数字化项目网络安全审查规范DB3601／T 11—2024.pdf

D B 3 6 0 1/T 1 1 2 0 2 4I C S 3 5.2 4 0C C S A 9 0DB3601南 昌 市 地 方 标 准D B 3 6 0 1/1 1 2 0 2 4数 字 化 项 目 网 络 安 全 审 查 规 范C y b e r s e c u r i t y r e v i e w s p e c i f i c a t i o n o f d i g i t a l p r o j e c t s2 0 2 4-0 6-0 3 发 布 2 0 2 4-0 9-0 1 实 施南 昌 市 市 场 监 督 管 理 局发 布D B 3 6 0 1/T 1 1 2 0 2 4I目 次前 言.1 范 围.12 规 范 性 引 用 文 件.13 术 语 和 定 义.14 审 查 方 式.25 审 查 流 程.26 审 查 内 容.37 审 查 结 果.3附 录 A（规 范 性）数 字 化 项 目 网 络 安 全 审 查 流 程 图.4附 录 B（规 范 性）数 字 化 项 目 网 络 安 全 审 查 细 则.5附 录 C（规 范 性）数 字 化 项 目 网 络 安 全 审 查 结 果 判 别 说 明.1 0参 考 文 献.1 1D B 3 6 0 1/T 1 1 2 0 2 4I I前 言本 文 件 按 照 G B/T 1.1 2 0 2 0 标 准 化 工 作 导 则 第 1 部 分：标 准 化 文 件 的 结 构 和 起 草 规 则 的 规 定起 草。本 文 件 由 南 昌 市 互 联 网 信 息 办 公 室 提 出 并 归 口。本 文 件 起 草 单 位：南 昌 市 互 联 网 信 息 办 公 室、江 西 安 极 信 息 技 术 有 限 公 司。本 文 件 主 要 起 草 人：周 凡、宋 徽 青、张 伦 芳、肖 慧、武 永 伟、周 围、刘 煜、潘 伟 琦、何 琪、黄 瑞。D B 3 6 0 1/T 1 1 2 0 2 41数字化项目网络安全审查规范1 范 围本 文 件 规 定 了 数 字 化 项 目（非 涉 密）网 络 安 全 审 查 的 审 查 方 式、审 查 流 程、审 查 内 容、审 查 结 果。本 文 件 适 用 于 数 字 化 项 目（非 涉 密）规 划 设 计 阶 段 的 网 络 安 全 审 查，其 他 信 息 化 项 目 网 络 安 全 审 查可 参 照 执 行。2 规 范 性 引 用 文 件下 列 文 件 中 的 内 容 通 过 文 中 的 规 范 性 引 用 而 构 成 本 文 件 必 不 可 少 的 条 款。其 中，注 日 期 的 引 用 文 件，仅 该 日 期 对 应 的 版 本 适 用 于 本 文 件；不 注 日 期 的 引 用 文 件，其 最 新 版 本（包 括 所 有 的 修 改 单）适 用 于 本文 件。G B/T 2 2 2 3 9 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求G B/T 2 2 2 4 0 信 息 安 全 技 术 网 络 安 全 等 级 保 护 定 级 指 南G B/T 2 5 0 7 0 信 息 安 全 技 术 网 络 安 全 等 级 保 护 安 全 设 计 技 术 要 求G B/T 3 5 2 7 3 信 息 安 全 技 术 个 人 信 息 安 全 规 范G B/T 3 9 4 7 7 信 息 安 全 技 术 政 务 信 息 共 享 数 据 安 全 技 术 要 求G B/T 3 9 7 8 6 信 息 安 全 技 术 信 息 系 统 密 码 应 用 基 本 要 求G B/T 4 0 6 9 2 政 务 信 息 系 统 定 义 和 范 围D A/T 2 8 建 设 项 目 档 案 管 理 规 范3 术 语 和 定 义下 列 术 语 和 定 义 适 用 于 本 文 件。3.1数 字 化 项 目 D i g i t a l p r o j e c t s全 市 各 级 行 政 机 关 以 及 法 律 法 规 授 权 的 具 有 管 理 公 共 事 务 职 能 的 组 织 等 使 用 财 政 性 资 金 建 设、运 维的 数 字 化 项 目，主 要 包 括：电 子 政 务 网 络 平 台、重 点 业 务 数 字 化 系 统、数 据 资 源 库、信 息 安 全 基 础 设 施、电 子 政 务 基 础 设 施（政 务 云、数 据 中 心 等）、数 字 政 府 标 准 化 体 系 以 及 相 关 支 撑 体 系 等 符 合 政 务 信 息系 统 定 义 和 范 围（G B/T 4 0 6 9 2）规 定 的 非 涉 密 项 目。来 源：江 西 省 数 字 化 项 目 建 设 管 理 办 法，1,2,有 修 改 3.2项 目 设 计 方 案 P r o j e c t d e s i g n s c h e m eD B 3 6 0 1/T 1 1 2 0 2 42在 项 目 建 设 过 程 中 编 制 的 可 行 性 研 究 报 告、初 步 设 计 方 案、深 化 设 计 方 案、投 资 概 算 或 项 目 建 议 书等。3.3安 全 设 计 方 案 S e c u r i t y d e s i g n s c h e m e项 目 设 计 方 案 中 包 含 的 网 络 安 全 体 系 总 体 设 计 方 案、商 用 密 码 应 用 方 案、数 据 安 全 保 护 方 案 等 子 方案。3.4关 键 信 息 基 础 设 施 C r i t i c a l i n f o r m a t i o n i n f r a s t r u c t u r e公 共 通 信 和 信 息 服 务、能 源、交 通、水 利、金 融、公 共 服 务、电 子 政 务、国 防 科 技 工 业 等 重 要 行 业和 领 域 的，以 及 其 他 一 旦 遭 到 破 坏、丧 失 功 能 或 者 数 据 泄 露，可 能 严 重 危 害 国 家 安 全、国 计 民 生、公 共利 益 的 重 要 网 络 设 施、信 息 系 统 等。来 源：关 键 信 息 基 础 设 施 安 全 保 护 条 例，1,2 3.5网 络 安 全 投 入 C y b e r s e c u r i t y i n v e s t m e n t项 目 建 设 及 运 行 过 程 中 投 入 的 安 全 咨 询 服 务、安 全 运 维 服 务、安 全 技 术 服 务、安 全 集 成 服 务、等 保测 评 服 务、商 用 密 码 安 全 性 评 估 服 务、安 全 软 件、安 全 设 备 及 其 他 硬 件 等 相 关 费 用。3.6建 设 单 位 C o n s t r u c t i n g u n i t s对 项 目 实 施 进 行 组 织 管 理，并 在 项 目 建 设 过 程 中 负 总 责 的 部 门。来 源：D A/T 2 8 3.7审 查 部 门 R e v i e w d e p a r t m e n t负 责 组 织 网 络 安 全 审 查 工 作 的 部 门。4 审 查 方 式建 设 单 位 应 向 审 查 部 门 提 交 审 查 材 料，审 查 部 门 开 展 审 查 工 作 并 出 具 审 查 意 见。5 审 查 流 程5.1 总 体 流 程应 参 照 数 字 化 项 目 网 络 安 全 审 查 流 程 执 行（数 字 化 项 目 网 络 安 全 审 查 流 程 图 见 附 录 A）。5.2 审 查 申 报D B 3 6 0 1/T 1 1 2 0 2 43建 设 单 位 应 提 交 项 目 设 计 方 案 等 书 面 审 查 材 料。5.3 审 查 受 理审 查 部 门 收 到 审 查 材 料 后 应 受 理 审 查 并 通 知 建 设 单 位。5.4 开 展 审 查 工 作5.4.1 审 查 工 作 分 为 初 步 审 查 和 专 家 审 查，初 步 审 查 为 审 查 部 门 就 申 报 材 料 进 行 初 步 审 查，给 出 初 步审 查 意 见；专 家 审 查 为 审 查 部 门 聘 请 专 家 进 行 审 查，要 求 建 设 单 位 配 合 审 查 工 作。5.4.2 专 家 审 查 工 作 应 由 不 低 于 三 名 专 家 组 成 的 专 家 组 负 责，设 置 一 名 专 家 组 组 长。流 程 主 要 分 为 三步，一 是 建 设 单 位 陈 述 申 报 建 设 项 目 安 全 设 计 方 案 等 相 关 情 况，二 是 专 家 组 针 对 审 查 疑 问 进 行 提 问，三是 专 家 组 讨 论 并 形 成 专 家 意 见 和 建 议。5.5 问 题 整 改审 查 部 门 给 出 书 面 的 审 查 结 果 后，建 设 单 位 应 针 对 审 查 结 果 中 的 相 应 条 款 进 行 必 要 的 安 全 整 改 工 作并 书 面 报 送 审 查 部 门。5.6 审 查 意 见审 查 部 门 应 出 具 审 查 意 见 并 反 馈 给 建 设 单 位。6 审 查 内 容应 参 照 数 字 化 项 目 网 络 安 全 审 查 细 则 执 行（数 字 化 项 目 网 络 安 全 审 查 细 则 见 附 录 B）。7 审 查 结 果审 查 结 果 应 分“通 过”和“不 通 过”两 种 情 况：审 查 结 果 为“通 过”时，项 目 可 按 项 目 设 计 方 案 进 行 建 设；审 查 结 果 为“不 通 过”时，建 设 单 位 应 对 提 交 的 项 目 设 计 方 案 进 行 修 改 并 重 新 提 交 审 查。应 参 照 数 字 化 项 目 网 络 安 全 审 查 结 果 判 别 说 明 确 定 审 查 结 果（参 见 附 录 C）。D B 3 6 0 1/T 1 1 2 0 2 44A附 录 A（规 范 性）数 字 化 项 目 网 络 安 全 审 查 流 程 图图 A.1 规 定 了 数 字 化 项 目 网 络 安 全 审 查 流 程。图 A.1 数 字 化 项 目 网 络 安 全 审 查 流 程D B 3 6 0 1/T 1 1 2 0 2 45附 录 B（规 范 性）数 字 化 项 目 网 络 安 全 审 查 细 则表 B.1 规 定 了 数 字 化 项 目 网 络 安 全 审 查 细 则。表 B.1 数 字 化 项 目 网 络 安 全 审 查 细 则（续 表）序号审查方向审查指标 审查内容 审查方法审查内容要求1安全规划设计网 络 安 全 目 标、保护 对 象 等 设 计 的 合理 性，包 括 是 否 列为 关 键 信 息 基 础 设施。项目设计方案中应明确网络安全目标、保护对象，保护设计思路，针对设计给出合理依据。查阅项目设计方案及相关材料，是否具备审查要求的内容建议项项目设计方案中应明确建设项目（系统）是否列为关键信息基础设施。必须项2保 护 对 象 的 网 络 安全 保 护 等 级 自 定 级情况及确定理由。项目设计方案中应给出建设项目（系统）的保护等级，给出等级确定的依据，依据必须严格按照G B T 2 2 2 4 0 信息安全技术 网络安全等级保护定级指南 要求，部分行业可结合行业定级要求综合评定。查阅项目设计方案及相关材料，是否具备审查要求的内容必须项3网 络 安 全 现 状 及 风险 分 析。根 据 安 全保 护 等 级 的 要 求 对网 络 安 全 设 备 和 系统 现 状、网 络 安 全管 理 现 状 及 网 络 安全 风 险 等 进 行 分析，并 依 据 现 状 及风 险 分 析 提 出 安 全设计需求。项目设计方案中应明确阐述当前安全现状、现状应从多个角度进行阐述，包括但不仅限于：物理环境、通信网络、区域边界、业务应用、商用密码应用、计算环境、安全管理等现状及管理机构、管理人员、建设管理、运维管理等网络安全管理制度方面。查阅项目设计方案及相关材料，是否具备审查要求的内容建议项明确以上网络安全现状下每个方面的安全设计需求。建议项4安全防护设计安 全 规 划 及 安 全 方案 设 计 的 合 理 性。根 据 保 护 对 象 的 安全 保 护 等 级 及 与 其他 级 别 保 护 对 象 的关 系 进 行 安 全 整 体规 划 和 安 全 方 案 设计。针 对 性 地 提 出物 理 环 境、网 络 架构、边 界 防 护、计算环境、安全管理、商 用 密 码 应 用 安 全物理环境安全位置应选择在防震、抗风、防雨的建筑内。查阅项目设计方案及相关材料，是否具备审查要求的内容，部分内容可提供承诺书必须项具备物理访问控制、防盗窃和防破坏、防雷击、防火、防水防潮、防静电、温湿度控制，短期的备用电力供应等要求。必须项应在设置自动消防系统的基础之上对机房划分区域进行管理，区域和区域之间设置隔离防火措施。（等级保护定级为三级及以上要求）。必须项应规划设置冗余或并行的电力电缆线路为计算机系统供电。（等级保护定级为三级及以上要求）。必须项上云系统需要云环境通过等级保护测评，应保证云计算基础设施位于中国境内。必须项物理安全说明：依据建设项目业务系统实际放置位置（如D B 3 6 0 1/T 1 1 2 0 2 46表 B.1 数 字 化 项 目 网 络 安 全 审 查 细 则（续 表）序号审查方向审查指标 审查内容 审查方法审查内容要求等相关防护措施。自建机房、公有云、政务云、混合模式）情况确定物理实际安全要求，在非自建机房的情况下，部分要求内容可能不适用，如建设单位使用政务云部署业务系统，仅需要提供政务云通过等级保护证明即可。通信网络安全网络架构应按照分区分域原则进行设计。必须项应针对通信线路、关键网络设备和关键计算设备进行冗余设计，保障系统可用性。（等级保护定级为三级及以上要求）。必须项应采用密码技术保证通信过程中数据完整性和保密性。必须项应针对重要网络区域与其他网络区域之间采取技术隔离手段。（等级保护定级为三级及以上要求）必须项安全区域边界应在区域边界采取访问控制或隔离技术手段。必须项应在网络边界采取检测、防止攻击行为的技术措施。必须项应在网络边界对用户的行为和重要安全事件进行审计。必须项应对远程接入用户的行为进行单独的审计。（等级保护定级为三级及以上要求）。必须项应限制无线网络的使用，保证无线网络通过受控的边界设备接入内部网络。（等级保护定级为三级及以上要求）。必须项安全计算环境进行远程管理时，应采取必要措施、防止鉴别信息在网络传输过程中被窃听。必须项应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。必须项应建立备份机制，对重要数据处理系统进行数据备份或热备，信息系统根据系统重要性应建设相应级别备份系统。必须项安全管理中心应对网络中的运维管理行为进行身份鉴别，应能对运维管理行为进行安全审计。必须项应划分出特定的管理区域，对分布在网络中的安全设备或安全组件进行管控。（等级保护定级为三级及以上要求）。必须项应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间不少于六个月。必须项应对网络链路、安全设备、网络设备和服务器等的 必须项D B 3 6 0 1/T 1 1 2 0 2 47表 B.1 数 字 化 项 目 网 络 安 全 审 查 细 则（续 表）序号审查方向审查指标 审查内容 审查方法审查内容要求运行状况进行集中监测。（等级保护定级为三级及以上要求）。密码应用安全法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护。（等级保护定级为三级及以上要求）。必须项根据商用密码应用需求，制定商用密码应用方案，规划商用密码安全保障。（等级保护定级为三级及以上要求）。必须项自行或者委托商用密码检测机构开展商用密码应用安全性评估。（等级保护定级为三级及以上要求）。必须项5数据安全设计数 据 安 全 设 计 的 合理 性。涉 及 数 据 资源 建 设 的，是 否 对重 要 业 务 信 息、系统 数 据 及 软 件 系 统进 行 识 别。是 否 根据 数 据 的 重 要 性 和数 据 对 系 统 运 行 的影 响，制 定 数 据 备份 策 略 和 恢 复 策略、备 份 程 序 和 恢复程序等。应当按照国家对数据分类分级保护的相关要求对建设项目（系统）中的数据实行分类分级保护，确定建设项目（系统）中的重要数据清单，对列入清单的数据进行重点保护，明确保护措施。查阅项目设计方案及相关材料，是否具备审查要求的内容，部分内容可提供承诺书必须项制定数据备份或容灾措施，在发生安全问题的时候能够进行有效恢复。必须项明确数据安全审计措施。必须项关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。必须项6预算和产品选型产 品 选 型 的 合 理性。方 案 所 选 用 的网 络 安 全 产 品 是 否符 合 国 家 和 主 管 部门 网 络 安 全 管 理 有关规定。项目设计方案中选用的网络安全设备应提出采购要求，要求后期采购的网络安全设备需按要求通过安全认证或安全检测。查阅项目设计方案及相关材料，是否具备审查要求的内容，部分内容可提供承诺书必须项项目设计方案中选用的密码产品应提出采购要求，要求后期采购的密码产品需具备国家密码管局局颁发的密码证书。必须项7项 目 的 资 金 预 算 及依 据，网 络 安 全 资金 安 排 计 划 是 否 满足 国 家、省、市 有关 网 络 安 全 管 理 的相 关 规 定 及 网 络 安全保障需求。新建设项目（系统）的网络安全（含软硬件安全设备、安全运维、安全维保、渗透测试、风险评估、等级保护测评、商用密码应用安全性评估等）预算不低于项目总预算的 5%。查阅项目设计方案及相关材料，是否具备审查要求的内容，部分内容可提供承诺书必须项D B 3 6 0 1/T 1 1 2 0 2 48表 B.1 数 字 化 项 目 网 络 安 全 审 查 细 则（续 表）序号审查方向审查指标 审查内容 审查方法审查内容要求8安全管理制度网 络 安 全 管 理 制 度建 立 情 况。确 保 安全 策 略、管 理 制 度和 操 作 规 程 等 保 障措 施 同 步 实 施，并保 障 系 统 处 于 持 续安全防护状态。安全管理制度应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。查阅项目设计方案及相关材料，是否具备审查要求的内容，部分内容可提供承诺书建议项应形成由安全策略、管理制度、操作规程，记录表单等构成的全面的安全管理制度体系。（等级保护定级为三级及以上要求）。必须项安全管理制度应通过正式、有效的方式发布，并进行版本控制，制度按照需求进行修订。必须项安全管理机构成立指导和管理网络安全工作的委员会或领导小组，其最高领导由单位主管领导担任或授权。必须项明确管理机构各岗位和职责设置，明确审批流程。必须项应配备专职的安全管理员，不可兼职。（等级保护定级为三级及以上要求）。必须项安全管理人员完善人员录用流程和要求，明确人员离岗流程。必须项明确外部人员访问管理制度。必须项应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。（等级保护定级为三级及以上要求）。必须项安全建设管理完善系统定级备案流程和进行安全方案设计。必须项安全方案设计应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定，经过批准后才能正式实施。必须项项目建设应全程邀请第三方监理单位监督项目的实施全过程。（等级保护定级为三级及以上要求）。必须项安全运维管理按照要求定期开展网络安全检测、风险评估、等级保护测评工作。必须项应规定统一的应急预案框架，包括启动预案的条件、应急组织构成、应急资金保障、事后教育和培训等内容。必须项应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。必须项应定期对系统相关的人员进行应急预案培训，并进行应急预案演练，并定期对原有的应急预案重新评估，修订完善。（等级保护定级为三级及以上要求）。必须项9国产化要国 产 化 要 求 和 供 应链安全项目设计方案中所选用的安全类产品原则上应为国产，因业务需要使用国外产品的需明确阐述使用理由。查阅项目设计方案及相建议项D B 3 6 0 1/T 1 1 2 0 2 49表 B.1 数 字 化 项 目 网 络 安 全 审 查 细 则（续 表）序号审查方向审查指标 审查内容 审查方法审查内容要求求和供应链安全关材料，是否具备审查要求的内容项目设计方案中选用的安全产品、安全服务应提出采购要求，要求后期提供方与建设单位签订保密协议和网络安全责任书。必须项项目设计方案中选用的安全产品、安全服务应提出采购要求，要求后期提供方提供技术服务人员提供背景审查材料。必须项D B 3 6 0 1/T 1 1 2 0 2 41 0附 录 C（规 范 性）数 字 化 项 目 网 络 安 全 审 查 结 果 判 别 说 明C.1 数 字 化 项 目 网 络 安 全 审 查 结 果 为“通 过”的 要 求数 字 化 项 目 网 络 安 全 审 查 细 则 中 的 审 查 内 容 要 求“必 须 项”和“建 议 项”都 满 足 的 判 定 为“通 过”。C.2 数 字 化 项 目 网 络 安 全 审 查 结 果 为“不 通 过”的 要 求有 下 列 情 况 之 一 判 定 为“不 通 过”。a）网 络 安 全 保 障 体 系 未 进 行 系 统 化、结 构 化 设 计，安 全 防 护 层 面 缺 失 较 大；b）产 品 与 服 务 采 购 不 符 合 国 家 相 关 规 定；c）项 目 建 设 参 考 安 全 技 术 标 准 为 老 旧 标 准；d）其 他 结 合 实 际 情 况 应 判 定 为“不 通 过”的 情 况。D B 3 6 0 1/T 1 1 2 0 2 41 1参 考 文 献 1 中 华 人 民 共 和 国 网 络 安 全 法 2 中 华 人 民 共 和 国 密 码 法 3 中 华 人 民 共 和 国 数 据 安 全 法 4 中 华 人 民 共 和 国 个 人 信 息 保 护 法 5 网 络 安 全 审 查 办 法 6 关 键 信 息 基 础 设 施 安 全 保 护 条 例 7 互 联 网 政 务 应 用 安 全 管 理 规 定 8 江 西 省 人 民 政 府 办 公 厅 关 于 印 发 江 西 省 数 字 化 项 目 建 设 管 理 办 法 的 通 知（赣 府 厅 发 2 0 2 3 1 2 号）9 南 昌 市 人 民 政 府 办 公 厅 关 于 印 发 南 昌 市 政 务 信 息 化 项 目 集 约 化 建 设 管 理 办 法 的 通 知（洪 府 厅发 2 0 2 0 1 2 6 号）_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _