关键信息基础设施运营者应按照《关键信息基础设施安全保护要求》，落实关键信息基础设施安全保护措施，包括分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节的措施。

检测评估

运营者应建立健全关键信息基础设施安全检测评估制度，制定检测评估方案，确定检测评估的服务机构选择、流程、过程管理、方式方法、周期、人员组织、资金保障等内容。

（一）自行或者委托网络安全服务机构，每年至少对关键信息基础设施的安全性和可能存在的风险进行一次检测评估，对发现的问题隐患和风险及时整改。当涉及多个运营者时，应共同研究制定检测评估方案，定期组织或参加跨运营者的关键信息基础设施安全检测评估。

（二）制定检测评估方案，确定检测评估目的、内容、流程、工具等检测评估的内容应包括:网络安全法律法规、政策、制度的落实情况;组织机构建设情况;人员和经费投入情况:教育培训情况;网络安全等级保护制度的落实情况;密码应用安全性评估情况;管理措施的落实情况;技术防护情况;云服务安全评估情况;风险评估情况;应急演练情况;攻防演习情况;等等。对于跨系统、跨区域、跨部门的关键信息基础设施，还应重点检测数据传输流动、网络边界保护及其关键业务流动过程所经资产的安全防护情况。

（三）对于新建关键信息基础设施，应在上线前开展检测评估，评估通过后再上线运行。当关键信息基础设施的改建、扩建导致系统架构、关键业务、范围等发生重大变化时，运营者应自行或者委托网络安全服务机构进行检测评估，分析评估关键业务链、关键资产等方面的变更情况，以及由此带来的风险隐患变化情况，并依据风险变化及发现的安全问题开展整改，整改合格后方可上线。

（四）经有关部门批准或保护工作部门委托，检测评估机构可以针对特定的业务系统或系统资产，在确保安全的前提下，采取不事先告知的方式，对关键信息基础设施进行渗透性攻击测试，以检验其在面对实际网络攻击时的防护能力和响应处置能力。

（五）在网络安全执法部门或网络安全保护工作部门组织的网络安全安全风险抽查检测工作中，运营者应积极配合和支持，提供网络安全管理制度、网络拓扑图、重要资产清单、关键业务介绍、网络日志等必要资料;针对检查、抽查检测中发现的安全问题和风险隐患，及时开展整改，消除隐患。

检测评估能力的构建，需要采用系列技术手段和措施，并通过检测评估平台，实现相关技术措施的有效聚合和一体化管理。

（一）配备检测评估相关工具，提升检测评估管理能力，根据检查需求内容，按场景分类，将检查需求转化为实际使用场景化的检查任务，实现检查任务进行全程跟踪，可实时查看任务执行情况，并能收集保存最终检测评估结果，实现任务周期管理、跨运营者管理、法律法规和政策落实抉行情况管理、信息流动管理、变更管理、整改管理等将检测评估流程、工具和任务管理。

（二）将采用的技术手段落实到系统中，能够清晰了解检测评估的任务执行情况和检测评估的效果，持续跟进检测评估中发现的网络安全隐患和薄弱环节的整改情况。

（三）在关键信息基础设施发生改建、扩建、所有人变更等较大变化时，能够快速、流程化的利用工具开展检测评估工作，分析关键业务链以及关键资产等方面的变更，评估变更给关键信息基础设施带来的风险变化情况，及时发现安全问题并有效整改。

（四）增加检测评估审计技术能力，对检测评估前、中、后全生命周期的人员及行为进行全程审计，一旦出现检测人员知情不报，后期利用未报漏洞进行攻击等情况，可以做到及时溯源追责。

（五）提升检测评估数据管理能力，所有检测评估的参与人员信息，过程中发现的漏洞、脆弱性、安全风险、以及最终形成的检测报告，均以结构化数据进行统一化管理，为人员信用度评估、安全风险、安全整改情况持续性监督提供数据支撑，为其他平台的分析研判、处置决策提供基础保障。

公司介绍

中科安信科技有限公司，简称“中科安信“公司专注于信息化、智能化、网络安全领域，聚焦咨询设计，系统集成、IT运维、信息安全服务、信息安全培训等为一体化的高新技术企业，公司致力于成为业界领先的数字化解决方案及服务提供商。公司服务于政府、医卫、教育、公安、金融、能源、军工、企业、运营商等，为用户提供数字化转型整体解决方案。中科安信业务涵盖信息安全产品、信息安全集成、信息安全服务、信息安全培训四大模块为基石，同时为用户提供数字化转型整体解决方案，帮助用户创造业务价值，降低安全风险，全面为用户数字化转型保驾护航。中科安信秉承以成就客户为使命，共建和谐网络空间，共享网络空间安全。

○首批公安部第三研究所湖北区域技术服务站

○湖北省网络与信息安全通报技术支撑单位

○湖北省信息网络安全协会副会长单位

○重点XX单位网络安全技术支撑服务单位

○武汉国际安全应急博览会重要技术支撑单位

○湖北省HW攻防实战演习重要技术支撑单位

○XX医卫领域信息化及网络及数据安全重要技术支撑单位

○XX政务领域网络及数据安全服务技术支撑单位

○《XX工业领域数据安全分类分级指南》标准起草单位

○恩施州“HW2023”网络攻防演习优秀支撑单位