《信息安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》编制说明

一、工作简况

1.1任务来源

《信息安全技术基于互联网电子政务信息安全实施指南》修订是全国信息

安全标准化技术委员会秘书处于2012年12月下达的课题，属2013年国家标准

修订项目。

1.2主要工作过程

（1）立项：2013.01

2012.12课题立项评审，确定任务内容；

2013.01收到任务下达通知并签定合同，成立了课题组。

（2）调研：2013.01－－2013.05

到广西玉林等外省单位进行调研；

标准需求分析。

（3）标准编制阶段：2013.05－－2015.01

2013.04撰写标准草案（修订1个指南，新增7个子规范）；

2013.05组织学院专家进行研讨；

2013.06完成标准草案第一稿；

2013.06向安标委汇报标准草案，在北京组织专家研讨；

2013.07组织学院专家进行研讨；

2013.09重点对标准的组成和框架进行了修改，完成标准草案第二稿，并提

交安标委；

2013.11完成标准草案的修订，形成标准草案第三稿，确定了标准的最终

组成（分4部分：1个总则，3个子规范）；

2014.01草案第三稿提交安标委；

2014.04到国家信息中心调研；

2014.05到国家安全中心调研；

2014.01-2014.08根据调研情况，对“标准第1部分：总则”的框架进行

了大幅度修改，重点修改了实施模型、安全体系及实施原则，新增了体系的风

险评估。理顺了各标准之间的关系及与电子政务外网之前的关系。

2014.08完成标准草案的修订，形成标准草案第四稿在北京组织专家研讨；

2014.08-2014.11根据专家意见，对标准中的信息安全概要模型与体系进行

了修改；

2014.11完成标准草案第五稿，并提交安标委；

2014.11通过专家论证形成征求意见稿交安标委；

2014.12-2015.01针对网评专家意见对标准的征求意见稿进行修改，并提

交案标委。

二、编制原则和主要内容

2.1编制原则

可操作性

充分考虑到我国信息安全技术发展和应用的实际情况，在有效保证应用的前

提下，基于互联网信息安全建设经济适用、易于使用、易于实施，具有可操作性。

先进性

充分利用最新的信息安全技术，采用集成创新的方法，对基于互联网电子政

务系统进行有效的信息安全保障。

适度安全、综合防范

在制定基于互联网电子政务信息安全规范时，必须充分考虑来自互联网的

各种威胁，采取适当的安全措施，进行综合防范。

2.2主要内容

本指南的主要内容包括四个部分：《第1部分：总则》、《第2部分：接入控

制与安全交换》、《第3部分：身份认证与授权管理》、《第4部分：终端安全防护》。

标准的第1部分明确了基于互联网电子政务实施模型，构建基于互联网电

子政务信息安全体系，规范了体系的实施原则、实施框架、实施关键技术，并对

风险评估提供了方法性指导。标准的第2部分明确了互联网电子政务分域控制的

两个阶段，分别对接入控制和安全交换的实施过程给出指南性建议要求。标准的

第3部分明确了身份认证及授权管理的管理功能要求，分别对安全功能、系统部

署、认证方式、资源和授权管理给出指南性建议要求。标准的第4部分明确了基

于互联网电子政务终端的安全防护技术要求，分别对终端安全功能与实施原则，

终端安全应用模式、终端基本安全防护、终端增强安全防护、移动终端安全防护

给出指南性建议要求。

三、主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果

本标准制定与国家开展基于互联网电子政务信息安全保障工作紧密相关，

作为了解和使用基于互联网电子政务信息安全的标准，本标准汇总了有关信息安

全概要模型、信息安全体系、信息安全实施框架，以及接入控制与安全交换、认

证授权、终端安全防护等信息安全关键实施环节等方面的术语和定义，为用户使

用标准提供了很好的内容；同时，标准中对基于互联网电子政务信息安全标准族

的主要标准范围、内容及适用范围等进行了简要描述，有利于用户根据需要与实

施过程选择不同的标准进行实现，以保障信息安全。本标准作为实施指南，不与

直接的经济效益挂钩，但作为了解和掌握基于互联网电子政务信息安全系统建设

的标准，对于促进国家基于互联网电子政务信息安全保障工作，具有基础而重要

的意义。

四、采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的

对比情况，或与测试的国外样品、样机的有关数据对比情况

无与本标准类同的国际标准。

五、与有关的现行法律、法规和强制性国家标准的关系

本标准是GB/Z24294《信息安全技术基于互联网电子政务信息安全实施指

南》的修订版，与《总则》、《接入控制与安全交换》、《身份认证与授权管理》、

《终端安全防护》共同构成基于互联网电子政务信息安全标准族。本标准在基于

互联网电子政务信息安全的引言部分，对每个标准的情况及其作用范围进行了相

关说明，对于标准用户了解标准族的情况以及其中每个标准的范围和目的等信息

具有十分重要的参考作用。本标准对于开展基于互联网电子政务信息安全工作具

有重要的意义。GB/TCCCC-DDDD《政府部门互联网安全接入要求》提供了互联网

出口的接入策略，GB/T30278－2013《政务计算机终端核心配置规范》提供了安

全核心配置规范，GB/T31167－2014《信息安全技术-云计算服务安全指南》提

供了基于互联网电子政务系统中的信息分类方法，可作为互联网电子政务出口接

入、基本终端安全防护、信息分类防护等重要参考。

六、重大分歧意见的处理经过和依据

详见标准征求稿意见汇总处理表。

七、国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

八、贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等

内容）

本标准主要用于基于互联网电子政务信息安全系统的建设与维护，为希望

了解和建立基于互联网电子政务信息安全体系的组织和用户提供了有关基于互

联网电子政务信息安全体系及其关键环节的有效指南，有助于更加深刻地理解基

于互联网电子政务信息安全体系建设和实施内容。因此，本标准贯彻实施时，应

将《总则》、《接入控制与安全交换》、《身份认证与授权管理》和《终端安全防护》

四个标准结合在一起进行。

九、