(高清正版)DB43_T 2313-2022.政务信息化项目网络安全审查规范.pdf
《(高清正版)DB43_T 2313-2022.政务信息化项目网络安全审查规范.pdf》由会员分享,可在线阅读,更多相关《(高清正版)DB43_T 2313-2022.政务信息化项目网络安全审查规范.pdf(43页珍藏版)》请在咨信网上搜索。
1、Cybersecurity review specificationof government affairs informationize projects政务信息化项目网络安全审查规范发 布湖南省市场监督管理局2022-03发布-3143湖南省地方标准ICSCCS 13.200A 90DB43/T 23132022 2022-06实施-30 目 次 前言 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 审查方式 2 4.1 线下审查 2 4.2 线上审查 2 5 审查前合规性自查 2 5.1 方案编制 2 5.2 方案自查 3 6 审查流程 3 6.1 审查申请 4 6.2
2、完备性审查 4 6.3 专业审查 4 6.4 出具审查结果 4 7 审查内容 4 7.1 基本要求 4 7.2 具体要求 5 8 审查结果 5 附录 A(资料性)流程图 6 附录 B(规范性)网络安全审查申请表 7 附录 C(资料性)审查结果的判别 37 参考文献 38 前 言 本文件按照 GB/T 1.12020标准化工作导则 第 1 部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中共湖南省委网络安全和信息化委员会办公室提出并归口。本文件起草单位:中共湖南省委网络安全和信息化委员会办公室、长沙市委网络安全和信息化
3、委员会办公室、湖南省金盾信息安全等级保护评估中心有限公司。本文件主要起草人:刘学、刘厚、刘志勇、李浩、周海毅、周明熙、方木、查国峰、李雪飞、邓庭波、熊璐、刘兰芳、彭晓涛、龚捷、禹振博。政务信息化项目网络安全审查规范 1 范围 本文件规定了政务信息化项目网络安全审查的审查方式、审查前合规性自查、审查流程、审查内容、审查结果等要求。本文件适用于政务信息化项目的项目规划、建设、运行阶段的网络安全审查,其他信息化项目网络安全审查可参照执行。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最
4、新版本(包括所有的修改单)适用于本文件。GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 222402020 信息安全技术 网络安全等级保护定级指南 GB/T 250702019 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 352732020 信息安全技术 个人信息安全规范 GB/T 379882019 信息安全技术 数据安全能力成熟度模型 GB/T 393352020 信息安全技术 个人信息安全影响评估指南 GB/T 394772020 信息安全技术 政务信息共享 数据安全技术要求 GB/T 397862021 信息安全技术 信息系统密码应用基本要
5、求 GB/T 406922021 政务信息系统定义和范围 DA/T 282018 建设项目档案管理规范 3 术语和定义 下列术语和定义适用于本文件。3.1 政务信息系统 Government information system 由政务部门建设、运行或使用的,用于直接支持政务部门工作或履行其职能的各类信息系统。来源:GB/T 406922021 4 3.2 政务信息化项目 Government affairs informationize projects 由财政性资金投资建设、与社会企业联合建设、购买服务或需要财政性资金运行维护的信息化项目(含新建、扩建和改造升级信息化项目)。3.3 项目设
6、计方案 Project design scheme 在信息化项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案和投资概算等。3.4 安全设计方案 Security design scheme 项目设计方案中包含的网络安全体系总体设计方案、密码应用方案、数据安全保护方案等子方案。3.5 关键信息基础设施 Critical information infrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。3.
7、6 重要信息系统 Important information system 一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。重要信息系统包含关键信息基础设施。3.7 重要数据 Important data 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。3.8 网络安全投入 Cybersecurity investment 项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保测评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。3.9 建设单位 Con
8、structing units 对项目实施进行组织管理,并在项目建设过程中负总责的组织。来源:DA/T 282018,3.4 3.10 审查部门 Review department 负责组织网络安全审查工作的组织。4 审查方式 审查方式包括线下审查和线上审查。4.1 线下审查 建设单位向审查部门提交网络安全审查申请表和项目设计方案,审查部门组织审查专家并召开现场网络安全审查专家评审会,审查专家现场出具审查意见。4.2 线上审查 建设单位通过线上方式向审查部门提交网络安全审查申请表和项目设计方案,审查部门组织审查专家召开线上网络安全审查专家评审会,审查专家在线上出具审查意见。5 审查前合规性自查
9、 5.1 方案编制 5.1.1 建设单位应对项目安全需求进行分析,并根据安全需求组织编制项目安全设计方案。安全设计方案应包含网络安全体系总体设计方案、密码应用方案、数据安全保护方案。5.1.2 网络安全体系总体设计方案应明确系统的安全保护等级,方案宜包括但不限于以下内容:1)项目类型及系统类型;2)业务和资产识别;3)参考依据;4)项目建设现状;5)安全需求分析;6)系统功能和系统架构情况;7)网络拓扑结构;8)安全解决方案;9)主要软硬件设备选型清单。5.1.3 密码应用方案宜包括但不限于以下内容:1)系统现状分析;2)安全风险及控制需求;3)密码应用需求;4)总体方案设计;5)密码技术方案
10、设计;6)管理体系设计与运维体系设计;7)安全与合规性分析;8)密码产品和服务应用情况;9)业务应用系统建设/改造情况;10)运行环境建设/改造情况。5.1.4 数据安全保护方案宜包括但不限于以下内容:1)数据分级分类;2)系统及数据库间的业务与数据流向说明;3)数据安全需求分析;4)数据采集安全设计;5)数据传输安全设计;6)数据存储安全设计;7)数据处理安全设计;8)数据交换安全设计;9)数据销毁安全设计;10)个人信息保护政策;11)个人信息保护方案。5.2 方案自查 建设单位应在项目审批提交前对项目安全设计方案内容进行自查。自查发现的问题,建设单位应组织修改项目安全设计方案。6 审查流
11、程 审查流程包括审查申请、完备性审查、专业审查和出具审查结果。6.1 审查申请 建设单位按照网络安全审查工作相关流程(详见附录 A 流程图)和相关要求,提交项目设计方案和网络安全审查申请表(详见附录 B 网络安全审查申请表)。6.2 完备性审查 6.2.1 审查部门在收到审查申请后,按照 7 的要求组织完备性审查。6.2.2 完备性审查完成后由审查部门出具完备性审查意见并反馈至建设单位。6.2.3 建设单位参照完备性审查意见补充或修改申报材料。6.3 专业审查 6.3.1 专业审查之前,审查部门根据实际情况选择线上或线下审查方式。6.3.2 审查部门组织审查专家、建设单位代表召开线上或线下专家
12、评审会议。6.3.3 审查可以是网络安全专项审查,也可以与立项审查联合进行。6.3.4 专项审查时,建设单位介绍项目安全设计方案并就专家疑问进行答疑。审查专家依据本文件对设计方案进行网络安全审查,出具专家意见。6.4 出具审查结果 由审查部门依据专家意见进行综合判定,出具审查结果。7 审查内容 7.1 基本要求 7.1.1 项目类型和等级保护级别判定 7.1.1.1 应准确判定项目类型及涉及的内容。7.1.1.2 应依据 GB/T 222402020 有关规定准确判定系统网络安全等级保护级别。7.1.1.3 应准确判定系统是否为重要信息系统。7.1.1.4 应准确判定系统采用的云计算、大数据、
13、移动互联、物联网、工业控制等新技术情况。7.1.1.5 应准确判定系统中是否承载重要数据、个人信息,是否涉及数据跨组织流动、数据出境情况等。7.1.2 安全技术标准及安全管理体系 7.1.2.1 应依据项目类型和系统的安全保护等级,选择适宜的、最新的安全建设参考标准。7.1.2.2 应规划建设完善的安全管理体系,包括但不限于安全管理制度、安全管理机构、安全管理人员、安全建设管理及安全运维管理内容。7.1.3 产品与服务采购 7.1.3.1 网络安全产品与服务采购和使用应符合国家的有关规定。7.1.3.2 密码产品与服务的采购和使用应符合国家的有关规定。7.1.4 项目经费预算 7.1.4.1
14、应依据系统建设规模、系统安全需求、系统数量合理制定安全建设费用预算、软件安全性测试、等级保护测评、商用密码应用安全性评估等费用预算。7.1.4.2 重要信息系统宜制定系统上线安全检测评估费用和安全措施有效性验证费用预算。7.1.4.3 涉及重要数据处理的系统宜制定重要数据安全风险评估费用预算。7.1.4.4 涉及个人信息处理的系统宜制定个人信息安全影响评估费用预算。7.1.4.5 涉及个人信息出境的系统宜制定个人信息出境风险评估费用预算。7.1.4.6 依据系统建设规模宜合理制定风险评估、上线安全检测、安全加固、网络安全培训、应急演练、系统安全运维以及新技术新业务等费用预算。7.1.4.7 网
15、络安全投入应按照国家相关法规标准执行,网络安全投入占信息化投入比例不宜低于10。7.2 具体要求 7.2.1 网络安全技术措施应符合 GB/T 250702019、GB/T 222392019 以及国家规定的相关要求。7.2.2 数据安全保护措施应符合 GB/T 379882019、GB/T 394772020 以及国家规定的相关要求。7.2.3 个人信息安全保护措施应符合 GB/T 352732020、GB/T 393352020 以及国家规定的相关要求。7.2.4 密码应用安全措施应符合 GB/T 397862021 以及国家规定的相关要求。7.2.5 重要信息系统安全保护措施应符合国家规
16、定的相关要求。8 审查结果 审查结果分“通过”、“暂缓通过”和“不通过”三种情况:审查结果为“通过”时,项目可按项目建设方案进行建设。审查结果为“暂缓通过”时,项目建设方参考专家建议修改项目设计方案后可按方案进行建设。审查结果为“不通过”时,项目建设方应组织重新编写项目设计方案。审查结果判定规则参见 附录 C。附 录 A(资料性)流程图 A 网络安全审查工作流程可参照 图1 进行操作。图 1 网络安全审查工作流程出具审查结果 报送安全审查材料 完 备性审 查 专业审查 暂缓通过 通过 修改方案 修改方案 通过 修改方案 复审 不通过 启动网络安全审查 不通过 组织线上或线下评审 合规性自查 修
17、改方案 不通过 通过 附 录 B(规范性)网络安全审查申请表 网络安全审查工作需要各建设单位提交的申请表材料包括:网络安全审查申请表和网络安全审查自查表。具体表格形式及内容如下所示:B.1 网络安全审查申请表模板 表 B.1 网络安全审查申请表 项目名称 项目建设单位情况 项目建设单位 项目建设单位项目负责人 联系电话 项目建设单位项目联系人 联系电话 方案设计编制单位情况 方案设计编制单位 方案设计编制单位项目负责人 联系电话 方案设计编制单位项目联系人 联系电话 申请内容 申请申请单位单位(公章):(公章):申请日期:申请日期:网络安全审查自查表按照系统部署类型不同(本地部署、托管部署、政
18、务云部署与混合模式部署)分为四个子表,分别对应表 B.2、B.3、B.4、B.5,申请人应根据系统部署类型选择相应的表格进行填写,项目涉及多个系统的,每个系统应单独填写自查表。B.2 本地部署的政务信息化项目按照表 B.2 进行安全审查自查并填表 表 B.2 本地部署系统安全审查自查表 自查项目自查项目 自查情况自查情况 系统名称 系统所属 范畴 是否属于关键信息基础设施 是 否 是否属于重要信息系统 是 否 项目类型 此项目类型为:新建机房 机房改造 网络扩容 网络改造 新建网络 新建信息系统(含软件和硬件)新建信息系统(仅软件)信息系统功能升级(含软件和硬件)信息系统功能升级(仅软件)信息
19、系统性能升级(仅硬件)其它_ 系统基本 情况介绍 1.此系统类别为(可多选):传统信息系统(不含 APP)传统信息系统(含 APP)云计算 移动互联 物联网 工业控制 大数据 其它_ 2.此系统用户类型有_,此系统用户数量有_,用户分布范围:全国 全省 本地区 本单位 其它_ 3.系统是否需 24 小时运行:是 否 系统中断会造成什么影响:_ 可容忍系统中断的时间为:_ 4.本单位是否已明确的信息系统安全等级:未确定 已确定 级别是:S1A2G2 S2A1G2 S2A2G2 S1A3G3 S2A3G3 S3A1G3 S3A2G3 S3A3G3 5.安全等级确定方法:本单位内部自行判断 主管单位
20、定级指导意见 专家评审会判定 6.系统访问类型:互联网开放访问 电子政务外网开放访问 内部局域网访问 专网访问 其他_ 7.系统和网络边界情况:互联网边界 上联边界 下联边界 外联边界,外联单位有_ 系统边界,对接系统有_ 8.软件开发形式:自主软件开发 外包软件开发 基于成熟产品定制开发 上级统一下发 购买成熟产品 9.运行维护情况:自行维护 外包单位维护 开发单位驻场维护 开发单位远程维护 系统数据 情况 1.数据内容:系统存储有哪些重要数据_ 是否包含个人信息数据:是 否 个人信息数据量(概数):_条 是否包含儿童信息数据:是 否 是否包含涉密数据:是 否 2.数据载体:结构化数据库 大
21、数据平台 数据湖 其他_ 3.数据来源:单位内部 单位外部共享 社会公众 业务数据产生途径:业务采集 互联网抓取 搜集分析 外购 APP 收集 网站收集 人工导入 国内共享 其他_ 4.外部数据交换:是否存在国内组织外数据共享:是 否 共享单位及主要共享数据类型:_ 是否存在数据出境:是 否 出境对象主体及主要出境数据类型:_ 表 B.2 本地部署系统安全审查自查表(续)自查项目自查项目 自查情况自查情况 安全产品及措施情况 系统将部署的主要安全产品有(未在以下列举产品范围的可自行扩行补充说明):网络防护类:网闸(采购 利旧)防火墙(采购 利旧)WAF(采购 利旧)UTM(采购 利旧)入侵防御
22、系统 IPS(采购 利旧)防毒墙/防病毒网关(采购 利旧)抗 DDoS 设备(采购 利旧)准入控制系统(采购 利旧)防非法外联系统(采购 利旧)其它_(采购 利旧)主机防护类:防病毒软件企业版(采购 利旧)桌面终端安全软件(采购 利旧)服务器加固软件(采购 利旧)其它_(采购 利旧)数据安全类:数据库审计(采购 利旧)网页防篡改(采购 利旧)数据脱敏系统(采购 利旧)DLP 数据防泄漏系统(采购 利旧)灾备系统(采购 利旧)其它_(采购 利旧)加密类:VPN(采购 利旧)加密机(采购 利旧)CA(采购 利旧)其它_(采购 利旧)安全管理类:安全审计系统(采购 利旧)安全监控系统(采购 利旧)堡
23、垒机(采购 利旧)漏洞扫描(采购 利旧)安全管理平台(采购 利旧)上网行为管理(采购 利旧)其它_(采购 利旧)安全监测类:入侵检测系统 IDS(采购 利旧)态势感知(采购 利旧)蜜罐(采购 利旧)其它_(采购 利旧)之后安全维护情况:自行维护 外包安全服务商维护 安全厂商维护 其他_ 方案结构 1.方案是否有专门的章节或单独的方案对信息安全防护方案进行说明:方案内独立的安全章节(含网络安全总体设计方案 密码应用方案 数据安全方案)独立的安全方案 无 2.方案中是否包括以下内容:网络安全建设依据 业务数据描述 系统定级描述(二级或三级)是否属于关键信息基础设施范畴 是否属于重要信息系统 网络拓
24、扑图 网络边界分析 系统部署架构 安全需求分析 安全责任划分 网络安全设备清单 应用系统安全功能 采取的安全措施 如有利旧,需明确新建和利旧的部分 表 B.2 本地部署系统安全审查自查表(续)自查项目自查项目 自查情况自查情况 网络安全经费预算 1.方案中是否有网络安全专项经费:有 否 2.项目总预算:_万元,网络安全预算:_万元,网络安全预算所占比例:_ 3.网络安全预算包括:安全建设费用预算 安全加固费用预算 代码安全测试预算/渗透测试预算 等级测评费用预算 密码应用安全性评估费用预算 网络安全培训预算 应急演练费用预算 风险评估费用预算 安全运维费用预算 其他_ 方案中安全区域边界采用的
25、安全 措施 1.网络区域划分 拓扑图中是否体现按照功能进行区域划分:是,实现方式为_ 否 区域之间是否采用隔离措施:是,实现方式为_ 否 2.线路硬件冗余 拓扑图中是否体现通信线路的冗余:新建,实现方式为_ 利旧,实现方式为_ 否 拓扑图中是否体现关键网络设备的硬件冗余:新建,实现方式为_ 利旧,实现方式为_ 否 拓扑图中是否体现关键计算设备的硬件冗余:新建,实现方式为_ 利旧,实现方式为_ 否 3.数据备份和加密 方案中是否有明确哪些数据是重要数据,并对数据进行分类:是 否 方案中是否有体现重要数据备份措施(数据备份系统):新建,实现方式为_ 利旧,实现方式为_ 否 如为三级(网络安全等级保
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高清正版DB43_T 2313-2022.政务信息化项目网络安全审查规范 正版 DB43_T 2313 2022. 政务 信息化 项目 网络安全 审查 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。