、GB/T39204、GB/T22239、GB/T28448和GB/T36959界定的以及下列术语和定义适用于本文件。3.关键信息基础设施criticalinformation infrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。3.2检测评估 testing and evaluation为检测评估安全防护措施的有效性,发现网络安全风险隐患,建立相应的检测评估制度,确定检测评估的流程及内容等,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。3.3访谈interview检测评估人员通过引导关键信息基础设施保护相关人员进行有目的(有针对性)的交流以帮助检测评估人员理解、澄清或取得证据的过程。3.4核查examination检测评估人员通过对检测评估对象(如制度文档、各类设备及相关安全配置等)进行观察、查验和分析,以帮助检测评估人员理解、澄清或取得证据的过程，3.5测试 test检测评估人员使用预定的方法/工具使检测评估对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。3.6评估evaluation检测评估人员对关键信息基础设施可能存在的威胁及其可能产生的后果进行综合评价和预测的过程，3.7关键信息基础设施安全检测评估 testing, and evaluation for critical information infrastructure检测评估机构依据国家关键信息基础设施保护制度规定,按照有关管理规范和技术标准,对关键信息基础设施的安全保护状况进行检测评估的活动。3.8单元测评 unit evaluation主要依据GB/T39204-2022中各安全子类(包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置)以及运营者自定义的特殊安全子类的测评。3.9关联测评correlation evaluation在单元测评结果的基础上,结合已知的和潜在的风险集、关键信息基础设施的业务场景、所属领域已知安全事件、可能面临的威胁等,对关键信息基础设施实施的综合性安全检测评估,包括信息收集汇总、入侵痕迹分析、业务逻辑安全分析、设计模拟攻击路径及测试用例、开展渗透测试等。3.10整体评估overallevaluation主要包括针对运营者的网络安全管控能力评估、针对关键信息基础设施自身的网络安全保护水平评估,以及针对关键信息基础设施所承载关键业务的网络安全风险分析与评价三部分。4.1基本原则关键信息基础设施是指一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统。为关键信息基础设施安全提供保障的安全检测评估工作应遵循的基本原则包括:a)全面性原则:安全检测评估应覆盖关键信息基础设施的所有关键点,包括网络设备、服务器、应用系统、数据库等,确保没有遗漏潜在的安全隐患;主动性原则:安全检测评估应主动进行,而不是等待问题发生后再采取措施。运营者应定期进b)行安全检测评估可以及时发现和修复安全漏洞,预防安全事件的发生。系统性原则:安全检测评估应采用系统化的方法,结合威胁情报、漏洞扫描、渗透测试、配置核c)查等多种手段,形成一个完整的检测评估体系;独立性原则:安全检测评估应由独立的第三方机构或内部独立部门进行,以确保评估结果的客d)观性和公正性，避免利益冲突;合规性原则:安全检测评估应符合网络安全领域国家和行业的相关法律法规、标准规范等要e)求,避免非授权开展关键信息基础设施安全检测评估;5持续改进原则:安全检测评估不仅要发现问题,还要提出改进建议,并进行后续跟踪,确保改进措施落实到位,建立持续改进的安全管理机制;8)风险管理原则:安全检测评估应以风险为导向,识别和评估关键信息基础设施面临的安全风险,并采取相应的措施进行风险控制和管理,确保安全投人与风险的平衡;h)保密性原则:在进行安全检测评估过程中,应严格保密相关信息,防止敏感数据泄露,维护关键信息基础设施的数据安全