(高清正版)DB3205_T 1042-2022数字政府+城市网络安全评价指标体系.pdf
《(高清正版)DB3205_T 1042-2022数字政府+城市网络安全评价指标体系.pdf》由会员分享,可在线阅读,更多相关《(高清正版)DB3205_T 1042-2022数字政府+城市网络安全评价指标体系.pdf(24页珍藏版)》请在咨信网上搜索。
1、ICS 35.020CCS A 90苏州市地方标准DB3205/T 10422022数字政府城市网络安全评价指标体系2022-08-19 发布2022-08-26 实施苏州市市场监督管理局苏州市市场监督管理局发布DB3205Digital government-City cybersecurity evaluation index systemDB3205/T 10422022I目次前言.II引言.III1范围.12规范性引用文件.13术语和定义.14缩略语.15基本原则.26政策规范实施.26.1基本制度规范实施.26.2等级保护制度实施.26.3关键信息基础设施保护实施.26.4安全审查制
2、度实施.26.5应急管理实施.37风险控制.37.1网络犯罪控制.37.2威胁和漏洞通报.37.3事件监测、评估与响应.47.4信息共享.47.5城市整体防护.47.6数据安全.58网络安全文化.58.1网络安全宣传与活动.58.2网络安全报送机制.58.3网络安全人才培养.59研究创新.69.1网络安全创新投资.69.2网络安全创新环境.69.3网络安全创新水平.610发展协同.610.1网络安全产业发展.610.2政企合作.710.3跨城市合作.710.4网络安全市场.7附录 A(资料性)评价方法原理.8附录 B(资料性)评价细则.10参考文献.18DB3205/T 10422022前言本
3、文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由苏州市市委网信办、苏州市公安局提出。本文件由苏州市公安局归口。本文件起草单位:苏州市公安局、国家计算机网络与信息安全管理中心江苏分中心、苏州市质量和标准化院、三六零科技集团有限公司、北京鸿腾智能科技有限公司、苏州如意云网络科技有限公司、北京天云海数技术有限公司、北京信息科技大学。本文件主要起草人:李晶、庄唯、袁欣、厉白、高威、朱泽洲、赵云、顾弘、周文渊、高昕、许蔓舒、何宛罄、姚一楠、张彬哲、王志威、张记卫、罗冬雪、张欣艺、钱国祥、李冬月、薛陈根、金临耘。本文件为首次发布。DB3205/T 1
4、0422022III引言从世界范围看,日益突出的网络安全威胁和风险,对组织机构和公共设施的危害日益严重,进而阻碍城市正常运转,甚至瘫痪城市运作。城市正在成为网络威胁的受害者,评价数字化时代城市发展与安全建设,是世界各国共同面对的一个难题。因此,对城市进行网络安全评价,全面掌握城市网络安全的状况和存在的问题,是保障城市网络安全的前提,也是支撑城市正常运行的基础。本文件对城市网络安全评价指标体系进行标准化设计,构建合理的评价指标体系框架,从多维度反映城市网络安全体系的能力和运行状态,并形成与之匹配的、具备可操作性的评价方法,进而为城市网络安全体系改进和城市管理部门决策提供科学、合理的支撑。本文件提
5、出的城市网络安全评价指标,是一个逐级展开的三层指标体系框架,其中一级指标设定了政策规范实施、风险控制、网络安全文化、研究创新和发展协同,规定了城市网络安全评价的主要维度;二级指标设定了对应一级指标的基本要素;三级指标对应二级指标的具体评估内容和要求。本文件旨在为县级行政区和地级市开展相关工作提供参考。在实际应用中,可根据实际业务进行调整,具体包括:确定评价范围、决定开展全面评估还是局部评估,以及对考核内容和权重进行调整等,以符合当前城市状况和当地网络安全建设战略。DB3205/T 104220221数字政府城市网络安全评价指标体系1范围本文件给出了城市网络安全评价指标体系的基本原则、政策规范实
6、施、风险控制、网络安全文化、研究创新、发展协同等内容。本文件适用于城市网络安全评价工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件,不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069 信息安全技术术语GB/T 28448-2019 信息安全技术网络安全等级保护测评要求GB/T 36637-2018 信息安全技术ICT供应链安全风险管理指南3术语和定义GB/T 25069界定的以及下列术语和定义适用于本文件。3.1城市网络安全city cybersecurity整个城市包
7、括政府、机构和个人在内的主要实体,在网络空间中所面对的风险和应对状况。3.2监测monitoring通过部署探针,收集城市重要资产的安全状况。3.3评价evaluate采集指标体系相关数据,通过专家评估或分析计算,得出反映现实状况的结果。3.4信息技术应用创新产业information technology application innovation industry以信息技术产业为根基,通过科技创新,构建国内信息技术产业生态体系,简称信创。4缩略语下列缩略语适用于本文件。ICT:信息与通信技术(Information and communications technology)PC:个人计
8、算机(Personal computer)APP:移动互联网应用程序(Application)DB3205/T 1042202225基本原则城市网络安全评价指标体系的确立主要符合以下原则:a)全面性覆盖城市网络安全体系的组织、管理、技术、运行和社会基础等方面;b)代表性有效刻画城市网络安全体系能力和状态的特定维度和方面;c)可比性不同城市和城市不同阶段都可根据指标进行科学比较;d)可考核性通过访谈、检查、测试和监测等多种手段实现可靠、科学的收集历史和当前数据,进而开展综合评价,评价方法可参考附录 A,评价细则可参考附录 B;e)可扩展性根据实际发展情况对指标体系框架进行修订;f)前瞻性体现城市
9、网络安全防护发展趋势,引导城市网络安全体系建设、运行与调整。6政策规范实施6.1基本制度规范实施通过相关工作制度、工作流程及规范,统筹与推进国家网络安全等级保护制度、关键信息基础设施保护制度、应急管理制度等法律法规规定要求的制度,并统筹各类安全审查制度,在财力、物力、人力等方面多维度保障制度规范实施。6.2等级保护制度实施6.2.1定级备案根据国家网络安全等级保护制度相关要求,组建专家团队,主导定级备案工作,为区域各单位定级,保障定级备案工作覆盖全区所有单位及重点业务。6.2.2测评整改根据国家网络安全等级保护制度相关要求,监管测评机构参考GB/T 28448-2019开展网络安全测评工作,在
10、安全建设与自查整改中提供技术指导和专家人员支持。6.3关键信息基础设施保护实施6.3.1识别认定各保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并组织认定本行业、本领域的关键信息基础设施。6.3.2安全监督指导监督运营者在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性,并采取必要措施,优先保障能源、电信等关键信息基础设施安全运行。6.3.3自主可控为关键信息基础设施信息化工作的信创工作提供必要的政策、资金支持,鼓励保护工作部门有序实施信创工程。6.4安
11、全审查制度实施DB3205/T 1042202236.4.1ICT 供应链安全审查指导监督区域重要系统或关键信息基础设施ICT供应链安全管理工作,通过专业工作小组按照GB/T36637-2018要求定期检查ICT供应链安全风险管理过程与控制措施情况。6.4.2政府采购安全审查采取必要的措施,保证政府采购计划、采购活动及信息化运维过程的网络安全持续投入,通过项目评审及专业的工作小组定期检查安全投入情况。6.4.3外资并购安全审查为外资并购提供政策与流程支持,监测外资并购活动可能产生的风险,通过专业的工作小组定期评估外资并购活动风险。6.4.4信息安全相关审查组织专业队伍评估区域采购的关键网络产品
12、和服务安全风险,对发生重大安全事故的单位,展开强制安全审查工作。6.5应急管理实施6.5.1应急预案结合区域网络安全环境,制定区域化的网络安全应急预案,并监督区域各单位制定各自应急预案。6.5.2演习演练定期组织演练,检验和完善预案,提高实战能力,并记录演练情况。7风险控制7.1网络犯罪控制7.1.1网络犯罪防范针对网络犯罪危害情况,建立与完善城市网络犯罪防范体系,对网络犯罪进行预警、阻断和劝阻,并与上级或其他公安机关协同防范。7.1.2网络犯罪打击针对网络犯罪手段情况,建立城市网络犯罪打击体系,对网络犯罪进行侦查、研判和溯源,并建立联合侦办机制。7.2威胁和漏洞通报7.2.1威胁预警建立网络
13、安全威胁预警机制,构建与维护威胁情报库,及时发布威胁信息。7.2.2漏洞披露DB3205/T 104220224建立漏洞披露机制,构建漏洞库和漏洞披露机制,定期向社会发布漏洞、危害、修补措施等信息,推动区域内漏洞的修复。7.3事件监测、评估与响应7.3.1事件监测建立网络安全事件监测机制,成立专项工作组和专业监测技术团队,制定与执行事件的监测和报送流程。7.3.2事件评估建立网络安全事件评估机制,成立专项工作组和安全事件研判团队,对安全事件中发现的威胁信息进行关联分析,给出评估结论。7.3.3事件响应建立网络安全事件应急响应机制,制定城市网络安全事件的管理制度和处置流程,并组建相关技术团队和平
14、台支撑相关事件响应活动。7.4信息共享7.4.1威胁情报共享建立网络安全威胁情报共享机制,导入城市网络安全威胁流量监测数据,规范威胁情报的收集、存储与分发,及时发布最新的威胁情报。7.4.2安全大数据共享建立网络安全大数据共享机制,规范安全大数据的采集、存储、分析与分发,支撑城市网络风险控制。7.5城市整体防护7.5.1测绘与资产管理建立网络安全测绘与资产管理机制,通过测绘掌握城市网络空间资产清单,明晰城市网络安全防护范围。7.5.2网络安全状态监测对于城市重要信息资源,从个人、组织和城市三个角度开展城市网络安全状态监测,综合感知与分析暴露在互联网上的个人终端、网站、APP和重要系统所遭遇的主
15、要网络攻击情况。7.5.3体系建设与运行建立城市网络安全防护体系,统筹与协同城市各政府部门、各机构和社会力量,有序应对重大网络安全事件与威胁。7.5.4基础设施建设建立城市网络安全基础设施,组建安全专家团队运营各项网络安全基础设施,支撑各项城市网络安全风险控制的开展与落实。DB3205/T 1042202257.6数据安全7.6.1数据分类分级建立数据分类分级管理制度,制定相关方案与措施,推进数据排查和安全治理。7.6.2数据安全保护建立不同数据处理活动的安全保护机制,制定与执行数据保护和应急响应的方案与措施,并开展相关宣传与培训。7.6.3数据安全流通建立数据安全流通机制,制定与执行数据安全
16、流通、数据出入境的管理制度与措施,并通过技术平台提供保障。7.6.4数据安全应用建立数据安全应用机制,建设大数据安全计算平台,组织与开展数据安全审计。8网络安全文化8.1网络安全宣传与活动8.1.1网络安全宣传区域监管单位和组织机构在政务、法治、金融、电信、科技、重点人群、个人信息等方面,开展各类网络安全宣传工作。8.1.2网络安全活动区域监管单位和组织机构定期开展网络安全技术交流、攻防演练、人才选拔、生态合作等活动。8.2网络安全报送机制8.2.1安全威胁报送区域监管单位制定报送机制,推动个人与组织机构关于网络安全威胁与危害信息报送的规范化和制度化。8.2.2安全事件报送区域监管单位制定报送
17、机制,推动个人与组织机构关于网络安全事件信息报送的规范化和制度化。8.3网络安全人才培养8.3.1网络安全人才教育在公共教育、中小学教育和高等教育等方面推动网络安全人才培养的开展。8.3.2网络安全专业培训区域监管单位、政府部门和组织机构针对城市网络安全治理和产业安全发展需求,开展各类网络安全专业人才的培养。DB3205/T 1042202269研究创新9.1网络安全创新投资9.1.1政府网络安全创新加强在网络安全技术研究、标准研制、示范推进等方面的投入力度。9.1.2高等院校网络安全创新加强在网络安全科研、重点技术、人才培养等方面的投入力度。9.1.3企业网络安全创新当地各类企业加强在网络安
18、全产品研发、技术创新、场景研究等方面的投入力度。9.2网络安全创新环境9.2.1网络安全创新政策制定和落实针对网络安全产品创新、技术创新、应用创新等方面促进政策的制定与落实。9.2.2网络安全公共服务平台和创新基地推动创新基地和公共服务平台的建设、运营和成果输出。9.2.3网络安全创新人才队伍逐步优化网络安全技术科研、工程应用、安全开发人才队伍的数量、区域分布、产业分布、变化趋势等情况。9.2.4网络安全技术创新服务体系推动政府、企业、学校、产业一体化进行协同创新工作机制的建立和运行。9.3网络安全创新水平9.3.1科研成果数量与质量推进网络安全科研,并反映在成果数量、成果类别、成果转化、产业
19、促进等方面的情况。9.3.2网络安全新兴技术标准在网络安全新兴技术领域,建立标准体系,推动技术和产品的市场化水平。10发展协同10.1网络安全产业发展10.1.1产业规划根据区域优势,扶持重点网络安全技术产业,结合新兴技术特征制定网络安全与信息化产业发展政策及政策实施细则。DB3205/T 10422022710.1.2激励机制统筹规划,加大投入,在网络安全与信息化产业创新、应用示范、园区发展、人才引进、人才培养等多方面采取激励措施,大力促进区域网络安全与信息化产业高质量发展。10.2政企合作10.2.1合作框架在技术研究、产业落地、人才培养等多领域为政企合作提供政策与流程支持。10.2.2支
20、撑力量建立分级分类的支撑性力量目录,提升区域网络安全防御与应急响应能力。10.3跨城市合作10.3.1城市间合作联合其他同级行政单位在产业发展、支撑性力量等领域展开合作,优化网络安全生态。10.3.2跨区域活动鼓励区域机关、高校、研究单位及其他机构在网络安全防御、检测、响应等领域共同协作与研究,并提供响应的政策与激励措施,提升网络安全保障能力。10.4网络安全市场10.4.1技术市场环境加大投入,支持网络安全技术的研究开发和应用,推广安全可信的网络产品,保护网络技术知识产权,支持并鼓励本地企业、研究机构和高等学校等参与国家网络安全技术创新项目。10.4.2网络安全服务统筹规划,积极投入,推进网
21、络安全社会化服务体系建设,鼓励企业、机构在区域开展网络安全认证、检测和风险评估等安全服务。10.4.3供应链安全统筹并推进区域重要系统或关键信息基础设施供应链安全管理工作,在供应链风险评估、供应商选择上提供技术支持。DB3205/T 104220228附录A(资料性)评价方法原理A.1概述城市网络安全评价采用权重分值计算方式进行评价。根据评估目标,分析城市在政策规范实施、风险控制、网络安全文化、研究创新和发展协同等方面的实际情况,并根据所选择的城市网络安全评价指标体系框架的应用场景确定城市网络安全评价的指标和权重。其中,指标的权重可依据对城市网络安全评价的定位和用途进行调整。A.2评价场景全面
22、评价,直接参照城市网络安全评价指标体系框架的各级指标,协同主要部门和企业开展相关指标的评价。专项评价,选择城市网络安全评价指标体系框架中一个或多个一级指标作为评价范围,协同主要部门组织开展相关下级指标的评价。阶段评价,将城市网络安全评价指标体系框架分成若干阶段,可根据城市安全建设重点或难易程度划分每个阶段的评价范围,并制定计划推进各阶段评估。注:以上各类评价应用场景都可根据本地实际情况进行考核项的内容和权重调整,以符合本地网络安全建设战略。A.3计算逻辑整体计算结论用综合得分表示,综合得分通过各一级指标得出,一级指标通过二级指标权重相加,三级指标可以根据城市情形做灵活调整,是评估的最小单元,可
23、以通过一个或多个三级指标,支撑二级指标评价。城市网络安全评价结果(M)为各项一级指标得分的加权求和,其计算公式如式(A.1)所示:?=(?)?(A.1)式中:M 城市网络安全评价结果;D 一级指标得分。?一级指标权重。一级指标得分(D)为该能力子域下每项二级指标得分的加权求和,其计算公式如式(A.2)所示:?=(?)?(A.2)式中:D 一级指标得分;S 一级指标所属各项二级指标评分;?二级指标权重。二级指标得分(S)为该能力子域下每项三级指标得分的算术求和,其计算公式如式(A.3)所示:?=(?)?(A.3)式中:S 二级指标得分;DB3205/T 104220229X 二级指标所属各项三级
24、指标评分;?三级指标权重三级指标得分(X)为该指标下具体要求得分的算术平均值,其计算公式如式(A.4)所示:?=1?1?(A.4)式中:X 三级指标得分;y 三级指标各项评价内容的评分,其中评价内容满足程度与评分对照表如表A.1所示;m 评价涉及的评价内容个数。表 A.1评价内容满足程度与评分对照表评价内容满足程度评分全部满足1大部分满足0.8部分满足0.5不满足0DB3205/T 1042202210附录B(资料性)评价细则B.1评价指标细则参考附录A的评价原理,具体评价中可以使用百分制,将权重转化为各级指标的分值,简化评估过程,具体实施细则可参考表B.1的示例。针对当地网络空间的特殊领域进
25、行评价,可根据其特殊性适当调整指标项和相应的评价内容。其中,评价内容参考公式(A.4)进行计算,得出评价内容满足程度;然后将评价内容满足程度乘以对应3级指标的分值,得出该3级指标的评价分值;最后将所有3级指标的评价分值进行求和,得出城市网络安全评价结果。表B.1评价指标细则(示例)1 级指标2 级指标3 级指标评价内容政策规范(20 分)基本制度规范(3 分)/1、制定网络安全等级保护相关安全管理制度和操作规程,包括但不限于:依据法律法规,建立专门的等级保护工作机构、工作制度、工作流程及工作规范;对于关键信息基础设施,在等级保护基础上,建立专门的工作机制。2、依据法律法规及区域特点,建立 IC
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高清正版DB3205_T 1042-2022数字政府+城市网络安全评价指标体系 正版 DB3205_T 1042 2022 数字 政府 城市 网络安全 评价 指标体系
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。