关键信息基础设施安全保护能力计分方法、能力组件计分示例 、某关键信息基础设施运营者自评计分示例.docx

（资料性）安全保护能力计分方法A1评估原则在使用指标体系进行能力评估时.应首先按照GBT22239-2019通过相应等级冽评，并应遵循以下原则.a）组件选择抽取。不同类型的关键信息域础设施业务特性不同,时批件及所包括的指标项不同.可根据关杨信息基础设施类型选取不同指标集合进行评估.b）能力逐级申请.基本保护级、强化保护级、战珞保护饭是逐级申请评估.c满足某一级别条件，达到时应级别的分数要求，且无商风畛项，d）评估增加的祖件。巾谛更高级别时.可评估新增组件，已在低级别评估过的祖件UJ枭用其结果.c结果复用.可视情更用已有相关评估结果.如GBrr222392019、GB,T392042022家A.2计算方法对关键信息基础设施安全保护能力综合指标的评估采取打分制，湎分为100分。其中,基本保护纸得分为M）至75分.强化保护级得分为76至90分,战略保护级得分为91至100分.a能力等级计算公式如下1）基本保护级得分(A.1)(A.2)=×1E=200%其中：一一n表示基本保护级能力族数量：一一N1表示法本保护级单一能力族得分,一W,表示基本级能力族权重，2)强化保护级得分%=XS+(¾=200%1j5QS(.3>(A.4)其中:-n表示基本保护级能力族数加；-m表示强化保护级能力读数量：一一Ni友示基本保护被单一能力族得分:一一M,表示强化保护线单能力族将分;一一WJ表示基本级能力族权重：W11表示强化皴能力族权重.3）故略保护级得分:<A.5)(A.6)¾=5kX7.5+s1.×1.5+*j¾=100%K:一一n表示基本保护级能力族数地：-m表示强化保护级能力段数量：一一I表示战略保护徼能力族数届：一一Ni表示菸本保护级单一能力族得分；一一M1.表示强化保护级单一能力族得分：Mi表示战略保护级单一能力族得分：一一WJ表示基本级能力族权重：一一Wq衣示强化级能力族权重：明表示战略级能力族权取.b）能力族也分计鸵方法俅一项能力族度玳满分为IO分。计算公式如下：后=堡凸（A.7）0其中:一一X表示指标项得分：一一C表示该能力族姐件数M；-N表示能力族得分.c>组件项得分计算方法组件项得分为指标项得分总和，计算公式如"Z=ZA<.8）其中：一一Z去示组件项得分：一一n表示该能力族粗件数V；一一A表示指标项得分。d）指标项部分计算方法年一个组件项中包括一个或多个指标项，运营者根据自身情况计算。附录B提供了一种指标项得分计算方法示例，（资料性）能力组件计分示例对能力组件的评估可参考本附录的计算分值，也可以根据具体行业特色和实际应用场景对分伯进行调整.项项指标项符合要求时,得分为分值满分，不符合要求则汨分为O分，部分符合视情得分。81管理规范能力族所含组件计分管理班他能力族包括保护计划、制度策略和管理考极3个组件项,组件计分示例见表B.1.¾B.1管理短抽能力族所含组件将分示例序号能力机件能力等侬指标项评估方法指标项分值1.SN1.MSC1.保护计以福本保护该a）能制定符合关Bi信息也础出就业务安全保护的特点并遭合本纲投的关锹侑息基础设施安全保护计划.即的关改信患亚H1.设施的安仝保护目标：C）会Ji保护计划.有关怯信息格岫设施安全保护的保护计划U分）Ib）查看保护计划,关基安全保护计划有明确的安全保护目标（2分）Ic）i行保护计划.夫延女仝保护计划符合本关基费务安1'保护的特点（2分）.52.b）能选祥.选取多个：圻年一次.按需要对关建倡总箜砒设旗安全保护if划进行审限修订，a）套行保护计划审核修订记杀,对保护计划W桎修订怀次进行了只值（2分>：b）簧而保护计划市核修订记录，按疑定航次对保护计划遇行市横传IT<3分）.5表&1管理规适能力族所含1.目件得分示例（续）序号能力扭件能力等覆指标项评估方法指标项分位3.SM.MSC.I保护计划堰本保护级C）能制定符介关爱信息里础设够业务安仝保护的特点并增介本Jf1.双的关键怡息礼局设施安全保护if1.明确美谜信息M础设施的安全保护目标；d）野保护计划,有关杨信息是SB设施安金保护的保护计划（I分）：C）直扑保护“划，关咫安全保抄计划有明确的安全保护I1.标（2分）：fCE再保护计划.关心安全保护计划符合本关基业分安全保护的特点（2分）.54.d）ftif.选取多个I捋年次、按需要对关健信息葩砒设地安金保护it到进行审线修订.O病看保护计划审校修订记录,对保炉计划市校修订领次进行了赋值（2分）：d）会公保护H划审核憔订记录，按规定频次对保多计划进行审帔悭订（3分八55.SN1.MSC2刈魔策珞里本保护级a）能根据国宸要求、行业翟家及本怨织情况制定符合怨织更IR的关健信魁她砒欢搐的安全曾理科15.管理制度包括选持,选取多个，KI总针理、安全用核、安全珞训、供应链安仝'股测侦警、事件处、怫同防护'喋值：我他制度.并按照制度实施；Q钱希制度文件，对管理物度进行了选科，制度全面“分）：b）我Ii制度攵件，管理制度籽合田宅和行业要求和本俎恨情况2分）.36.1.）能根据业务情况定期优化安仝管理制或：萩在制废文件和记录定期优化r安金管理制度,有优化记泵（2分）.27.C）能根则国乐娈求、行业要求及本41织情况制定符合旧税范国的关俄信总革砒设施的安全保护策略,安全策略包括选择.选取多个：风险管理策略、安0”,我策略、安仝审计策珞、身份殍理策略、入侵防他装路、数据安全防护策略、自动化机制/玷配置、漏洞、补丁、以归庵等）、供应链安金管理策略,安全运堆策略、Ptttfh其他安全策略I1.a）责乔安全施略，对安全策略U1.行了选齐.诚电完得U分Ib）查祈安全策略,安全策略都含国考和行业要求和本组织情况2分）.38.d）能根据业务情况定用优化安全筑站.皆而安全敬西和优化记录.定期优化了安全柒略，物优化记录。分.2表&1管理规适能力族所含1.目件得分示例（续）序号能力扭件能力等JS指标现评估方法指标项分依9.SM-MSC3普理考梅堰本保护级H）能落实网络安仝工作责任制.建立符介本组织特点的Ift仰考楂机制；a）杳行制度文档.石网络安仝匚作员任初文杓（1分）：b）较右制度文档,方网络安全工作责任制落实记m（2分）；c宜不制度攵档，有本姐飙的监督与根机M1i）Id）rt行则收文档.点“有核机刖符合本机投特点（i分）.5IO.b）低根施枝怦的住机刖依依：时间嫉僮开展网络安全相关老核.a杳香制度文档,对网络安全相关考桢班次进行了1«值（1分）：b杳）制度文档和考楂记外,按照频次开展了网络安全相关考检,有内部考核记录等4分）.582资源保障能力族所含组件计分资源保障能力族包括保护团队、基础资源保障和经费保障3个组件项.组件计分示例见表B.2表B.2组织保障能力族所含组件得分示例序叩能力配件能力等鞭指标项评估方法指标项分值1.SM.RGCI保护团队赛水保护锻a）有美怯信息MSW女被安全保护团队，能与嫦保安全运雉，应念处W等日常工作，.O玄石制度文件，建立了专门的安全管理机构，一名领导班子成员作为首席网络安全官“分）Ib）IMrtI度文件,为爵个美健俱总基硝设施明确了有安全管理责任人（1»）：c）会Ji制度文件，关雄向位配各了专人,并配招2人以上共同管理（1分）Id）森看相关制度和记S1.日常常规活动正常.有日志或记录（1分）：c）会*相关制度和心录，右胸效处？!团队及记录“分）.52.3.4.1）其和对网络攻击行为进行主动发现'分析和提川防护建议的能力；a）ifi行记求,安全团队能发现网溶攻击并进行分析U分）：b）贵价记杀，安全团队能根据分析济果捱出安全防护建设C分）.25.C）能及时收集、汇总、分析各方网络安登信息开取M汽安仝蹴胁分析和态势研判及时通报但警处？1.a）ifi1.i记求.石成胁情报分析团队及记求.能进行态势研判（1分）：b）会6记聚，安全团队能按规定进行亚报预警U分）.26.-D保护团队人员麻J1.脩符iCBT42446-2023相氏要求的能力.农行记求或证书,保护团队人员仃相应能力的电箱记求或资版UE书（1分）.I7.强化保护改H）具备独立应对冏格安至攻防实战对抗的能力：a）杳看制度等文档.有制双内部的网络安全攻防团队（2分）：b）查书记录,采用仅希沙盘推演、实地演域等方式的记录验证团队实战对抗能力（3分）.S8.b）具备实疽化、对抗化（体系化）、常塞化的俎轨内Huf1.化的应急响应团II1.）重介中J庭或记录,日讥投内部的网洛安全血色晌应团队（2分）：b）it所制收成记录,响应团队可及时,持线提供应急响应服务（3分八5表&2组织保陞能力族所含蛆件得分示例（续）序号能力蛆件解力等级Ifi标项评估方法指标项分Ift9.SM-RGc2AbH资源保»基率保中级运苗者应"备满足关爱业务安全校定运行要求的堪Hf设跑保附健力，包括：场地i5»t、电力设施、通信戏路等'a）衣。流足关母业务安全以定运行要求的各用场地设施（3分11b）杳籽满足大饿业务安仝校定运行要求的应急或备用的电力过跑（2分）IC）饯否满足美怯业务安全程定运行变来的彩运化底通信路13分.d）有布询足关键业务安全校走运行要求的其他基M设施（2分）.IO10.SA1.RGC3经费保障基本保护战a）能在年度算费依尊涧冽引确关键立息延犯设施安仝保护预究内容，优先保障关键信息基础iQ施安全姓费投入；a）杳/年度W算方案,在CU年度贵金筋W实施中明嘀关基覆JF编刎内容,弁按照规划设计隹设使用“分）：b）置希年度预。方案,预靛根据不同科目清断划分（1分.）火。经版相关材汽关基安氽经班投入占比不攸于信彩化总当后的3%（2分）.4II.1）能对经者使川进行审批和审计.明勘蟀货使用范田利标准.确保抬货使用的合般性和有效性.a检杳树关文件，查看建立基于财力保障的域导机构决策机IW情况.CH安全管理机构人员参与本组次C;感化相关税费决策（2分）：h校农IM务相关制度,建立完林的资金管理制度与程程，规范预算纲制、审批和执行流程（2分）Ic检杳财务相关制度.即的预算府使川苑园和尿猥.M定相关的费用拄刎和核"流程.碉保费金使用的介叔性和仃收性（2分）.683风险管理能力族所含组件计分风险管理能力族包括风险识别和分析和管理活动2个组件项，组件计分示例见表B.3.表B.3风睑管理能力族所含组件得分示例字号能力配件能力等被指标项押佑方法指帆项分仇1.SMRMCj风险管理策略礼本保护援a）能制定1维东统全生命周期防段的网络安全凤管理第珀.1）寅而领略，有网满安全风除管理玳略（1分）Ib>黄乔策明.Jg管理策略照Jfi系统至生命同叫阶段（2分）.32.b）网络安全风险管理泥略包括风险评估方法.I&陶依柱