信息安全技术 政务网站系统安全指南-编制说明

工作简况1、任务来源《WG5工作组第2次会议（2018）工作组会议纪要》指出，为有效应对政府网站入云等新型运营模式，以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势，切实保障政府网站系统安全运行，建议着力完善当前政府网站类安全标准。经中国国家标准化管理委员会批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，研究修订GB/T31506-2015《政府门户网站安全技术指南》国家标准。根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》（信安秘字[2019]050号），该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口，由北京信息安全测评中心负责主办。2、起草单位在接到标准的任务后，北京信息安全测评中心立即与相关机构、厂商进行沟通，并得到了政府网站运营机构、高校、业内知名厂商及测评机构的积极参与和反馈。经筛选，最后确定由中电数据服务有限公司、首都之窗运营管理中心、中电长城网际系统应用有限公司、黑龙江省测评中心、北京市城乡经济信息中心、杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、桂林电子科技大学、北京神州绿盟信息安全科技股份有限公司、新华三技术有限公司、深圳开源互联网安全技术有限公司、武汉网安教育科技有限公司、国家应用软件产品质量检测检验中心、北京数字认证股份有限公司、湖北省标准化与质量研究院、国家工业信息安全发展研究中心、北京北信源软件股份有限公司、江苏省信息安全测评中心、陕西省信息化工程研究院、国家计算机网络应急技术处理协调中心、江远盛邦（北京）网络安全科技有限公司、恒安嘉新（北京）科技股份公司、山谷网安科技股份有限公司、北京知道创宇信息技术股份有限公司和陕西省网络与信息安全测评中心等单位共同参与编制。3、主要工作过程标准制定的主要工作过程如下：1）工作启动2018年10月，北京信息安全测评中心联合政府网站运营单位、业内知名安全服务厂商、科研机构及测评机构等组建标准编制组，编制组成员具有丰富的标准编制经验、政务领域网络安全研究经验、信息系统安全控制研究等经验。编制组内部制定编制工作计划，并明确了例会工作制，以便及时沟通交流工作情况。2）基础调研2018年11月-12月，编制组研究分析了我国政府网站方面的相关政策和标准文件，包括《国务院办公厅关于印发政府网站发展指引的通知》（国办发〔2017〕47号）《关于加强党政机关网站安全管理的通知》（中网办发〔2014〕1号）《国务院办公厅关于加强政府网站域名管理的通知》（国办函〔2018〕55号）《政府网站集约化试点工作方案》（国办函〔2018〕71号）《深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案》（国办函〔2018〕45号）以及《云计算服务安全评估办法》《国家网络安全事件应急预案》《信息安全技术云计算服务安全指南》《信息安全技术云计算服务安全能力要求》《信息安全技术个人信息安全规范》《信息安全技术网络安全等级保护基本要求》等。在此基础上，编制组分析了国内外政府网站发展现状、安全保护情况以及存在的问题，提出了标准修订思路，以及政府网站安全控制要求，形成标准修订研究报告（见附件1）。3）初步明确修订方向2018年12月30日，在北京组织召开专家研讨会，会上，专家基于前期研究成果，提出修改意见，明确增加安全管理的内容，且提出应结合政府网站逐步向移动端扩展的应用趋势，增加移动安全方面的适应性内容。会后编制组根据专家意见形成标准修订框架。4）确定标准适用范围2019年1-3月，编制组针对标准修订框架，经过多次内部讨论和研究后，按照组内分工，开展具体的编制工作，形成标准草案第1稿。2019年4月10日，在北京组织召开专家意见会，会上，专家肯定了标准分级、增加安全管理、移动安全等方面的内容，并针对数据安全方面提出了修改意见，建议突出个人信息保护等方面的内容。会后编制组开会讨论，根据专家意见修改标准草案第1稿的内容。2019年4月，北京信息安全测评中心代表编制组，在宁波标准会议周上进行了项目申报情况的汇报，并针对WG1组专家提出的标准适用范围等问题进行了书面说明（见附件2），明确了该标准服务对象为政府网站。标准最终顺利通过全国信息安全标准化技术委员会WG5组会议讨论，获得全国信息安全标准化技术委员会立项。2019年5-9月，标准编制组继续研究讨论，根据标准周上专家及参会企业意见对标准草案进行进一步修订，重新梳理了技术内容和管理内容的组织架构，形成标准草案第2稿。2019年10月11日，WG5工作组召开的《信息安全技术智能门锁安全技术要求和测试评价方法》等17项国家标准研讨会上进行汇报，与会专家认为标准内容中“应”的表述过多，建议根据指南类标准的编写要求进行调整。会后编制组根据专家意见继续修改标准草案第2稿的相关内容5）扩充编制组，调整标准结构2019年10月，按照《全国信息安全标准化技术委员会标准参与单位管理办法（暂行）》要求，公开征集参编单位，扩充编制力量。2019年10月17日，编制组在北京组织召开项目启动会。会上，WG5工作组领导、全国信安标委秘书处、业内专家等提出按照《网络安全等级保护基本要求》等国家标准，梳理文本组织架构，落地和细化《网络安全法》、等级保护相关国家要求，突出政府网站的特点，落实主管部门的要求等。会后，编制组根据WG5及专家意见，重新调整了标准内容的组织结构，形成标准草案第3稿。6）标准申请更名2019年10月27日，北京信息安全测评中心代表编制组，在重庆标准会议周上就标准草案编制情况进行了汇报，提出将标准名称拟变更为《信息安全技术政府网站系统安全指南》。2019年12月17日，WG5工作组在北京召开了专家会，与会专家和WG5工作组经过讨论后建议依据GB/T1.1的要求，充分考虑与《网络安全等级保护基本要求》等国家标准的对应关系等，明确本标准作为“指南”类标准继续修订其内容。2019年12月，编制组根据专家意见，经过多次讨论，从“适应我国政府网站发展应用的趋势”、“落实我国政府网站政策要求，解决实际工作需求”、“符合标准化工作规定，满足国家相关法规要求”等方面，提出了将标准名称变更为《信息安全技术政府网站系统安全指南》的书面申请（见附件3）。7）草案修改根据2019年重庆会议周期间WG5工作组内专家意见，编制组结合2019年10月通过的《中华人民共和国密码法》等国家法规要求，进一步完善标准内容，形成了标准草案第4稿。2020年5月8日，WG5工作组召开了国家标准专家审查会，与会专家提出了增加抗拒绝服务攻击等方面的内容。会后编制组根据专家意见及时补充修改了标准草案中相关内容。2020年5月13日，按照WG5工作组统一安排，北京信息安全测评中心主持召开了《政府网站系统安全指南》（修订）线上研讨会，讨论时长约3个小时，共有包括等艾特塞克、东软、卫士通、德勤、中国联通、启明星辰、中国药学会、北京市文旅局等27家单位的31位代表参会。会上从政府信息化部门人员短缺、网站集约化改革安全需求不明确等工作中面临的实际困难出发进行了充分的讨论，针对产品和服务采购优先级、人员角色及权限的明确区分，国密算法的支持、容器等新兴云计算应用等内容的修改，共形成17条修改意见，其中2条因涉及具体产品和服务品牌采购所以未采纳，3条需要进一步研究并继续征求政府信息化部门意见后再进行修改，12条采纳并已根据意见修改了标准内容。2020年5月15日，北京信息安全测评中心代表编制组，在通过华为云会议召开的标准会议周上就标准草案更名后的编制情况进行了汇报，标准顺利通过WG5组工作组全体会议的讨论和审议，编制组根据会上意见进行修改完善，形成了征求意见稿。标准编制原则和确定主要内容的论据及解决的主要问题1、编制目的近年来，随着“互联网+”的迅速发展，人们的生活方式发生了巨大改变，我国政府及时转变传统的政务服务观念，大力推广“互联网+政务服务”模式，政府网站建设立足以人为本，为民办事，及时动态地向公众展示政府信息，随时接受公众的咨询和监督，同时加大对新型技术平台的投入，依托政府资源优势，实现了多渠道政务信息公开和办公服务。根据《国务院办公厅关于印发政府网站发展指引的通知》（国办发〔2017〕47号）精神，政府网站作为政府信息公开的主渠道和“互联网+政务”的重要实践载体，其提供的政务服务模式主要有两种类型：一是依托省级政府门户网站的在线办事栏目向公众提供各种行政事项服务。二是构建政府政务服务网或“一站式”办事大厅和省、市、县（区）多级联动的公共服务网上平台。因此，为了适应我国政府“互联网+政务服务”的变化趋势，落实相关政府网站政策要求，支撑主管部门安全检查工作，解决政府信息化部门实际工作需求，同时适应云计算、移动互联、大数据等新技术、新应用在政府网站系统中的应用，以及完善我国网络安全标准体系中针对政府网站安全建设和管理的标准规范，修订后的GB/T31506标准名称变更为《信息安全技术政府网站系统安全指南》。标准给出了政府网站系统的基本结构，提出在“一个中心，三重防御”思想指导下，对政府网站系统实施安全防护时可采取的安全技术措施和安全管理措施，标准适用于指导政府部门开展网站系统安全防护工作，也可作为对政府网站系统实施安全监督管理和评估检查的依据。2、编制原则本标准的修订工作遵循以下原则：以风险防控为核心：坚持维护政府网站安全为根本理念，提高云计算等新技术下政务网站应用的风险防范能力，关注安全措施使用、运行维护、应急响应、隐私防护等方面的安全保障。以协调一致为基础：以推进标准应用为前提，确保标准与现有政府网站服务模式相协调，与现行政策标准相兼容，与政府监管要求相一致。以规范适应为目标：以促进政府信息化发展为宗旨，提炼共性、基础性安全要求，兼顾部委、地方等政务应用的不同需求，提升标准适用性。3、编制依据本标准修订过程主要依据和参考文献如下：序号名称类型1GB/T8566-2007信息技术软件生存周期过程标准2GB/T22240-2008信息安全技术信息系统安全等级保护定级指南标准3GB/T25069-2010信息安全技术术语标准4GB/T31167-2014信息安全技术云计算服务安全指南标准5GB/T31168-2014信息安全技术云计算服务安全能力要求标准6GB/T32925-2016信息安全技术政府联网计算机终端安全管理基本要求标准7GB/T33562-2017信息安全技术安全域名系统实施指南标准8GB/T35273-2020信息安全技术个人信息安全规范标准9GB/T37002-2018信息安全技术电子邮件系统安全技术要求标准10GB50174-2017数据中心设计规范标准11NISTSP800-137InformationSecurityContinuousMonitoring(ISCM)forFederalInformationSystemsandOrganizations，2011标准12国务院办公厅关于印发政府网站发展指引的通知国办发〔2017〕47号政策13国务院办公厅关于加强政府网站域名管理的通知国办函〔2018〕55号政策14政府网站集约化试点工作方案国办函〔2018〕71号政策15中共中央办公厅国务院办公厅关于印发《金融和重要领域密码应用与创新发展工作规划（2018-2022年）》的通知厅字[2018]36号政策16国家密码管理局关于组织开展金融和重要领域密码应用专项检查的通知国密局字[2018]423号政策17《关于做好密码应用安全性评估试点期间安全保密工作的通知》国密局字[2018]290号政策5、确定主要内容的论据及解决的主要问题本标准在确定主要内容时主要基于如下方面：1）修订思路结合云计算、大数据应用发展下我国电子政务的职能转变，分析政府网站面临的安全风险和安全管理中遇到的挑战，研究政府网站的功能定位、体系架构，重点从以下方面修订标准的主要内容：政府网站的展现形式、职能定位、功能构成等，以及与之相适应的网站技术体系架构组成等；政府网站的服务模式，以及新应用新模式带来的安全问题，包括移动应用、主流互联网应用中的传输协议，用户行为监控，数据保护和信息发布的安全措施等。依托云计算平台部署和运行的政府网站,虚拟计算、虚拟网络、虚拟存储技术的应用和带来的资源隔离、边界防护、数据访问控制等安全问题；网站应用系统部署和实施中使用到的新技术，如CDN、域名系统、开源软件带来的代码和使用安全等问题；原标准文本中技术指标与当下技术应用趋势、法规政策不适应的问题，如网站访问量、服务用户数、网络带宽、日志保存时长等具体技术指标。与国家政策、标准的一致性问题，如网络安全法、个人信息保护要求、网站标识管理、域名管理、国产化要求等。政府网站安全管理体系建立，包括网站运营的职责划分、人才队伍建设、外包服务管理、供应链管理、运维监控、预警处置、合规检查等方面的内容。2）内容变化本标准与GB/T31506-2015的主要变化如下：——将标准名称变更为《信息安全技术政府网站系统安全指南》，适用于政府门户网站、政务服务网、“一站式”办事大厅和公共服务网上平台等信息系统，同时增加了安全管理措施；——以“一个中心，三重防御”思想指导，调整分类为物理安全、通信网络、区域边界、计算环境、安全管理中心、管理制度、管理机构、人员和培训、开发与交付、运行维护、评估检查、系统退出；——调整各分类中具体安全防护措施内容，以适应政府网站上云、移动应用等新模式；——删除了2015版中的规范性附录A,本文件中增加了附录A提出政府网站系统安全措施级别选择方法，增加了附件B描述政府网站系统基本结构，增加了附录C以表格形式列举了基本、增强级的差异。2）标准的文本结构本标准依据GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的要求进行编制。本标准主要结构和内容如下：目次前言引言标准正文共17章：范围、规范性引用文件、术语和定义、缩略语、概述、物理安全、通信网络、区域边界、计算环境、安全管理中心、管理制度、管理机构、人员和培训、开发与交付、运行维护、评估检查、系统退出。附录A政府网站系统基本结构、附录B政府网站系统安全措施级别选择和附录C安全措施分级表参考文献主要验证情况分析1、政府网站系统的常见运行模式及安全责任划分本标准修订后，适用于政府网站系统三种主要的运行模式，分别是：a)自建自管模式：单位将网站服务器或虚拟服务器部署在自建的机房内并组织管理。单位对网站系统拥有资产管理权和安全管理责任。b)主机托管模式：单位将网站服务器或虚拟服务器委托专业的运营机构或互联网数据中心（IDC）来管理。受托机构负责物理数据中心基础设施的安全，单位对网站系统各种硬件、软件和网络等资产拥有管理权和安全管理责任。c)主机租用模式：单位未设立网站服务器，租用运营商的服务器或虚拟服务器。服务商负责云平台等基础设施安全，包括物理机房、IT设备（如服务器、网络等），以及各种云产品（如云存储、数据库等）等。单位基于服务商提供的服务构建网站应用系统，综合运用服务商产品的安全功能、安全服务以及第三方安全产品等保护网站系统。2、政府网站系统安全保障目标政府网站系统的安全防护工作应重点实现以下目标：提升网页防篡改及监测、恢复能力，降低网页被篡改的安全风险；提高抵抗拒绝服务攻击的能力及系统可用性，降低网络服务中断的风险提高入侵防护能力，强化数据安全管控措施，降低网站敏感信息泄露的安全风险；构建纵深防御体系，降低网站被恶意控制的风险；采取网站防假冒措施，降低网站被仿冒的安全风险。3、政府网站系统基本机构政府网站系统采用分层设计思想，从顶层访问到底层环境将网站系统划分四个层次，分别是用户访问层、应用功能层、信息资源层和基础设施层，其基本结构如图1所示。每一层的内容如下：政府网站系统基本结构用户访问层用户访问层是政府网站系统最顶层的内容，是对服务对象的归纳，再结合服务对象的不同提供不同的门户服务内容和访问方式；服务对象分为公众、企业、政府和服务商；访问方式包括浏览器、移动终端、微信公众号、小程序等，通过提供多种服务接入方式，为用户提供多渠道的服务内容。应用功能层应用功能层包括前台应用功能和后台支撑系统。前台应用功能是基于网站开发的应用功能，主要包括政务公开、在线办事、交流互动、数据开放等；后台支撑系统是为网站应用系统提供产品支持和应用支撑，包括提供的内容管理及发布系统、运维监测系统、数据交换系统等。信息资源层信息资源层主要是针对网站应用的需要，对底层的数据资源进行统一管理。数据库按照应用建设，主要包括政务公开库、办事服务库、内容发布库和基础库等。基础设施层IT基础设施主要包括物理机房、网络系统、安全系统、服务器、存储系统，以及配套的操作系统、软件、数据库等。4、政府网站系统安全措施级别选择编制组通过与中国日报网、首都之窗、西部网、千龙网、湖北省国税网、黑龙江省教育厅等网站运营部门的沟通，将本标准中的政府网站系统安全措施按其保障强度划分为基本级安全措施、增强级安全措施两个等级。各单位可依据政府网站系统的行政级别、访问量、注册用户数、业务重要度和个人敏感信息选择相应强度级别的安全措施，见表1。政府网站系统安全措施级别选择方法级别选择因素级别选择指标适用的安全措施级别行政级别部委网站或省级网站是增强级安全措施集否基本级安全措施集访问量有效日均访问次数≥150万PV是增强级安全措施集否基本级安全措施集注册用户数累计注册用户总数≥25万是增强级安全措施集否基本级安全措施集业务重要度在线办事程度较高或按照GB/T22240-2008要求安全保护等级级别定为三级以上(含三级)的网站。是增强级安全措施集否基本级安全措施集个人敏感信息属于GB/T35273-2020中定义的“个人敏感信息”。是增强级安全措施集否基本级安全措施集注：有效日均访问次数应避免重复统计同一访问源在短时间内进行的多次访问。5、政府网站系统安全措施根据政府网系统的结构组成（图1），结合对政府网站系统的安全风险分析，政府网站系统的安全防护措施应包括安全技术、安全管理和安全管理中心三个部分。针对构成政府网站系统结构的基础设施层、信息资源层和应用访问层等层面存在的脆弱性，分层提出相应的安全技术措施，其中应用访问安全、信息资源安全和基础设施安全中的相关内容共同构成网站系统中安全技术环境的保障措施。结合政府网站系统的建设、运维、退出等生命周期主要环节的安全防护需求，提出相应的安全管理措施。安全管理中心是通过技术措施配合管理手段共同建立主动防御能力的安全措施部分，实现对恶意代码、补丁升级、审计数据、策略管理、设备运行状况及安全事件等集中式的分析与管控，如图2所示。政府网站系统安全措施6、政府网站系统安全措施分级对照政府网站系统可采取的安全措施分级对照情况如表2所示。安全措施分级表安全措施基本级增强级安全技术措施物理安全6.16.1+通信网络网站部署6.2.16.2.1+通信安全6.2.26.2.2+性能保障6.2.36.2.3+区域边界6.36.3+计算环境设备安全6.4.16.4.1+通用软件安全操作系统安全6.4.2.16.4.2.1+数据库安全6.4.2.26.4.2.2+中间件安全6.4.2.36.4.2.3+开源软件组件安全6.4.2.46.4.2.4+管理终端安全6.4.36.4.3+虚拟化安全6.4.46.4.4+密码应用6.4.56.4.5+内容发布及数据安全标识安全6.4.6.16.4.6.1内容发布安全发布安全6.4.6.2.16.4.6.2.1+网页防篡改6.4.6.2.26.4.6.2.2+个人信息安全6.4.6.36.4.6.3传输和存储6.4.6.46.4.6.4+备份和容灾6.4.6.56.4.6.5+应用安全身份鉴别6.4.7.16.4.7.1+权限管理6.4.7.26.4.7.2+应用审计6.4.7.36.4.7.3代码安全6.4.7.46.4.7.4业务交互6.4.7.56.4.7.5+移动安全移动接入安全6.4.8.16.4.8.1+移动应用安全6.4.8.26.4.8.2+移动数据安全6.4.8.36.4.8.3+邮件安全6.4.96.4.9域名安全域名管理安全6.4.10.16.4.10.1域名系统安全6.4.10.26.4.10.2+安全管理中心恶意代码防范7.17.1+补丁管理7.27.2安全审计7.37.3+安全监测7.47.4+策略控制7.57.5+安全管理措施管理制度8.18.1管理机构8.28.2+人员和培训8.38.3开发与交付规划设计8.4.18.4.1+安全开发8.4.28.4.2+试行交付8.4.38.4.3+运行维护外包服务管理服务商选择8.5.1.18.5.1.1服务提供管理8.5.1.28.5.1.2+服务监督管理8.5.1.38.5.1.3+应急处置8.5.28.5.2+资产管理8.5.38.5.3信息审核8.5.48.5.4密码管理8.5.58.5.5+变更管理8.5.68.5.6评估检查8.68.6+系统退出8.78.7+注：“+”表示采取了更高的安全防护措施知识产权情况说明本标准不涉及专利。采用国际标准和国外先进标准情况本标准在修订过程中，充分研究了国外政府网站的建设和发展情况，在云计算基础设施安全要求方面，参考了CSA云安全联盟的《云计算安全技术要求》、FedRAMP和NISTSP800-137中相关内容，在网络安全管理措施方面，参考了ISO/IEC27002:2013《信息安全管理实践规范》等国外标准。与现行相关法律、法规、规章及相关标准的协调性与相关法律法规及国家有关规定的关系2014年中央网信办印发《关于加强党政机关网站安全管理的通知》中提出，“充分认识加强党政机关网站安全管理的重要性和紧迫性”，“加强党政机关网站技术防护体系建设”和“加强对党政机关网站安全管理工作的组织领导”等相关要求；2017年国务院办公厅印发《政府网站发展指引的通知》，提出强化安全保障，明确了安全管理要求，例如“明确政府网站安全责任人，落实安全保护责任”“制定完善安全管理制度和操作规程”“建立政府网站信息数据安全保护制度”等。为落实我国政府网站政策中关于加强安全管理保障的相关要求，本标准修订中增加了安全管理方面的相关要求，完善了数据保护、个人信息保护等相关内容。同时，根据文件要求，标准中也提出了加强网站标识管理、电子邮件管理等方面的安全要求。《国务院办公厅关于加强政府网站域名管理的通知》中提出了加强域名安全防护等相关要求，标准中从域名管理、域名系统等方面分别提出相应的安全防护要求等。具体内容详见附件4。与国家标准的关系与等级保护相关标准的对应关系本标准修订后，将结合《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）等国家标准，立足电子政务领域，针对政府网站信息系统提出更加明确，更有针对性的安全防护措施，同时也将结合政府网站特点，补充其特有的安全要求，并进一步落实监管部门的要求等。本标准提出的安全措施集分为基本级和增强级，以满足为达到等级保护二级和三级基本要求提供参考。与其他国家标准的一致性在云计算基础设施安全要求方面，与国家标准GB/T31167《云计算服务安全指南》、GB/T31168《云计算服务安全能力要求》等要求一致。同时，本标准在修订中，增加了政府网站安全管理、域名管理、邮件管理等相关内容，将与GB/T36619《政务和公益机构域名命名规范》、GB/T33562《安全域名系统实施指南》和GB/T33134《公共域名服务系统安全要求》等，GB/T22080《信息安全管理体系要求》、GB/T22081《信息安全控制实践指南》、GB/T32926《政府部门信息技术服务外包信息安全管理规范》、GB/T37002《电子邮件系统安全技术要求》等国家标准要求一致。同时标准修订过程中，也参考了GB/T37956-2019《信息安全技术网站安全云防护平台技术要求》、GB/T38249-2019《信息安全技术政府网站云计算服务安全指南》、GB/T29766-2013《信息安全技术网站数据恢复产品技术要求与测试评价方法》、GB/T35284-2017《信息安全技术网站身份和系统安全要求与评估方法》等网站类安全标准的内容。与密码类相关标准的一致性2019年10月《中华人民共和国密码法》正式发布，本标准在修订过程中，增加了密钥管理、密码保护等方面的内容，并参考了GM/T0054《信息系统密码应用基本要求》等相关标准的内容，结合政府网站的特点，补充完善了相关要求。与个人信息相关标准的一致性本标准中数据安全、个人信息保护方面的内容，与《数据安全管理办法》、GB/T35273《个人信息安全规范》等相关要求保持一致。重大分歧意见的处理经过和依据1、关于标准是否仅适用于政府网站的意见处理2019年4月宁波会议周期间，WG1工作组建议调整该标准的适用对象为网站系统。针对该意见，编制组经过认真讨论后，从政府网站面临的安全形势、监管部门的要求、政府网站具备的特殊性、政务领域网站系统标准制定的紧迫性等方面进行了详细分析，并给出了建议该标准仍仅适用于政府网站的书面意见。具体内容详见附件2。2、针对标准名称变更的处理2019年10月重庆标准会议周上，北京信息安全测评中心代表编制组在WG5工作组会议期间，向大会正式汇报了标准更名的申请和原因分析，与会专家和工作组领导建议编制组会后从标准的定位等方面进行分析，并提出书面更名申请。会后，编制组经讨论，从适应政府网站发展应用模式，落实我国政府网站政策要求，解决政府网站运营者实际工作需求等方面进行了详细分析，并根据GB/T1.1-20