《電子政務(wù)系統(tǒng)安全成熟度評估規(guī)范（征求意見稿）》編制說明

電子政務(wù)系統(tǒng)安全成熟度評估規(guī)范編制說明非法入侵活動(dòng)的目標(biāo)圍繞著政府單位和關(guān)基設(shè)施。江蘇省的能力。江蘇省在電子政務(wù)系統(tǒng)建設(shè)中雖然已采取了一定安全建設(shè)的成效難以量化和評價(jià)。并且隨著檢驗(yàn)檢測市場檢測機(jī)構(gòu)的出現(xiàn)，缺乏客觀的網(wǎng)絡(luò)安全能力評價(jià)標(biāo)準(zhǔn)，不深入了解各電子政務(wù)系統(tǒng)目前所處的安全成熟度級(jí)別及與此規(guī)范的發(fā)布將填補(bǔ)江蘇省在電子政務(wù)系統(tǒng)安全成省電子政務(wù)系統(tǒng)的安全建設(shè)提供科學(xué)的評價(jià)依據(jù)。通過效評估現(xiàn)有安全防護(hù)體系的成熟度，還能識(shí)別安全建設(shè)促進(jìn)電子政務(wù)系統(tǒng)網(wǎng)絡(luò)安全防御體系的持續(xù)改進(jìn)和完善2.任務(wù)來源標(biāo)準(zhǔn)《電子政務(wù)系統(tǒng)安全成熟度評估規(guī)范》是經(jīng)江蘇省市場監(jiān)督管理局批準(zhǔn)立項(xiàng)（蘇市監(jiān)標(biāo)〔2023〕173號(hào)）的項(xiàng)目。本標(biāo)準(zhǔn)由江蘇省數(shù)據(jù)局（江蘇省政務(wù)服務(wù)管理辦公室）提出并歸口，由江蘇省產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院、江蘇海事職業(yè)技術(shù)學(xué)院、國家稅務(wù)總局江蘇省稅務(wù)局信息中心、南京市城市數(shù)字治理中心、南京市水務(wù)信息中心、南京市國土資源信息中心、蘇州市中級(jí)人民法院、蘇州市信息中心、北京長亭科技有限公司、江蘇天競云合數(shù)據(jù)技術(shù)有限公司、江蘇全博信息科技有限公司、江蘇網(wǎng)擎信息技術(shù)有限公司、徐州云天網(wǎng)絡(luò)安全技術(shù)有限公司、江蘇翔晟信—2—3.編制過程3.1.前期調(diào)研2019年，GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》發(fā)布并實(shí)施，江蘇省電子政務(wù)系統(tǒng)均已按照該標(biāo)準(zhǔn)完成了網(wǎng)絡(luò)安全建設(shè)，滿足了國家對和互聯(lián)網(wǎng)網(wǎng)絡(luò)安全能力成熟度評價(jià)模型》和《電信網(wǎng)和互聯(lián)網(wǎng)網(wǎng)絡(luò)安全能力成熟度評價(jià)方法》，但在電子政務(wù)系統(tǒng)安全成熟度領(lǐng)域無3.2.標(biāo)準(zhǔn)立項(xiàng)經(jīng)江蘇省政務(wù)服務(wù)管理辦公室申請，江蘇省市場監(jiān)督管理局批準(zhǔn)《電子政務(wù)系3.3.成立編制組并進(jìn)行標(biāo)準(zhǔn)編制江蘇海事職業(yè)技術(shù)學(xué)院、國家稅務(wù)總局江蘇省稅務(wù)局信息中心、南京市城市數(shù)字治理中心、南京市水務(wù)信息中心、南京市國土資源信息中心、蘇州市中級(jí)人民法院、蘇州市信息中心、北京長亭科技有限公司、江蘇天競云合數(shù)據(jù)技術(shù)有限公司、江蘇全博信息科技有限公司、江蘇網(wǎng)擎信息技術(shù)有限公司、徐州云天網(wǎng)絡(luò)安全技術(shù)有限公司、江蘇翔晟信息技術(shù)股份有限公司成立標(biāo)準(zhǔn)編制組，著手開展標(biāo)準(zhǔn)的調(diào)查研究—3—3.4.公開征求意見—4—需確定日期需確定日期4.標(biāo)準(zhǔn)主要內(nèi)容第1章“范圍”:規(guī)定了本標(biāo)準(zhǔn)編制的主要方面以及標(biāo)準(zhǔn)的適用范圍。第2章“規(guī)范性引用文件”:規(guī)定了本標(biāo)準(zhǔn)編制引用的國家標(biāo)準(zhǔn)等。第3章“術(shù)語和定義”:描述了標(biāo)準(zhǔn)中部分術(shù)語的定義。第4章“評估原則”:規(guī)定了根據(jù)電子政務(wù)系統(tǒng)安全成熟度評估規(guī)范開展評估工作時(shí)需要遵循的原則。第5章“評估方式”:規(guī)定了根據(jù)電子政務(wù)系統(tǒng)安全成熟度評估規(guī)范開展評估工作時(shí)可采取的蘋果方式。-----總成本的構(gòu)成和通用模型。第6章“評估指標(biāo)”:描述了指標(biāo)框架和所有指標(biāo)項(xiàng)。第7章“指標(biāo)描述”:針對所有的指標(biāo)項(xiàng)進(jìn)行詳細(xì)的描述并給出了評價(jià)方法。第8章“評估流程”:描述了評估工作應(yīng)遵循的流程。第9章“相關(guān)角色”:描述了評估工作組主要成員角色和職責(zé)。第10章“成熟度評估”:描述了評估條款和分值、評估模型和評估結(jié)果。附錄A：描述了電子政務(wù)系統(tǒng)安全成熟度評分指南。參考文獻(xiàn)：列出了標(biāo)準(zhǔn)主要參考文獻(xiàn)。5.與法律法規(guī)和相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的制定符合國家相關(guān)法律法規(guī)的要求，與我國現(xiàn)行的法律、法規(guī)及國家標(biāo)準(zhǔn)編制過程中，主要參考了GB/T20984—2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)40829—2021組織資產(chǎn)管理體系成熟度評價(jià)、YD/T4本標(biāo)準(zhǔn)的制定充分考慮了國家和行業(yè)的最高標(biāo)準(zhǔn)要求，并結(jié)合電子政務(wù)系統(tǒng)的特點(diǎn)，進(jìn)行了大量的調(diào)查研究、實(shí)際落地交付、充分討論、征求意見，使標(biāo)準(zhǔn)既符合國家和行業(yè)的要求，又符合電子政務(wù)系統(tǒng)安6.重大分歧意見的處理7.參考文獻(xiàn)[1]GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估方法[2]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[3]GB/T40829—2021組織資產(chǎn)管理體系成熟度評價(jià)[4]GB/T39786—2021信息安全技術(shù)