DB43/T 2313-2022 政务信息化项目网络安全审查规范.pdf

DB43/T 2313-2022 政务信息化项目网络安全审查规范.pdf
仅供个人学习
反馈
标准编号:DB43/T 2313-2022
文件类型:.pdf
资源大小:0.9 M
标准类别:建筑标准
资源ID:77374
免费资源

DB43/T 2313-2022 标准规范下载简介

DB43/T 2313-2022 政务信息化项目网络安全审查规范.pdf简介:

DB43/T 2313-2022《政务信息化项目网络安全审查规范》是一项针对政务信息化项目的技术标准,它详细规定了政务信息化项目在设计、开发、实施和运行过程中所需要遵循的网络安全审查要求。该规范的出台,旨在保障政务信息系统的信息安全,防止因网络安全漏洞导致的数据泄露、篡改或丢失,确保政务信息的机密性、完整性和可用性。

该规范可能包括的内容有:

1. 信息安全管理体系:要求项目从规划阶段就建立并执行信息安全管理体系,包括风险评估、安全策略、安全管理、安全控制措施等。

2. 安全防护设计:对系统的访问控制、数据加密、安全审计、安全边界防护等关键环节提出明确要求。

3. 安全审查流程:规定了从需求分析、设计、开发、测试到上线运行的全过程网络安全审查标准和流程。

4. 法律法规遵从:强调项目需符合国家和地方的网络安全法律法规,如《网络安全法》等。

5. 安全培训和应急响应:要求项目团队具备必要的网络安全知识,并建立应急响应机制以应对可能的安全事件。

总之,DB43/T 2313-2022标准是政务信息化项目实施过程中的重要参考,旨在提升政务网络的安全性,保护公民个人信息和国家机密。

DB43/T 2313-2022 政务信息化项目网络安全审查规范.pdf部分内容预览:

务信息化项目网络安全审查规范

本文件规定了政务信息化项目网络安全审查的审查方式、审查前合规性自查、审查流程、审查内容、 审查结果等要求。 本文件适用于政务信息化项目的项目规划、建设、运行阶段的网络安全审查,其他信息化项目网络 安全审查可参照执行。

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件GBT36488-2018 涂料中多环芳烃的测定, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T22239—2019 信息安全技术网络安全等级保护基本要求 GB/T22240—2020 信息安全技术网络安全等级保护定级指南 GB/T25070—2019 信息安全技术网络安全等级保护安全设计技术要求 GB/T35273—2020 信息安全技术个人信息安全规范 GB/T 37988—2019 信息安全技术数据安全能力成熟度模型 GB/T 39335—2020 信息安全技术个人信息安全影响评估指南 GB/T 39477—2020 信息安全技术政务信息共享数据安全技术要求 GB/T 39786—2021 信息安全技术信息系统密码应用基本要求 GB/T 40692—2021 政务信息系统定义和范围 DA/T28一2018建设项目档案管理规范

下列术语和定义适用于本文件。 3.1 政务信息系统Governmentinformationsystem 由政务部门建设、运行或使用的,用于直接支持政务部门工作或履行其职能的各类信息系统。 [来源:GB/T40692—20214] 3.2 政务信息化项目Governmentaffairsinformationizeprojects 由财政性资金投资建设、与社会企业联合建设、购买服务或需要财政性资金运行维护的信息化 (含新建、扩建和改造升级信息化项目)

下列术语和定义适用于本文件。 3.1 政务信息系统Governmentinformationsystem 由政务部门建设、运行或使用的,用于直接支持政务部门工作或履行其职能的各类信息系统。 [来源:GB/T40692—20214] 3.2 政务信息化项目Governmentaffairsinformationizeprojects 由财政性资金投资建设、与社会企业联合建设、购买服务或需要财政性资金运行维护的信息化项目 (含新建、扩建和改造升级信息化项目)

Project design scheme

Project design scheme

在信息化项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案

息化项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案和投资概算等。

DB43/T2313—2022

DB43/T2313—2022

关键信息基础设施Criticalinformationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共 利益的重要网络设施、信息系统等。

重到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络 息系统等。重要信息系统包含关键信息基础设施。

重要数据Importantd

一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 3.8 网络安全投入Cybersecurityinvestment 项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保 则评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。 3.9 建设单位Constructingunits 对项目实施进行组织管理,并在项目建设过程中负总责的组织。 [来源:DA/T28—2018,3.4] 3.10 审查部门Reviewdepartment 负责组织网络安全审查工作的组织

审查方式包括线下审查和线上审查

建设单位向审查部门提交网络安全审查申请表和项目设计方案,审查部门组织审查专家并召开 安全审查专家评审会,审查专家现场出具审查意见

建设单位通过线上方式向审查部门提交网络安全审查申请表和项目设计方案,审查部门组织审 开线上网络安全审查专家评审会,审查专家在线上出具审查意见。

DB43/T23132022

5.1.1建设单位应对项目安全需求进行分析, 并根据安全需求组织编制项目安全设计方案。安全设计 方案应包含网络安全体系总体设计方案、 密码应用方案、数据安全保护方案。

1) 项目类型及系统类型; 2) 业务和资产识别; 3) 参考依据; 4) 项目建设现状; 5) 安全需求分析: 6) 系统功能和系统架构情况; 7) 网络拓扑结构; 8) 安全解决方案; 9) 主要软硬件设备选型清单。 .1.3 密码应用方案宜包括但不限于以下内容: 1) 系统现状分析; 2) 安全风险及控制需求; 3) 密码应用需求; 4) 总体方案设计; 5) 密码技术方案设计; 6) 管理体系设计与运维体系设计; 7) 安全与合规性分析; 8) 密码产品和服务应用情况; 9) 业务应用系统建设/改造情况; 10) 运行环境建设/改造情况。 .1.4 数据安全保护方案宜包括但不限于以下内容: 1) 数据分级分类: 2) 系统及数据库间的业务与数据流向说明; 3) 数据安全需求分析; 4) 数据采集安全设计; 5) 数据传输安全设计; 6) 数据存储安全设计; 7) 数据处理安全设计; 8) 数据交换安全设计; 9) 数据销毁安全设计; 10) 个人信息保护政策; 11) 个人信息保护方案。

自位应在项目审批提交前对项目安全设计方案内容进行自查。自查发现的问题,建设单位应组 目安全设计方案。

建设单位应在项目审批提交前对项目安全设计方案内容进行自查。自查发现的问题,建 织修改项目安全设计方案。

审查流程包括审查申请、完备性审查、专业审查和出具审查结果,

DB43/T2313—2022

DB43/T 23132022

见附录A流程图)和相关要求,提交项目设计 网络安全审查申请表(详见附录B

6.2.1审查部门在收到审查申请后,按照7的要求组织完备性审查, 6.2.2完备性审查完成后由审查部门出具完备性审查意见并反馈至建设单位。 6.2.3建设单位参照完备性审查意见补充或修改申报材料。

6.3.1专业审查之前,审查部门根据实际情况选择线上或线下审查方式。 6.3.2审查部门组织审查专家、建设单位代表召开线上或线下专家评审会议。 6.3.3审查可以是网络安全专项审查,也可以与立项审查联合进行。 6.3.4专项审查时,建设单位介绍项目安全设计方案并就专家疑问进行答疑。审查专家依据本文件对 设计方案进行网络安全审查,出具专家意见

部门依据专家意见进行综合判定,出具审查结果

7.1.1项目类型和等级保护级别判定

7.1.1.1应准确判定项目类型及涉及的内容。 7.1.1.2 应依据GB/T22240一2020有关规定准确判定系统网络安全等级保护级别 7.1.1.3应准确判定系统是否为重要信息系统。 7.1.1.4应准确判定系统采用的云计算、大数据、移动互联、物联网、工业控制等新技术情况。 7.1.1.5应准确判定系统中是否承载重要数据、个人信息,是否涉及数据跨组织流动、数据出境情况 等。

7.1.2安全技术标准及安全管理体系

7.1.2.1应依据项目类型和系统的安全保护等级,选择适宜的、最新的安全建设参考标准。 7.1.2.2应规划建设完善的安全管理体系,包括但不限于安全管理制度、安全管理机构、安全管理人 员、安全建设管理及安全运维管理内容,

.1.3产品与服务采购

巨洋河综合治理工程(施工)合同7.1.3.1网络安全产品与服务采购和使月

7.1.3.1网络安全产品与服务采购和使用应符合国家的有关规定

7.1.4项目经费预算

4.1应依据系统建设规模、系统安全需求、系统数量合理制定安全建设费用预算、软件安全

DB43/T23132022

试、等级保护测评、商用密码应用安全性评估等费用预算。 7.1.4.2重要信息系统宜制定系统上线安全检测评估费用和安全措施有效性验证费用预算。 7.1.4.3涉及重要数据处理的系统宜制定重要数据安全风险评估费用预算。 7.1.4.4涉及个人信息处理的系统宜制定个人信息安全影响评估费用预算。 7.1.4.5涉及个人信息出境的系统宜制定个人信息出境风险评估费用预算。 7.1.4.6依据系统建设规模宜合理制定风险评估、上线安全检测、安全加固、网络安全培训、应急演 练、系统安全运维以及新技术新业务等费用预算。 7.1.4.7网络安全投入应按照国家相关法规标准执行,网络安全投入占信息化投入比例不宜低于 10%。

7.2.1网络安全技术措施应符合GB/T25070一2019、GB/T22239一2019以及国家规定的相关要求。 7.2.2数据安全保护措施应符合GB/T37988一2019、GB/T39477一2020以及国家规定的相关要求。 7.2.3个人信息安全保护措施应符合GB/T35273一2020、GB/T39335一2020以及国家规定的相关要求 7.2.4密码应用安全措施应符合GB/T39786一2021以及国家规定的相关要求。 7.2.5重要信息系统安全保护措施应符合国家规定的相关要求。

审查结果分“通过”、“暂缓通过”和“不通过”三种情况: 审查结果为“通过”时,项目可按项目建设方案进行建设。 审查结果为“暂缓通过”时,项目建设方参考专家建议修改项目设计方案后可按方案进行建设2016年河南市政工程预算定额第1册土石方工程, 审查结果为“不通过”时,项目建设方应组织重新编写项目设计方案。 审查结果判定规则参见附录C。

审查结果分“通过”、“暂缓通过”和“不通过”三种情况: 审查结果为“通过”时,项目可按项目建设方案进行建设。 审查结果为“暂缓通过”时,项目建设方参考专家建议修改项目设计方案后可按方案进行建 审查结果为“不通过”时,项目建设方应组织重新编写项目设计方案。 审查结果判定规则参见附录C。

©版权声明
相关文章