信息化项目网络安全审查规范

1DB43/TXXXX—XXXX信息化项目网络安全审查规范本文件规定了信息化项目网络安全审查的审查方式、审查流程、审查内容、审查结果等。本文件适用于信息化项目的网络安全审查活动，主要适用于项目规划、建设阶段的网络安全审查，亦可为运行阶段的网络安全审查工作提供依据。非信息化项目网络安全审查可参照本文件进行。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T17859-2019计算机信息系统安全保护等级划分准则GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T25069信息安全技术术语GB/T37988-2019信息安全技术数据安全能力成熟度模型GB/T39477-2020信息安全技术信息共享数据安全技术要求GB/T35273-2020信息安全技术个人信息安全规范GB/T39335-2020信息安全技术个人信息安全影响评估指南GB/T39786-2021信息安全技术信息系统密码应用基本要求BMB17涉及国家秘密的信息系统分级保护技术要求3术语和定义下列术语和定义适用于本文件。3.1信息化项目Governmentaffairsinformationizeprojects运用计算机、网络、通信等现代信息技术，使用财政预算资金、地方政府债券资金、国际金融组织和国外政府贷款等政府主权外债资金直接投资和政府采购服务进行新建、续建、扩建或改建的信息化项目，主要包括机房建设、网络建设、信息系统建设、信息资源建设、数据资源建设、信息安全建设、视频会议系统建设等（包括基建工程项目中的信息化部分）。3.2项目设计方案Projectdesignscheme在信息化项目规划阶段编制的项目设计方案，包括可行性研究报告、初步设计方案和投资概算等。3.32DB43/TXXXX—XXXX关键信息基础设施CriticalInformationInfrastructure指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。[来源：关键信息基础设施安全保护条例2021]3.4重要信息系统Importantinformationsystem指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。重要信息系统包含关键信息基础设施。3.5重要数据Importantdata指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。[来源：湖南省网络安全和信息化条例2021]3.6网络安全投入Cybersecurityinvestment项目建设及运行过程中投入的网络安全相关总费用，包括不限于软硬件形式网络安全产品、网络安全服务等。3.7建设单位Constructingunits指对项目实施进行组织管理，并在项目建设过程中负总责的组织。[来源：DA/T28-2018，3.4]3.8审查部门Reviewdepartment负责组织网络安全审查工作的部门。4审查方式网络安全审查方式包括线下审查和线上审查两种方式。4.1线下审查建设单位向审查部门提交纸质版网络安全审查自查表和项目设计方案，审查部门组织审查专家并召开现场网络安全审查专家评审会，审查专家现场出具审查意见。4.2线上审查建设单位通过线上方式向审查部门提交网络安全审查自查表和项目设计方案，审查部门组织审查专家以视频会议方式召开线上网络安全审查专家评审会，审查专家在线上出具审查意见。3DB43/TXXXX—XXXX5审查前合规性自查5.1方案编制5.1.1建设单位应对项目安全需求进行分析，并根据安全需求编制项目安全设计方案。安全设计方案应包含网络安全体系总体设计方案、密码应用方案、数据安全保护方案。5.1.2网络安全体系总体设计方案应明确系统的安全保护等级，包括项目类型及系统类型、业务和资产识别、参考依据、项目建设现状、安全需求分析、系统功能和系统架构情况、网络拓扑结构、安全解决方案、主要软硬件设备选型清单等内容。5.1.3密码应用方案应包括系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系设计、安全与合规性分析等几个部分，并附加密码产品和服务应用情况、业务应用系统建设/改造情况、运行环境建设/改造情况等内容。5.1.4数据安全保护方案应包括数据分级分类、系统及数据库间的业务（数据）流向、数据安全需求，数据安全方案设计（包括数据采集安全、传输安全、存储安全、处理安全、交换安全、数据出境要求）等内容，如涉及个人信息收集的，还应包括个人信息保护政策、个人信息方案保护方案设计等内容。5.2方案自查建设单位应对项目安全设计方案内容进行自查。如自查发现问题，建设单位应修改项目安全设计方6审查流程网络安全审查活动包括审查申请、完备性审查、专业审查及出具审查结果等基础环节，网络安全审查工作流程可参照附录A进行操作。6.1审查申请建设单位向审查部门提交《信息化项目网络安全审查自查表》（参见附录C并同步报送项目设计方案。6.2完备性审查6.2.1审查部门在收到审查申请后对申报材料的齐备性、项目安全设计方案的系统性、与本文件“7审查内容”章节内容的符合性等方面进行完备性审查。6.2.2完备性审查完成后由审查部门出具完备性审查意见并反馈至建设单位。6.2.3建设单位参照完备性审查意见补充或修改申报材料。6.3专业审查6.3.1专业审查之前，审查部门根据实际情况选择线上或线下审查方式。6.3.2审查部门将组织审查专家、建设单位代表召开线上或线下专家评审会议。6.3.3专业审查时，建设单位介绍项目安全设计方案并就专家疑问进行答疑。审查专家依据本文件对设计方案进行网络安全审查，审查结束后出具专家意见。6.4出具审查结果4DB43/TXXXX—XXXX由审查部门依据专家意见进行综合判定，出具审查结果。7审查内容安全审查要求分为基本要求和具体要求，基本要求为所有项目都需要审核的共性化要求，具体要求包括等级保护要求、密码应用安全要求、数据安全要求、个人信息安全保护要求、关键信息基础设施安全保护要求等。需根据项目的类型、系统类型和业务需求或特定的场景选择适用的要求进行审查。7.1基本要求7.1.1项目类型和等级保护级别判定7.1.1.1应准确判定项目类型及涉及的内容。7.1.1.2如被审查项目为信息系统新建或改造项目，应准确判定系统是否为重要信息系统。7.1.1.3应依据GB/T22240-2020有关规定准确判定系统等级保护级别。7.1.1.4如为信息系统新建或改造项目，应准确判定系统采用的新技术情况，包括是否采用云计算、大数据、移动互联、物联网、工业控制等一种或多种新技术。7.1.1.5如为信息系统新建或改造项目，应准确判定系统中是否承载重要数据、个人信息，是否涉及数据跨组织流动、数据出境情况。7.1.2安全技术标准及安全管理体系7.1.2.1应依据项目类型和系统的安全保护等级，选择正确的、最新的安全建设参考标准。7.1.2.2应规划建设完善的安全管理体系，涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理及安全运维管理内容。7.1.3产品与服务采购7.1.3.1应确保网络安全产品采购和使用符合国家的有关规定。7.1.3.2应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求。7.1.3.3宜审查各类软硬件设备配置是否依据充分，是否预先对产品进行选型测试并证明其与需求相匹配，在保障安全的原则下避免超额配置造成资源浪费。7.1.3.4应优先采用国产品牌软硬件产品，选用国外产品的应经过严格认证并说明原因，并提交专家认证意见。7.1.3.5三级以上系统如涉及外包软件开发，应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。7.1.3.6重要信息系统运营者应当采购安全可信的网络硬件、软件产品和服务，并与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任。7.1.3.7移动互联系统如采购移动应用软件，宜保证移动终端安装、运行的应用软件来自可靠分发渠道或使用可靠证书签名。7.1.3.8移动互联系统如采购移动应用软件，二级系统宜保证移动终端安装、运行的应用软件由可靠的开发者开发，三级系统宜保证移动终端安装、运行的应用软件由指定的开发者开发。5DB43/TXXXX—XXXX7.1.3.9移动互联系统如需外包开发移动应用软件，宜对移动业务应用软件开发者进行资格审查，保证开发移动业务应用软件的签名证书合法性。7.1.3.10工业控制系统重要设备宜通过专业机构的安全性检测后采购使用，保证控制设备在上线前经过安全性检测，避免控制设备固件中存在恶意代码程序。7.1.3.11工业控制系统如需外包开发，宜在外包开发合同中规定针对开发单位、供应商的约束条款，包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。7.1.4项目经费预算7.1.4.1应依据系统建设规模、系统安全需求、系统数量合理制定安全建设费用预算、软件安全性测试、等级保护测评、商用密码应用安全性评估费用预算。7.1.4.2如系统涉及重要信息系统的，宜制定系统上线安全检测评估费用和安全措施有效性验证费用预算。7.1.4.3如系统涉及重要数据处理的，宜制定重要数据安全风险评估费用预算。7.1.4.4如系统涉及个人信息处理的，宜制定个人信息安全影响评估费用预算。7.1.4.5如系统涉及个人信息出境的，宜制定个人信息出境风险评估费用预算。7.1.4.6宜依据系统建设规模合理制定风险评估、上线安全检测、安全加固、网络安全培训、应急演练、系统安全运维等费用预算。7.1.4.7网络安全投入应按照国家相关法规标准执行，网络安全投入占信息化投入比例宜不低于10%。7.2具体要求7.2.1网络安全技术措施应符合GB/T25070-2019、GB/T22239-2019以及国家规定的要求。7.2.2数据安全保护措施宜符合GB/T37988-2019、GB/T39477-2020的要求。7.2.3个人信息安全保护措施宜符合GB/T35273-2020、GB/T39335-2020的要求。7.2.4密码应用安全措施应符合GB/T39786-2021以及国家规定的要求。7.2.5关键信息基础设施安全保护措施应符合国家规定的相关要求。7.2.6涉密系统安全保护措施应符合BMB17以及国家规定的相关要求。8审查结果审查结论分“通过”、“基本通过”和“不通过”三种情况：——审查结果为“通过”时，项目可按方案进行建设。——审查结果为“基本通过”时，项目建设方参考专家建议修改项目设计方案后可按方案进行建——审查结果为“不通过”时，项目建设方参考专家建议修改项目设计方案后重新提交审查，直至达到通过或基本通过结论后方可按方案进行建设。审查结论判定规则参见附录B。6DB43/TXXXX—XXXX（资料性）流程图A网络安全审查工作流程可参照图1进行操作。图1：网络安全审查工作流程 审查申请↓ 报送安全审查材料↓完备性审查不通过修改方案通过组织线上组织线上\线下评审会不通过修改方案修改方案通过专业审查基本通过不通过修改方案修改方案通过专业审查基本通过复审出具审查结果7DB43/TXXXX—XXXX审查结果的判别审查内容要求项设置为必须项（描述为“应”）和建议项（描述为“宜”）。a）审查内容要求“必须项”和“建议项”都满足的判定为“通过”。b）有下列情况之一判定为“不通过”。——网络安全保障体系未进行系统化、结构化设计，安全防护层面缺失较大；——产品与服务采购不符合国家相关规定；——项目建设参考安全技术标准为老旧标准；——其他结合实际情况应判定为“不通过”的情况。c）以上a）b）条款之外情况判定为“基本通过”。8DB43/TXXXX—XXXX网络安全审查自查表网络安全审查自查表按照系统部署类型不同（本地部署、托管部署与云部署）分为三个子表，申请人应根据系统部署类型选择相应的表格进行填写。C．1本地部署的信息化项目按照表C.1进行安全设计自查并填表表C.1本地部署系统安全设计自查表9DB43/TXXXX—XXXX）：系统将部署的主要安全产品有（未在以下列举产品*网络防护类：*主机防护类：*数据安全类：*加密类：*安全管理类：DB43/TXXXX—XXXX*安全监测类：DB43/TXXXX—XXXX*拓扑图中是否体现按照功能进行区域划分：*区域之间是否采用隔离措施:*拓扑图中是否体现通信线路的冗余：*拓扑图中是否体现关键网络设备的硬件冗余：*拓扑图中是否体现关键计算设备的硬件冗余：区域边界采用的安全措施施*方案中是否有明确哪些数据是重要数据，并对数据进行分类：*方案中是否有体现重要数据备份措施（数据备份系统）：），*方案中是否有体现重要数据存储加密措施：DB43/TXXXX—XXXX*方案中是否有体现重要系统进行容灾备份措施（容灾备份系统）：*方案中是否有体现数据库进行容灾备份措施（容灾备份系统）：*是否采用校验技术或密码技术实现对数据通信的保护：*网络边界防护情况：DB43/TXXXX—XXXX*防火墙是否具有以下功能：*是否有准入控制措施（准入控制系统）：*是否有违规外联检测/限制（违规外联检测系统）：*是否有无线网络接入管控措施：*是否有检测、防止或限制从外部发起的网络攻击行为的措施（外网入侵检测设备）：*入侵检测设备是否能在发生严重事件时提供报警：□是□否*是否有检测、防止或限制从内部发起的网络攻击行为的措施（入侵检测设备）：DB43/TXXXX—XXXX*入侵检测设备是否能在发生严重事件时提供报警：□是□否*是否有新型网络攻击行为进行检测的措施（入侵检测设备）：*入侵检测设备是否能在发生严重事件时提供报警：□是□否*网络边界处/关键网络节点处是否有对恶意代码进行检测和清除的措施：施*服务器使用的操作系统为：*服务器如为windows操作系统，是否有免受恶意代码攻击的技术措施或主动免疫可信验证机制：*是否具有主机入侵防护的措施（主机入侵防护软件）：DB43/TXXXX—XXXX*是否有对网络设备、安全设备、操作系统、数据库、中间件、应用等进行安全基线加固的内容：*是否有对应用安全功能的描述：□是□否*是否有代码安全开发的要求和描述：□是□否*是否有代码安全测试：□是□否*是否需收集个人信息：□是□否DB43/TXXXX—XXXX*是否存在收集与业务无关的个人信息：□是□否*是否提供有效的更正、删除个人信息及注销用户账号功能：□是□否*是否建立并公布个人信息安全投诉、举报渠道：□是□否*是否有APP:□是□否*是否简明清晰的明示收集使用个人信息的目的、方式和范围：□是□否施*是否对设备进行集中管理：*是否有设备集中监控：*是否有日志审计集中收集和分析的措施（日志审计设备）：*是否建设安全管理中心：□是，实现方式为□否DB43/TXXXX—XXXX*是否划分安全管理区域：□是，实现方式为□否*是否有恶意代码集中管理措施*是否有安全策略、补丁升级集中管理措施：*是否有对各类安全事件进行识别、报警和分析措施：施2、密码产品是否符合法律、法规的规定和密码相关国家标准、行DB43/TXXXX—XXXXDB43/TXXXX—XXXXC．2托管部署的信息化项目按照表C.2进行安全设计自查并填表表C.2托管部署系统安全设计自查表DB43/TXXXX—XXXX）：系统将部署的主要安全产品有（未在以下列举产品*网络防护类：*主机防护类：*数据安全类：DB43/TXXXX—XXXX*加密类：*安全管理类：*安全监测类：DB43/TXXXX—XXXX*方案中是否有明确哪些数据是重要数据，并对数据进行分类：*方案中是否有体现重要数据备份措施（数据备份系统）：DB43/TXXXX—XXXX），*方案中是否有体现重要数据存储加密措施：*方案中是否有体现重要系统进行容灾备份措施（容灾备份系统）：*方案中是否有体现数据库进行容灾备份措施（容灾备份系统）：*是否采用校验技术或密码技术实现对数据通信的保护：DB43/TXXXX—XXXX*网络边界防护情况：*防火墙是否具有以下功能：*是否有准入控制措施（准入控制系统）：*是否有违规外联检测/限制（违规外联检测系统）：*是否有无线网络接入管控措施：DB43/TXXXX—XXXX*是否有检测、防止或限制从外部发起的网络攻击行为的措施（外网入侵检测设备）：*入侵检测设备是否能在发生严重事件时提供报警：□是□否*是否有检测、防止或限制从内部发起的网络攻击行为的措施（入侵检测设备）：*入侵检测设备是否能在发生严重事件时提供报警：□是□否*是否有新型网络攻击行为进行检测的措施（入侵检测设备）：*入侵检测设备是否能在发生严重事件时提供报警：□是□否*网络边界处/关键网络节点处是否有对恶意代码进行检测和清除的措施：DB43/TXXXX—XXXX*服务器使用的操作系统为：*服务器如为windows操作系统，是否有免受恶意代码攻击的技术措施或主动免疫可信验证机制：*是否具有主机入侵防护的措施（主机入侵防护软件）：*是否有对网络设备、安全设备、操作系统、数据库、中间件、应用等进行安全基线加固的内容：*是否有对应用安全功能的描述：□是□否DB43/TXXXX—XXXX*是否有代码安全开发的要求和描述：□是□否*是否有代码安全测试：□是□否*是否需收集个人信息：□是□否*是否存在收集与业务无关的个人信息：□是□否*是否提供有效的更正、删除个人信息及注销用户账号功能：□是□否*是否建立并公布个人信息安全投诉、举报渠道：□是□否*是否有APP:□是□否*是否简明清晰的明示收集使用个人信息的目的、方式和范围：□是□否*是否对设备进行集中管理：*是否有设备集中监控：DB43/TXXXX—XXXX*是否有日志审计集中收集和分析的措施（日志审计设备）：*是否建设安全管理中心：□是，实现方式为□否*是否划分安全管理区域：□是，实现方式为□否*是否有恶意代码集中管理措施*是否有安全策略、补丁升级集中管理措施：*是否有对各类安全事件进行识别、报警和分析措施：DB43/TXXXX—XXXX2、密码产品是否符合法律、法规的规定和密码相关国家标准、行DB43/TXXXX—XXXXC．3云部署的信息化项目按照表C.3进行安全设计自查并填表表C.3云部署系统安全设计自查表DB43/TXXXX—XXXX）：系统将部署的主要安全产品有（未在以下列举产品*网络防护类：*主机防护类：*数据安全类：*加密类：DB43/TXXXX—XXXX*安全管理类：*安全监测类：DB43/TXXXX—XXXX*方案中是否有明确哪些数据是重要数据，并对数据进行分类：*方案中是否有体现重要数据备份措施（数据备份系统）：），*方案中是否有体现重要数据存储加密措施：*方案中是否有体现重要系统进行容灾备份措施（容灾备份系