ICS13.200CCSA90 43湖 南 省 地 方 標(biāo) 準(zhǔn)DB43/T2313—2022政務(wù)信息化項目網(wǎng)絡(luò)安全審查規(guī)范Cybersecurityreviewspecificationofgovernmentaffairsinformationizeprojects20222022033120220630湖南省市場監(jiān)督管理局發(fā)布目 次前言Ⅲ112規(guī)范性引用文件······1314································24.1線下審查································24.2線上審查································25審查前合規(guī)性自查25.1方案編制································25.2方案自查································36································36.1審查申請································46.2完備性審查46.3專業(yè)審查································46.4出具審查結(jié)果47································47.1基本要求································47.2具體要求································58································5附錄A（資料性）流程圖6附錄B（規(guī)范性）7附錄C（資料性）37參考文獻(xiàn)38前 言GB/T1.1—20201請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中共湖南省委網(wǎng)絡(luò)安全和信息化委員會辦公室提出并歸口。政務(wù)信息化項目網(wǎng)絡(luò)安全審查規(guī)范（GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T22240—2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南GB/T25070—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計技術(shù)要求GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T37988—201939335—2020GB/T39477—202039786—2021GB/T40692—2021政務(wù)信息系統(tǒng)定義和范圍DA/T28—2018建設(shè)項目檔案管理規(guī)范下列術(shù)語和定義適用于本文件。3.1政務(wù)信息系統(tǒng)Governmentinformationsystem：GB/T40692—20214]3.2政務(wù)信息化項目Governmentaffairsinformationizeprojects由財政性資金投資建設(shè)、與社會企業(yè)聯(lián)合建設(shè)、購買服務(wù)或需要財政性資金運(yùn)行維護(hù)的信息化項目（含新建、擴(kuò)建和改造升級信息化項目）。3.3項目計案 Projectdesignscheme在信息化項目建設(shè)過程中編制的可行性研究報告、初步設(shè)計方案、深化設(shè)計方案和投資概算等。3.4安全設(shè)計方案Securitydesignscheme項目設(shè)計方案中包含的網(wǎng)絡(luò)安全體系總體設(shè)計方案、密碼應(yīng)用方案、數(shù)據(jù)安全保護(hù)方案等子方案。3.5關(guān)鍵信息基礎(chǔ)設(shè)施Criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)3.6重要信息系統(tǒng)Importantinformationsystem3.7重要數(shù)據(jù)Importantdata一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。3.8網(wǎng)絡(luò)安全投入Cybersecurityinvestment項目建設(shè)及運(yùn)行過程中投入的安全咨詢服務(wù)、安全運(yùn)維服務(wù)、安全技術(shù)服務(wù)、安全集成服務(wù)、等保測評服務(wù)、商用密碼安全性評估服務(wù)、安全軟件、安全設(shè)備及其他硬件等相關(guān)費(fèi)用。建設(shè)單位Constructing建設(shè)單位ConstructingunitsDA/T28—2018，3.4]3.10審查部門Reviewdepartment負(fù)責(zé)組織網(wǎng)絡(luò)安全審查工作的組織。4審查方式審查方式包括線下審查和線上審查。5審查前合規(guī)性自查5.1方案編制1）5.2方案自查6審查流程審查流程包括審查申請、完備性審查、專業(yè)審查和出具審查結(jié)果。建設(shè)單位按照網(wǎng)絡(luò)安全審查工作相關(guān)流程（詳見附錄A流程圖）和相關(guān)要求，提交項目設(shè)計方案和網(wǎng)絡(luò)安全審查申請表（詳見附錄B網(wǎng)絡(luò)安全審查申請表）。7由審查部門依據(jù)專家意見進(jìn)行綜合判定，出具審查結(jié)果。GB/T22240—2020試、等級保護(hù)測評、商用密碼應(yīng)用安全性評估等費(fèi)用預(yù)算。網(wǎng)絡(luò)安全投入應(yīng)按照國家相關(guān)法規(guī)標(biāo)準(zhǔn)執(zhí)行，網(wǎng)絡(luò)安全投入占信息化投入比例不宜低于10％。GB/T25070—2019、GB/T22239—2019GB/T37988—2019、GB/T39477—2020GB/T35273—2020GB/T39335—2020GB/T39786—2021——審查結(jié)果為“通過”時，項目可按項目建設(shè)方案進(jìn)行建設(shè)?！獙彶榻Y(jié)果為“暫緩?fù)ㄟ^”時，項目建設(shè)方參考專家建議修改項目設(shè)計方案后可按方案進(jìn)行建設(shè)?！獙彶榻Y(jié)果為“不通過”時，項目建設(shè)方應(yīng)組織重新編寫項目設(shè)計方案。審查結(jié)果判定規(guī)則參見附錄C?！獙彶榻Y(jié)果為“通過”時，項目可按項目建設(shè)方案進(jìn)行建設(shè)。——審查結(jié)果為“暫緩?fù)ㄟ^”時，項目建設(shè)方參考專家建議修改項目設(shè)計方案后可按方案進(jìn)行建設(shè)。——審查結(jié)果為“不通過”時，項目建設(shè)方應(yīng)組織重新編寫項目設(shè)計方案。審查結(jié)果判定規(guī)則參見附錄C。修改方案不通過修改方案不通過完備性審查通過組織線上或線下評審暫緩?fù)ㄟ^不通過修改案 專業(yè)查 修改案復(fù)審出具審查結(jié)果附錄A（資料性）流程圖A網(wǎng)絡(luò)安全審查工作流程可參照圖1進(jìn)行操作。不通過不通過合規(guī)性自查通過報送安全審查材料修改方案啟動網(wǎng)絡(luò)安全審查通過通過圖1網(wǎng)絡(luò)安全審查工作流程圖1網(wǎng)絡(luò)安全審查工作流程附錄B（規(guī)范性）網(wǎng)絡(luò)安全審查申請表表B.1網(wǎng)絡(luò)安全審查申請表項目名稱項目建設(shè)單位情況項目建設(shè)單位項目建設(shè)單位項目負(fù)責(zé)人聯(lián)系電話項目建設(shè)單位項目聯(lián)系人聯(lián)系電話方案設(shè)計編制單位情況方案設(shè)計編制單位方案設(shè)計編制單位項目負(fù)責(zé)人聯(lián)系電話方案設(shè)計編制單位項目聯(lián)系人聯(lián)系電話申請內(nèi)容申請單位（公章）：申請日期：）B.2、B.3、B.4B.5，B.2表B.2本地部署系統(tǒng)安全審查自查表自查項目自查情況系統(tǒng)名稱系統(tǒng)所屬范疇是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施□是□否是否屬于重要信息系統(tǒng) 是□否項目類型此項目類型為：□新建機(jī)房 □機(jī)房改造□網(wǎng)絡(luò)擴(kuò)容 □網(wǎng)絡(luò)改造 □新建網(wǎng)絡(luò)□新建信息系統(tǒng)（含軟件和硬件） □新建信息系統(tǒng)僅軟件）□信息系統(tǒng)功能升級（含軟件和硬件）□信息系統(tǒng)功能升級（僅軟件）□信息系統(tǒng)性能升級（僅硬件） □其 系統(tǒng)基本情況介紹此系統(tǒng)類別為（可多選）：□傳統(tǒng)信息系統(tǒng)（不含APP) □傳統(tǒng)信息系統(tǒng)(含APP)云計算□移動互聯(lián)□聯(lián)網(wǎng)□工業(yè)控制□大數(shù)據(jù)□其它 2.此系統(tǒng)用戶類型有 ，此系統(tǒng)用戶數(shù)量有 ，用戶分布范圍：□全國□全省□本地區(qū)□本單位□其它系統(tǒng)是否需24小時運(yùn)行：□是□否 系統(tǒng)中斷會造成么影響可容忍系統(tǒng)中斷的時間為： 級別是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3專網(wǎng)訪問 □其他 系統(tǒng)和網(wǎng)絡(luò)邊界情況：□聯(lián)網(wǎng)邊界 □上聯(lián)邊界 □下聯(lián)邊界□外聯(lián)邊界，外聯(lián)單位有 系統(tǒng)邊界，對接系統(tǒng)有 購買成熟產(chǎn)品運(yùn)行維護(hù)情況：□自行維護(hù) □外包單位維護(hù) □開發(fā)位駐場維護(hù) □開發(fā)單位遠(yuǎn)維護(hù)系統(tǒng)數(shù)據(jù)情況數(shù)據(jù)內(nèi)容：系統(tǒng)存儲有哪重要數(shù)據(jù) 是否包含個人信息數(shù)據(jù)：□是□否 個人信息數(shù)據(jù)量概數(shù)）： 條是否包含兒童信息數(shù)據(jù)：□是□否 是否包含涉密數(shù)據(jù)：□是□否數(shù)據(jù)載體：□結(jié)構(gòu)化數(shù)據(jù)庫□大數(shù)據(jù)平臺□數(shù)據(jù)湖□他 業(yè)務(wù)數(shù)據(jù)產(chǎn)生途徑：□業(yè)務(wù)采集□互聯(lián)網(wǎng)抓取□搜集分析□外購□APP收集網(wǎng)站收集□人工導(dǎo)入□內(nèi)共享□其他 4.外部數(shù)據(jù)交換：是否存在內(nèi)組織外數(shù)據(jù)共享：□是□否共享單位及主要共享數(shù)據(jù)類型： 是否存在數(shù)據(jù)出境：□是否出境對象主體及主要出境數(shù)據(jù)類型： 表B.2本地部署系統(tǒng)安全審查自查表表B.2本地部署系統(tǒng)安全審查自查表（續(xù)）自查項目自查情況安全產(chǎn)品及措施情況系統(tǒng)將部署的主要安全產(chǎn)品有（未在以下列舉產(chǎn)品范圍的可自行擴(kuò)行補(bǔ)充說明）：網(wǎng)絡(luò)防護(hù)類：□網(wǎng)閘（□采購□利舊）□防火墻（□采購□利舊）□WAF（□采購□利舊）□UTM（□采購□利舊）□入侵防御系統(tǒng)IPS（□采購□利舊）□防毒墻/防病毒網(wǎng)關(guān)（□采購□利舊）□抗DDoS設(shè)備（□采購□利舊）□準(zhǔn)入控制系統(tǒng)（□采購□利舊）□防非法外聯(lián)系統(tǒng)（□采購□利舊）□其它 （□采購利舊主機(jī)防護(hù)類：□防病毒軟件企業(yè)版（□采購□利舊）□桌面終端安全軟件（□采購□利舊）□服務(wù)器加固軟件（□采購□利舊）□其它 （□采購□利舊數(shù)據(jù)安全類：□數(shù)據(jù)庫審計（□采購□利舊）□網(wǎng)頁防篡改（□采購□利舊）□數(shù)據(jù)脫敏系統(tǒng)（□采購□利舊）□DLP數(shù)據(jù)防泄漏系統(tǒng)（□采購□利舊）□災(zāi)備系統(tǒng)（□采購□利舊）□其它 （□采購利舊加密類：□VPN（□采購□利舊）□加密機(jī)（□采購□利舊）□CA（□采購□利舊）□其它 （□采購利舊安全管理類：□安全審計系統(tǒng)（□采購□利舊） 安全監(jiān)控系統(tǒng)（□采購利舊）堡壘機(jī)（□采購□利舊） □漏洞掃描（□采購□利舊）□安全管理平臺（□采購□利舊） 上網(wǎng)行為管理（□采購□利舊）其它 （□采購利舊安全監(jiān)測類：□入侵檢測系統(tǒng)IDS（□采購□利舊）□態(tài)勢感知（□采購□利舊）□蜜罐（□采購□利舊）其它 （□采購利舊之后安全維護(hù)情況：□自行維護(hù) □外包安全服商維護(hù) □安全廠商維護(hù)其他 方案結(jié)構(gòu)□方案內(nèi)獨(dú)立的安全章節(jié)（含□網(wǎng)絡(luò)安全總體設(shè)計方案□密碼應(yīng)用方案□數(shù)據(jù)安全方案）□獨(dú)立的安全方案□無方案中是否包括以下內(nèi)容：□網(wǎng)絡(luò)安全建設(shè)依據(jù) □業(yè)務(wù)數(shù)據(jù)描述□系統(tǒng)定級描述（二級或三級） □是否屬于關(guān)鍵息基礎(chǔ)設(shè)施范疇□是否屬于重要信息系統(tǒng) □網(wǎng)絡(luò)拓?fù)鋱D□網(wǎng)絡(luò)邊界分析 □系統(tǒng)部署架構(gòu)□安全需求分析 □安全責(zé)任劃分□網(wǎng)絡(luò)安全設(shè)備清單 □應(yīng)用系統(tǒng)安全能□采取的安全措施 □如有利舊，需確新建和利舊的部分自查項目自查情況網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算□有 □否項目總預(yù)算： 萬元網(wǎng)絡(luò)安全預(yù)算： 萬元網(wǎng)絡(luò)安全預(yù)算所占比例： 網(wǎng)絡(luò)安全預(yù)算包括：□安全建設(shè)費(fèi)用預(yù)算 □安全加固費(fèi)用算□代碼安全測試預(yù)算/滲透測試預(yù)算 □等級測評費(fèi)用算□密碼應(yīng)用安全性評估費(fèi)用預(yù)算 □網(wǎng)絡(luò)安全培訓(xùn)算□應(yīng)急演練費(fèi)用預(yù)算 □風(fēng)險評估費(fèi)用算□安全運(yùn)維費(fèi)用預(yù)算 □其他 用的安全措施網(wǎng)絡(luò)區(qū)域劃分拓?fù)鋱D中是否體現(xiàn)按照功能進(jìn)行區(qū)域劃分：□是，實現(xiàn)方式為 □區(qū)域之間是否采用隔離措施:是，實現(xiàn)方式為 □2.線路硬件冗余拓?fù)鋱D中是否體現(xiàn)通信線路的冗余：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否拓?fù)鋱D中是否體現(xiàn)關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否拓?fù)鋱D中是否體現(xiàn)關(guān)鍵計算設(shè)備的硬件冗余：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 否3.數(shù)據(jù)備份和加密方案中是否有明確哪些數(shù)據(jù)是重要數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行分類：□是 □否方案中是否有體現(xiàn)重要數(shù)據(jù)備份措施（數(shù)據(jù)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如為三級（網(wǎng)絡(luò)安全等級保護(hù)三級系統(tǒng)），是否有異地實時備份功能：□新建，實現(xiàn)方式為 ，備份地為 □利舊，實現(xiàn)方式為 ，備份地為 □否方案中是否有體現(xiàn)重要數(shù)據(jù)存儲加密措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否自查項目自查情況用的安全措施如有，加密算法是否使用國產(chǎn)加密算法：是，加密算法是 □否，加密算法是 4.容災(zāi)備份方案中是否有體現(xiàn)重要系統(tǒng)進(jìn)行容災(zāi)備份措施（容災(zāi)備份系統(tǒng)）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否方案中是否有體現(xiàn)數(shù)據(jù)庫進(jìn)行容災(zāi)備份措施（容災(zāi)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 否通信保密性是否采用校驗技術(shù)或密碼技術(shù)實現(xiàn)對數(shù)據(jù)通信的保護(hù)：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如有，加密算法是否使用國產(chǎn)加密算法：□是，加密算法是 □否，加密算法是 6.邊界防護(hù)網(wǎng)絡(luò)邊界防護(hù)情況：是否冗余：□是□否是否有互聯(lián)網(wǎng)連接：□是□否如有互聯(lián)網(wǎng)連接，是否有外聯(lián)邊界防火墻：□新建□利舊□否是否有外聯(lián)：□是□否如有外聯(lián)，外聯(lián)單位有 ，是否所有外聯(lián)邊界均有防火墻：□新建□利舊是否有上聯(lián)單位：□是□否如有上聯(lián)，是否有上聯(lián)邊界防火墻：□新建□利舊 □是否有下聯(lián)單位：□是□否如有下聯(lián)，是否有下聯(lián)邊界防火墻：□新建□利舊 □是否有無線互聯(lián)邊界：□是□否如有，是否有無線接入安全網(wǎng)關(guān)：□新建 □利舊 □內(nèi)部核心區(qū)域是否有防火墻：新建，實現(xiàn)方式為 利舊，實現(xiàn)方式為 □否防火墻是否具有以下功能：源端口、目的端口和協(xié)議等進(jìn)行檢查□根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制自查項目自查情況用的安全措施是否有準(zhǔn)入控制措施（準(zhǔn)入控制系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否是否有違規(guī)外聯(lián)檢測/限制（違規(guī)外聯(lián)檢測系統(tǒng)）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否是否有無線網(wǎng)絡(luò)接入管控措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否入侵防范是否有檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為的措施（外網(wǎng)入侵檢測設(shè)備）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否入侵檢測設(shè)備是否能在發(fā)生嚴(yán)重事件時提供報警：□是 是否有檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為的措施（入侵檢測設(shè)備）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否入侵檢測設(shè)備是否能在發(fā)生嚴(yán)重事件時提供報警：□是 是否有新型網(wǎng)絡(luò)攻擊行為進(jìn)行檢測的措施（入侵檢測設(shè)備）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否入侵檢測設(shè)備是否能在發(fā)生嚴(yán)重事件時提供報警：□是 8.惡意代碼防范網(wǎng)絡(luò)邊界處/關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否有對惡意代碼進(jìn)行檢測和清除的措施：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 否用的安全措施重要數(shù)據(jù)處理系統(tǒng)熱冗余方案中是否體現(xiàn)重要數(shù)據(jù)處理系統(tǒng)的熱冗余：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否惡意代碼防護(hù)：服務(wù)器使用的操作系統(tǒng)為 服務(wù)器如為Windows操作系統(tǒng)，是否有免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機(jī)制：自查項目自查情況用的安全措施新建，實現(xiàn)方式為 利舊，實現(xiàn)方式為 □否入侵防范是否具有主機(jī)入侵防護(hù)的措施（主機(jī)入侵防護(hù)軟件）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否安全基線加固是否有對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用等進(jìn)行安全基線加固的內(nèi)容：有相關(guān)安全基線加固方案，實現(xiàn)方式為 □自行進(jìn)行安全基線加固□采購相關(guān)安全基線加固服務(wù)的內(nèi)容其他 否系統(tǒng)是否涉及APP開發(fā)：是否APP5.應(yīng)用安全功能是否有對應(yīng)用安全功能的描述：□是□否雙因子鑒別功能：□有，實現(xiàn)方式為 □密碼復(fù)雜度檢測功能：□有□無登錄失敗處理功能：□有□無訪問控制功能：□有□無安全審計功能：□有，審計內(nèi)容有 □軟件容錯功能：□有□無數(shù)據(jù)加密存儲功能：□有，實現(xiàn)方式為 □數(shù)據(jù)加密傳輸功能：□有，實現(xiàn)方式為 □超時退出功能：□有□無代碼開發(fā)安全是否有代碼安全開發(fā)的要求和描述：□是□否是否有代碼安全測試：□是□否個人信息安全保護(hù)是否需收集個人信息：□是□否如有，是否明確收集個人信息的內(nèi)容和理由：□是□否是否存在收集與業(yè)務(wù)無關(guān)的個人信息：□是□否是否提供有效的更正、刪除個人信息及注銷用戶賬號功能：□是□否是否建立并公布個人信息安全投訴、舉報渠道：□是□否是否有APP:□是□否APP是否簡明清晰的明示收集使用個人信息的目的、方式和范圍：□是□否自查項目自查情況用的安全措施集中管理和監(jiān)測是否對設(shè)備進(jìn)行集中管理：新建，實現(xiàn)方式為：□新購置堡壘機(jī) □新置安全管理平臺有設(shè)備集中管理功能 他 利舊，實現(xiàn)方式為：利舊原有堡壘機(jī) □利原有安全管理平臺 □其 否是否有設(shè)備集中監(jiān)控：新建，實現(xiàn)方式為：新建監(jiān)控系統(tǒng) □建安全管理平臺中有集中監(jiān)控功能 □其他 利舊，實現(xiàn)方式為：□利舊原有監(jiān)控系統(tǒng) □舊安全管理平臺中有集中監(jiān)控功能 □其他 □否安全審計是否有日志審計集中收集和分析的措施（日志審計設(shè)備）：新建，實現(xiàn)方式為：□新建日志審計系統(tǒng) □新安全管理平臺中有日志集中收集分析功能其他 利舊，實現(xiàn)方式為：其他 □否集中管控是否建設(shè)安全管理中心：□是，實現(xiàn)方式為 是否劃分安全管理區(qū)域：□是，實現(xiàn)方式為 是否有惡意代碼集中管理措施□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否是否有安全策略、補(bǔ)丁升級集中管理措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否是否有對各類安全事件進(jìn)行識別、報警和分析措施：新建，實現(xiàn)方式為 利舊，實現(xiàn)方式為 □否B.3B.3B.3B.3自查項目自查情況方案中數(shù)據(jù)安全措施是否有數(shù)據(jù)采集的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)傳輸?shù)陌踩郑骸跏牵瑢崿F(xiàn)方式為 □否是否有數(shù)據(jù)存儲的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)處理的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)交換的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)銷毀的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)安全管理制度：□是□否應(yīng)用安全措施□新建，使用密碼技術(shù)為 密碼產(chǎn)品為 □利舊，使用密碼技術(shù)為 密碼產(chǎn)品為 □否是□否自查項目自查情況系統(tǒng)名稱系統(tǒng)所屬范疇是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施□是□是否屬于重要信息系統(tǒng) 是□項目類型此項目類型為：□新建信息系統(tǒng)（含軟件開發(fā)和硬件） □新建信息統(tǒng)（僅軟件開發(fā)）□信息系統(tǒng)功能升級（含軟件開發(fā)和硬件）□信息系統(tǒng)功能升級（僅軟件開發(fā)）□信息系統(tǒng)性能升級（僅硬件）系統(tǒng)基本情況介紹1.此系統(tǒng)類別為（可多選）：□傳統(tǒng)信息系統(tǒng)（不含APP) 傳統(tǒng)信息系統(tǒng)(含APP)□云計算□移動互聯(lián)□聯(lián)網(wǎng)□工業(yè)控制□大數(shù)據(jù)□其它 2.此系統(tǒng)用戶類型有 ，此系統(tǒng)用戶數(shù)量有 ，用戶分布范圍：□全國□省□本地區(qū)□本單位其它 3.系統(tǒng)是否需24小時運(yùn)行：□是□否 系統(tǒng)中斷會造成么影響： 可容忍系統(tǒng)中斷的時間為： 表B.3托管部署系統(tǒng)安全審查自查表表B.3托管部署系統(tǒng)安全審查自查表（續(xù)）自查項目自查情況系統(tǒng)基本情況介紹本單位是否已明確信息系安全等級：□未確定 □已定級別是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3專網(wǎng)訪問 □其他 系統(tǒng)和網(wǎng)絡(luò)邊界情況：□聯(lián)網(wǎng)邊界 □上聯(lián)邊界 □下聯(lián)邊界外聯(lián)邊界，外聯(lián)單位有 系統(tǒng)邊界，對接系統(tǒng)有 軟件開發(fā)形式：□自主軟開發(fā) □外包軟件開發(fā) □基于成熟產(chǎn)品定制開發(fā)上級統(tǒng)一下發(fā) □購買成產(chǎn)品運(yùn)行維護(hù)情況：□自行維護(hù) □外包單位維護(hù) □開單位駐場維護(hù) □開發(fā)單位程維護(hù)系統(tǒng)數(shù)據(jù)情況數(shù)據(jù)內(nèi)容：系統(tǒng)存儲有哪重要數(shù)據(jù) 是否包含個人信息數(shù)據(jù)：□是□否 個人信息數(shù)據(jù)量概數(shù)）： 條是否包含兒童信息數(shù)據(jù)：□是□否 是否包含涉密數(shù)據(jù)：□是□否數(shù)據(jù)載體：□結(jié)構(gòu)化數(shù)據(jù)庫□大數(shù)據(jù)平臺□數(shù)據(jù)湖□他 業(yè)務(wù)數(shù)據(jù)產(chǎn)生途徑：□業(yè)務(wù)采集□互聯(lián)網(wǎng)抓取□搜集分析外購□APP收集□網(wǎng)站收集□人工導(dǎo)入□國內(nèi)共享□他 外部數(shù)據(jù)交換：是否存在內(nèi)組織外數(shù)據(jù)共享：□是□共享單位及主要共享數(shù)據(jù)類型： 是否存在數(shù)據(jù)出境：□是否出境對象主體及主要出境數(shù)據(jù)類型： 安全產(chǎn)品及措施情況系統(tǒng)將部署的主要安全產(chǎn)品有（未在以下列舉產(chǎn)品范圍的可自行擴(kuò)行補(bǔ)充說明）：網(wǎng)絡(luò)防護(hù)類：□網(wǎng)閘（□采購□利舊□托管方提供）□防火墻（□采購□利舊□托管方提供）□WAF（□采購□利舊□托方提供） □UTM（□采購利舊□托管方提供）□IPS（□采購□利舊□托管方提供）□防毒墻/防病毒網(wǎng)關(guān)（□采購□利舊□托管方提供）□抗DDoS設(shè)備（□采購□舊□托管方提供）□其它 購舊）主機(jī)防護(hù)類：□防病毒軟件企業(yè)版（□采購□利舊□托管方提供）□桌面終端安全軟件（□采購□利舊□托管方提供）□服務(wù)器加固軟（□采購□利舊□托管方提供）□其（□采購□利舊托管提供）數(shù)據(jù)安全類：□數(shù)據(jù)庫審計（□采購□利舊□托管方提供） □網(wǎng)頁篡改（□采購□利舊□托方提供）□數(shù)據(jù)脫敏系統(tǒng)（□采購□利舊□托管方提供）□DLP（□方提供）□災(zāi)備系（□采購□利舊□托管方提供） □其它 （□采購□利舊□托方提供）加密類：□VPN（□采購□利舊□托方提供） □加密機(jī)（□購□利舊□托管方提供）□CA（□采購□利舊□托方提供） □其它 （□采購□利舊□托管方供）自查項目自查情況安全產(chǎn)品及措施情況安全管理類：（□）（□）□堡壘機(jī)（□采購□利舊□托管方提供）□漏洞掃描（□采購□利舊□托管方提供）□安全管理平（□采購□舊□托管方提供）□其（□采購□利舊□管方提供）安全監(jiān)測類：□入侵檢測系統(tǒng)IDS（□采購□利舊□托管方提供）□態(tài)勢感知（□采購□利舊□托管方提供）□蜜罐（□采購□利舊□管方提供） □其它 （□采購□利舊）方案結(jié)構(gòu)□方案內(nèi)獨(dú)立的安全章節(jié)（含□網(wǎng)絡(luò)安全總體設(shè)計方案□密碼應(yīng)用方案□數(shù)據(jù)安全方案）□獨(dú)立的安全方案□無方案中是否包括以下內(nèi)容：□網(wǎng)絡(luò)安全建設(shè)依據(jù) □業(yè)務(wù)數(shù)據(jù)描述□系統(tǒng)定級描述（二級或三級） □是否屬于關(guān)鍵息基礎(chǔ)設(shè)施范疇□是否屬于重要信息系統(tǒng) □網(wǎng)絡(luò)拓?fù)鋱D□網(wǎng)絡(luò)邊界分析 □系統(tǒng)部署架構(gòu)□安全需求分析 □安全責(zé)任劃分□網(wǎng)絡(luò)安全設(shè)備清單 □應(yīng)用系統(tǒng)安全能□采取的安全措施 □如有利舊，需確新建和利舊的部分網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算□有 □否項目總預(yù)算： 萬元網(wǎng)絡(luò)安全預(yù)算： 萬元網(wǎng)絡(luò)安全預(yù)算所占比例： 網(wǎng)絡(luò)安全預(yù)算包括：□安全建設(shè)費(fèi)用預(yù)算 □安全加固費(fèi)用算□代碼安全測試預(yù)算/滲透測試預(yù)算 □等級測評費(fèi)用算□密碼應(yīng)用安全性評估費(fèi)用預(yù)算 □網(wǎng)絡(luò)安全培訓(xùn)算□應(yīng)急演練費(fèi)用預(yù)算 □風(fēng)險評估費(fèi)用算□安全運(yùn)維費(fèi)用預(yù)算 □其他 托管機(jī)房情況1.托管機(jī)房物理位置托管的機(jī)房的物理位置是否位于中國境內(nèi)：□是 □2.托管機(jī)房網(wǎng)絡(luò)等級保護(hù)級別機(jī)房（含整體網(wǎng)絡(luò)）的安全保護(hù)等級是：□第二級 三級 第四級 □尚定級用戶建設(shè)方的業(yè)務(wù)應(yīng)用系統(tǒng)的安全保護(hù)等級是否高于托管方機(jī)房（含整體網(wǎng)絡(luò)）定級：□是□否3.托管機(jī)房等級測評情況托管的機(jī)房（含整體網(wǎng)絡(luò)）的等級測評結(jié)論是：□優(yōu) □良 □中 □差 □符合 □基本符合符合未做等保測評自查項目自查情況用的安全措施1.區(qū)域劃分系統(tǒng)與托管單位托管的其他系統(tǒng)之間是否采用隔離措施：□是，實現(xiàn)方式為 2.關(guān)鍵計算設(shè)備硬件冗余拓?fù)鋱D中是否體現(xiàn)關(guān)鍵計算設(shè)備的硬件冗余：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □3.數(shù)據(jù)備份和加密方案中是否有明確哪些數(shù)據(jù)是重要數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行分類：□是 否方案中是否有體現(xiàn)重要數(shù)據(jù)備份措施（數(shù)據(jù)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如為三級（網(wǎng)絡(luò)安全等級保護(hù)三級系統(tǒng)），是否有異地實時備份功能：□新建，實現(xiàn)方式為 ，備份地為 □利舊，實現(xiàn)方式為 ，備份地為 □否方案中是否有體現(xiàn)重要數(shù)據(jù)存儲加密措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如有，加密算法是否使用國產(chǎn)加密算法：□是，加密算法是 □否，加密算法是 4.容災(zāi)備份方案中是否有體現(xiàn)重要系統(tǒng)進(jìn)行容災(zāi)備份措施（容災(zāi)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □托管方提供，實現(xiàn)方式為 □否方案中是否有體現(xiàn)數(shù)據(jù)庫進(jìn)行容災(zāi)備份措施（容災(zāi)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □托管方提供，實現(xiàn)方式為 □否5.通信保密性是否采用校驗技術(shù)或密碼技術(shù)實現(xiàn)對數(shù)據(jù)通信的保護(hù)：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如有，加密算法是否使用國產(chǎn)加密算法：□是，加密算法是 □否，加密算法是 自查項目自查情況用的安全措施邊界防護(hù)網(wǎng)絡(luò)邊界防護(hù)情況：是否冗余：□是□否是否有互聯(lián)網(wǎng)連接：□是□否如有互聯(lián)網(wǎng)連接，是否有外聯(lián)邊界防火墻：□新建□利舊□否是否有外聯(lián)：□是□否如有外聯(lián)，外聯(lián)單位有 ，是否所有外聯(lián)邊界均有防火墻：□新建□利舊□是否有上聯(lián)單位：□是□否如有上聯(lián)，是否有上聯(lián)邊界防火墻：□新建□利舊 □是否有下聯(lián)單位：□是□否如有下聯(lián)，是否有下聯(lián)邊界防火墻：□新建□利舊 □是否有無線互聯(lián)邊界：□是□否如有，是否有無線接入安全網(wǎng)關(guān)：□新建 □利舊 □內(nèi)部核心區(qū)域是否有防火墻：新建，實現(xiàn)方式為 利舊，實現(xiàn)方式為 □否防火墻是否具有以下功能：源端口、目的端口和協(xié)議等進(jìn)行檢查根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力是否有準(zhǔn)入控制措施（準(zhǔn)入控制系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否是否有違規(guī)外聯(lián)檢測/限制（違規(guī)外聯(lián)檢測系統(tǒng)）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否是否有無線網(wǎng)絡(luò)接入管控措施：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否入侵防范是否有檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為的措施（外網(wǎng)入侵檢測設(shè)備）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 托管方提供，實現(xiàn)方式為 否入侵檢測設(shè)備是否能在發(fā)生嚴(yán)重事件時提供報警：□是 自查項目自查情況是否有檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為的措施（入侵檢測設(shè)備）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □托管方提供，實現(xiàn)方式為 □否入侵檢測設(shè)備是否能在發(fā)生嚴(yán)重事件時提供報警：□是 是否有新型網(wǎng)絡(luò)攻擊行為進(jìn)行檢測的措施（入侵檢測設(shè)備）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □托管方提供，實現(xiàn)方式為 □否入侵檢測設(shè)備是否能在發(fā)生嚴(yán)重事件時提供報警：□是 3.惡意代碼防范網(wǎng)絡(luò)邊界處/關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處是否有對惡意代碼進(jìn)行檢測和清除的措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □托管方提供，實現(xiàn)方式為 □否用的安全措施重要數(shù)據(jù)處理系統(tǒng)熱冗余方案中是否體現(xiàn)重要數(shù)據(jù)處理系統(tǒng)的熱冗余：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 托管方提供，實現(xiàn)方式為 否惡意代碼防護(hù)：服務(wù)器使用的操作系統(tǒng)為 服務(wù)器如為Windows操作系統(tǒng)，是否有免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機(jī)制：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否入侵防范是否具有主機(jī)入侵防護(hù)的措施（主機(jī)入侵防護(hù)軟件）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否安全基線加固是否有對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用等進(jìn)行安全基線加固的內(nèi)容：有相關(guān)安全基線加固方案，實現(xiàn)方式為 _自行進(jìn)行安全基線加固□采購相關(guān)安全基線加固服務(wù)的內(nèi)容其他 否自查項目自查情況用的安全措施系統(tǒng)是否涉及APP開發(fā)：□是□否APP5.應(yīng)用安全功能是否有對應(yīng)用安全功能的描述：□是□否雙因子鑒別功能：□有，實現(xiàn)方式為 □密碼復(fù)雜度檢測功能：□有□無登錄失敗處理功能：□有□無訪問控制功能：□有□無安全審計功能：□有，審計內(nèi)容有 □軟件容錯功能：□有□無數(shù)據(jù)加密存儲功能：□有，實現(xiàn)方式為 □數(shù)據(jù)加密傳輸功能：□有，實現(xiàn)方式為 □超時退出功能：□有□無代碼開發(fā)安全是否有代碼安全開發(fā)的要求和描述：□是□否是否有代碼安全測試：□是□否個人信息安全保護(hù)是否需收集個人信息：□是□否如有，是否明確收集個人信息的內(nèi)容和理由：□是□否是否存在收集與業(yè)務(wù)無關(guān)的個人信息：□是□否是否提供有效的更正、刪除個人信息及注銷用戶賬號功能：□是□否是否建立并公布個人信息安全投訴、舉報渠道：□是□否是否有APP:□是□否APP是否簡明清晰的明示收集使用個人信息的目的、方式和范圍：□是□否用的安全措施集中管理和監(jiān)測是否對設(shè)備進(jìn)行集中管理：新建，實現(xiàn)方式為：新購置堡壘機(jī) □新置安全管理平臺有設(shè)備集中管理功能 □其 利舊，實現(xiàn)方式為：利舊原有堡壘機(jī) 利原有安全管理平臺 □其 托管方提供，實現(xiàn)方式為：□使用托管方堡壘機(jī) 使托管方安全管理平臺已有的集中管理功能□是否有設(shè)備集中監(jiān)控：新建，實現(xiàn)方式為：新建監(jiān)控系統(tǒng) 新安全管理平臺中有集中監(jiān)控功能 □其他 利舊，實現(xiàn)方式為：利舊原有監(jiān)控系統(tǒng) 利安全管理平臺中有集中監(jiān)控功能 □其他自查項目自查情況用的安全措施□托管方提供，實現(xiàn)方式為：□使用托管方監(jiān)控系統(tǒng)□用托管方安全管理平臺已有的集中監(jiān)控功能 他 □否安全審計是否有日志審計集中收集和分析的措施（日志審計設(shè)備）：新建，實現(xiàn)方式為：□新建日志審計系統(tǒng) □建安全管理平臺中有日志集中收集分析功能□其他 □利舊，實現(xiàn)方式為：□使用已有日志審計系統(tǒng)□使用已有安全管理平臺中的日志集中收集分析功能□其他 □托管方提供，實現(xiàn)方式為：□使用托管方日志審計系統(tǒng)□使用托管方安全管理平臺已有的日志集中收集功能□其他 □否集中管控是否建設(shè)安全管理中心：□是，實現(xiàn)方式為 是否劃分安全管理區(qū)域：□是，實現(xiàn)方式為 是否有惡意代碼集中管理措施□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否是否有安全策略、補(bǔ)丁升級集中管理措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □托管方提供，實現(xiàn)方式為 □否是否有對各類安全事件進(jìn)行識別、報警和分析措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □托管方提供，實現(xiàn)方式為 □否方案中數(shù)據(jù)安全措施是否有數(shù)據(jù)采集的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)傳輸?shù)陌踩郑骸跏?，實現(xiàn)方式為 □否是否有數(shù)據(jù)存儲的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)處理的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)交換的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)銷毀的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)安全管理制度：□是□否自查項目自查情況應(yīng)用安全措施□新建，使用密碼技術(shù)為 密碼產(chǎn)品為 □利舊，使用密碼技術(shù)為 密碼產(chǎn)品為 □托管方提供，使用密碼技術(shù)為 使用密碼產(chǎn)為 □否是□否B.4表B.4政務(wù)云部署系統(tǒng)安全審查自查表自查項目自查情況系統(tǒng)名稱系統(tǒng)所屬范疇是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施□是□否是否屬于重要信息系統(tǒng) 是□否項目類型此項目類型為：□新建信息系統(tǒng)（僅軟件開發(fā)，政務(wù)云平臺提供所有安全措施）□新建信息系統(tǒng)（軟件開發(fā)，自建部分安全措施，政務(wù)云平臺提供部分安全措施）□信息系統(tǒng)功能升級（僅軟件功能）□信息系統(tǒng)功能升級（僅安全措施升級）□信息系統(tǒng)功能升級（軟件功能和安全措施升級）系統(tǒng)基本情況介紹1.此系統(tǒng)類別為（可多選）：□傳統(tǒng)信息系統(tǒng)（不含APP) □傳統(tǒng)信息系統(tǒng)(含APP)□云計算□移動互聯(lián)□聯(lián)網(wǎng)□工業(yè)控制□大數(shù)據(jù)□其它 2.此系統(tǒng)用戶類型有 ，此系統(tǒng)用戶數(shù)量有 ，用戶分布范圍：□全國□省□本地區(qū)□本單位其它 系統(tǒng)是否需24小時運(yùn)行：□是□否 系統(tǒng)中斷會造成么影響： 可容忍系統(tǒng)中斷的時間為： 本單位是否已明確信息系安全等級：□未確定 □已定級別是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3專網(wǎng)訪問 □其他 系統(tǒng)和網(wǎng)絡(luò)邊界情況：□聯(lián)網(wǎng)邊界 □上聯(lián)邊界 □下聯(lián)邊界□外聯(lián)邊界，外聯(lián)單位有 系統(tǒng)邊界，對接系統(tǒng)有 軟件開發(fā)形式：□自主軟開發(fā) □外包軟件開發(fā) 基于成熟產(chǎn)品定制開發(fā)□級統(tǒng)一下發(fā)購買成熟產(chǎn)品運(yùn)行維護(hù)情況：□自行維護(hù) □外包單位維護(hù) □開單位駐場維護(hù) □開發(fā)單位程維護(hù)表B.4政務(wù)云部署系統(tǒng)安全審查自查表表B.4政務(wù)云部署系統(tǒng)安全審查自查表（續(xù)）自查項目自查情況系統(tǒng)數(shù)據(jù)情況數(shù)據(jù)內(nèi)容：系統(tǒng)存儲有哪重要數(shù)據(jù) 是否包含個人信息數(shù)據(jù)：□是□否 個人信息數(shù)據(jù)量概數(shù)）： 條是否包含兒童信息數(shù)據(jù)：□是□否 是否包含涉密數(shù)據(jù)：□是□否數(shù)據(jù)載體：□結(jié)構(gòu)化數(shù)據(jù)庫□大數(shù)據(jù)平臺□數(shù)據(jù)湖□他 業(yè)務(wù)數(shù)據(jù)產(chǎn)生途徑：□業(yè)務(wù)采集□互聯(lián)網(wǎng)抓取□搜集分析□外購□APP收集□網(wǎng)站收集□人工導(dǎo)入□國內(nèi)共享□他 外部數(shù)據(jù)交換：是否存在內(nèi)組織外數(shù)據(jù)共享：□是□共享單位及主要共享數(shù)據(jù)類型： 是否存在數(shù)據(jù)出境：□是否出境對象主體及主要出境數(shù)據(jù)類型： 安全產(chǎn)品及措施情況系統(tǒng)將部署的主要安全產(chǎn)品有（未在以下列舉產(chǎn)品范圍的可自行擴(kuò)行補(bǔ)充說明）：網(wǎng)絡(luò)防護(hù)類：□防火墻（□采購□利舊政務(wù)云提供） □入侵檢測/防御（□采購□利舊□政云提供）□防毒墻/防病毒網(wǎng)（□采購□利舊□政務(wù)云提供） 抗DDoS設(shè)備（□采購□利舊□政云提供）□其它 （□采購利舊□托管方提供主機(jī)防護(hù)類：□防病毒軟件企業(yè)版（□采購□利舊□政務(wù)云提供）□服務(wù)器加固軟件（□采購□利舊□政務(wù)云提供）□其它 （□采購利舊□政務(wù)云提供數(shù)據(jù)安全類：□數(shù)據(jù)庫審計（□采購□利舊□政務(wù)云提供） □網(wǎng)頁篡改（□采購□利舊□政云提供）□數(shù)據(jù)脫敏系統(tǒng)（□采購□利舊□政務(wù)云提供）□DLP（□云提供）□災(zāi)備系統(tǒng)（□采購□利舊□政務(wù)云提供）□其它 （□采購□利舊□政云提供加密類：□VPN（□采購□利舊□政務(wù)云提供）□加密機(jī)（□采購□利舊□政務(wù)云提供）□CA（□采購□利舊□政云提供）□其它 （□采購□利舊□政務(wù)云提安全管理類：（□采購□利舊□政務(wù)云提供）（□□堡壘機(jī)（□采購□利舊政務(wù)云提供） □漏洞掃描（□采購□利舊□政務(wù)云提）□安全管理平（□采購□利舊□政務(wù)云提供）□其它 （□采購□利舊□務(wù)云提供安全監(jiān)測類：IDS（□）□蜜罐（□采購□利舊政務(wù)云提供）□其它 （□采購□利舊）方案結(jié)構(gòu)□方案內(nèi)獨(dú)立的安全章節(jié)（含□網(wǎng)絡(luò)安全總體設(shè)計方案□密碼應(yīng)用方案□數(shù)據(jù)安全方案）□獨(dú)立的安全方案□無方案中是否包括以下內(nèi)容：□網(wǎng)絡(luò)安全建設(shè)依據(jù) □業(yè)務(wù)數(shù)據(jù)描述□系統(tǒng)定級描述（二級或三級） □是否屬于關(guān)鍵息基礎(chǔ)設(shè)施范疇□是否屬于重要信息系統(tǒng) □網(wǎng)絡(luò)拓?fù)鋱D□網(wǎng)絡(luò)邊界分析 □系統(tǒng)部署架構(gòu)□安全需求分析 □安全責(zé)任劃分□網(wǎng)絡(luò)安全設(shè)備清單 □應(yīng)用系統(tǒng)安全能□采取的安全措施 □如有利舊，需確新建和利舊的部分自查項目自查情況網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算□有 □否項目總預(yù)算： 萬元網(wǎng)絡(luò)安全預(yù)算： 萬元網(wǎng)絡(luò)安全預(yù)算所占比例： 網(wǎng)絡(luò)安全預(yù)算包括：□安全建設(shè)費(fèi)用預(yù)算 □安全加固費(fèi)用算□代碼安全測試預(yù)算/滲透測試預(yù)算 □等級測評費(fèi)用算□密碼應(yīng)用安全性評估費(fèi)用預(yù)算 □網(wǎng)絡(luò)安全培訓(xùn)算□應(yīng)急演練費(fèi)用預(yù)算 □風(fēng)險評估費(fèi)用算□安全運(yùn)維費(fèi)用預(yù)算 □其他 用的安全措施數(shù)據(jù)備份和加密方案中是否有明確哪些數(shù)據(jù)是重要數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行分類：是 □否方案中是否有體現(xiàn)重要數(shù)據(jù)備份措施（數(shù)據(jù)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如為三級（網(wǎng)絡(luò)安全等級保護(hù)三級系統(tǒng)），是否有異地實時備份功能：□新建，實現(xiàn)方式為 ，備份地為 □利舊，實現(xiàn)方式為 ，備份地為 □否方案中是否有體現(xiàn)重要數(shù)據(jù)存儲加密措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如有，加密算法是否使用國產(chǎn)加密算法：□是，加密算法是 □否，加密算法是 2.容災(zāi)備份方案中是否有體現(xiàn)重要系統(tǒng)進(jìn)行容災(zāi)備份措施（容災(zāi)備份系統(tǒng)）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 否方案中是否有體現(xiàn)數(shù)據(jù)庫進(jìn)行容災(zāi)備份措施（容災(zāi)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否通信保密性是否采用校驗技術(shù)或密碼技術(shù)實現(xiàn)對數(shù)據(jù)通信的保護(hù)：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如有，加密算法是否使用國產(chǎn)加密算法：□是，加密算法是 □否，加密算法是 自查項目自查情況用的安全措施入侵防范是否有檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為的措施（外網(wǎng)入侵檢測設(shè)備）：是，實現(xiàn)方式為 □政務(wù)云提供，實現(xiàn)方式為 □否是否能在發(fā)生嚴(yán)重事件時提供報警：□是 □是否有新型網(wǎng)絡(luò)攻擊行為進(jìn)行檢測的措施：是，實現(xiàn)方式為 □政務(wù)云提供，實現(xiàn)方式為 □否是否能在發(fā)生嚴(yán)重事件時提供報警：□是 □否用的安全措施重要數(shù)據(jù)處理系統(tǒng)熱冗余方案中是否體現(xiàn)服務(wù)器的冗余：是，實現(xiàn)方式為 □否□是，實現(xiàn)方式為 □否惡意代碼防護(hù)：服務(wù)器使用的操作系統(tǒng)為 服務(wù)器如為Windows操作系統(tǒng)，是否有免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機(jī)制：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否入侵防范是否具有主機(jī)入侵防護(hù)的措施（主機(jī)入侵防護(hù)軟件）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否安全基線加固是否有對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用等進(jìn)行安全基線加固的內(nèi)容：有相關(guān)安全基線加固方案，實現(xiàn)方式為 □自行進(jìn)行安全基線加固□采購相關(guān)安全基線加固服務(wù)的內(nèi)容其他 否系統(tǒng)是否涉及APP開發(fā)：□是□否如有，是否有APP安全加固的內(nèi)容：□是□否自查項目自查情況用的安全措施應(yīng)用安全功能是否有對應(yīng)用安全功能的描述：□是□否雙因子鑒別功能：□有，實現(xiàn)方式為 □密碼復(fù)雜度檢測功能：□有□無登錄失敗處理功能：□有□無訪問控制功能：□有□無安全審計功能：□有，審計內(nèi)容有 □軟件容錯功能：□有□無數(shù)據(jù)加密存儲功能：□有，實現(xiàn)方式為 □數(shù)據(jù)加密傳輸功能：□有，實現(xiàn)方式為 □超時退出功能：□有□無代碼開發(fā)安全是否有代碼安全開發(fā)的要求和描述：□是□否是否有代碼安全測試：□是□否個人信息安全保護(hù)是否需收集個人信息：□是□否如有，是否明確收集個人信息的內(nèi)容和理由：□是□否是否存在收集與業(yè)務(wù)無關(guān)的個人信息：□是□否是否提供有效的更正、刪除個人信息及注銷用戶賬號功能：□是□否是否建立并公布個人信息安全投訴、舉報渠道：□是□否是否有APP:□是□否APP是否簡明清晰的明示收集使用個人信息的目的、方式和范圍：□是□否用的安全措施集中管理和監(jiān)測是否對設(shè)備進(jìn)行集中管理：新建，實現(xiàn)方式為：□新購置堡壘機(jī) □新置安全管理平臺有設(shè)備集中管理功能 他 □利舊，實現(xiàn)方式為：□利舊原有堡壘機(jī) □利原有安全管理平臺 □其 □否是否有設(shè)備集中監(jiān)控：新建，實現(xiàn)方式為：□新建監(jiān)控系統(tǒng) 新安全管理平臺中有集中監(jiān)控功能 □其他 利舊，實現(xiàn)方式為：□利舊原有監(jiān)控系統(tǒng)利安全管理平臺中有集中監(jiān)控功能 □其他 否自查項目自查情況用的安全措施安全審計是否有日志審計集中收集和分析的措施（日志審計設(shè)備）：新建，實現(xiàn)方式為：□新建日志審計系統(tǒng) □新安全管理平臺中有日志集中收集分析功能□其他 利舊，實現(xiàn)方式為：□使用已有日志審計系統(tǒng)□使用已有安全管理平臺中的日志集中收集分析功能□其他 □否集中管控是否建設(shè)安全管理中心：□是，實現(xiàn)方式為 是否劃分安全管理區(qū)域：□是，實現(xiàn)方式為 是否有惡意代碼集中管理措施□新建，實現(xiàn)方式為 利舊，實現(xiàn)方式為 方案中數(shù)據(jù)安全措施是否有數(shù)據(jù)采集的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)傳輸?shù)陌踩郑骸跏?，實現(xiàn)方式為 □否是否有數(shù)據(jù)存儲的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)處理的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)交換的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)銷毀的安全手：□是，實現(xiàn)方式為 □否是否有數(shù)據(jù)安全管理制度：□是□否應(yīng)用安全措施□新建，使用密碼技術(shù)為 密碼產(chǎn)品為 □利舊，使用密碼技術(shù)為 密碼產(chǎn)品為 □政務(wù)云提供，使用密碼技術(shù)為 使用密碼產(chǎn)為 □否□是□否B.5表B.5混合部署系統(tǒng)安全審查自查表自查項目自查情況系統(tǒng)名稱系統(tǒng)所屬范疇是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施□是□是否屬于重要信息系統(tǒng) 是□項目類型此混合型項目類型為：□本地部署+托管部署 □地部署+政務(wù)云部署□托管署+政務(wù)云部署□本地部署+托管部署+政務(wù)部署 □其他 此混合型項目具體類型為：□新建機(jī)房 □機(jī)房改造 □網(wǎng)絡(luò)擴(kuò)容 □網(wǎng)絡(luò)改造 □新建網(wǎng)絡(luò)□新建信息系統(tǒng)（僅軟件）□新建信息系統(tǒng)（含軟件和硬件）□信息系統(tǒng)性能升級（僅軟件）□信息系統(tǒng)功能升級（僅硬件）□信息系統(tǒng)功能升級（含軟件和硬件）系統(tǒng)基本情況介紹1.此系統(tǒng)類別為（可多選）：□傳統(tǒng)信息系統(tǒng)（不含APP) □傳統(tǒng)信息系統(tǒng)(含APP)□云計算□移動互聯(lián)□聯(lián)網(wǎng)□工業(yè)控制□大數(shù)據(jù)□其它 2.此系統(tǒng)用戶類型有 ，此系統(tǒng)用戶數(shù)量有 ，用戶分布范圍：□全國□省□本地區(qū)□本單位其它 系統(tǒng)是否需24小時運(yùn)行：□是□否 系統(tǒng)中斷會造成么影響： 可容忍系統(tǒng)中斷的時間為： 本單位是否已明確信息系安全等級：□未確定 □已定級別是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3專網(wǎng)訪問 □其他 系統(tǒng)和網(wǎng)絡(luò)邊界情況：□聯(lián)網(wǎng)邊界 □上聯(lián)邊界 □下聯(lián)邊界□外聯(lián)邊界，外聯(lián)單位有 □系統(tǒng)邊界，對接系統(tǒng)有 軟件開發(fā)形式：□自主軟開發(fā) □外包軟件開發(fā) 基于成熟產(chǎn)品定制開發(fā) □級統(tǒng)一下發(fā)購買成熟產(chǎn)品運(yùn)行維護(hù)情況：□自行維護(hù) □外包單位維護(hù) □開單位駐場維護(hù) □開發(fā)單位程維護(hù)系統(tǒng)數(shù)據(jù)情況數(shù)據(jù)內(nèi)容：系統(tǒng)存儲有哪重要數(shù)據(jù) 是否包含個人信息數(shù)據(jù)：□是□否 個人信息數(shù)據(jù)量概數(shù)）： 條是否包含兒童信息數(shù)據(jù)：□是□否 是否包含涉密數(shù)據(jù)：□是□否數(shù)據(jù)載體：□結(jié)構(gòu)化數(shù)據(jù)庫□大數(shù)據(jù)平臺□數(shù)據(jù)湖□他 業(yè)務(wù)數(shù)據(jù)產(chǎn)生途徑：□業(yè)務(wù)采集□互聯(lián)網(wǎng)抓取□搜集分析□外購□APP收集網(wǎng)站收集□人工導(dǎo)入□內(nèi)共享□其他 4.外部數(shù)據(jù)交換：是否存在內(nèi)組織外數(shù)據(jù)共享：□是□否共享單位及主要共享數(shù)據(jù)類型： 是否存在數(shù)據(jù)出境：□是否出境對象主體及主要出境數(shù)據(jù)類型： 表B.5混合部署系統(tǒng)安全審查自查表表B.5混合部署系統(tǒng)安全審查自查表（續(xù)）自查項目自查情況安全產(chǎn)品及措施情況系統(tǒng)將部署的主要安全產(chǎn)品有（未在以下列舉產(chǎn)品范圍的可自行擴(kuò)行補(bǔ)充說明）：網(wǎng)絡(luò)防護(hù)類：□網(wǎng)閘（□采購□利舊）□防火墻（□采購□利舊）□WAF（□采購□利舊）□UTM（□采購□利舊）□入侵防御系統(tǒng)IPS（□采購□利舊）□防毒墻/防病毒網(wǎng)關(guān)（□采購□利舊）□抗DDoS設(shè)備（□采購□利舊）□準(zhǔn)入控制系統(tǒng)（□采購□利舊）□防非法外聯(lián)系統(tǒng)（□采購□利舊）□其它 （□采購利舊主機(jī)防護(hù)類：□防病毒軟件企業(yè)版（□采購□利舊）□桌面終端安全軟件（□采購□利舊）□服務(wù)器加固軟件（□采購□利舊）□其它 （□采購□利舊數(shù)據(jù)安全類：□數(shù)據(jù)庫審計（□采購□利舊）□網(wǎng)頁防篡改（□采購□利舊）□數(shù)據(jù)脫敏系統(tǒng)（□采購□利舊）□DLP數(shù)據(jù)防泄漏系統(tǒng)（□采購□利舊）□災(zāi)備系統(tǒng)（□采購□利舊）□其它 （□采購利舊加密類：□VPN（□采購□利舊）□加密機(jī)（□采購□利舊）□CA（□采購□利舊）□其它 （□采購利舊安全管理類：□安全審計系統(tǒng)（□采購□利舊） □安全監(jiān)控系統(tǒng)（□購□利舊）□堡壘機(jī)（□采購□利舊） □漏洞掃描（□采購□利舊）安全管理平臺（□采購□舊） □上網(wǎng)行為管理（□購□利舊）其它 （□采購利舊安全監(jiān)測類：□入侵檢測系統(tǒng)IDS（□采購□利舊）□態(tài)勢感知（□采購□利舊）□蜜罐（□采購□利舊）其它 （□采購□舊之后安全維護(hù)情況：□自行維護(hù) □外包安全服商維護(hù) □安全廠商維護(hù)□其他 方案結(jié)構(gòu)□方案內(nèi)獨(dú)立的安全章節(jié)（含□網(wǎng)絡(luò)安全總體設(shè)計方案□密碼應(yīng)用方案□數(shù)據(jù)安全方案）□獨(dú)立的安全方案□無方案中是否包括以下內(nèi)容：□網(wǎng)絡(luò)安全建設(shè)依據(jù) □業(yè)務(wù)數(shù)據(jù)描述□系統(tǒng)定級描述（二級或三級） □是否屬于關(guān)鍵息基礎(chǔ)設(shè)施范疇□是否屬于重要信息系統(tǒng) □網(wǎng)絡(luò)拓?fù)鋱D□網(wǎng)絡(luò)邊界分析 □系統(tǒng)部署架構(gòu)□安全需求分析 □安全責(zé)任劃分□網(wǎng)絡(luò)安全設(shè)備清單 □應(yīng)用系統(tǒng)安全能□采取的安全措施 □如有利舊，需確新建和利舊的部分自查項目自查情況網(wǎng)絡(luò)安全經(jīng)費(fèi)預(yù)算□有 □否項目總預(yù)算： 萬元網(wǎng)絡(luò)安全預(yù)算： 萬元網(wǎng)絡(luò)安全預(yù)算所占比例： 網(wǎng)絡(luò)安全預(yù)算包括：□安全建設(shè)費(fèi)用預(yù)算 □安全加固費(fèi)用算□代碼安全測試預(yù)算/滲透測試預(yù)算 □等級測評費(fèi)用算□密碼應(yīng)用安全性評估費(fèi)用預(yù)算 □網(wǎng)絡(luò)安全培訓(xùn)算□應(yīng)急演練費(fèi)用預(yù)算 □風(fēng)險評估費(fèi)用算□安全運(yùn)維費(fèi)用預(yù)算□其他 用的安全措施網(wǎng)絡(luò)區(qū)域劃分拓?fù)鋱D中是否體現(xiàn)按照功能進(jìn)行區(qū)域劃分：□是，實現(xiàn)方式為 □區(qū)域之間是否采用隔離措施:□是，實現(xiàn)方式為 □2.線路硬件冗余拓?fù)鋱D中是否體現(xiàn)通信線路的冗余：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否拓?fù)鋱D中是否體現(xiàn)關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否拓?fù)鋱D中是否體現(xiàn)關(guān)鍵計算設(shè)備的硬件冗余：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否數(shù)據(jù)備份和加密方案中是否有明確哪些數(shù)據(jù)是重要數(shù)據(jù)，并對數(shù)據(jù)進(jìn)行分類：是 □否方案中是否有體現(xiàn)重要數(shù)據(jù)備份措施（數(shù)據(jù)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如為三級（網(wǎng)絡(luò)安全等級保護(hù)三級系統(tǒng)），是否有異地實時備份功能：□新建，實現(xiàn)方式為 ，備份地為 □利舊，實現(xiàn)方式為 ，備份地為 _□否自查項目自查情況用的安全措施方案中是否有體現(xiàn)重要數(shù)據(jù)存儲加密措施：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否如有，加密算法是否使用國產(chǎn)加密算法：□是，加密算法是 □否，加密算法是 4.容災(zāi)備份方案中是否有體現(xiàn)重要系統(tǒng)進(jìn)行容災(zāi)備份措施（容災(zāi)備份系統(tǒng)）：新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 □否方案中是否有體現(xiàn)數(shù)據(jù)庫進(jìn)行容災(zāi)備份措施（容災(zāi)備份系統(tǒng)）：□新建，實現(xiàn)方式為 □利舊，實現(xiàn)方式為 否通信保密性是否采用校驗技術(shù)或密碼技術(shù)實現(xiàn)對數(shù)據(jù)通信的保護(hù)：新建，實現(xiàn)方式為 利舊，實現(xiàn)方式為 □否如有，加密算法是否使用國產(chǎn)加密算法：□是，加密算法是 □否，加密算法是 6.邊界防護(hù)網(wǎng)絡(luò)邊界防護(hù)情況：是否冗余：□是□否是否有互聯(lián)網(wǎng)連接：□是□否如有互聯(lián)網(wǎng)連接，是否有外聯(lián)邊界防火墻：□新建□利舊□否是否有外聯(lián)：□是□否如有外聯(lián)，外聯(lián)單位有 ，是否所有外聯(lián)邊界均有防火墻：□新建□利舊□是否有上聯(lián)單位：□是□否如有上聯(lián)，是否有上聯(lián)邊界防火墻：□新建□利舊 □是否有下聯(lián)單位：□是□否如有下聯(lián)，是否有下聯(lián)邊界防火墻：□新建□利舊 □是否有無線互聯(lián)邊界：□是□否如有，是否有無線接入安全網(wǎng)關(guān)：□新建 □利舊 □內(nèi)部核心區(qū)域是否有防火墻：新建，實現(xiàn)方式為 利舊，實現(xiàn)方式為 □否自查項目自查情況用的安全措施防火墻是否具有以下功能：□源端口、目的端口和協(xié)議等進(jìn)行檢查□根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能