ICS35.020CCSA90

DB3205蘇 州 市 地 方 標 準DB3205/T1042—2022數(shù)字政府城市網(wǎng)絡安全評價指標體系Digitalgovernment-Citycybersecurityevaluationindexsystem2022-08-192022-08-192022-08-26蘇州市市場監(jiān)督管理局發(fā)布DB3205/T1042—2022DB3205/T1042—2022DB3205/T1042—2022DB3205/T1042—2022目 次前言 II引言 III范圍 1規(guī)范性引用文件 1術語和定義 1縮略語 1基本原則 2政策規(guī)范實施 2基本制度規(guī)范實施 2等級保護制度實施 2關鍵信息基礎設施保護實施 2安全審查制度實施 2應急管理實施 3風險控制 3網(wǎng)絡犯罪控制 3威脅和漏洞通報 3事件監(jiān)測、評估與響應 4信息共享 4城市整體防護 4數(shù)據(jù)安全 5網(wǎng)絡安全文化 5網(wǎng)絡安全宣傳與活動 5網(wǎng)絡安全報送機制 5網(wǎng)絡安全人才培養(yǎng) 5研究創(chuàng)新 6網(wǎng)絡安全創(chuàng)新投資 6網(wǎng)絡安全創(chuàng)新環(huán)境 6網(wǎng)絡安全創(chuàng)新水平 6發(fā)展協(xié)同 6網(wǎng)絡安全產(chǎn)業(yè)發(fā)展 6政企合作 7跨城市合作 7網(wǎng)絡安全市場 7附錄A（資料性）評價方法原理 8附錄B（資料性）評價細則 10參考文獻 18I前 言本文件按照GB/T1.1—20201草。本文件由蘇州市市委網(wǎng)信辦、蘇州市公安局提出。本文件由蘇州市公安局歸口。本文件起草單位：蘇州市公安局、國家計算機網(wǎng)絡與信息安全管理中心江蘇分中心、蘇州市質(zhì)量和本文件為首次發(fā)布。引 言IIIIIIDB3205/T1042—2022DB3205/T1042—2022DB3205/T1042—2022DB3205/T1042—2022數(shù)字政府城市網(wǎng)絡安全評價指標體系范圍本文件給出了城市網(wǎng)絡安全評價指標體系的基本原則、政策規(guī)范實施、風險控制、網(wǎng)絡安全文化、研究創(chuàng)新、發(fā)展協(xié)同等內(nèi)容。本文件適用于城市網(wǎng)絡安全評價工作。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069信息安全技術術語GB/T28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求GB/T36637-2018信息安全技術ICT供應鏈安全風險管理指南術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。GB/T25069界定的以及下列術語和定義適用于本文件。3.1城市網(wǎng)絡安全citycybersecurity整個城市包括政府、機構(gòu)和個人在內(nèi)的主要實體，在網(wǎng)絡空間中所面對的風險和應對狀況。3.2監(jiān)測monitoring通過部署探針，收集城市重要資產(chǎn)的安全狀況。3.3評價evaluate采集指標體系相關數(shù)據(jù)，通過專家評估或分析計算，得出反映現(xiàn)實狀況的結(jié)果。3.4信息技術應用創(chuàng)新產(chǎn)業(yè)informationtechnologyapplicationinnovationindustry以信息技術產(chǎn)業(yè)為根基，通過科技創(chuàng)新，構(gòu)建國內(nèi)信息技術產(chǎn)業(yè)生態(tài)體系，簡稱信創(chuàng)。4縮略語下列縮略語適用于本文件。ICT：信息與通信技術（Informationandcommunicationstechnology）PC：個人計算機（Personalcomputer）APP：移動互聯(lián)網(wǎng)應用程序（Application）1基本原則城市網(wǎng)絡安全評價指標體系的確立主要符合以下原則：a）全面性——覆蓋城市網(wǎng)絡安全體系的組織、管理、技術、運行和社會基礎等方面；b）代表性——有效刻畫城市網(wǎng)絡安全體系能力和狀態(tài)的特定維度和方面；可比性——不同城市和城市不同階段都可根據(jù)指標進行科學比較；AB；可擴展性——根據(jù)實際發(fā)展情況對指標體系框架進行修訂；前瞻性——體現(xiàn)城市網(wǎng)絡安全防護發(fā)展趨勢，引導城市網(wǎng)絡安全體系建設、運行與調(diào)整。政策規(guī)范實施基本制度規(guī)范實施等級保護制度實施定級備案測評整改根據(jù)國家網(wǎng)絡安全等級保護制度相關要求，監(jiān)管測評機構(gòu)參考GB/T28448-2019開展網(wǎng)絡安全測評工作，在安全建設與自查整改中提供技術指導和專家人員支持。關鍵信息基礎設施保護實施識別認定各保護工作部門結(jié)合本行業(yè)、本領域?qū)嶋H，制定關鍵信息基礎設施認定規(guī)則，并組織認定本行業(yè)、本領域的關鍵信息基礎設施。安全監(jiān)督自主可控安全審查制度實施2ICT指導監(jiān)督區(qū)域重要系統(tǒng)或關鍵信息基礎設施ICT供應鏈安全管理工作，通過專業(yè)工作小組按照GB/T36637-2018要求定期檢查ICT供應鏈安全風險管理過程與控制措施情況。政府采購安全審查外資并購安全審查信息安全相關審查應急管理實施應急預案結(jié)合區(qū)域網(wǎng)絡安全環(huán)境，制定區(qū)域化的網(wǎng)絡安全應急預案，并監(jiān)督區(qū)域各單位制定各自應急預案。6.5.2演習演練6.5.2演習演練定期組織演練，檢驗和完善預案，提高實戰(zhàn)能力，并記錄演練情況。7風險控制網(wǎng)絡犯罪控制網(wǎng)絡犯罪防范針對網(wǎng)絡犯罪危害情況，建立與完善城市網(wǎng)絡犯罪防范體系，對網(wǎng)絡犯罪進行預警、阻斷和勸阻，并與上級或其他公安機關協(xié)同防范。網(wǎng)絡犯罪打擊威脅和漏洞通報威脅預警建立網(wǎng)絡安全威脅預警機制，構(gòu)建與維護威脅情報庫，及時發(fā)布威脅信息。漏洞披露3建立漏洞披露機制，構(gòu)建漏洞庫和漏洞披露機制，定期向社會發(fā)布漏洞、危害、修補措施等信息，推動區(qū)域內(nèi)漏洞的修復。事件監(jiān)測、評估與響應事件監(jiān)測事件評估事件響應信息共享威脅情報共享儲與分發(fā)，及時發(fā)布最新的威脅情報。7.4.2安全大數(shù)據(jù)共享建立網(wǎng)絡安全大數(shù)據(jù)共享機制，規(guī)范安全大數(shù)據(jù)的采集、存儲、分析與分發(fā)，支撐城市網(wǎng)絡風險控儲與分發(fā)，及時發(fā)布最新的威脅情報。7.4.2安全大數(shù)據(jù)共享建立網(wǎng)絡安全大數(shù)據(jù)共享機制，規(guī)范安全大數(shù)據(jù)的采集、存儲、分析與分發(fā)，支撐城市網(wǎng)絡風險控制。城市整體防護測繪與資產(chǎn)管理網(wǎng)絡安全狀態(tài)監(jiān)測體系建設與運行基礎設施建設4數(shù)據(jù)安全數(shù)據(jù)分類分級建立數(shù)據(jù)分類分級管理制度，制定相關方案與措施，推進數(shù)據(jù)排查和安全治理。數(shù)據(jù)安全保護數(shù)據(jù)安全流通數(shù)據(jù)安全應用建立數(shù)據(jù)安全應用機制，建設大數(shù)據(jù)安全計算平臺，組織與開展數(shù)據(jù)安全審計。網(wǎng)絡安全文化網(wǎng)絡安全宣傳與活動網(wǎng)絡安全宣傳網(wǎng)絡安全宣傳網(wǎng)絡安全活動區(qū)域監(jiān)管單位和組織機構(gòu)定期開展網(wǎng)絡安全技術交流、攻防演練、人才選拔、生態(tài)合作等活動。網(wǎng)絡安全報送機制安全威脅報送安全事件報送區(qū)域監(jiān)管單位制定報送機制，推動個人與組織機構(gòu)關于網(wǎng)絡安全事件信息報送的規(guī)范化和制度化。網(wǎng)絡安全人才培養(yǎng)網(wǎng)絡安全人才教育在公共教育、中小學教育和高等教育等方面推動網(wǎng)絡安全人才培養(yǎng)的開展。網(wǎng)絡安全專業(yè)培訓5研究創(chuàng)新網(wǎng)絡安全創(chuàng)新投資政府網(wǎng)絡安全創(chuàng)新加強在網(wǎng)絡安全技術研究、標準研制、示范推進等方面的投入力度。高等院校網(wǎng)絡安全創(chuàng)新加強在網(wǎng)絡安全科研、重點技術、人才培養(yǎng)等方面的投入力度。企業(yè)網(wǎng)絡安全創(chuàng)新當?shù)馗黝惼髽I(yè)加強在網(wǎng)絡安全產(chǎn)品研發(fā)、技術創(chuàng)新、場景研究等方面的投入力度。網(wǎng)絡安全創(chuàng)新環(huán)境網(wǎng)絡安全創(chuàng)新政策制定和落實針對網(wǎng)絡安全產(chǎn)品創(chuàng)新、技術創(chuàng)新、應用創(chuàng)新等方面促進政策的制定與落實。網(wǎng)絡安全公共服務平臺和創(chuàng)新基地推動創(chuàng)新基地和公共服務平臺的建設、運營和成果輸出。網(wǎng)絡安全創(chuàng)新人才隊伍網(wǎng)絡安全創(chuàng)新人才隊伍網(wǎng)絡安全技術創(chuàng)新服務體系推動政府、企業(yè)、學校、產(chǎn)業(yè)一體化進行協(xié)同創(chuàng)新工作機制的建立和運行。網(wǎng)絡安全創(chuàng)新水平科研成果數(shù)量與質(zhì)量推進網(wǎng)絡安全科研，并反映在成果數(shù)量、成果類別、成果轉(zhuǎn)化、產(chǎn)業(yè)促進等方面的情況。網(wǎng)絡安全新興技術標準在網(wǎng)絡安全新興技術領域，建立標準體系，推動技術和產(chǎn)品的市場化水平。10發(fā)展協(xié)同網(wǎng)絡安全產(chǎn)業(yè)發(fā)展產(chǎn)業(yè)規(guī)劃610.1.2激勵機制政企合作合作框架在技術研究、產(chǎn)業(yè)落地、人才培養(yǎng)等多領域為政企合作提供政策與流程支持。支撐力量建立分級分類的支撐性力量目錄，提升區(qū)域網(wǎng)絡安全防御與應急響應能力。跨城市合作城市間合作聯(lián)合其他同級行政單位在產(chǎn)業(yè)發(fā)展、支撐性力量等領域展開合作，優(yōu)化網(wǎng)絡安全生態(tài)。跨區(qū)域活動鼓勵區(qū)域機關、高校、研究單位及其他機構(gòu)在網(wǎng)絡安全防御、檢測、響應等領域共同協(xié)作與研究，并提供響應的政策與激勵措施，提升網(wǎng)絡安全保障能力。網(wǎng)絡安全市場網(wǎng)絡安全市場技術市場環(huán)境網(wǎng)絡安全服務供應鏈安全7附錄A（資料性）概述城市網(wǎng)絡安全評價采用權重分值計算方式進行評價。評價場景注：以上各類評價應用場景都可根據(jù)本地實際情況進行考核項的內(nèi)容和權重調(diào)整，以符合本地網(wǎng)絡安全建設戰(zhàn)略。A.3計算邏輯A.3計算邏輯整體計算結(jié)論用綜合得分表示，綜合得分通過各一級指標得出，一級指標通過二級指標權重相加，城市網(wǎng)絡安全評價結(jié)果(M)為各項一級指標得分的加權求和，其計算公式如式（A.1）所示：M=5(D×?) （A.1）式中：M——城市網(wǎng)絡安全評價結(jié)果；D——一級指標得分。?——一級指標權重。一級指標得分(D)為該能力子域下每項二級指標得分的加權求和，其計算公式如式（A.2）所示：D=5(3×y)…………（A.2）式中：D——一級指標得分；S——一級指標所屬各項二級指標評分；y二級指標權重。二級指標得分(S)為該能力子域下每項三級指標得分的算術求和，其計算公式如式（A.3）所示：3=5(X×s)…………（A.3）式中：S二級指標得分；8X——二級指標所屬各項三級指標評分；s——三級指標權重三級指標得分(X)為該指標下具體要求得分的算術平均值，其計算公式如式（A.4）所示：式中：X三級指標得分；

X=15mm 1

…………（A.4）y——三級指標各項評價內(nèi)容的評分，其中評價內(nèi)容滿足程度與評分對照表如表A.1所示；m——評價涉及的評價內(nèi)容個數(shù)。表A.1評價內(nèi)容滿足程度與評分對照表評價內(nèi)容滿足程度評分全部滿足1大部分滿足0.8部分滿足0.5不滿足099附錄B（資料性）評價細則B.1評價指標細則參考附錄A33級指標的評價分值進行求和，得出城市網(wǎng)絡安全評價結(jié)果。表B.1評價指標細則（示例）1級指標2級指標3級指標評價內(nèi)容1基本制度規(guī)范（3分）/2、依據(jù)法律法規(guī)及區(qū)域特點，建立ICT供應鏈安全、政府采購安全、外資并購安全、信息安全等審查制度工作制度、工作流程、工作規(guī)范。3、通過制度及財力、物力、人力保障各種審查工作實施，落實各類審查專業(yè)工作小組人員，并確保小組成員審查能力組成合理。4物力、人力上保障應急管理工作落實。5、建立并維護等級保護、關鍵信息基礎設施保護、安全審查、應急管理等相關專家?guī)欤嚓P工作充分發(fā)揮專家價值。政策規(guī)范（20）定級備案1、公安部門有完善的定級備案制度，對每一年度定級備案情況有詳細的記錄。2、定級過程中有相關專家參與，專家參與形式通過隨機抽取。（2分）等級保護3、公安部門近兩年開始，對區(qū)域內(nèi)的云計算平臺、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的系統(tǒng)形成清單，有計劃完成定級備案。（4分）測評整改1GB/T28448-2019所有安全問題的整改建議。（2分）2、區(qū)域相關部門，為運營者等級測評中發(fā)現(xiàn)的安全問題整改，提供流程支持及技術指導。關鍵信息基礎設施保護（6分）識別認定（2）1、根據(jù)國家法律法規(guī)要求，制定關鍵信息基礎設施識別范圍清單，設置并管理本區(qū)域行業(yè)、領域關鍵信息基礎設施安全保護工作部門。2施資源庫。1010DB3205/T1042—2022表B.1評價指標細則DB3205/T1042—2022表B.1評價指標細則（續(xù)）DB3205/T1042—2022表B.1評價指標細則DB3205/T1042—2022表B.1評價指標細則（續(xù)）1級指標2級指標3級指標評價內(nèi)容政策規(guī)范（20）關鍵信息基礎設施保護（6分）識別認定（2）3、公安部門統(tǒng)籌并維護轄區(qū)內(nèi)關鍵信息基礎設施資源庫，資源庫能覆蓋關鍵行業(yè)、領域及相關業(yè)務。安全監(jiān)督（2）1、監(jiān)督關鍵信息基礎設施運營者根據(jù)制度規(guī)范，建立健全安全保護責任制，保障關鍵信息基礎設施安全保護的人力、財力、物力的投入。2、對關鍵信息基礎設施施行分級分類保護策略，優(yōu)先保障能源、電信及本區(qū)域其他重點關鍵信息基礎設施安全運行。自主可控（2）1、參照國家信創(chuàng)工作要求，統(tǒng)籌關鍵信息基礎設施運營者，建立信息化工作的信創(chuàng)工作指標，每自然年定期對指標進行監(jiān)測、監(jiān)督。2、關鍵信息基礎設施保護工作部門在本行業(yè)、本領域建立不低于國家信創(chuàng)要求的自主可控達成率指標，并周期性監(jiān)測、監(jiān)督。安全審查制度（4分）ICT全審查（1）1、統(tǒng)籌、指導、監(jiān)督區(qū)域重要系統(tǒng)或關鍵信息基礎運營者按照GB/T36637-2018要求開展供應鏈安全風險評估。23、根據(jù)檢查評估結(jié)果，制定并完善供應商名錄，形成區(qū)域供應商黑白名單名錄。政府采購安全審查（1分）1、按照網(wǎng)絡安全同步規(guī)劃、同步建設、同步運行原則，要求政府采購計劃、政府采購活動中，網(wǎng)絡安全產(chǎn)品及服務占比8%及以上。2、統(tǒng)籌各單位，制定運維費用的網(wǎng)絡安全占比基線，財政項目評審及專業(yè)工作小組評估政府每年運維費用中網(wǎng)絡安全占比基線的落實情況。外資并購安全審查（1分）1、成立專業(yè)工作小組，對中國企業(yè)收購外資企業(yè)活動企業(yè)跨國收購活動展開網(wǎng)絡安全、數(shù)據(jù)安全及個人信息安全等風險評估。2、成立專業(yè)工作小組，對外資企業(yè)收購中國企業(yè)活動展開法律法規(guī)合規(guī)性評估，并重點評估核心數(shù)據(jù)、關鍵數(shù)據(jù)、關鍵信息基礎設施數(shù)據(jù)安全。信息安全相關審查（1分）1、根據(jù)信息安全和相關產(chǎn)品審查制度規(guī)范，評估采購的關鍵網(wǎng)絡產(chǎn)品和服務可能帶來的社會秩序、公共利益及國家安全風險。2、對發(fā)生重大安全事故的網(wǎng)絡運營者，以書面強制開展網(wǎng)絡安全審查，并在完成審查工作起，30個工作日內(nèi)反饋審查結(jié)論。應急管理（3）應急預案（1）1、根據(jù)《國家網(wǎng)絡安全事件應急預案》(中網(wǎng)辦發(fā)文〔2017〕4號)制定區(qū)域網(wǎng)絡安全應急預案，并統(tǒng)籌、監(jiān)督各運營者制定響應的應急預案。2、結(jié)合區(qū)域特點，對網(wǎng)絡安全事件進行分級，并明確處置流程與措施。3、根據(jù)網(wǎng)絡安全事件類型、級別，統(tǒng)籌協(xié)調(diào)應急工作中各網(wǎng)絡運營者、產(chǎn)品及服務提供者之間的分工與協(xié)作。演習演練（2）1演練。2風險控制（30）網(wǎng)絡犯罪控制（4分）網(wǎng)絡犯罪防范（2分）1、建立城市級網(wǎng)絡犯罪預警、阻斷和勸阻在內(nèi)的防范體系。2、建立聯(lián)動機制，網(wǎng)絡犯罪防范體系縱向與國家級及省部級相關單位緊密對接，橫向與能夠賦能的高校、科研機構(gòu)、頭部安全公司緊密對接。11111級指標2級指標3級指標評價內(nèi)容風險控制（30分）網(wǎng)絡犯罪控制（4分）網(wǎng)絡犯罪打擊（2分）1、建立城市網(wǎng)絡犯罪偵查、研判和溯源在內(nèi)的打擊體系。2、成立由各級監(jiān)管機構(gòu)、電信和金融等關鍵企業(yè)組成的聯(lián)合工作組，針對網(wǎng)絡犯罪制定案件聯(lián)合偵辦機制。洞通報（4）威脅預警（2）1、依據(jù)國家相關規(guī)范，建立本地威脅情報的存儲規(guī)范、管理規(guī)范，以及城市級威脅情報庫。2、跟蹤國內(nèi)外權威威脅情報平臺的進展情況，建立威脅情報時效性管理流程，在情報時效范圍內(nèi)完成城市級威脅情報庫的增量更新。3、制訂威脅預警流程，及時審核和發(fā)布威脅預警信息。漏洞披露（2）1、建立與完善城市漏洞庫，整合當?shù)匕踩录械穆┒葱畔ⅰ?、匯總高可信應急響應平臺發(fā)布的漏洞報告和軟硬件缺陷預警信息，及時更新城市級漏洞庫。3、按照國家及省內(nèi)相關要求制訂漏洞披露流程，定期向社會發(fā)布漏洞、危害、修補措施等信息。評估與響應（6分）事件監(jiān)測（2）1、成立由各級監(jiān)管機構(gòu)組成的工作組，有效的組織網(wǎng)絡安全事件監(jiān)測管理工作。2、制定網(wǎng)絡安全事件的監(jiān)測和報送流程，實現(xiàn)跨地區(qū)、跨部門、跨行業(yè)聯(lián)動，確保及時掌握職責范圍內(nèi)關鍵信息基礎設施運行狀況和安全風險，向有關運營者通報安全風險和相關工作信息。3、制定城市范圍內(nèi)監(jiān)測策略、監(jiān)測內(nèi)容、預警分級標準、預警流程，重點對關鍵信息基礎設施進行網(wǎng)絡安全風險監(jiān)測預警。4、組建專門從事監(jiān)測預警的專業(yè)技術團隊。事件評估（2）1、成立由各級監(jiān)管機構(gòu)組成的工作組，有效的組織網(wǎng)絡安全事件評估管理工作。2、建立專門的安全事件研判團隊，對網(wǎng)絡安全事件進行分析評估，研判事件發(fā)生的影響范圍、危害程度和再次發(fā)生的可能性。3、建立安全威脅分析平臺，對安全事件中發(fā)現(xiàn)的威脅信息進行關聯(lián)，爭取還原完整的攻擊過程。事件響應（2）1變更流程等，并針對關鍵信息基礎設施的應急響應做出明確的規(guī)定。2、制定城市內(nèi)部的網(wǎng)絡安全事件應急處置操作規(guī)程，明確技術方法和工具等。3、建立專門的技術團隊，能夠?qū)Τ鞘袃?nèi)的網(wǎng)絡安全事件進行處理。4、建立事件響應的自動化處理平臺，能夠快速的將危害關鍵業(yè)務的安全事件通報到相關組織機構(gòu)，并推動相關響應活動的開展。信息共享（4）威脅情報共享（2分）1、成立由各級監(jiān)管機構(gòu)組成的工作組，規(guī)范城市內(nèi)政府部門和企業(yè)的網(wǎng)絡安全威脅情報收集與匯總。2、建立城市內(nèi)統(tǒng)一的威脅情報結(jié)構(gòu)規(guī)范。12121級指標2級指標3級指標評價內(nèi)容風險控制（30分）信息共享（4）威脅情報共享（2分）3存儲和分發(fā)。安全大數(shù)據(jù)共享（2分）1、成立由各級監(jiān)管機構(gòu)組成的安全大數(shù)據(jù)協(xié)同工作組，組織城市內(nèi)各部門、各行業(yè)的網(wǎng)絡安全大數(shù)據(jù)共享管理工作。2、建立安全大數(shù)據(jù)平臺，完成安全大數(shù)據(jù)的全生命周期管理，按照相關規(guī)定進行網(wǎng)絡安全大數(shù)據(jù)的采集、存儲、傳輸和處理。3挖掘威脅信息。城市整體防護（6分）測繪與資產(chǎn)管理（1分）1、發(fā)現(xiàn)與識別城市范圍內(nèi)網(wǎng)絡空間設施、服務和關鍵數(shù)據(jù)等資源，繪制網(wǎng)絡資產(chǎn)地圖，直觀展現(xiàn)城市網(wǎng)絡空間的資產(chǎn)、狀態(tài)和安全態(tài)勢。2ITOT更新清單。網(wǎng)絡安全狀態(tài)監(jiān)測（1分）1、監(jiān)測與綜合分析城市中個人網(wǎng)絡用戶在終端上遭遇的各種主要的網(wǎng)絡攻擊情況，例如釣魚網(wǎng)站、網(wǎng)絡欺詐、其他信息假冒等。2、監(jiān)測與綜合分析城市中各政府部門和各企業(yè)暴露在互聯(lián)網(wǎng)上的網(wǎng)站、APP信息內(nèi)容安全等。體系建設與運行（2分）1、具備城市網(wǎng)絡安全整體防護體系實施方案。2、全面實時的監(jiān)測城市內(nèi)網(wǎng)絡安全重點防護機構(gòu)和設施的安全風險。3、建立包含城市現(xiàn)有安全防護機制、安全大數(shù)據(jù)平臺、安全專家團隊、云端安全服務等在內(nèi)的城市整體性網(wǎng)絡安全防護體系?；A設施建設（2分）1等設施。2、配置安全專家團隊對網(wǎng)絡安全基礎設施開展持續(xù)運營，以安全服務形式對城市內(nèi)各部門賦能。數(shù)據(jù)安全（6）數(shù)據(jù)分類分級（2分）1數(shù)據(jù)應用的方案和措施。2、對城市內(nèi)一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)進行劃分與排查。3、對不同類別和級別的數(shù)據(jù)建立相應的訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安全管理和控制措施。數(shù)據(jù)安全保護（2分）1、建立數(shù)據(jù)存儲保護管理制度和技術保護要求。2、具備數(shù)據(jù)安全保護計劃和數(shù)據(jù)安全事件應急預案。3、開展數(shù)據(jù)安全風險監(jiān)測，協(xié)調(diào)數(shù)據(jù)安全風險和事件的處置。4、定期組織開展數(shù)據(jù)安全宣傳教育培訓、風險評估、應急演練等活動。5、為城市公共數(shù)據(jù)建立成熟穩(wěn)定的存儲媒體和設備安全管理、備份恢復機制。13131級指標2級指標3級指標評價內(nèi)容風險控制（30）數(shù)據(jù)安全（6）數(shù)據(jù)安全流通（1分）1、建立數(shù)據(jù)安全流通管理制度和技術保護措施。2密傳輸要求,包含對數(shù)據(jù)加密算法的要求和密鑰的管理要求。3、基于可流通數(shù)據(jù)目錄，建設可信的城市數(shù)據(jù)流通交易平臺，保障數(shù)據(jù)標識、確權、流通、溯源等業(yè)務的開展。數(shù)據(jù)安全應用（1分）1、梳理城市數(shù)據(jù)應用場景，建設城市大數(shù)據(jù)安全計算平臺，保障數(shù)據(jù)應用過程的安全性和隱私性。2、組織開展對當?shù)刂匾獢?shù)據(jù)處理活動的數(shù)據(jù)安全審計。網(wǎng)絡安全文化（15分）網(wǎng)絡安全宣傳與活動（5分）網(wǎng)絡安全宣傳（3分）1、建立網(wǎng)絡安全宣傳工作的執(zhí)行機構(gòu)。2、制定全民網(wǎng)絡安全宣傳工作的執(zhí)行方案。3、網(wǎng)絡安全宣傳工作覆蓋人群同比上升。4、提升各類人群網(wǎng)絡安全意識水平。網(wǎng)絡安全活動（2分）12、網(wǎng)絡安全活動受眾覆蓋人群同比上升。（4）安全威脅報送（2分）1、建立網(wǎng)絡安全危害行為舉報機制。2、落實安全威脅報送后的處理。安全事件報送（2分）1、建立各級單位網(wǎng)絡安全事件的上報機制。2、建立部門之間針對網(wǎng)絡安全事件的協(xié)同機制。3、落實安全事件報送后的處理。（6）網(wǎng)絡安全人才教育（3分）1、推動高等教育機構(gòu)開設網(wǎng)絡安全相關專業(yè)課程。2、網(wǎng)絡安全相關專業(yè)應屆生同比上升。3、打造高等院校、中小學網(wǎng)絡安全教師隊伍。4、建立網(wǎng)絡安全產(chǎn)教融合聯(lián)盟或相關協(xié)會，推動形成網(wǎng)絡安全人才教育和企業(yè)協(xié)同工作平臺。5、面向教師和學生開展網(wǎng)絡安全意識、知識、技能和素養(yǎng)的培養(yǎng)工作。6、創(chuàng)造網(wǎng)絡安全就業(yè)環(huán)境。網(wǎng)絡安全專業(yè)培訓（3分）1、支持教育機構(gòu)開設網(wǎng)絡安全相關職業(yè)培訓或者認證工作。2、打造網(wǎng)絡安全行業(yè)專家教師與講師隊伍。3、推動重點行業(yè)開展網(wǎng)絡安全職業(yè)技能培訓或認證。4、落實網(wǎng)絡安全就業(yè)和再就業(yè)支持措施。研究創(chuàng)新（15）（4）政府網(wǎng)絡安全創(chuàng)新經(jīng)費支出（2分）1、為網(wǎng)絡安全相關研發(fā)提供專項經(jīng)費。高等院校網(wǎng)絡安全創(chuàng)新經(jīng)費支出（1分）1、高等院校為網(wǎng)絡安全相關科研提供專項經(jīng)費。14141級指標2級指標3級指標評價內(nèi)容研究創(chuàng)新（15）（4）高等院校網(wǎng)絡安全創(chuàng)新經(jīng)費支出（1分）2、網(wǎng)絡安全相關科研專項經(jīng)費重點向技術、應用與人才培養(yǎng)方向傾斜。企業(yè)網(wǎng)絡安全研發(fā)經(jīng)費支出（1分）1（7）網(wǎng)絡安全創(chuàng)新政策制定和落實（2分）1、出臺網(wǎng)絡安全創(chuàng)新激勵政策，并覆蓋相關領域。2、制定網(wǎng)絡安全創(chuàng)新政策的執(zhí)行方案及效果評價方法。新基地（2）1、創(chuàng)建網(wǎng)絡安全產(chǎn)學研的工作園區(qū)或者基地。2、制定網(wǎng)絡安全公共服務平臺和創(chuàng)新基地的工作機制。3、對網(wǎng)絡安全公共服務平臺和創(chuàng)新基地的參與單位和成果進行評價。人才隊伍（1）1、建立網(wǎng)絡安全技術研究人才隊伍，并定期對其能力進行評價。2、建立網(wǎng)絡安全工程應用人才隊伍，并定期對其能力進行評價。3、建立網(wǎng)絡安全開發(fā)人才隊伍，并定期對其能力進行評價。網(wǎng)絡安全技術創(chuàng)新服務體系（2分）1、帶動地方配套支持，優(yōu)化自主創(chuàng)新環(huán)境。2、提升公共服務效能，提高資源利用效益。3、促進國際交流合作，深化產(chǎn)學研貿(mào)結(jié)合。（4）與質(zhì)量（2）1、促進科學成果向產(chǎn)品和技術轉(zhuǎn)化。2、科學成果覆蓋重點技術突破和應用領域。3、利用科研成果促進網(wǎng)絡安全工作和社會經(jīng)濟發(fā)展。技術標準（2）1、制定網(wǎng)絡安全新興技術與應用標準工作計劃。2、定期發(fā)布或更新網(wǎng)絡安全新興技術與應用標準。發(fā)展協(xié)同（20）（5）產(chǎn)業(yè)規(guī)劃（2）1、制定符合區(qū)域信息化戰(zhàn)略的網(wǎng)絡安全產(chǎn)業(yè)發(fā)展政策，并實施相應的市場活動。23、每兩年開展一次產(chǎn)業(yè)規(guī)劃政策的評審和修訂。激勵機制（3）1、每年投入必要的資金與其他資源，激勵相關企業(yè)，尤其是本地網(wǎng)絡安全企業(yè)，促進網(wǎng)絡安全與信息化產(chǎn)業(yè)創(chuàng)新、應用示范。2才。3、布局網(wǎng)絡安全產(chǎn)業(yè)園，通過稅收優(yōu)惠、政策補貼等方式促進園區(qū)生態(tài)發(fā)展。4、設立實施細則，鼓勵企業(yè)、專業(yè)培訓機構(gòu)和高校展開網(wǎng)絡安全教育與培訓。1515注1：表格中的1級、2級指標不應做調(diào)整。注1：表格中的1級、2級指標不應做調(diào)整。注2：表格中的3級目錄建議不做調(diào)整。注3：表格中的評價內(nèi)容可以根據(jù)需求做剪裁或調(diào)整，如果剪裁，建議提供剪裁理由。B.2評價結(jié)果判定將城市網(wǎng)絡安全評價結(jié)果設為四級：差、合格、良好、優(yōu)秀。針對評價得分，依據(jù)表B.2判斷出當前城市網(wǎng)絡安全評價的等級。表B.2城市網(wǎng)絡安全評價得分與等級判定161級指標2級指標3級指標評價內(nèi)容發(fā)展協(xié)同（20）政企合作（5）合作框架（2）1、為網(wǎng)絡安全產(chǎn)業(yè)招商引資提供政策指引。2、為網(wǎng)絡安全培訓本地化提供政策指引。支撐力量（3）1、建立城市網(wǎng)絡安全支撐力量與政策規(guī)范。2、為政策落地提供主管機構(gòu)、主管人員等支持。3、對支撐性力量名錄進行分類分級?？绯鞘泻献鳎?分）城市間合作（3分）1、聯(lián)合兩個及以上城市在網(wǎng)絡安全產(chǎn)業(yè)發(fā)展、產(chǎn)業(yè)互補協(xié)作等方面，共同出臺相關政策、實施指引及落地標準。2、聯(lián)合兩個及以