DB3601 11-2024 數(shù)字化項目網(wǎng)絡安全審查規(guī)范

CCSA90DB3601Cybersecurityreviewspecificationofdigitalprojects2024-06-03發(fā)布南昌市市場監(jiān)督管理局發(fā)布IDB3601/T11—2024前言 2規(guī)范性引用文件 3術語和定義 4審查方式 25審查流程 26審查內容 37審查結果 3附錄A（規(guī)范性）數(shù)字化項目網(wǎng)絡安全審查流程圖 4附錄B（規(guī)范性）數(shù)字化項目網(wǎng)絡安全審查細則 5附錄C（規(guī)范性）數(shù)字化項目網(wǎng)絡安全審查結果判別說明 參考文獻 DB3601/T11—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件由南昌市互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位：南昌市互聯(lián)網(wǎng)信息辦公室、江西安極信息技術有限公司。本文件主要起草人：周凡、宋徽青、張倫芳、肖慧、武永偉、周圍、劉煜、潘偉琦、何琪、黃瑞。1DB3601/T11—2024本文件規(guī)定了數(shù)字化項目（非涉密）網(wǎng)絡安全審查的審查方式、審查流程、審查內容、審查結果。本文件適用于數(shù)字化項目（非涉密）規(guī)劃設計階段的網(wǎng)絡安全審查，其他信息化項目網(wǎng)絡安全審查可參照執(zhí)行。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術網(wǎng)絡安全等級保護基本要求GB/T22240信息安全技術網(wǎng)絡安全等級保護定級指南GB/T25070信息安全技術網(wǎng)絡安全等級保護安全設計技術要求GB/T35273信息安全技術個人信息安全規(guī)范GB/T39477信息安全技術政務信息共享數(shù)據(jù)安全技術要求GB/T39786信息安全技術信息系統(tǒng)密碼應用基本要求GB/T40692政務信息系統(tǒng)定義和范圍DA/T28建設項目檔案管理規(guī)范3術語和定義下列術語和定義適用于本文件。3.1數(shù)字化項目Digitalprojects全市各級行政機關以及法律法規(guī)授權的具有管理公共事務職能的組織等使用財政性資金建設、運維的數(shù)字化項目，主要包括：電子政務網(wǎng)絡平臺、重點業(yè)務數(shù)字化系統(tǒng)、數(shù)據(jù)資源庫、信息安全基礎設施、電子政務基礎設施（政務云、數(shù)據(jù)中心等）、數(shù)字政府標準化體系以及相關支撐體系等符合《政務信息系統(tǒng)定義和范圍》（GB/T40692）規(guī)定的非涉密項目。[來源：江西省數(shù)字化項目建設管理辦法，1,2,有修改]3.2項目設計方案Projectdesignscheme2DB3601/T11—2024在項目建設過程中編制的可行性研究報告、初步設計方案、深化設計方案、投資概算或項目建議書3.3安全設計方案Securitydesignscheme項目設計方案中包含的網(wǎng)絡安全體系總體設計方案、商用密碼應用方案、數(shù)據(jù)安全保護方案等子方3.4關鍵信息基礎設施Criticalinformationinfrastructure公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。[來源：關鍵信息基礎設施安全保護條例，1,2]3.5網(wǎng)絡安全投入Cybersecurityinvestment項目建設及運行過程中投入的安全咨詢服務、安全運維服務、安全技術服務、安全集成服務、等保測評服務、商用密碼安全性評估服務、安全軟件、安全設備及其他硬件等相關費用。3.6建設單位Constructingunits對項目實施進行組織管理，并在項目建設過程中負總責的部門。[來源：DA/T28]3.7審查部門Reviewdepartment負責組織網(wǎng)絡安全審查工作的部門。4審查方式建設單位應向審查部門提交審查材料，審查部門開展審查工作并出具審查意見。5審查流程5.1總體流程應參照數(shù)字化項目網(wǎng)絡安全審查流程執(zhí)行（數(shù)字化項目網(wǎng)絡安全審查流程圖見附錄A）。5.2審查申報DB3601/T11—2024建設單位應提交項目設計方案等書面審查材料。5.3審查受理審查部門收到審查材料后應受理審查并通知建設單位。5.4開展審查工作5.4.1審查工作分為初步審查和專家審查，初步審查為審查部門就申報材料進行初步審查，給出初步審查意見；專家審查為審查部門聘請專家進行審查，要求建設單位配合審查工作。5.4.2專家審查工作應由不低于三名專家組成的專家組負責，設置一名專家組組長。流程主要分為三步，一是建設單位陳述申報建設項目安全設計方案等相關情況，二是專家組針對審查疑問進行提問，三是專家組討論并形成專家意見和建議。5.5問題整改審查部門給出書面的審查結果后，建設單位應針對審查結果中的相應條款進行必要的安全整改工作并書面報送審查部門。5.6審查意見審查部門應出具審查意見并反饋給建設單位。6審查內容應參照數(shù)字化項目網(wǎng)絡安全審查細則執(zhí)行（數(shù)字化項目網(wǎng)絡安全審查細則見附錄B）。7審查結果審查結果應分“通過”和“不通過”兩種情況：——審查結果為“通過”時，項目可按項目設計方案進行建設；——審查結果為“不通過”時，建設單位應對提交的項目設計方案進行修改并重新提交審查。應參照數(shù)字化項目網(wǎng)絡安全審查結果判別說明確定審查結果（參見附錄C）。4(規(guī)范性)圖A.1規(guī)定了數(shù)字化項目網(wǎng)絡安全審查流程。否是重新提交審查5DB3601/T11—2024（規(guī)范性）數(shù)字化項目網(wǎng)絡安全審查細則表B.1規(guī)定了數(shù)字化項目網(wǎng)絡安全審查細則。表B.1數(shù)字化項目網(wǎng)絡安全審查細則1網(wǎng)絡安全目標、保護對象等設計的合理性，包括是否列為關鍵信息基礎設2保護對象的網(wǎng)絡安全保護等級自定級3網(wǎng)絡安全現(xiàn)狀及風險分析。根據(jù)安全保護等級的要求對網(wǎng)絡安全設備和系統(tǒng)現(xiàn)狀、網(wǎng)絡安全管理現(xiàn)狀及網(wǎng)絡安全風險等進行分析，并依據(jù)現(xiàn)狀及風險分析提出安全4安全規(guī)劃及安全方案設計的合理性。根據(jù)保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規(guī)劃和安全方案設計。針對性地提出物理環(huán)境、網(wǎng)絡架構、邊界防護、計商用密碼應用安全6DB3601/T11—2024表B.1數(shù)字化項目網(wǎng)絡安全審查細則（續(xù)表）7DB3601/T11—2024表B.1數(shù)字化項目網(wǎng)絡安全審查細則（續(xù)表）5數(shù)據(jù)安全設計的合理性。涉及數(shù)據(jù)資源建設的，是否對重要業(yè)務信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)進行識別。是否根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對系統(tǒng)運行的影響，制定數(shù)據(jù)備份策略和恢復策略、備份程序和恢6型產(chǎn)品選型的合理性。方案所選用的網(wǎng)絡安全產(chǎn)品是否符合國家和主管部門網(wǎng)絡安全管理有7項目的資金預算及依據(jù)，網(wǎng)絡安全資金安排計劃是否滿足國家、省、市有關網(wǎng)絡安全管理的相關規(guī)定及網(wǎng)絡安8DB3601/T11—2024表B.1數(shù)字化項目網(wǎng)絡安全審查細則（續(xù)表）8網(wǎng)絡安全管理制度建立情況。確保安全策略、管理制度和操作規(guī)程等保障措施同步實施，并保障系統(tǒng)處于持續(xù)99DB3601/T11—2024表B.1數(shù)字化項目網(wǎng)絡安全審查細則（續(xù)表）全DB3601/T11—2024（規(guī)范性）數(shù)字化項目網(wǎng)絡安全審查結果判別說明C.1數(shù)字化項目網(wǎng)絡安全審查結果為“通過”的要求數(shù)字化項目網(wǎng)絡安全審查細則中的審查內容要求“必須項”和“建議項”都滿足的判定為“通過”。C.2數(shù)字化項目網(wǎng)絡安全審查結果為“不通過”的要求有下列情況之一判定為“不通過”。a）網(wǎng)絡安全保障體系未進行系統(tǒng)化、結構化設計，安全防護層面缺失較大；b）產(chǎn)品與服務采購不符合國家相關規(guī)定；c）項目建設參考安全技術標準為老舊標準；d）其他結合實際情況應判定為“不通過”的情況。DB3601/T11—2024參考文獻[1]中華人民共和國網(wǎng)絡安全法[2]中華人民共和國密碼法[3]