DB43/T 2313-2022 政务信息化项目网络安全审查规范.pdf
- 文档部分内容预览:
DB43/T 2313-2022 政务信息化项目网络安全审查规范
1) 项目类型及系统类型; 2) 业务和资产识别; 3) 参考依据; 4) 项目建设现状; 5) 安全需求分析: 6) 系统功能和系统架构情况; 7) 网络拓扑结构; 8) 安全解决方案; 9) 主要软硬件设备选型清单。 .1.3 密码应用方案宜包括但不限于以下内容: 1) 系统现状分析; 2) 安全风险及控制需求; 3) 密码应用需求; 4) 总体方案设计; 5) 密码技术方案设计; 6) 管理体系设计与运维体系设计; 7) 安全与合规性分析; 8) 密码产品和服务应用情况; 9) 业务应用系统建设/改造情况; 10) 运行环境建设/改造情况。 .1.4 数据安全保护方案宜包括但不限于以下内容: 1) 数据分级分类: 2) 系统及数据库间的业务与数据流向说明; 3) 数据安全需求分析; 4) 数据采集安全设计; 5) 数据传输安全设计; 6) 数据存储安全设计; 7) 数据处理安全设计; 8) 数据交换安全设计; 9) 数据销毁安全设计; 10) 个人信息保护政策; 11) 个人信息保护方案。
自位应在项目审批提交前对项目安全设计方案内容进行自查。自查发现的问题,建设单位应组 目安全设计方案。
建设单位应在项目审批提交前对项目安全设计方案内容进行自查。自查发现的问题,建 织修改项目安全设计方案。
审查流程包括审查申请、完备性审查、专业审查和出具审查结果电缆标准,
DB43/T2313—2022
DB43/T 23132022
见附录A流程图)和相关要求,提交项目设计 网络安全审查申请表(详见附录B
6.2.1审查部门在收到审查申请后,按照7的要求组织完备性审查, 6.2.2完备性审查完成后由审查部门出具完备性审查意见并反馈至建设单位。 6.2.3建设单位参照完备性审查意见补充或修改申报材料。
6.3.1专业审查之前,审查部门根据实际情况选择线上或线下审查方式。 6.3.2审查部门组织审查专家、建设单位代表召开线上或线下专家评审会议。 6.3.3审查可以是网络安全专项审查,也可以与立项审查联合进行。 6.3.4专项审查时,建设单位介绍项目安全设计方案并就专家疑问进行答疑。审查专家依据本文件对 设计方案进行网络安全审查,出具专家意见
部门依据专家意见进行综合判定,出具审查结果
7.1.1项目类型和等级保护级别判定
7.1.1.1应准确判定项目类型及涉及的内容。 7.1.1.2 应依据GB/T22240一2020有关规定准确判定系统网络安全等级保护级别 7.1.1.3应准确判定系统是否为重要信息系统。 7.1.1.4应准确判定系统采用的云计算、大数据、移动互联、物联网、工业控制等新技术情况。 7.1.1.5应准确判定系统中是否承载重要数据、个人信息,是否涉及数据跨组织流动、数据出境情况 等。
7.1.2安全技术标准及安全管理体系
7.1.2.1应依据项目类型和系统的安全保护等级,选择适宜的、最新的安全建设参考标准。 7.1.2.2应规划建设完善的安全管理体系,包括但不限于安全管理制度、安全管理机构、安全管理人 员、安全建设管理及安全运维管理内容,
.1.3产品与服务采购
7.1.3.1网络安全产品与服务采购和使月
7.1.3.1网络安全产品与服务采购和使用应符合国家的有关规定
7.1.4项目经费预算
4.1应依据系统建设规模、系统安全需求、系统数量合理制定安全建设费用预算、软件安全
DB43/T23132022
试、等级保护测评、商用密码应用安全性评估等费用预算。 7.1.4.2重要信息系统宜制定系统上线安全检测评估费用和安全措施有效性验证费用预算。 7.1.4.3涉及重要数据处理的系统宜制定重要数据安全风险评估费用预算。 7.1.4.4涉及个人信息处理的系统宜制定个人信息安全影响评估费用预算。 7.1.4.5涉及个人信息出境的系统宜制定个人信息出境风险评估费用预算。 7.1.4.6依据系统建设规模宜合理制定风险评估、上线安全检测、安全加固、网络安全培训、应急演 练、系统安全运维以及新技术新业务等费用预算。 7.1.4.7网络安全投入应按照国家相关法规标准执行,网络安全投入占信息化投入比例不宜低于 10%。
7.2.1网络安全技术措施应符合GB/T25070一2019、GB/T22239一2019以及国家规定的相关要求。 7.2.2数据安全保护措施应符合GB/T37988一2019、GB/T39477一2020以及国家规定的相关要求。 7.2.3个人信息安全保护措施应符合GB/T35273一2020、GB/T39335一2020以及国家规定的相关要求 7.2.4密码应用安全措施应符合GB/T39786一2021以及国家规定的相关要求。 7.2.5重要信息系统安全保护措施应符合国家规定的相关要求。
审查结果分“通过”、“暂缓通过”和“不通过”三种情况: 审查结果为“通过”时,项目可按项目建设方案进行建设。 审查结果为“暂缓通过”时,项目建设方参考专家建议修改项目设计方案后可按方案进行建设, 审查结果为“不通过”时,项目建设方应组织重新编写项目设计方案。 审查结果判定规则参见附录C。
审查结果分“通过”、“暂缓通过”和“不通过”三种情况: 审查结果为“通过”时,项目可按项目建设方案进行建设。 审查结果为“暂缓通过”时,项目建设方参考专家建议修改项目设计方案后可按方案进行建 审查结果为“不通过”时,项目建设方应组织重新编写项目设计方案。 审查结果判定规则参见附录C。
DB43/T2313—2022
A网络安全审查工作流程可参照图1进行操作
网络安全审查工作流程可参照图1进行操作。
附录 (资料性) 流程图
图1网络安全审查工作流程
DB43/T23132022
附录B (规范性) 网络安全审查申请表 网络安全审查工作需要各建设单位提交的申请表材料包括:《网络安全审查申请表》和《网络安全 审查自查表》。具体表格形式及内容如下所示:
B.1网络安全审查申请表模板
表B.1网络安全审查申请表
DB43/T2313—2022
网络安全审查自查表按照系统部署类型不同(本地部署、托管部署、政务云部署与混合模式部署》 分为四个子表,分别对应表B.2、B.3、B.4、B.5,申请人应根据系统部署类型选择相应的表格进行填 写,项目涉及多个系统的,每个系统应单独填写自查表。
B.2本地部署的政务信息化项目按照表B.2进行安全审查自查并填表
本地部署的政务信息化项目按照表B.2进行安全审查自查并填表
表B.2本地部署系统安全审查自查表
DB43/T23132022
表B.2本地部署系统安全审查自查表(续)
DB43/T2313—2022
表B.2本地部署系统安全审查自查表(续)
DB43/T23132022
表B.2本地部署系统安全审查自查表(续)
DB43/T2313—2022
表B.2本地部署系统安全审查自查表(续)
自查项目 自查情况 是否有准入控制措施(准入控制系统): 口新建,实现方式为 口利旧,实现方式为 口否 是否有违规外联检测/限制(违规外联检测系统): 口新建,实现方式为 口利旧,实现方式为 口否 是否有无线网络接入管控措施: 口新建,实现方式为 口利旧,实现方式为 口否 7.入侵防范 是否有检测、防止或限制从外部发起的网络攻击行为的措施(外网入侵检测设备): 口新建,实现方式为 方案中安全 口利旧,实现方式为 区域边界采 口香 用的安全 入侵检测设备是否能在发生严重事件时提供报警:口是 措施 口香 是否有检测、防止或限制从内部发起的网络攻击行为的措施(入侵检测设备): 口新建,实现方式为 口利旧,实现方式为 口香 入侵检测设备是否能在发生严重事件时提供报警:口是 口 是否有新型网络攻击行为进行检测的措施(入侵检测设备): 口新建,实现方式为 口利旧,实现方式为 口香 入侵检测设备是否能在发生严重事件时提供报警:口是 8.恶意代码防范 网络边界处/关键网络节点处是否有对恶意代码进行检测和清除的措施: 口新建,实现方式为 口利旧,实现方式为 否 1.重要数据处理系统热允余 方案中是否体现重要数据处理系统的热允余: 方案中安全 口新建,实现方式为 计算环境采 口利旧,实现方式为 用的安全 口否 措施 2.恶意代码防护: 服务器使用的操作系统为 服务器如为Windows操作系统,是否有免受恶意代码攻击的技术措施或主动免疫可信验证机制:
DB43/T23132022
表B.2本地部署系统安全审查自查表(续)
DB43/T2313—2022
表B.2本地部署系统安全审查自查表(续)
DB43/T23132022
表B.2本地部署系统安全审查自查表(续)
表B.3托管部署系统安全审查自查表
DB43/T2313—2022
表B.3托管部署系统安全审查自查表(续)
DB43/T23132022
表B.3托管部署系统安全审查自查表(续)
DB43/T2313—2022
表B.3托管部署系统安全审查自查表(续)
DB43/T23132022
表B.3托管部署系统安全审查自查表(续)
DB43/T2313—2022
表B.3托管部署系统安全审查自查表(续)
DB43/T23132022
表B.3托管部署系统安全审查自查表(续)
DB43/T2313—2022
表B.3托管部署系统安全审查自查表(续)
DB43/T23132022
表B.3托管部署系统安全审查自查表(续)
务云部署的政务信息化项目按照表B.4进行安全
表B.4政务云部署系统安全审查自查表
DB43/T2313—2022
表B.4政务云部署系统安全审查自查表(续)
DB43/T23132022
表B.4政务云部署系统安全审查自查表(续)
DB43/T2313—2022
表B.4政务云部署系统安全审查自查表(续)
DB43/T23132022
表B.4政务云部署系统安全审查自查表(续)
DB43/T2313—2022
表B.4政务云部署系统安全审查自查表(续)
3署的政务信息化项目按照表B.5进行安全审计目
DB43/T23132022
表B.5混合部署系统安全审查自查表
DB43/T2313—2022
表B.5混合部署系统安全审查自查表(续)
DB43/T23132022
表B.5混合部署系统安全审查自查表(续)
DB43/T2313—2022
工程标准规范范本表B.5混合部署系统安全审查自查表(续)
DB43/T23132022
表B.5混合部署系统安全审查自查表(续)
自查项目 自查情况 防火墙是否具有以下功能: 口源端口、目的端口和协议等进行检查 口根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力 口对进出网络的数据流实现基于应用协议和应用内容的访问控制 是否有准入控制措施(准入控制系统): 口新建,实现方式为 口利旧,实现方式为 口否 是否有违规外联检测/限制(违规外联检测系统): 口新建,实现方式为 口利旧,实现方式为 口香 是否有无线网络接入管控措施: 口新建,实现方式为 口利旧,实现方式为 口否 7.入侵防范 方案中安全 是否有检测、防止或限制从外部发起的网络攻击行为的措施(外网入侵检测设备): 区域边界采 口新建,实现方式为 用的安全 口利旧,实现方式为 措施 口否 入侵检测设备是否能在发生严重事件时提供报警:口是 口否 是否有检测、防止或限制从内部发起的网络攻击行为的措施(入侵检测设备): 口新建,实现方式为 口利旧,实现方式为 否 入侵检测设备是否能在发生严重事件时提供报警:口是口否 是否有新型网络攻击行为进行检测的措施(入侵检测设备): 口新建,实现方式为 口利旧,实现方式为 口否 入侵检测设备是否能在发生严重事件时提供报警:口是 8.恶意代码防范 网络边界处/关键网络节点处是否有对恶意代码进行检测和清除的措施: 口新建,实现方式为 口利旧,实现方式为 口否
DB43/T2313—2022
表B.5混合部署系统安全审查自查表(续)
DB43/T23132022
法兰标准表B.5混合部署系统安全审查自查表(续)
....- 相关专题: