DB43-T 2313-2022.政务信息化项目网络安全审查规范

ICS13.200CCSA90 43湖 南 省 地 方 标 准DB43/T2313—2022政务信息化项目网络安全审查规范Cybersecurityreviewspecificationofgovernmentaffairsinformationizeprojects20222022033120220630湖南省市场监督管理局发布目 次前言Ⅲ112规范性引用文件······1314································24.1线下审查································24.2线上审查································25审查前合规性自查25.1方案编制································25.2方案自查································36································36.1审查申请································46.2完备性审查46.3专业审查································46.4出具审查结果47································47.1基本要求································47.2具体要求································58································5附录A（资料性）流程图6附录B（规范性）7附录C（资料性）37参考文献38前 言GB/T1.1—20201请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中共湖南省委网络安全和信息化委员会办公室提出并归口。政务信息化项目网络安全审查规范（GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T22240—2020信息安全技术网络安全等级保护定级指南GB/T25070—2019信息安全技术网络安全等级保护安全设计技术要求GB/T35273—2020信息安全技术个人信息安全规范GB/T37988—201939335—2020GB/T39477—202039786—2021GB/T40692—2021政务信息系统定义和范围DA/T28—2018建设项目档案管理规范下列术语和定义适用于本文件。3.1政务信息系统Governmentinformationsystem：GB/T40692—20214]3.2政务信息化项目Governmentaffairsinformationizeprojects由财政性资金投资建设、与社会企业联合建设、购买服务或需要财政性资金运行维护的信息化项目（含新建、扩建和改造升级信息化项目）。3.3项目计案 Projectdesignscheme在信息化项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案和投资概算等。3.4安全设计方案Securitydesignscheme项目设计方案中包含的网络安全体系总体设计方案、密码应用方案、数据安全保护方案等子方案。3.5关键信息基础设施Criticalinformationinfrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业3.6重要信息系统Importantinformationsystem3.7重要数据Importantdata一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。3.8网络安全投入Cybersecurityinvestment项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保测评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。建设单位Constructing建设单位ConstructingunitsDA/T28—2018，3.4]3.10审查部门Reviewdepartment负责组织网络安全审查工作的组织。4审查方式审查方式包括线下审查和线上审查。5审查前合规性自查5.1方案编制1）5.2方案自查6审查流程审查流程包括审查申请、完备性审查、专业审查和出具审查结果。建设单位按照网络安全审查工作相关流程（详见附录A流程图）和相关要求，提交项目设计方案和网络安全审查申请表（详见附录B网络安全审查申请表）。7由审查部门依据专家意见进行综合判定，出具审查结果。GB/T22240—2020试、等级保护测评、商用密码应用安全性评估等费用预算。网络安全投入应按照国家相关法规标准执行，网络安全投入占信息化投入比例不宜低于10％。GB/T25070—2019、GB/T22239—2019GB/T37988—2019、GB/T39477—2020GB/T35273—2020GB/T39335—2020GB/T39786—2021——审查结果为“通过”时，项目可按项目建设方案进行建设。——审查结果为“暂缓通过”时，项目建设方参考专家建议修改项目设计方案后可按方案进行建设。——审查结果为“不通过”时，项目建设方应组织重新编写项目设计方案。审查结果判定规则参见附录C。——审查结果为“通过”时，项目可按项目建设方案进行建设。——审查结果为“暂缓通过”时，项目建设方参考专家建议修改项目设计方案后可按方案进行建设。——审查结果为“不通过”时，项目建设方应组织重新编写项目设计方案。审查结果判定规则参见附录C。修改方案不通过修改方案不通过完备性审查通过组织线上或线下评审暂缓通过不通过修改案 专业查 修改案复审出具审查结果附录A（资料性）流程图A网络安全审查工作流程可参照图1进行操作。不通过不通过合规性自查通过报送安全审查材料修改方案启动网络安全审查通过通过图1网络安全审查工作流程图1网络安全审查工作流程附录B（规范性）网络安全审查申请表表B.1网络安全审查申请表项目名称项目建设单位情况项目建设单位项目建设单位项目负责人联系电话项目建设单位项目联系人联系电话方案设计编制单位情况方案设计编制单位方案设计编制单位项目负责人联系电话方案设计编制单位项目联系人联系电话申请内容申请单位（公章）：申请日期：）B.2、B.3、B.4B.5，B.2表B.2本地部署系统安全审查自查表自查项目自查情况系统名称系统所属范畴是否属于关键信息基础设施□是□否是否属于重要信息系统 是□否项目类型此项目类型为：□新建机房 □机房改造□网络扩容 □网络改造 □新建网络□新建信息系统（含软件和硬件） □新建信息系统仅软件）□信息系统功能升级（含软件和硬件）□信息系统功能升级（仅软件）□信息系统性能升级（仅硬件） □其 系统基本情况介绍此系统类别为（可多选）：□传统信息系统（不含APP) □传统信息系统(含APP)云计算□移动互联□联网□工业控制□大数据□其它 2.此系统用户类型有 ，此系统用户数量有 ，用户分布范围：□全国□全省□本地区□本单位□其它系统是否需24小时运行：□是□否 系统中断会造成么影响可容忍系统中断的时间为： 级别是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3专网访问 □其他 系统和网络边界情况：□联网边界 □上联边界 □下联边界□外联边界，外联单位有 系统边界，对接系统有 购买成熟产品运行维护情况：□自行维护 □外包单位维护 □开发位驻场维护 □开发单位远维护系统数据情况数据内容：系统存储有哪重要数据 是否包含个人信息数据：□是□否 个人信息数据量概数）： 条是否包含儿童信息数据：□是□否 是否包含涉密数据：□是□否数据载体：□结构化数据库□大数据平台□数据湖□他 业务数据产生途径：□业务采集□互联网抓取□搜集分析□外购□APP收集网站收集□人工导入□内共享□其他 4.外部数据交换：是否存在内组织外数据共享：□是□否共享单位及主要共享数据类型： 是否存在数据出境：□是否出境对象主体及主要出境数据类型： 表B.2本地部署系统安全审查自查表表B.2本地部署系统安全审查自查表（续）自查项目自查情况安全产品及措施情况系统将部署的主要安全产品有（未在以下列举产品范围的可自行扩行补充说明）：网络防护类：□网闸（□采购□利旧）□防火墙（□采购□利旧）□WAF（□采购□利旧）□UTM（□采购□利旧）□入侵防御系统IPS（□采购□利旧）□防毒墙/防病毒网关（□采购□利旧）□抗DDoS设备（□采购□利旧）□准入控制系统（□采购□利旧）□防非法外联系统（□采购□利旧）□其它 （□采购利旧主机防护类：□防病毒软件企业版（□采购□利旧）□桌面终端安全软件（□采购□利旧）□服务器加固软件（□采购□利旧）□其它 （□采购□利旧数据安全类：□数据库审计（□采购□利旧）□网页防篡改（□采购□利旧）□数据脱敏系统（□采购□利旧）□DLP数据防泄漏系统（□采购□利旧）□灾备系统（□采购□利旧）□其它 （□采购利旧加密类：□VPN（□采购□利旧）□加密机（□采购□利旧）□CA（□采购□利旧）□其它 （□采购利旧安全管理类：□安全审计系统（□采购□利旧） 安全监控系统（□采购利旧）堡垒机（□采购□利旧） □漏洞扫描（□采购□利旧）□安全管理平台（□采购□利旧） 上网行为管理（□采购□利旧）其它 （□采购利旧安全监测类：□入侵检测系统IDS（□采购□利旧）□态势感知（□采购□利旧）□蜜罐（□采购□利旧）其它 （□采购利旧之后安全维护情况：□自行维护 □外包安全服商维护 □安全厂商维护其他 方案结构□方案内独立的安全章节（含□网络安全总体设计方案□密码应用方案□数据安全方案）□独立的安全方案□无方案中是否包括以下内容：□网络安全建设依据 □业务数据描述□系统定级描述（二级或三级） □是否属于关键息基础设施范畴□是否属于重要信息系统 □网络拓扑图□网络边界分析 □系统部署架构□安全需求分析 □安全责任划分□网络安全设备清单 □应用系统安全能□采取的安全措施 □如有利旧，需确新建和利旧的部分自查项目自查情况网络安全经费预算□有 □否项目总预算： 万元网络安全预算： 万元网络安全预算所占比例： 网络安全预算包括：□安全建设费用预算 □安全加固费用算□代码安全测试预算/渗透测试预算 □等级测评费用算□密码应用安全性评估费用预算 □网络安全培训算□应急演练费用预算 □风险评估费用算□安全运维费用预算 □其他 用的安全措施网络区域划分拓扑图中是否体现按照功能进行区域划分：□是，实现方式为 □区域之间是否采用隔离措施:是，实现方式为 □2.线路硬件冗余拓扑图中是否体现通信线路的冗余：新建，实现方式为 □利旧，实现方式为 □否拓扑图中是否体现关键网络设备的硬件冗余：□新建，实现方式为 □利旧，实现方式为 □否拓扑图中是否体现关键计算设备的硬件冗余：□新建，实现方式为 □利旧，实现方式为 否3.数据备份和加密方案中是否有明确哪些数据是重要数据，并对数据进行分类：□是 □否方案中是否有体现重要数据备份措施（数据备份系统）：□新建，实现方式为 □利旧，实现方式为 □否如为三级（网络安全等级保护三级系统），是否有异地实时备份功能：□新建，实现方式为 ，备份地为 □利旧，实现方式为 ，备份地为 □否方案中是否有体现重要数据存储加密措施：□新建，实现方式为 □利旧，实现方式为 □否自查项目自查情况用的安全措施如有，加密算法是否使用国产加密算法：是，加密算法是 □否，加密算法是 4.容灾备份方案中是否有体现重要系统进行容灾备份措施（容灾备份系统）：新建，实现方式为 □利旧，实现方式为 □否方案中是否有体现数据库进行容灾备份措施（容灾备份系统）：□新建，实现方式为 □利旧，实现方式为 否通信保密性是否采用校验技术或密码技术实现对数据通信的保护：新建，实现方式为 □利旧，实现方式为 □否如有，加密算法是否使用国产加密算法：□是，加密算法是 □否，加密算法是 6.边界防护网络边界防护情况：是否冗余：□是□否是否有互联网连接：□是□否如有互联网连接，是否有外联边界防火墙：□新建□利旧□否是否有外联：□是□否如有外联，外联单位有 ，是否所有外联边界均有防火墙：□新建□利旧是否有上联单位：□是□否如有上联，是否有上联边界防火墙：□新建□利旧 □是否有下联单位：□是□否如有下联，是否有下联边界防火墙：□新建□利旧 □是否有无线互联边界：□是□否如有，是否有无线接入安全网关：□新建 □利旧 □内部核心区域是否有防火墙：新建，实现方式为 利旧，实现方式为 □否防火墙是否具有以下功能：源端口、目的端口和协议等进行检查□根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力对进出网络的数据流实现基于应用协议和应用内容的访问控制自查项目自查情况用的安全措施是否有准入控制措施（准入控制系统）：□新建，实现方式为 □利旧，实现方式为 □否是否有违规外联检测/限制（违规外联检测系统）：新建，实现方式为 □利旧，实现方式为 □否是否有无线网络接入管控措施：□新建，实现方式为 □利旧，实现方式为 □否入侵防范是否有检测、防止或限制从外部发起的网络攻击行为的措施（外网入侵检测设备）：新建，实现方式为 □利旧，实现方式为 □否入侵检测设备是否能在发生严重事件时提供报警：□是 是否有检测、防止或限制从内部发起的网络攻击行为的措施（入侵检测设备）：新建，实现方式为 □利旧，实现方式为 □否入侵检测设备是否能在发生严重事件时提供报警：□是 是否有新型网络攻击行为进行检测的措施（入侵检测设备）：新建，实现方式为 □利旧，实现方式为 □否入侵检测设备是否能在发生严重事件时提供报警：□是 8.恶意代码防范网络边界处/关键网络节点处是否有对恶意代码进行检测和清除的措施：新建，实现方式为 □利旧，实现方式为 否用的安全措施重要数据处理系统热冗余方案中是否体现重要数据处理系统的热冗余：新建，实现方式为 □利旧，实现方式为 □否恶意代码防护：服务器使用的操作系统为 服务器如为Windows操作系统，是否有免受恶意代码攻击的技术措施或主动免疫可信验证机制：自查项目自查情况用的安全措施新建，实现方式为 利旧，实现方式为 □否入侵防范是否具有主机入侵防护的措施（主机入侵防护软件）：□新建，实现方式为 □利旧，实现方式为 □否安全基线加固是否有对网络设备、安全设备、操作系统、数据库、中间件、应用等进行安全基线加固的内容：有相关安全基线加固方案，实现方式为 □自行进行安全基线加固□采购相关安全基线加固服务的内容其他 否系统是否涉及APP开发：是否APP5.应用安全功能是否有对应用安全功能的描述：□是□否双因子鉴别功能：□有，实现方式为 □密码复杂度检测功能：□有□无登录失败处理功能：□有□无访问控制功能：□有□无安全审计功能：□有，审计内容有 □软件容错功能：□有□无数据加密存储功能：□有，实现方式为 □数据加密传输功能：□有，实现方式为 □超时退出功能：□有□无代码开发安全是否有代码安全开发的要求和描述：□是□否是否有代码安全测试：□是□否个人信息安全保护是否需收集个人信息：□是□否如有，是否明确收集个人信息的内容和理由：□是□否是否存在收集与业务无关的个人信息：□是□否是否提供有效的更正、删除个人信息及注销用户账号功能：□是□否是否建立并公布个人信息安全投诉、举报渠道：□是□否是否有APP:□是□否APP是否简明清晰的明示收集使用个人信息的目的、方式和范围：□是□否自查项目自查情况用的安全措施集中管理和监测是否对设备进行集中管理：新建，实现方式为：□新购置堡垒机 □新置安全管理平台有设备集中管理功能 他 利旧，实现方式为：利旧原有堡垒机 □利原有安全管理平台 □其 否是否有设备集中监控：新建，实现方式为：新建监控系统 □建安全管理平台中有集中监控功能 □其他 利旧，实现方式为：□利旧原有监控系统 □旧安全管理平台中有集中监控功能 □其他 □否安全审计是否有日志审计集中收集和分析的措施（日志审计设备）：新建，实现方式为：□新建日志审计系统 □新安全管理平台中有日志集中收集分析功能其他 利旧，实现方式为：其他 □否集中管控是否建设安全管理中心：□是，实现方式为 是否划分安全管理区域：□是，实现方式为 是否有恶意代码集中管理措施□新建，实现方式为 □利旧，实现方式为 □否是否有安全策略、补丁升级集中管理措施：□新建，实现方式为 □利旧，实现方式为 □否是否有对各类安全事件进行识别、报警和分析措施：新建，实现方式为 利旧，实现方式为 □否B.3B.3B.3B.3自查项目自查情况方案中数据安全措施是否有数据采集的安全手：□是，实现方式为 □否是否有数据传输的安全手：□是，实现方式为 □否是否有数据存储的安全手：□是，实现方式为 □否是否有数据处理的安全手：□是，实现方式为 □否是否有数据交换的安全手：□是，实现方式为 □否是否有数据销毁的安全手：□是，实现方式为 □否是否有数据安全管理制度：□是□否应用安全措施□新建，使用密码技术为 密码产品为 □利旧，使用密码技术为 密码产品为 □否是□否自查项目自查情况系统名称系统所属范畴是否属于关键信息基础设施□是□是否属于重要信息系统 是□项目类型此项目类型为：□新建信息系统（含软件开发和硬件） □新建信息统（仅软件开发）□信息系统功能升级（含软件开发和硬件）□信息系统功能升级（仅软件开发）□信息系统性能升级（仅硬件）系统基本情况介绍1.此系统类别为（可多选）：□传统信息系统（不含APP) 传统信息系统(含APP)□云计算□移动互联□联网□工业控制□大数据□其它 2.此系统用户类型有 ，此系统用户数量有 ，用户分布范围：□全国□省□本地区□本单位其它 3.系统是否需24小时运行：□是□否 系统中断会造成么影响： 可容忍系统中断的时间为： 表B.3托管部署系统安全审查自查表表B.3托管部署系统安全审查自查表（续）自查项目自查情况系统基本情况介绍本单位是否已明确信息系安全等级：□未确定 □已定级别是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3专网访问 □其他 系统和网络边界情况：□联网边界 □上联边界 □下联边界外联边界，外联单位有 系统边界，对接系统有 软件开发形式：□自主软开发 □外包软件开发 □基于成熟产品定制开发上级统一下发 □购买成产品运行维护情况：□自行维护 □外包单位维护 □开单位驻场维护 □开发单位程维护系统数据情况数据内容：系统存储有哪重要数据 是否包含个人信息数据：□是□否 个人信息数据量概数）： 条是否包含儿童信息数据：□是□否 是否包含涉密数据：□是□否数据载体：□结构化数据库□大数据平台□数据湖□他 业务数据产生途径：□业务采集□互联网抓取□搜集分析外购□APP收集□网站收集□人工导入□国内共享□他 外部数据交换：是否存在内组织外数据共享：□是□共享单位及主要共享数据类型： 是否存在数据出境：□是否出境对象主体及主要出境数据类型： 安全产品及措施情况系统将部署的主要安全产品有（未在以下列举产品范围的可自行扩行补充说明）：网络防护类：□网闸（□采购□利旧□托管方提供）□防火墙（□采购□利旧□托管方提供）□WAF（□采购□利旧□托方提供） □UTM（□采购利旧□托管方提供）□IPS（□采购□利旧□托管方提供）□防毒墙/防病毒网关（□采购□利旧□托管方提供）□抗DDoS设备（□采购□旧□托管方提供）□其它 购旧）主机防护类：□防病毒软件企业版（□采购□利旧□托管方提供）□桌面终端安全软件（□采购□利旧□托管方提供）□服务器加固软（□采购□利旧□托管方提供）□其（□采购□利旧托管提供）数据安全类：□数据库审计（□采购□利旧□托管方提供） □网页篡改（□采购□利旧□托方提供）□数据脱敏系统（□采购□利旧□托管方提供）□DLP（□方提供）□灾备系（□采购□利旧□托管方提供） □其它 （□采购□利旧□托方提供）加密类：□VPN（□采购□利旧□托方提供） □加密机（□购□利旧□托管方提供）□CA（□采购□利旧□托方提供） □其它 （□采购□利旧□托管方供）自查项目自查情况安全产品及措施情况安全管理类：（□）（□）□堡垒机（□采购□利旧□托管方提供）□漏洞扫描（□采购□利旧□托管方提供）□安全管理平（□采购□旧□托管方提供）□其（□采购□利旧□管方提供）安全监测类：□入侵检测系统IDS（□采购□利旧□托管方提供）□态势感知（□采购□利旧□托管方提供）□蜜罐（□采购□利旧□管方提供） □其它 （□采购□利旧）方案结构□方案内独立的安全章节（含□网络安全总体设计方案□密码应用方案□数据安全方案）□独立的安全方案□无方案中是否包括以下内容：□网络安全建设依据 □业务数据描述□系统定级描述（二级或三级） □是否属于关键息基础设施范畴□是否属于重要信息系统 □网络拓扑图□网络边界分析 □系统部署架构□安全需求分析 □安全责任划分□网络安全设备清单 □应用系统安全能□采取的安全措施 □如有利旧，需确新建和利旧的部分网络安全经费预算□有 □否项目总预算： 万元网络安全预算： 万元网络安全预算所占比例： 网络安全预算包括：□安全建设费用预算 □安全加固费用算□代码安全测试预算/渗透测试预算 □等级测评费用算□密码应用安全性评估费用预算 □网络安全培训算□应急演练费用预算 □风险评估费用算□安全运维费用预算 □其他 托管机房情况1.托管机房物理位置托管的机房的物理位置是否位于中国境内：□是 □2.托管机房网络等级保护级别机房（含整体网络）的安全保护等级是：□第二级 三级 第四级 □尚定级用户建设方的业务应用系统的安全保护等级是否高于托管方机房（含整体网络）定级：□是□否3.托管机房等级测评情况托管的机房（含整体网络）的等级测评结论是：□优 □良 □中 □差 □符合 □基本符合符合未做等保测评自查项目自查情况用的安全措施1.区域划分系统与托管单位托管的其他系统之间是否采用隔离措施：□是，实现方式为 2.关键计算设备硬件冗余拓扑图中是否体现关键计算设备的硬件冗余：□新建，实现方式为 □利旧，实现方式为 □3.数据备份和加密方案中是否有明确哪些数据是重要数据，并对数据进行分类：□是 否方案中是否有体现重要数据备份措施（数据备份系统）：□新建，实现方式为 □利旧，实现方式为 □否如为三级（网络安全等级保护三级系统），是否有异地实时备份功能：□新建，实现方式为 ，备份地为 □利旧，实现方式为 ，备份地为 □否方案中是否有体现重要数据存储加密措施：□新建，实现方式为 □利旧，实现方式为 □否如有，加密算法是否使用国产加密算法：□是，加密算法是 □否，加密算法是 4.容灾备份方案中是否有体现重要系统进行容灾备份措施（容灾备份系统）：□新建，实现方式为 □利旧，实现方式为 □托管方提供，实现方式为 □否方案中是否有体现数据库进行容灾备份措施（容灾备份系统）：□新建，实现方式为 □利旧，实现方式为 □托管方提供，实现方式为 □否5.通信保密性是否采用校验技术或密码技术实现对数据通信的保护：□新建，实现方式为 □利旧，实现方式为 □否如有，加密算法是否使用国产加密算法：□是，加密算法是 □否，加密算法是 自查项目自查情况用的安全措施边界防护网络边界防护情况：是否冗余：□是□否是否有互联网连接：□是□否如有互联网连接，是否有外联边界防火墙：□新建□利旧□否是否有外联：□是□否如有外联，外联单位有 ，是否所有外联边界均有防火墙：□新建□利旧□是否有上联单位：□是□否如有上联，是否有上联边界防火墙：□新建□利旧 □是否有下联单位：□是□否如有下联，是否有下联边界防火墙：□新建□利旧 □是否有无线互联边界：□是□否如有，是否有无线接入安全网关：□新建 □利旧 □内部核心区域是否有防火墙：新建，实现方式为 利旧，实现方式为 □否防火墙是否具有以下功能：源端口、目的端口和协议等进行检查根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力是否有准入控制措施（准入控制系统）：□新建，实现方式为 □利旧，实现方式为 □否是否有违规外联检测/限制（违规外联检测系统）：新建，实现方式为 □利旧，实现方式为 □否是否有无线网络接入管控措施：新建，实现方式为 □利旧，实现方式为 □否入侵防范是否有检测、防止或限制从外部发起的网络攻击行为的措施（外网入侵检测设备）：新建，实现方式为 □利旧，实现方式为 托管方提供，实现方式为 否入侵检测设备是否能在发生严重事件时提供报警：□是 自查项目自查情况是否有检测、防止或限制从内部发起的网络攻击行为的措施（入侵检测设备）：□新建，实现方式为 □利旧，实现方式为 □托管方提供，实现方式为 □否入侵检测设备是否能在发生严重事件时提供报警：□是 是否有新型网络攻击行为进行检测的措施（入侵检测设备）：□新建，实现方式为 □利旧，实现方式为 □托管方提供，实现方式为 □否入侵检测设备是否能在发生严重事件时提供报警：□是 3.恶意代码防范网络边界处/关键网络节点处是否有对恶意代码进行检测和清除的措施：□新建，实现方式为 □利旧，实现方式为 □托管方提供，实现方式为 □否用的安全措施重要数据处理系统热冗余方案中是否体现重要数据处理系统的热冗余：新建，实现方式为 □利旧，实现方式为 托管方提供，实现方式为 否恶意代码防护：服务器使用的操作系统为 服务器如为Windows操作系统，是否有免受恶意代码攻击的技术措施或主动免疫可信验证机制：新建，实现方式为 □利旧，实现方式为 □否入侵防范是否具有主机入侵防护的措施（主机入侵防护软件）：新建，实现方式为 □利旧，实现方式为 □否安全基线加固是否有对网络设备、安全设备、操作系统、数据库、中间件、应用等进行安全基线加固的内容：有相关安全基线加固方案，实现方式为 _自行进行安全基线加固□采购相关安全基线加固服务的内容其他 否自查项目自查情况用的安全措施系统是否涉及APP开发：□是□否APP5.应用安全功能是否有对应用安全功能的描述：□是□否双因子鉴别功能：□有，实现方式为 □密码复杂度检测功能：□有□无登录失败处理功能：□有□无访问控制功能：□有□无安全审计功能：□有，审计内容有 □软件容错功能：□有□无数据加密存储功能：□有，实现方式为 □数据加密传输功能：□有，实现方式为 □超时退出功能：□有□无代码开发安全是否有代码安全开发的要求和描述：□是□否是否有代码安全测试：□是□否个人信息安全保护是否需收集个人信息：□是□否如有，是否明确收集个人信息的内容和理由：□是□否是否存在收集与业务无关的个人信息：□是□否是否提供有效的更正、删除个人信息及注销用户账号功能：□是□否是否建立并公布个人信息安全投诉、举报渠道：□是□否是否有APP:□是□否APP是否简明清晰的明示收集使用个人信息的目的、方式和范围：□是□否用的安全措施集中管理和监测是否对设备进行集中管理：新建，实现方式为：新购置堡垒机 □新置安全管理平台有设备集中管理功能 □其 利旧，实现方式为：利旧原有堡垒机 利原有安全管理平台 □其 托管方提供，实现方式为：□使用托管方堡垒机 使托管方安全管理平台已有的集中管理功能□是否有设备集中监控：新建，实现方式为：新建监控系统 新安全管理平台中有集中监控功能 □其他 利旧，实现方式为：利旧原有监控系统 利安全管理平台中有集中监控功能 □其他自查项目自查情况用的安全措施□托管方提供，实现方式为：□使用托管方监控系统□用托管方安全管理平台已有的集中监控功能 他 □否安全审计是否有日志审计集中收集和分析的措施（日志审计设备）：新建，实现方式为：□新建日志审计系统 □建安全管理平台中有日志集中收集分析功能□其他 □利旧，实现方式为：□使用已有日志审计系统□使用已有安全管理平台中的日志集中收集分析功能□其他 □托管方提供，实现方式为：□使用托管方日志审计系统□使用托管方安全管理平台已有的日志集中收集功能□其他 □否集中管控是否建设安全管理中心：□是，实现方式为 是否划分安全管理区域：□是，实现方式为 是否有恶意代码集中管理措施□新建，实现方式为 □利旧，实现方式为 □否是否有安全策略、补丁升级集中管理措施：□新建，实现方式为 □利旧，实现方式为 □托管方提供，实现方式为 □否是否有对各类安全事件进行识别、报警和分析措施：□新建，实现方式为 □利旧，实现方式为 □托管方提供，实现方式为 □否方案中数据安全措施是否有数据采集的安全手：□是，实现方式为 □否是否有数据传输的安全手：□是，实现方式为 □否是否有数据存储的安全手：□是，实现方式为 □否是否有数据处理的安全手：□是，实现方式为 □否是否有数据交换的安全手：□是，实现方式为 □否是否有数据销毁的安全手：□是，实现方式为 □否是否有数据安全管理制度：□是□否自查项目自查情况应用安全措施□新建，使用密码技术为 密码产品为 □利旧，使用密码技术为 密码产品为 □托管方提供，使用密码技术为 使用密码产为 □否是□否B.4表B.4政务云部署系统安全审查自查表自查项目自查情况系统名称系统所属范畴是否属于关键信息基础设施□是□否是否属于重要信息系统 是□否项目类型此项目类型为：□新建信息系统（仅软件开发，政务云平台提供所有安全措施）□新建信息系统（软件开发，自建部分安全措施，政务云平台提供部分安全措施）□信息系统功能升级（仅软件功能）□信息系统功能升级（仅安全措施升级）□信息系统功能升级（软件功能和安全措施升级）系统基本情况介绍1.此系统类别为（可多选）：□传统信息系统（不含APP) □传统信息系统(含APP)□云计算□移动互联□联网□工业控制□大数据□其它 2.此系统用户类型有 ，此系统用户数量有 ，用户分布范围：□全国□省□本地区□本单位其它 系统是否需24小时运行：□是□否 系统中断会造成么影响： 可容忍系统中断的时间为： 本单位是否已明确信息系安全等级：□未确定 □已定级别是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3专网访问 □其他 系统和网络边界情况：□联网边界 □上联边界 □下联边界□外联边界，外联单位有 系统边界，对接系统有 软件开发形式：□自主软开发 □外包软件开发 基于成熟产品定制开发□级统一下发购买成熟产品运行维护情况：□自行维护 □外包单位维护 □开单位驻场维护 □开发单位程维护表B.4政务云部署系统安全审查自查表表B.4政务云部署系统安全审查自查表（续）自查项目自查情况系统数据情况数据内容：系统存储有哪重要数据 是否包含个人信息数据：□是□否 个人信息数据量概数）： 条是否包含儿童信息数据：□是□否 是否包含涉密数据：□是□否数据载体：□结构化数据库□大数据平台□数据湖□他 业务数据产生途径：□业务采集□互联网抓取□搜集分析□外购□APP收集□网站收集□人工导入□国内共享□他 外部数据交换：是否存在内组织外数据共享：□是□共享单位及主要共享数据类型： 是否存在数据出境：□是否出境对象主体及主要出境数据类型： 安全产品及措施情况系统将部署的主要安全产品有（未在以下列举产品范围的可自行扩行补充说明）：网络防护类：□防火墙（□采购□利旧政务云提供） □入侵检测/防御（□采购□利旧□政云提供）□防毒墙/防病毒网（□采购□利旧□政务云提供） 抗DDoS设备（□采购□利旧□政云提供）□其它 （□采购利旧□托管方提供主机防护类：□防病毒软件企业版（□采购□利旧□政务云提供）□服务器加固软件（□采购□利旧□政务云提供）□其它 （□采购利旧□政务云提供数据安全类：□数据库审计（□采购□利旧□政务云提供） □网页篡改（□采购□利旧□政云提供）□数据脱敏系统（□采购□利旧□政务云提供）□DLP（□云提供）□灾备系统（□采购□利旧□政务云提供）□其它 （□采购□利旧□政云提供加密类：□VPN（□采购□利旧□政务云提供）□加密机（□采购□利旧□政务云提供）□CA（□采购□利旧□政云提供）□其它 （□采购□利旧□政务云提安全管理类：（□采购□利旧□政务云提供）（□□堡垒机（□采购□利旧政务云提供） □漏洞扫描（□采购□利旧□政务云提）□安全管理平（□采购□利旧□政务云提供）□其它 （□采购□利旧□务云提供安全监测类：IDS（□）□蜜罐（□采购□利旧政务云提供）□其它 （□采购□利旧）方案结构□方案内独立的安全章节（含□网络安全总体设计方案□密码应用方案□数据安全方案）□独立的安全方案□无方案中是否包括以下内容：□网络安全建设依据 □业务数据描述□系统定级描述（二级或三级） □是否属于关键息基础设施范畴□是否属于重要信息系统 □网络拓扑图□网络边界分析 □系统部署架构□安全需求分析 □安全责任划分□网络安全设备清单 □应用系统安全能□采取的安全措施 □如有利旧，需确新建和利旧的部分自查项目自查情况网络安全经费预算□有 □否项目总预算： 万元网络安全预算： 万元网络安全预算所占比例： 网络安全预算包括：□安全建设费用预算 □安全加固费用算□代码安全测试预算/渗透测试预算 □等级测评费用算□密码应用安全性评估费用预算 □网络安全培训算□应急演练费用预算 □风险评估费用算□安全运维费用预算 □其他 用的安全措施数据备份和加密方案中是否有明确哪些数据是重要数据，并对数据进行分类：是 □否方案中是否有体现重要数据备份措施（数据备份系统）：□新建，实现方式为 □利旧，实现方式为 □否如为三级（网络安全等级保护三级系统），是否有异地实时备份功能：□新建，实现方式为 ，备份地为 □利旧，实现方式为 ，备份地为 □否方案中是否有体现重要数据存储加密措施：□新建，实现方式为 □利旧，实现方式为 □否如有，加密算法是否使用国产加密算法：□是，加密算法是 □否，加密算法是 2.容灾备份方案中是否有体现重要系统进行容灾备份措施（容灾备份系统）：新建，实现方式为 □利旧，实现方式为 否方案中是否有体现数据库进行容灾备份措施（容灾备份系统）：□新建，实现方式为 □利旧，实现方式为 □否通信保密性是否采用校验技术或密码技术实现对数据通信的保护：新建，实现方式为 □利旧，实现方式为 □否如有，加密算法是否使用国产加密算法：□是，加密算法是 □否，加密算法是 自查项目自查情况用的安全措施入侵防范是否有检测、防止或限制从外部发起的网络攻击行为的措施（外网入侵检测设备）：是，实现方式为 □政务云提供，实现方式为 □否是否能在发生严重事件时提供报警：□是 □是否有新型网络攻击行为进行检测的措施：是，实现方式为 □政务云提供，实现方式为 □否是否能在发生严重事件时提供报警：□是 □否用的安全措施重要数据处理系统热冗余方案中是否体现服务器的冗余：是，实现方式为 □否□是，实现方式为 □否恶意代码防护：服务器使用的操作系统为 服务器如为Windows操作系统，是否有免受恶意代码攻击的技术措施或主动免疫可信验证机制：□新建，实现方式为 □利旧，实现方式为 □否入侵防范是否具有主机入侵防护的措施（主机入侵防护软件）：新建，实现方式为 □利旧，实现方式为 □否安全基线加固是否有对网络设备、安全设备、操作系统、数据库、中间件、应用等进行安全基线加固的内容：有相关安全基线加固方案，实现方式为 □自行进行安全基线加固□采购相关安全基线加固服务的内容其他 否系统是否涉及APP开发：□是□否如有，是否有APP安全加固的内容：□是□否自查项目自查情况用的安全措施应用安全功能是否有对应用安全功能的描述：□是□否双因子鉴别功能：□有，实现方式为 □密码复杂度检测功能：□有□无登录失败处理功能：□有□无访问控制功能：□有□无安全审计功能：□有，审计内容有 □软件容错功能：□有□无数据加密存储功能：□有，实现方式为 □数据加密传输功能：□有，实现方式为 □超时退出功能：□有□无代码开发安全是否有代码安全开发的要求和描述：□是□否是否有代码安全测试：□是□否个人信息安全保护是否需收集个人信息：□是□否如有，是否明确收集个人信息的内容和理由：□是□否是否存在收集与业务无关的个人信息：□是□否是否提供有效的更正、删除个人信息及注销用户账号功能：□是□否是否建立并公布个人信息安全投诉、举报渠道：□是□否是否有APP:□是□否APP是否简明清晰的明示收集使用个人信息的目的、方式和范围：□是□否用的安全措施集中管理和监测是否对设备进行集中管理：新建，实现方式为：□新购置堡垒机 □新置安全管理平台有设备集中管理功能 他 □利旧，实现方式为：□利旧原有堡垒机 □利原有安全管理平台 □其 □否是否有设备集中监控：新建，实现方式为：□新建监控系统 新安全管理平台中有集中监控功能 □其他 利旧，实现方式为：□利旧原有监控系统利安全管理平台中有集中监控功能 □其他 否自查项目自查情况用的安全措施安全审计是否有日志审计集中收集和分析的措施（日志审计设备）：新建，实现方式为：□新建日志审计系统 □新安全管理平台中有日志集中收集分析功能□其他 利旧，实现方式为：□使用已有日志审计系统□使用已有安全管理平台中的日志集中收集分析功能□其他 □否集中管控是否建设安全管理中心：□是，实现方式为 是否划分安全管理区域：□是，实现方式为 是否有恶意代码集中管理措施□新建，实现方式为 利旧，实现方式为 方案中数据安全措施是否有数据采集的安全手：□是，实现方式为 □否是否有数据传输的安全手：□是，实现方式为 □否是否有数据存储的安全手：□是，实现方式为 □否是否有数据处理的安全手：□是，实现方式为 □否是否有数据交换的安全手：□是，实现方式为 □否是否有数据销毁的安全手：□是，实现方式为 □否是否有数据安全管理制度：□是□否应用安全措施□新建，使用密码技术为 密码产品为 □利旧，使用密码技术为 密码产品为 □政务云提供，使用密码技术为 使用密码产为 □否□是□否B.5表B.5混合部署系统安全审查自查表自查项目自查情况系统名称系统所属范畴是否属于关键信息基础设施□是□是否属于重要信息系统 是□项目类型此混合型项目类型为：□本地部署+托管部署 □地部署+政务云部署□托管署+政务云部署□本地部署+托管部署+政务部署 □其他 此混合型项目具体类型为：□新建机房 □机房改造 □网络扩容 □网络改造 □新建网络□新建信息系统（仅软件）□新建信息系统（含软件和硬件）□信息系统性能升级（仅软件）□信息系统功能升级（仅硬件）□信息系统功能升级（含软件和硬件）系统基本情况介绍1.此系统类别为（可多选）：□传统信息系统（不含APP) □传统信息系统(含APP)□云计算□移动互联□联网□工业控制□大数据□其它 2.此系统用户类型有 ，此系统用户数量有 ，用户分布范围：□全国□省□本地区□本单位其它 系统是否需24小时运行：□是□否 系统中断会造成么影响： 可容忍系统中断的时间为： 本单位是否已明确信息系安全等级：□未确定 □已定级别是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3专网访问 □其他 系统和网络边界情况：□联网边界 □上联边界 □下联边界□外联边界，外联单位有 □系统边界，对接系统有 软件开发形式：□自主软开发 □外包软件开发 基于成熟产品定制开发 □级统一下发购买成熟产品运行维护情况：□自行维护 □外包单位维护 □开单位驻场维护 □开发单位程维护系统数据情况数据内容：系统存储有哪重要数据 是否包含个人信息数据：□是□否 个人信息数据量概数）： 条是否包含儿童信息数据：□是□否 是否包含涉密数据：□是□否数据载体：□结构化数据库□大数据平台□数据湖□他 业务数据产生途径：□业务采集□互联网抓取□搜集分析□外购□APP收集网站收集□人工导入□内共享□其他 4.外部数据交换：是否存在内组织外数据共享：□是□否共享单位及主要共享数据类型： 是否存在数据出境：□是否出境对象主体及主要出境数据类型： 表B.5混合部署系统安全审查自查表表B.5混合部署系统安全审查自查表（续）自查项目自查情况安全产品及措施情况系统将部署的主要安全产品有（未在以下列举产品范围的可自行扩行补充说明）：网络防护类：□网闸（□采购□利旧）□防火墙（□采购□利旧）□WAF（□采购□利旧）□UTM（□采购□利旧）□入侵防御系统IPS（□采购□利旧）□防毒墙/防病毒网关（□采购□利旧）□抗DDoS设备（□采购□利旧）□准入控制系统（□采购□利旧）□防非法外联系统（□采购□利旧）□其它 （□采购利旧主机防护类：□防病毒软件企业版（□采购□利旧）□桌面终端安全软件（□采购□利旧）□服务器加固软件（□采购□利旧）□其它 （□采购□利旧数据安全类：□数据库审计（□采购□利旧）□网页防篡改（□采购□利旧）□数据脱敏系统（□采购□利旧）□DLP数据防泄漏系统（□采购□利旧）□灾备系统（□采购□利旧）□其它 （□采购利旧加密类：□VPN（□采购□利旧）□加密机（□采购□利旧）□CA（□采购□利旧）□其它 （□采购利旧安全管理类：□安全审计系统（□采购□利旧） □安全监控系统（□购□利旧）□堡垒机（□采购□利旧） □漏洞扫描（□采购□利旧）安全管理平台（□采购□旧） □上网行为管理（□购□利旧）其它 （□采购利旧安全监测类：□入侵检测系统IDS（□采购□利旧）□态势感知（□采购□利旧）□蜜罐（□采购□利旧）其它 （□采购□旧之后安全维护情况：□自行维护 □外包安全服商维护 □安全厂商维护□其他 方案结构□方案内独立的安全章节（含□网络安全总体设计方案□密码应用方案□数据安全方案）□独立的安全方案□无方案中是否包括以下内容：□网络安全建设依据 □业务数据描述□系统定级描述（二级或三级） □是否属于关键息基础设施范畴□是否属于重要信息系统 □网络拓扑图□网络边界分析 □系统部署架构□安全需求分析 □安全责任划分□网络安全设备清单 □应用系统安全能□采取的安全措施 □如有利旧，需确新建和利旧的部分自查项目自查情况网络安全经费预算□有 □否项目总预算： 万元网络安全预算： 万元网络安全预算所占比例： 网络安全预算包括：□安全建设费用预算 □安全加固费用算□代码安全测试预算/渗透测试预算 □等级测评费用算□密码应用安全性评估费用预算 □网络安全培训算□应急演练费用预算 □风险评估费用算□安全运维费用预算□其他 用的安全措施网络区域划分拓扑图中是否体现按照功能进行区域划分：□是，实现方式为 □区域之间是否采用隔离措施:□是，实现方式为 □2.线路硬件冗余拓扑图中是否体现通信线路的冗余：新建，实现方式为 □利旧，实现方式为 □否拓扑图中是否体现关键网络设备的硬件冗余：□新建，实现方式为 □利旧，实现方式为 □否拓扑图中是否体现关键计算设备的硬件冗余：□新建，实现方式为 □利旧，实现方式为 □否数据备份和加密方案中是否有明确哪些数据是重要数据，并对数据进行分类：是 □否方案中是否有体现重要数据备份措施（数据备份系统）：□新建，实现方式为 □利旧，实现方式为 □否如为三级（网络安全等级保护三级系统），是否有异地实时备份功能：□新建，实现方式为 ，备份地为 □利旧，实现方式为 ，备份地为 _□否自查项目自查情况用的安全措施方案中是否有体现重要数据存储加密措施：□新建，实现方式为 □利旧，实现方式为 □否如有，加密算法是否使用国产加密算法：□是，加密算法是 □否，加密算法是 4.容灾备份方案中是否有体现重要系统进行容灾备份措施（容灾备份系统）：新建，实现方式为 □利旧，实现方式为 □否方案中是否有体现数据库进行容灾备份措施（容灾备份系统）：□新建，实现方式为 □利旧，实现方式为 否通信保密性是否采用校验技术或密码技术实现对数据通信的保护：新建，实现方式为 利旧，实现方式为 □否如有，加密算法是否使用国产加密算法：□是，加密算法是 □否，加密算法是 6.边界防护网络边界防护情况：是否冗余：□是□否是否有互联网连接：□是□否如有互联网连接，是否有外联边界防火墙：□新建□利旧□否是否有外联：□是□否如有外联，外联单位有 ，是否所有外联边界均有防火墙：□新建□利旧□是否有上联单位：□是□否如有上联，是否有上联边界防火墙：□新建□利旧 □是否有下联单位：□是□否如有下联，是否有下联边界防火墙：□新建□利旧 □是否有无线互联边界：□是□否如有，是否有无线接入安全网关：□新建 □利旧 □内部核心区域是否有防火墙：新建，实现方式为 利旧，实现方式为 □否自查项目自查情况用的安全措施防火墙是否具有以下功能：□源端口、目的端口和协议等进行检查□根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能