DB3205-T 1042-2022 数字政府 城市网络安全评价指标体系

DB3205苏 州 市 地 方 标 准

数字政府 城市网络安全评价指标体系

发布

实施苏州市市场监督管理局发布

....................................................................................................................................................................... .....................................................................................................................................................................

...................................................................................................................................................................

...............................................................................................................................................

.......................................................................................................................................................

...............................................................................................................................................................

...........................................................................................................................................................

...................................................................................................................................................

...............................................................................................................................

...............................................................................................................................

...............................................................................................................

...............................................................................................................................

.......................................................................................................................................

...........................................................................................................................................................

.......................................................................................................................................

...................................................................................................................................

.......................................................................................................................

...............................................................................................................................................

.......................................................................................................................................

...............................................................................................................................................

...................................................................................................................................................

...........................................................................................................................

...............................................................................................................................

...............................................................................................................................

...........................................................................................................................................................

...............................................................................................................................

...............................................................................................................................

...............................................................................................................................

.........................................................................................................................................................

.............................................................................................................................

.............................................................................................................................................

.........................................................................................................................................

.....................................................................................................................................

........................................................................................................................

.............................................................................................................................. ...............................................................................................................................................................

本文件按照GB/T

ICT供应链安全风险管理指南

根据国家网络安全等级保护制度相关要求，监管测评机构参考GB/T

指导监督区域重要系统或关键信息基础设施ICT供应链安全管理工作，通过专业工作小组按照GB/T

针对网络安全产品创新、技术创新、应用创新等方面促进政策的制定与落实。

10

= (

)M

D

=(

)D

S

= (

)S

X

=

1

1

X

y

m

2、依据法律法规及区域特点，建立

供应链安全、政府采购安全、外3、通过制度及财力、物力、人力保障各种审查工作实施，落实各类审查5、建立并维护等级保护、关键信息基础设施保护、安全审查、应急管理

1、公安部门有完善的定级备案制度，对每一年度定级备案情况有详细的2、定级过程中有相关专家参与，专家参与形式通过随机抽取。3、公安部门近两年开始，对区域内的云计算平台、物联网、工业控制系

1、网络安全等级测评报告按照

2、区域相关部门，为运营者等级测评中发现的安全问题整改，提供流程

1、根据国家法律法规要求，制定关键信息基础设施识别范围清单，设置2、保护工作部门结合行业、领域实际情况，充分发挥相关专家作用，对

具体实施细则可参考表B.1的示例。针对当地网络空间的特殊领域进行评价，可根据其特殊性适当调整指标项和相应的评价内容。其中，评价内容参考公式（A.4）进行计算，得出评价内容满足程度；然后将评价内容满足程度乘以对应3级指标的分值，得出该3级指标的评价分值；最后将所有3级指标的评价

3、公安部门统筹并维护辖区内关键信息基础设施资源库，资源库能覆盖

1、监督关键信息基础设施运营者根据制度规范，建立健全安全保护责任2、对关键信息基础设施施行分级分类保护策略，优先保障能源、电信及

1、参照国家信创工作要求，统筹关键信息基础设施运营者，建立信息化2、关键信息基础设施保护工作部门在本行业、本领域建立不低于国家信

3、根据检查评估结果，制定并完善供应商名录，形成区域供应商黑白名

1、按照网络安全同步规划、同步建设、同步运行原则，要求政府采购计

2、统筹各单位，制定运维费用的网络安全占比基线，财政项目评审及专

1、成立专业工作小组，对中国企业收购外资企业活动企业跨国收购活动2、成立专业工作小组，对外资企业收购中国企业活动展开法律法规合规

1、根据信息安全和相关产品审查制度规范，评估采购的关键网络产品和2、对发生重大安全事故的网络运营者，以书面强制开展网络安全审查，

1、根据《国家网络安全事件应急预案》(中网办发文〔2017〕4

号)制定3、根据网络安全事件类型、级别，统筹协调应急工作中各网络运营者、

1、统筹运营者、产品与服务提供者建立城市应急演练计划，每两年组织

2、建立联动机制，网络犯罪防范体系纵向与国家级及省部级相关单位紧

1、建立城市网络犯罪侦查、研判和溯源在内的打击体系。2、成立由各级监管机构、电信和金融等关键企业组成的联合工作组，针

1、依据国家相关规范，建立本地威胁情报的存储规范、管理规范，以及2、跟踪国内外权威威胁情报平台的进展情况，建立威胁情报时效性管理3、制订威胁预警流程，及时审核和发布威胁预警信息。

1、建立与完善城市漏洞库，整合当地安全事件中的漏洞信息。2、汇总高可信应急响应平台发布的漏洞报告和软硬件缺陷预警信息，及3、按照国家及省内相关要求制订漏洞披露流程，定期向社会发布漏洞、

1、成立由各级监管机构组成的工作组，有效的组织网络安全事件监测管2、制定网络安全事件的监测和报送流程，实现跨地区、跨部门、跨行业3、制定城市范围内监测策略、监测内容、预警分级标准、预警流程，重4、组建专门从事监测预警的专业技术团队。

1、成立由各级监管机构组成的工作组，有效的组织网络安全事件评估管2、建立专门的安全事件研判团队，对网络安全事件进行分析评估，研判3、建立安全威胁分析平台，对安全事件中发现的威胁信息进行关联，争

1、建立城市网络安全事件管理制度，明确城市内网络安全事件管理的主2、制定城市内部的网络安全事件应急处置操作规程，明确技术方法和工3、建立专门的技术团队，能够对城市内的网络安全事件进行处理。4、建立事件响应的自动化处理平台，能够快速的将危害关键业务的安全

1、成立由各级监管机构组成的工作组，规范城市内政府部门和企业的网2、建立城市内统一的威胁情报结构规范。

1、成立由各级监管机构组成的安全大数据协同工作组，组织城市内各部2、建立安全大数据平台，完成安全大数据的全生命周期管理，按照相关

1、发现与识别城市范围内网络空间设施、服务和关键数据等资源，绘制2、构建城市网络空间资产清单，并基于

资产活动的监测，及时

1、监测与综合分析城市中个人网络用户在终端上遭遇的各种主要的网络2、监测与综合分析城市中各政府部门和各企业暴露在互联网上的网站、

3、建立包含城市现有安全防护机制、安全大数据平台、安全专家团队、

1、建设城市级网络安全基础设施，可包括但不限于威胁情报中心、地图2、配置安全专家团队对网络安全基础设施开展持续运营，以安全服务形

1、按照国家数据分类分级要求和规定进行本地区和相关行业的数据分类3、对不同类别和级别的数据建立相应的访问控制、

数据加解密、

5、为城市公共数据建立成熟稳定的存储媒体和设备安全管理、备份恢复

1、建立数据安全流通管理制度和技术保护措施。密传输要求,包含对数据加密算法的要求和密钥的管理要求。3、基于可流通数据目录，建设可信的城市数据流通交易平台，保障数据

1、梳理城市数据应用场景，建设城市大数据安全计算平台，保障数据应2、组织开展对当地重要数据处理活动的数据安全审计。

1、建立网络安全宣传工作的执行机构。2、制定全民网络安全宣传工作的执行方案。3、网络安全宣传工作覆盖人群同比上升。4、提升各类人群网