DB3601 11-2024 数字化项目网络安全审查规范

CCSA90DB3601Cybersecurityreviewspecificationofdigitalprojects2024-06-03发布南昌市市场监督管理局发布IDB3601/T11—2024前言 2规范性引用文件 3术语和定义 4审查方式 25审查流程 26审查内容 37审查结果 3附录A（规范性）数字化项目网络安全审查流程图 4附录B（规范性）数字化项目网络安全审查细则 5附录C（规范性）数字化项目网络安全审查结果判别说明 参考文献 DB3601/T11—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件由南昌市互联网信息办公室提出并归口。本文件起草单位：南昌市互联网信息办公室、江西安极信息技术有限公司。本文件主要起草人：周凡、宋徽青、张伦芳、肖慧、武永伟、周围、刘煜、潘伟琦、何琪、黄瑞。1DB3601/T11—2024本文件规定了数字化项目（非涉密）网络安全审查的审查方式、审查流程、审查内容、审查结果。本文件适用于数字化项目（非涉密）规划设计阶段的网络安全审查，其他信息化项目网络安全审查可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T22240信息安全技术网络安全等级保护定级指南GB/T25070信息安全技术网络安全等级保护安全设计技术要求GB/T35273信息安全技术个人信息安全规范GB/T39477信息安全技术政务信息共享数据安全技术要求GB/T39786信息安全技术信息系统密码应用基本要求GB/T40692政务信息系统定义和范围DA/T28建设项目档案管理规范3术语和定义下列术语和定义适用于本文件。3.1数字化项目Digitalprojects全市各级行政机关以及法律法规授权的具有管理公共事务职能的组织等使用财政性资金建设、运维的数字化项目，主要包括：电子政务网络平台、重点业务数字化系统、数据资源库、信息安全基础设施、电子政务基础设施（政务云、数据中心等）、数字政府标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》（GB/T40692）规定的非涉密项目。[来源：江西省数字化项目建设管理办法，1,2,有修改]3.2项目设计方案Projectdesignscheme2DB3601/T11—2024在项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案、投资概算或项目建议书3.3安全设计方案Securitydesignscheme项目设计方案中包含的网络安全体系总体设计方案、商用密码应用方案、数据安全保护方案等子方3.4关键信息基础设施Criticalinformationinfrastructure公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。[来源：关键信息基础设施安全保护条例，1,2]3.5网络安全投入Cybersecurityinvestment项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保测评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。3.6建设单位Constructingunits对项目实施进行组织管理，并在项目建设过程中负总责的部门。[来源：DA/T28]3.7审查部门Reviewdepartment负责组织网络安全审查工作的部门。4审查方式建设单位应向审查部门提交审查材料，审查部门开展审查工作并出具审查意见。5审查流程5.1总体流程应参照数字化项目网络安全审查流程执行（数字化项目网络安全审查流程图见附录A）。5.2审查申报DB3601/T11—2024建设单位应提交项目设计方案等书面审查材料。5.3审查受理审查部门收到审查材料后应受理审查并通知建设单位。5.4开展审查工作5.4.1审查工作分为初步审查和专家审查，初步审查为审查部门就申报材料进行初步审查，给出初步审查意见；专家审查为审查部门聘请专家进行审查，要求建设单位配合审查工作。5.4.2专家审查工作应由不低于三名专家组成的专家组负责，设置一名专家组组长。流程主要分为三步，一是建设单位陈述申报建设项目安全设计方案等相关情况，二是专家组针对审查疑问进行提问，三是专家组讨论并形成专家意见和建议。5.5问题整改审查部门给出书面的审查结果后，建设单位应针对审查结果中的相应条款进行必要的安全整改工作并书面报送审查部门。5.6审查意见审查部门应出具审查意见并反馈给建设单位。6审查内容应参照数字化项目网络安全审查细则执行（数字化项目网络安全审查细则见附录B）。7审查结果审查结果应分“通过”和“不通过”两种情况：——审查结果为“通过”时，项目可按项目设计方案进行建设；——审查结果为“不通过”时，建设单位应对提交的项目设计方案进行修改并重新提交审查。应参照数字化项目网络安全审查结果判别说明确定审查结果（参见附录C）。4(规范性)图A.1规定了数字化项目网络安全审查流程。否是重新提交审查5DB3601/T11—2024（规范性）数字化项目网络安全审查细则表B.1规定了数字化项目网络安全审查细则。表B.1数字化项目网络安全审查细则1网络安全目标、保护对象等设计的合理性，包括是否列为关键信息基础设2保护对象的网络安全保护等级自定级3网络安全现状及风险分析。根据安全保护等级的要求对网络安全设备和系统现状、网络安全管理现状及网络安全风险等进行分析，并依据现状及风险分析提出安全4安全规划及安全方案设计的合理性。根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计。针对性地提出物理环境、网络架构、边界防护、计商用密码应用安全6DB3601/T11—2024表B.1数字化项目网络安全审查细则（续表）7DB3601/T11—2024表B.1数字化项目网络安全审查细则（续表）5数据安全设计的合理性。涉及数据资源建设的，是否对重要业务信息、系统数据及软件系统进行识别。是否根据数据的重要性和数据对系统运行的影响，制定数据备份策略和恢复策略、备份程序和恢6型产品选型的合理性。方案所选用的网络安全产品是否符合国家和主管部门网络安全管理有7项目的资金预算及依据，网络安全资金安排计划是否满足国家、省、市有关网络安全管理的相关规定及网络安8DB3601/T11—2024表B.1数字化项目网络安全审查细则（续表）8网络安全管理制度建立情况。确保安全策略、管理制度和操作规程等保障措施同步实施，并保障系统处于持续99DB3601/T11—2024表B.1数字化项目网络安全审查细则（续表）全DB3601/T11—2024（规范性）数字化项目网络安全审查结果判别说明C.1数字化项目网络安全审查结果为“通过”的要求数字化项目网络安全审查细则中的审查内容要求“必须项”和“建议项”都满足的判定为“通过”。C.2数字化项目网络安全审查结果为“不通过”的要求有下列情况之一判定为“不通过”。a）网络安全保障体系未进行系统化、结构化设计，安全防护层面缺失较大；b）产品与服务采购不符合国家相关规定；c）项目建设参考安全技术标准为老旧标准；d）其他结合实际情况应判定为“不通过”的情况。DB3601/T11—2024参考文献[1]中华人民共和国网络安全法[2]中华人民共和国密码法[3]