《信息安全技术 政务网站系统安全指南-编制说明.》

一、工作简况

1、任务来源

《WG5工作组第2次会议（2018）工作组会议纪要》指出，为有效应对政

府网站入云等新型运营模式，以及网站服务对象多元化、系统结构复杂化和数据

集中化等应用新形势，切实保障政府网站系统安全运行，建议着力完善当前政府

网站类安全标准。

经中国国家标准化管理委员会批准，全国信息安全标准化技术委员会

（SAC/TC260）主任办公会讨论通过，研究修订GB/T31506-2015《政府门户网

站安全技术指南》国家标准。根据《全国信息安全标准化技术委员会关于2019

年网络安全标准项目立项的通知》（信安秘字[2019]050号），该项目由全国信

息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由北京信

息安全测评中心负责主办。

2、起草单位

在接到标准的任务后，北京信息安全测评中心立即与相关机构、厂商进行沟

通，并得到了政府网站运营机构、高校、业内知名厂商及测评机构的积极参与和

反馈。经筛选，最后确定由中电数据服务有限公司、首都之窗运营管理中心、中

电长城网际系统应用有限公司、黑龙江省测评中心、北京市城乡经济信息中心、

杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、桂林电子科技

大学、北京神州绿盟信息安全科技股份有限公司、新华三技术有限公司、深圳开

源互联网安全技术有限公司、武汉网安教育科技有限公司、国家应用软件产品质

量检测检验中心、北京数字认证股份有限公司、湖北省标准化与质量研究院、国

家工业信息安全发展研究中心、北京北信源软件股份有限公司、江苏省信息安全

测评中心、陕西省信息化工程研究院、国家计算机网络应急技术处理协调中心、

江远盛邦（北京）网络安全科技有限公司、恒安嘉新（北京）科技股份公司、山

谷网安科技股份有限公司、北京知道创宇信息技术股份有限公司和陕西省网络与

信息安全测评中心等单位共同参与编制。

3、主要工作过程

(一)标准制定的主要工作过程如下：

1）工作启动

1

2018年10月，北京信息安全测评中心联合政府网站运营单位、业内知名安

全服务厂商、科研机构及测评机构等组建标准编制组，编制组成员具有丰富的标

准编制经验、政务领域网络安全研究经验、信息系统安全控制研究等经验。

编制组内部制定编制工作计划，并明确了例会工作制，以便及时沟通交流工

作情况。

2）基础调研

2018年11月-12月，编制组研究分析了我国政府网站方面的相关政策和标

准文件，包括《国务院办公厅关于印发政府网站发展指引的通知》（国办发〔2017〕

47号）《关于加强党政机关网站安全管理的通知》（中网办发〔2014〕1号）《国

务院办公厅关于加强政府网站域名管理的通知》（国办函〔2018〕55号）《政

府网站集约化试点工作方案》（国办函〔2018〕71号）《深化“互联网+政务服

务”推进政务服务“一网、一门、一次”改革实施方案》（国办函〔2018〕45

号）以及《云计算服务安全评估办法》《国家网络安全事件应急预案》《信息安

全技术云计算服务安全指南》《信息安全技术云计算服务安全能力要求》《信

息安全技术个人信息安全规范》《信息安全技术网络安全等级保护基本要求》

等。

在此基础上，编制组分析了国内外政府网站发展现状、安全保护情况以及存

在的问题，提出了标准修订思路，以及政府网站安全控制要求，形成标准修订研

究报告（见附件1）。

3）初步明确修订方向

2018年12月30日，在北京组织召开专家研讨会，会上，专家基于前期研

究成果，提出修改意见，明确增加安全管理的内容，且提出应结合政府网站逐步

向移动端扩展的应用趋势，增加移动安全方面的适应性内容。

会后编制组根据专家意见形成标准修订框架。

4）确定标准适用范围

2019年1-3月，编制组针对标准修订框架，经过多次内部讨论和研究后，

按照组内分工，开展具体的编制工作，形成标准草案第1稿。

2019年4月10日，在北京组织召开专家意见会，会上，专家肯定了标准分

级、增加安全管理、移动安全等方面的内容，并针对数据安全方面提出了修改意

2

见，建议突出个人信息保护等方面的内容。会后编制组开会讨论，根据专家意见

修改标准草案第1稿的内容。

2019年4月，北京信息安全测评中心代表编制组，在宁波标准会议周上进

行了项目申报情况的汇报，并针对WG1组专家提出的标准适用范围等问题进行了

书面说明（见附件2），明确了该标准服务对象为政府网站。标准最终顺利通过

全国信息安全标准化技术委员会WG5组会议讨论，获得全国信息安全标准化技术

委员会立项。

2019年5-9月，标准编制组继续研究讨论，根据标准周上专家及参会企业

意见对标准草案进行进一步修订，重新梳理了技术内容和管理内容的组织架构，

形成标准草案第2稿。

2019年10月11日，WG5工作组召开的《信息安全技术智能门锁安全技术要

求和测试评价方法》等17项国家标准研讨会上进行汇报，与会专家认为标准内

容中“应”的表述过多，建议根据指南类标准的编写要求进行调整。会后编制组

根据专家意见继续修改标准草案第2稿的相关内容

5）扩充编制组，调整标准结构

2019年10月，按照《全国信息安全标准化技术委员会标准参与单位管理办

法（暂行）》要求，公开征集参编单位，扩充编制力量。

2019年10月17日，编制组在北京组织召开项目启动会。会上，WG5工作组

领导、全国信安标委秘书处、业内专家等提出按照《网络安全等级保护基本要求》

等国家标准，梳理文本组织架构，落地和细化《网络安全法》、等级保护相关国

家要求，突出政府网站的特点，落实主管部门的要求等。

会后，编制组根据WG5及专家意见，重新调整了标准内容的组织结构，形成

标准草案第3稿。

6）标准申请更名

2019年10月27日，北京信息安全测评中心代表编制组，在重庆标准会议

周上就标准草案编制情况进行了汇报，提出将标准名称拟变更为《信息安全技术

政府网站系统安全指南》。2019年12月17日，WG5工作组在北京召开了专家会，

与会专家和WG5工作组经过讨论后建议依据GB/T1.1的要求，充分考虑与《网

络安全等级保护基本要求》等国家标准的对应关系等，明确本标准作为“指南”

3

类标准继续修订其内容。

2019年12月，编制组根据专家意见，经过多次讨论，从“适应我国政府网

站发展应用的趋势”、“落实我国政府网站政策要求，解决实际工作需求”、“符

合标准化工作规定，满足国家相关法规要求”等方面，提出了将标准名称变更为

《信息安全技术政府网站系统安全指南》的书面申请（见附件3）。

7）草案修改

根据2019年重庆会议周期间WG5工作组内专家意见，编制组结合2019年

10月通过的《中华人民共和国密码法》等国家法规要求，进一步完善标准内容，

形成了标准草案第4稿。

2020年5月8日，WG5工作组召开了国家标准专家审查会，与会专家提出了

增加抗拒绝服务攻击等方面的内容。会后编制组根据专家意见及时补充修改了标

准草案中相关内容。

2020年5月13日，按照WG5工作组统一安排，北京信息安全测评中心主持

召开了《政府网站系统安全指南》（修订）线上研讨会，讨论时长约3个小时，

共有包括等艾特塞克、东软、卫士通、德勤、中国联通、启明星辰、中国药学会、

北京市文旅局等27家单位的31位代表参会。会上从政府信息化部门人员短缺、

网站集约化改革安全需求不明确等工作中面临的实际困难出发进行了充分的讨

论，针对产品和服务采购优先级、人员角色及权限的明确区分，国密算法的支持、

容器等新兴云计算应用等内容的修改，共形成17条修改意见，其中2条因涉及

具体产品和服务品牌采购所以未采纳，3条需要进一步研究并继续征求政府信息

化部门意见后再进行修改，12条采纳并已根据意见修改了标准内容。

2020年5月15日，北京信息安全测评中心代表编制组，在通过华为云会议

召开的标准会议周上就标准草案更名后的编制情况进行了汇报，标准顺利通过

WG5组工作组全体会议的讨论和审议，编制组根据会上意见进行修改完善，形成

了征求意见稿。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、编制目的

近年来，随着“互联网+”的迅速发展，人们的生活方式发生了巨大改变，

我国政府及时转变传统的政务服务观念，大力推广“互联网+政务服务”模式，

4

政府网站建设立足以人为本，为民办事，及时动态地向公众展示政府信息，随时

接受公众的咨询和监督，同时加大对新型技术平台的投入，依托政府资源优势，

实现了多渠道政务信息公开和办公服务。根据《国务院办公厅关于印发政府网站

发展指引的通知》（国办发〔2017〕47号）精神，政府网站作为政府信息公开

的主渠道和“互联网+政务”的重要实践载体，其提供的政务服务模式主要有

两种类型：一是依托省级政府门户网站的在线办事栏目向公众提供各种行政事项

服务。二是构建政府政务服务网或“一站式”办事大厅和省、市、县（区）多级

联动的公共服务网上平台。

因此，为了适应我国政府“互联网+政务服务”的变化趋势，落实相关政府

网站政策要求，支撑主管部门安全检查工作，解决政府信息化部门实际工作需求，

同时适应云计算、移动互联、大数据等新技术、新应用在政府网站系统中的应用，

以及完善我国网络安全标准体系中针对政府网站安全建设和管理的标准规范，修

订后的GB/T31506标准名称变更为《信息安全技术政府网站系统安全指南》。

标准给出了政府网站系统的基本结构，提出在“一个中心，三重防御”思想指导

下，对政府网站系统实施安全防护时可采取的安全技术措施和安全管理措施，标

准适用于指导政府部门开展网站系统安全防护工作，也可作为对政府网站系统实

施安全监督管理和评估检查的依据。

2、编制原则

本标准的修订工作遵循以下原则：

以风险防控为核心：坚持维护政府网站安全为根本理念，提高云计算等新技

术下政务网站应用的风险防范能力，关注安全措施使用、运行维护、应急响应、

隐私防护等方面的安全保障。

以协调一致为基础：以推进标准应用为前提，确保标准与现有政府网站服务

模式相协调，与现行政策标准相兼容，与政府监管要求相一致。

以规范适应为目标：以促进政府信息化发展为宗旨，提炼共性、基础性安全

要求，兼顾部委、地方等政务应用的不同需求，提升标准适用性。

3、编制依据

本标准修订过程主要依据和参考文献如下：

序号名称类型

5

1GB/T8566-2007信息技术软件生存周期过程标准

2GB/T22240-2008信息安全技术信息系统安全等级保护定级指南标准

3GB/T25069-2010信息安全技术术语标准

4GB/T31167-2014信息安全技术云计算服务安全指南标准

5GB/T31168-2014信息安全技术云计算服务安全能力要求标准

6GB/T32925-2016信息安全技术政府联网计算机终端安全管理基本要求标准

7GB/T33562-2017信息安全技术安全域名系统实施指南标准

8GB/T35273-2020信息安全技术个人信息安全规范标准

9GB/T37002-2018信息安全技术电子邮件系统安全技术要求标准

10GB50174-2017数据中心设计规范标准

11NISTSP800-137InformationSecurityContinuousMonitoring(ISCM)标准

forFederalInformationSystemsandOrganizations，2011

12国务院办公厅关于印发政府网站发展指引的通知国办发〔2017〕47号政策

13国务院办公厅关于加强政府网站域名管理的通知国办函〔2018〕55号政策

14政府网站集约化试点工作方案国办函〔2018〕71号政策

15中共中央办公厅国务院办公厅关于印发《金融和重要领域密码应用与创新政策

发展工作规划（2018-2022年）》的通知厅字[2018]36号

16国家密码管理局关于组织开展金融和重要领域密码应用专项检查的通知政策

国密局字[2018]423号

17《关于做好密码应用安全性评估试点期间安全保密工作的通知》国密局字政策

[2018]290号

5、确定主要内容的论据及解决的主要问题

本标准在确定主要内容时主要基于如下方面：

1）修订思路

结合云计算、大数据应用发展下我国电子政务的职能转变，分析政府网站面

临的安全风险和安全管理中遇到的挑战，研究政府网站的功能定位、体系架构，

重点从以下方面修订标准的主要内容：

a.政府网站的展现形式、职能定位、功能构成等，以及与之相适应的网站

6

技术体系架构组成等；

b.政府网站的服务模式，以及新应用新模式带来的安全问题，包括移动应

用、主流互联网应用中的传输协议，用户行为监控，数据保护和信息发

布的安全措施等。

c.依托云计算平台部署和运行的政府网站,虚拟计算、虚拟网络、虚拟存储

技术的应用和带来的资源隔离、边界防护、数据访问控制等安全问题；

d.网站应用系统部署和实施中使用到的新技术，如CDN、域名系统、开源

软件带来的代码和使用安全等问题；

e.原标准文本中技术指标与当下技术应用趋势、法规政策不适应的问题，

如网站访问量、服务用户数、网络带宽、日志保存时长等具体技术指标。

f.与国家政策、标准的一致性问题，如网络安全法、个人信息保护要求、

网站标识管理、域名管理、国产化要求等。

g.政府网站安全管理体系建立，包括网站运营的职责划分、人才队伍建设、

外包服务管理、供应链管理、运维监控、预警处置、合规检查等方面的

内容。

2）内容变化

本标准与GB/T31506-2015的主要变化如下：

——将标准名称变更为《信息安全技术政府网站系统安全指南》，适用于

政府门户网站、政务服务网、“一站式”办事大厅和公共服务网上平台等信息系

统，同时增加了安全管理措施；

——以“一个中心，三重防御”思想指导，调整分类为物理安全、通信网络、

区域边界、计算环境、安全管理中心、管理制度、管理机构、人员和培训、开发

与交付、运行维护、评估检查、系统退出；

——调整各分类中具体安全防护措施内容，以适应政府网站上云、移动应用

等新模式；

——删除了2015版中的规范性附录A,本文件中增加了附录A提出政府网站

系统安全措施级别选择方法，增加了附件B描述政府网站系统基本结构，增加了

附录C以表格形式列举了基本、增强级的差异。

2）标准的文本结构

7

本标准依据GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构

和起草规则的要求进行编制。本标准主要结构和内容如下：

1.目次

2.前言

3.引言

4.标准正文共17章：范围、规范性引用文件、术语和定义、缩略语、概述、

物理安全、通信网络、区域边界、计算环境、安全管理中心、管理制度、

管理机构、人员和培训、开发与交付、运行维护、评估检查、系统退出。

5.附录A政府网站系统基本结构、附录B政府网站系统安全措施级别选择

和附录C安全措施分级表

6.参考文献

三、主要验证情况分析

1、政府网站系统的常见运行模式及安全责任划分

本标准修订后，适用于政府网站系统三种主要的运行模式，分别是：

a)自建自管模式：单位将网站服务器或虚拟服务器部署在自建的机房内并

组织管理。单位对网站系统拥有资产管理权和安全管理责任。

b)主机托管模式：单位将网站服务器或虚拟服务器委托专业的运营机构或

互联网数据中心（IDC）来管理。受托机构负责物理数据中心基础设施的安全，

单位对网站系统各种硬件、软件和网络等资产拥有管理权和安全管理责任。

c)主机租用模式：单位未设立网站服务器，租用运营商的服务器或虚拟服

务器。服务商负责云平台等基础设施安全，包括物理机房、IT设备（如服务器、

网络等），以及各种云产品（如云存储、数据库等）等。单位基于服务商提供的

服务构建网站应用系统，综合运用服务商产品的安全功能、安全服务以及第三方

安全产品等保护网站系统。

2、政府网站系统安全保障目标

政府网站系统的安全防护工作应重点实现以下目标：

a)提升网页防篡改及监测、恢复能力，降低网页被篡改的安全风险；

b)提高抵抗拒绝服务攻击的能力及系统可用性，降低网络服务中断的风险

c)提高入侵防护能力，强化数据安全管控措施，降低网站敏感信息泄露的

8

安全风险；

d)构建纵深防御体系，降低网站被恶意控制的风险；

e)采取网站防假冒措施，降低网站被仿冒的安全风险。

3、政府网站系统基本机构

政府网站系统采用分层设计思想，从顶层访问到底层环境将网站系统划分四

个层次，分别是用户访问层、应用功能层、信息资源层和基础设施层，其基本结

构如图1所示。每一层的内容如下：

图1政府网站系统基本结构

a)用户访问层

用户访问层是政府网站系统最顶层的内容，是对服务对象的归纳，再结合服

务对象的不同提供不同的门户服务内容和访问方式；

服务对象分为公众、企业、政府和服务商；访问方式包括浏览器、移动终端、

微信公众号、小程序等，通过提供多种服务接入方式，为用户提供多渠道的服务

内容。

9

b)应用功能层

应用功能层包括前台应用功能和后台支撑系统。前台应用功能是基于网站开

发的应用功能，主要包括政务公开、在线办事、交流互动、数据开放等；后台支

撑系统是为网站应用系统提供产品支持和应用支撑，包括提供的内容管理及发布

系统、运维监测系统、数据交换系统等。

c)信息资源层

信息资源层主要是针对网站应用的需要，对底层的数据资源进行统一管理。

数据库按照应用建设，主要包括政务公开库、办事服务库、内容发布库和基础库

等。

d)基础设施层

IT基础设施主要包括物理机房、网络系统、安全系统、服务器、存储系统，

以及配套的操作系统、软件、数据库等。

4、政府网站系统安全措施级别选择

编制组通过与中国日报网、首都之窗、西部网、千龙网、湖北省国税网、黑

龙江省教育厅等网站运营部门的沟通，将本标准中的政府网站系统安全措施按其

保障强度划分为基本级安全措施、增强级安全措施两个等级。各单位可依据政府

网站系统的行政级别、访问量、注册用户数、业务重要度和个人敏感信息选择相

应强度级别的安全措施，见表1。

表1政府网站系统安全措施级别选择方法

级别选择因素级别选择指标适用的安全措施级别

是增强级安全措施集

行政级别部委网站或省级网站

否基本级安全措施集

访问量有效日均访问次数≥150万PV是增强级安全措施集

否基本级安全措施集

注册用户数累计注册用户总数≥25万是增强级安全措施集

否基本级安全措施集

业务重要度在线办事程度较高或按照GB/T22240-2008是增强级安全措施集

要求安全保护等级级别定为三级以上(含三

否基本级安全措施集

级)的网站。

个人敏感信息属于GB/T35273-2020中定义的“个人敏是增强级安全措施集

10

感信息”。否基本级安全措施集

h.注：有效日均访问次数应避免重复统计同一访问源在短时间内进行的多次访问。

5、政府网站系统安全措施

根据政府网系统的结构组成（图1），结合对政府网站系统的安全风险分析，

政府网站系统的安全防护措施应包括安全技术、安全管理和安全管理中心三个部

分。针对构成政府网站系统结构的基础设施层、信息资源层和应用访问层等层面

存在的脆弱性，分层提出相应的安全技术措施，其中应用访问安全、信息资源安

全和基础设施安全中的相关内容共同构成网站系统中安全技术环境的保障措施。

结合政府网站系统的建设、运维、退出等生命周期主要环节的安全防护需求，提

出相应的安全管理措施。安全管理中心是通过技术措施配合管理手段共同建立主

动防御能力的安全措施部分，实现对恶意代码、补丁升级、审计数据、策略管理、

设备运行状况及安全事件等集中式的分析与管控，如图2所示。

图2政府网站系统安全措施

6、政府网站系统安全措施分级对照

政府网站系统可采取的安全措施分级对照情况如表2所示。

表2安全措施分级表

安全措施基本级增强级

物理安全6.16.1+

网站部署6.2.16.2.1+

安全技术

通信网络通信安全6.2.26.2.2+

措施

性能保障6.2.36.2.3+

区域边界6.36.3+

11

设备安全6.4.16.4.1+

操作系统安全6.4.2.16.4.2.1+

通用软件数据库安全6.4.2.26.4.2.2+

安全中间件安全6.4.2.36.4.2.3+

开源软件组件安全6.4.2.46.4.2.4+

管理终端安全6.4.36.4.3+

虚拟化安全6.4.46.4.4+

密码应用6.4.56.4.5+

标识安全6.4.6.16.4.6.1

发布安全6.4.6.2.16.4.6.2.1+

内容发布

内容发布网页防篡6.4.6.2.26.4.6.2.2+

安全

及数据安改

全个人信息安全6.4.6.36.4.6.3

计算环境

传输和存储6.4.6.46.4.6.4+

备份和容灾6.4.6.56.4.6.5+

身份鉴别6.4.7.16.4.7.1+

权限管理6.4.7.26.4.7.2+

应用安全应用审计6.4.7.36.4.7.3

代码安全6.4.7.46.4.7.4

业务交互6.4.7.56.4.7.5+

移动接入安全6.4.8.16.4.8.1+

移动安全移动应用安全6.4.8.26.4.8.2+

移动数据安全6.4.8.36.4.8.3+

邮件安全6.4.96.4.9

域名管理安全6.4.10.16.4.10.1

域名安全

域名系统安全6.4.10.26.4.10.2+

恶意代码防范7.17.1+

补丁管理7.27.2

安全管理

安全审计7.37.3+

中心

安全监测7.47.4+

策略控制7.57.5+

管理制度8.18.1

管理机构8.28.2+

人员和培训8.38.3

规划设计8.4.18.4.1+

开发与交

安全开发8.4.28.4.2+

付

安全管理试行交付8.4.38.4.3+

措施服务商选择8.5.1.18.5.1.1

外包服务

服务提供管理8.5.1.28.5.1.2+

管理

服务监督管理8.5.1.38.5.1.3+

运行维护

应急处置8.5.28.5.2+

资产管理8.5.38.5.3

信息审核8.5.48.5.4

12

密码管理8.5.58.5.5+

变更管理8.5.68.5.6

评估检查8.68.6+

系统退出8.78.7+

注：“+”表示采取了更高的安全防护措施

四、知识产权情况说明

本标准不涉及专利。

五、采用国际标准和国外先进标准情况

本标准在修订过程中，充分研究了国外政府网站的建设和发展情况，在云计

算基础设施安全要求方面，参考了CSA云安全联盟的《云计算安全技术要求》、

FedRAMP和NISTSP800-137中相关内容，在网络安全管理措施方面，参考了ISO/IEC

27002:2013《信息安全管理实践规范》等国外标准。

六、与现行相关法律、法规、规章及相关标准的协调性

1)与相关法律法规及国家有关规定的关系

2014年中央网信办印发《关于加强党政机关网站安全管理的通知》中提出，

“充分认识加强党政机关网站安全管理的重要性和紧迫性”，“加强党政机关网站

技术防护体系建设”和“加强对党政机关网站安全管理工作的组织领导”等相关

要求；2017年国务院办公厅印发《政府网站发展指引的通知》，提出强化安全保

障，明确了安全管理要求，例如“明确政府网站安全责任人，落实安全保护责任”

“制定完善安全管理制度和操作规程”“建立政府网站信息数据安全保护制度”

等。为落实我国政府网站政策中关于加强安全管理保障的相关要求，本标准修订

中增加了安全管理方面的相关要求，完善了数据保护、个人信息保护等相关内容。

同时，根据文件要求，标准中也提出了加强网站标识管理、电子邮件管理等方面

的安全要求。《国务院办公厅关于加强政府网站域名管理的通知》中提出了加强

域名安全防护等相关要求，标准中从域名管理、域名系统等方面分别提出相应的

安全防护要求等。具体内容详见附件4。

2)与国家标准的关系

a.与等级保护相关标准的对应关系

本标准修订后，将结合《信息安全技术网络安全等级保护基本要求》（GB/T

13

22239-2019）等国家标准，立足电子政务领域，针对政府网站信息系统提出更加

明确，更有针对性的安全防护措施，同时也将结合政府网站特点，补充其特有的

安全要求，并进一步落实监管部门的要求等。

本标准提出的安全措施集分为基本级和增强级，以满足为达到等级保护二级

和三级基本要求提供参考。

b.与其他国家标准的一致性

在云计算基础设施安全要求方面，与国家标准GB/T31167《云计算服务安全

指南》、GB/T31168《云计算服务安全能力要求》等要求一致。同时，本标准在

修订中，增加了政府网站安全管理、域名管理、邮件管理等相关内容，将与GB/T

36619《政务和公益机构域名命名规范》、GB/T33562《安全域名系统实施指南》

和GB/T33134《公共域名服务系统安全要求》等，GB/T22080《信息安全管理体

系要求》、GB/T22081《信息安全控制实践指南》、GB/T32926《政府部门信息技

术服务外包信息安全管理规范》、GB/T37002《电子邮件系统安全技术要求》等

国家标准要求一致。

同时标准修订过程中，也参考了GB/T37956-2019《信息安全技术网站安

全云防护平台技术要求》、GB/T38249-2019《信息安全技术政府网站云计算服

务安全指南》、GB/T29766-2013《信息安全技术网站数据恢复产品技术要求与

测试评价方法》、GB/T35284-2017《信息安全技术网站身份和系统安全要求与

评估方法》等网站类安全标准的内容。

c.与密码类相关标准的一致性

2019年10月《中华人民共和国密码法》正式发布，本标准在修订过程中，

增加了密钥管理、密码保护等方面的内容，并参考了GM/T0054《信息系统密码

应用基本要求》等相关标准的内容，结合政府网站的特点，补充完善了相关要求。

d.与个人信息相关标准的一致性

本标准中数据安全、个人信息保护方面的内容，与《数据安全管理办法》