ICS25.040

CCSL70

江蘇省地方標準

DB32/T5073.1—2025

政務“一朵云”安全管理體系規(guī)范

第1部分：安全運行監(jiān)測

Securitymanagementsystemspecificationforthe"cloud"of

governmentaffairs—Part1:Securityoperationmonitoring

2025?02?21發(fā)布2025?03?21實施

江蘇省市場監(jiān)督管理局發(fā)布

中國標準出版社出版

DB32/T5073.1—2025

目次

前言……………………………Ⅲ

引言……………………………Ⅳ

1范圍…………………………1

2規(guī)范性引用文件……………1

3術(shù)語和定義…………………1

4縮略語………………………2

5總體框架……………………2

6基本要求……………………3

7資產(chǎn)監(jiān)測……………………4

8可用性監(jiān)測…………………4

9風險監(jiān)測……………………5

10安全事件監(jiān)測………………6

11重大保障與應急響應………………………6

12安全協(xié)同……………………7

13供應鏈安全…………………8

14安全檢查……………………9

15運行效果評價……………10

16安全審計…………………10

17安全監(jiān)測管理……………11

參考文獻………………………13

Ⅰ

DB32/T5073.1—2025

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件是DB32/T5073《政務“一朵云”安全管理體系規(guī)范》的第1部分。DB32/T5073已經(jīng)發(fā)布了

以下部分：

——第1部分：安全運行監(jiān)測；

——第2部分：密碼應用技術(shù)要求；

——第3部分：密碼應用安全性評估。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。

本文件由江蘇省數(shù)據(jù)局提出并組織實施。

本文件由江蘇省數(shù)據(jù)標準化技術(shù)委員會（JS/TC88）歸口。

本文件起草單位：江蘇省大數(shù)據(jù)管理中心。

本文件主要起草人：吳中東、忻超、黃敏、劉堯、楊揚、王文娟、劉鑫、蔡一凡、谷和啟、周云龍、林玉波、

俞黎斌。

Ⅲ

DB32/T5073.1—2025

引言

為加強統(tǒng)籌規(guī)劃，全面提升江蘇省政務云服務能力和安全運行水平，促進政務信息基礎(chǔ)設(shè)施建設(shè)可

持續(xù)發(fā)展，根據(jù)《省政府關(guān)于加快統(tǒng)籌推進數(shù)字政府高質(zhì)量建設(shè)的實施意見》《江蘇省政務“一朵云”建設(shè)

總體方案》的要求，建立健全江蘇省政務“一朵云”安全保障體系，提升安全防護能力，制定本文件。

DB32/T5073《政務“一朵云”安全管理體系規(guī)范》分為以下3個部分：

——第1部分：安全運行監(jiān)測；

——第2部分：密碼應用技術(shù)要求；

——第3部分：密碼應用安全性評估。

Ⅳ

DB32/T5073.1—2025

政務“一朵云”安全管理體系規(guī)范

第1部分：安全運行監(jiān)測

1范圍

本文件規(guī)定了政務云安全運行監(jiān)測工作的總體框架、基本要求、資產(chǎn)監(jiān)測、可用性監(jiān)測、風險監(jiān)測、安

全事件監(jiān)測等內(nèi)容。

本文件適用于政務云管理機構(gòu)和使用單位開展安全運行監(jiān)測工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T5271.8信息技術(shù)詞匯第8部分：安全

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求

GB/T25069信息安全技術(shù)術(shù)語

GB/T29246信息安全技術(shù)信息安全管理體系概述和詞匯

GB/T31168信息安全技術(shù)云計算服務安全能力要求

GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應用基本要求

GB/T39204信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求

3術(shù)語和定義

GB/T25069—2022、GB/T5271.8、GB/T29246—2023界定的以及下列術(shù)語和定義適用于本文件。

3.1

安全監(jiān)測securitymonitoring

以信息安全事件為核心，通過對網(wǎng)絡(luò)和安全設(shè)備日志、系統(tǒng)運行數(shù)據(jù)等信息的實時采集，以關(guān)聯(lián)分析

等方式，實現(xiàn)對監(jiān)測對象進行風險識別、威脅發(fā)現(xiàn)、安全事件實時報警及可視化展現(xiàn)的過程。

［來源：GW0203—2014，3.1，有修改］

3.2

安全審計securityaudit

對信息系統(tǒng)記錄與活動進行獨立評審和考查的行為，以測試系統(tǒng)控制的充分程度，確保對于既定安

全策略和運行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程等方面提出改進建議。

［來源：GB/T25069—2022，3.24，有修改］

3.3

供應鏈supplychain

將多個資源和過程聯(lián)系在一起，并根據(jù)服務協(xié)議或其他采購協(xié)議建立連續(xù)供應關(guān)系的組織系列。

［來源：GB/T39204—2022，3.2］

1

DB32/T5073.1—2025

3.4

政務云e?governmentcloud

運用云計算技術(shù)，統(tǒng)籌利用機房、計算、存儲、網(wǎng)絡(luò)、安全、應用支撐等軟硬件設(shè)備，發(fā)揮云計算虛擬

化、高可靠性、通用性、高擴展性，以及快速、按需、彈性的服務等特征，為政務信息系統(tǒng)提供基礎(chǔ)設(shè)施、支

撐軟件、運行保障和信息安全等的綜合服務平臺。

［來源：GB/T34078.1—2017，2.1，有修改］。

注：用“機房、計算、存儲、網(wǎng)絡(luò)、安全、應用支撐等軟硬件設(shè)備”取代“機房資源、計算資源、存儲資源、網(wǎng)絡(luò)資源、信息

資源、應用支撐等資源”，用“為政務信息系統(tǒng)提供基礎(chǔ)設(shè)施、支撐軟件、運行保障和信息安全等的綜合服務平臺”

取代“為各政務部門構(gòu)建提供基礎(chǔ)設(shè)施、支撐軟件、應用系統(tǒng)、信息資源、運行保障和信息安全等服務的電子政務

綜合性服務平臺”。

3.5

政務“一朵云”the"cloud"ofgovernmentaffairs

在省級行政區(qū)域統(tǒng)一建設(shè)和部署的政務云（3.4），依托電子政務外網(wǎng)和互聯(lián)網(wǎng)，運用云計算技術(shù)和智

能化工具，為該區(qū)域各類電子政務的業(yè)務應用系統(tǒng)提供計算資源、存儲資源、服務支撐、安全保障等共性

服務的新型信息基礎(chǔ)設(shè)施。

4縮略語

下列縮略語適用于本文件。

API：應用程序編程接口（ApplicationProgrammingInterface）

APT：高級持續(xù)性威脅（AdvancedPersistentThreat）

DC：數(shù)據(jù)中心（DataCenter）

DDoS：分布式拒絕服務（DistributedDenialofService）

IP：網(wǎng)際互連協(xié)議（InternetProtocol）

SLA：服務水平協(xié)議（ServiceLevelAgreement）

5總體框架

政務云安全運行監(jiān)測框架基于政務“一朵云”安全架構(gòu)進行設(shè)計，如圖1所示。

>!



6

>!D=+"

6

>!

MK+"B+"+"F

D=@

>!>!>!F

K>!(





$"$"

B1

/



P$"

#E"A

44



*

"P0

3

3

M







3

-"

44D/

=@







J

#3+"

;44

=@@



>!

J

*PF4





-MK@

@K

J>!D4





0)

0)330)

0)M00)>0)

圖1政務云安全運行監(jiān)測框架

2

DB32/T5073.1—2025

6基本要求

6.1安全保護基本能力要求

6.1.1整體要求

應按照GB/T22239、GB/T31168等相關(guān)要求建設(shè)安全保護基本能力，包括：

a）政務云運行管理機構(gòu)負責政務云平臺安全建設(shè)、運行及管理，開展政務云基礎(chǔ)設(shè)施安全保護工

作，構(gòu)建技術(shù)、管理、運維等方面的安全能力體系，為安全運行監(jiān)測工作開展提供基礎(chǔ)能力支撐；

b）政務云使用單位負責本單位云上信息系統(tǒng)和數(shù)據(jù)的安全建設(shè)、運維、管理。

6.1.2技術(shù)要求

技術(shù)要求包括：

a）政務云運行管理機構(gòu)應建設(shè)政務云平臺邊界訪問控制、云內(nèi)訪問控制、邊界入侵防范、云內(nèi)入侵

防范、惡意代碼防范、安全審計、身份鑒別、鏡像和快照保護、數(shù)據(jù)加密、數(shù)據(jù)備份與恢復等安全

防護能力；

b）政務云使用單位應充分利用政務云安全能力，按照相應網(wǎng)絡(luò)安全等級保護級別的安全要求構(gòu)建

本單位云上信息系統(tǒng)安全防護體系。

6.1.3管理要求

管理要求包括：

a）政務云運行管理機構(gòu)應建立政務云基礎(chǔ)設(shè)施管理制度、操作規(guī)程，形成由方針策略、管理制度、

操作規(guī)程、記錄表單等構(gòu)成的安全管理制度體系。應設(shè)置指導管理安全工作的機構(gòu)，設(shè)立安全

崗位，明確崗位職責和能力要求，配備安全人員，建立并實施安全考核及監(jiān)督問責機制；

b）政務云使用單位應落實本單位云上信息系統(tǒng)安全主體責任，指定系統(tǒng)安全負責人，報政務云運

行管理機構(gòu)備案。

6.1.4運維要求

運維要求包括：

a）政務云運行管理機構(gòu)應開展政務云基礎(chǔ)設(shè)施安全運維工作，包括但不限于資產(chǎn)管理、介質(zhì)管

理、設(shè)備維護管理、漏洞和風險管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密

碼管理、變更管理、備份與恢復管理、安全事件處置管理、應急預案管理、外包運維服務商管

理等；

b）政務云使用單位應開展本單位云上信息系統(tǒng)安全運維工作，包括但不限于資產(chǎn)管理、介質(zhì)管理、

設(shè)備維護管理、漏洞和風險管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管

理、變更管理、備份與恢復管理、安全事件處置管理、應急預案管理、外包運維服務商管理等。

6.2運行監(jiān)測基本能力要求

6.2.1政務云運行管理機構(gòu)應圍繞人員、工具、流程等開展運行監(jiān)測，配備專職人員，構(gòu)建平臺工具，制

定業(yè)務流程，建立主動防御機制，按要求開展資產(chǎn)監(jiān)測、風險監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測、重保與應

急、安全協(xié)同、安全檢查、供應鏈安全、運行效果評價、安全審計、安全管理等工作。

3

DB32/T5073.1—2025

6.2.2政務云使用單位應按照相應網(wǎng)絡(luò)安全等級保護級別的安全要求，開展本單位云上信息系統(tǒng)安全

運行監(jiān)測工作，包括但不限于資產(chǎn)監(jiān)測、風險監(jiān)測、可用性監(jiān)測、安全事件監(jiān)測、重保與應急、安全協(xié)同、安

全檢查、供應鏈安全、運行效果評價、安全審計、安全管理等工作。

7資產(chǎn)監(jiān)測

7.1整體要求

7.1.1監(jiān)測范圍應覆蓋政務云平臺、云邊界、網(wǎng)絡(luò)出入口、云上信息系統(tǒng)等。

7.1.2應及時發(fā)現(xiàn)資產(chǎn)的上線、下線等變更情況，在72h內(nèi)完成資產(chǎn)清單更新。

7.1.3應對多種來源的資產(chǎn)數(shù)據(jù)進行統(tǒng)一融合匯總，快速進行資產(chǎn)維度的風險評估、可視化展示、報表

輸出，挖掘資產(chǎn)安全問題。

7.1.4應基于資產(chǎn)標識信息，及時通過資產(chǎn)和漏洞情報數(shù)據(jù)碰撞分析，快速評估漏洞影響資產(chǎn)范圍。

7.2資產(chǎn)類型

應能發(fā)現(xiàn)的資產(chǎn)類型，包括但不限于以下部分：

a）政務云平臺資產(chǎn)，包括云主機、云存儲、云網(wǎng)絡(luò)、云安全組件、云數(shù)據(jù)庫、操作系統(tǒng)、中間件、服務

器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等；

b）政務云邊界資產(chǎn)，包括網(wǎng)絡(luò)設(shè)備、通信設(shè)備、網(wǎng)絡(luò)安全設(shè)備等；

c）政務云接入終端資產(chǎn)；

d）政務云使用單位云上信息系統(tǒng)資產(chǎn)，包括云主機、云網(wǎng)絡(luò)、中間件、數(shù)據(jù)庫、API接口等。

8可用性監(jiān)測

8.1政務云平臺

8.1.1政務云平臺應具備有效的容災備份機制，包括但不限于主備容災、雙活容災、多DC容災等。

8.1.2應監(jiān)測政務云平臺物理層和虛擬化層的資源可用性，對象包括但不限于計算處理能力、內(nèi)存處

理能力、硬盤處理能力等，使用率應不超過75%，同時應監(jiān)測虛擬化軟件的可用性。

8.1.3應監(jiān)測政務云平臺的可用性，建立政務云平臺SLA，關(guān)鍵節(jié)點全年可用率（全年可用時長/全年

總時長）不低于99.99%。

8.2政務云出入口網(wǎng)絡(luò)

8.2.1政務云出入口網(wǎng)絡(luò)包括政務外網(wǎng)出入口、互聯(lián)網(wǎng)出入口等，應具備有效的線路及核心設(shè)備冗余

機制。

8.2.2應監(jiān)測政務云出入口網(wǎng)絡(luò)的可用性，建立政務云出入口網(wǎng)絡(luò)SLA，全年可用率（全年可用時長/

全年總時長）不低于99.99%。

8.3政務云內(nèi)網(wǎng)絡(luò)

8.3.1政務云內(nèi)網(wǎng)絡(luò)應具備有效的核心設(shè)備及組件冗余機制。

8.3.2應監(jiān)測政務云內(nèi)網(wǎng)絡(luò)的可用性，應建立政務云內(nèi)網(wǎng)絡(luò)SLA，全年可用率（全年可用時長/全年總

時長）不低于99.99%。

4

DB32/T5073.1—2025

9風險監(jiān)測

9.1整體要求

應監(jiān)測政務云平臺及云上信息系統(tǒng)的主要安全風險，包括但不限于弱口令、漏洞、高危端口、安全基

線過低、過程性惡意行為、異常行為、數(shù)據(jù)高危操作、其他未知風險等，應在24h內(nèi)發(fā)現(xiàn)存在的隱患。

9.2弱口令識別

應檢測賬號弱口令，包括但不限于內(nèi)置規(guī)則、密碼字典攻擊、人工智能等檢測方式。

9.3漏洞監(jiān)測

應識別高、中、低危安全漏洞。

9.4高危端口監(jiān)測

應探測高危端口對外暴露情況，包括但不限于數(shù)據(jù)庫端口、遠程桌面端口、FTP服務端口等。

9.5安全基線監(jiān)測

應探測不合規(guī)基線及錯誤配置，包括但不限于身份訪問控制、安全審計等方面。

9.6過程性惡意行為監(jiān)測

應發(fā)現(xiàn)過程性惡意行為，包括但不限于掃描探測、隱患利用、域名仿冒、釣魚郵件、暴力破解等。

9.7異常行為監(jiān)測

應發(fā)現(xiàn)異常行為，包括但不限于高頻登錄嘗試、異常時間登錄等。

9.8數(shù)據(jù)高危操作監(jiān)測

應識別數(shù)據(jù)高危操作行為，包括但不限于違規(guī)外聯(lián)、文件導出下載、非授信IP數(shù)據(jù)庫繞行、超級管理

員賬號遠程登陸、API未授權(quán)訪問、數(shù)據(jù)庫導出、數(shù)據(jù)庫高危操作等。

9.9其他未知風險監(jiān)測

應基于威脅情報，識別未知風險，包括但不限于APT攻擊、勒索病毒等。

9.10政務關(guān)鍵應用

9.10.1政務關(guān)鍵應用應具備有效的容災備份機制。

9.10.2按要求對政務關(guān)鍵應用開展壓力測試，基于測試結(jié)果優(yōu)化資源分配。

9.10.3應監(jiān)測政務關(guān)鍵應用的可用性，應建立政務關(guān)鍵應用SLA，全年可用率（全年可用時長/全年總

時長）不低于99.99%。

9.11政務核心數(shù)據(jù)庫

9.11.1核心數(shù)據(jù)庫應具備有效的容災備份機制，包括但不限于主備容災、雙活容災、多DC容災等。

5

DB32/T5073.1—2025

9.11.2應監(jiān)測核心數(shù)據(jù)庫的可用性，應建立政務核心數(shù)據(jù)庫SLA，全年可用率（全年可用時長/全年總

時長）不低于99.99%。

10安全事件監(jiān)測

10.1整體要求

應通過流量解析、日志分析等技術(shù)手段對政務云平臺及云上信息系統(tǒng)進行7×24h安全事件監(jiān)測，及

時發(fā)現(xiàn)安全事件。

10.2惡意程序事件

應發(fā)現(xiàn)惡意程序事件，包括但不限于計算機病毒、網(wǎng)絡(luò)蠕蟲、特洛伊木馬、僵尸網(wǎng)絡(luò)、網(wǎng)頁內(nèi)嵌惡意代

碼、勒索軟件、挖礦病毒等。

10.3網(wǎng)絡(luò)攻擊事件

應發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件，包括但不限于DDoS攻擊、域名解析異常、流量劫持、廣播欺詐、主機失陷、

APT攻擊等。

10.4數(shù)據(jù)安全事件

應發(fā)現(xiàn)數(shù)據(jù)安全事件，包括但不限于數(shù)據(jù)篡改、數(shù)據(jù)泄露、數(shù)據(jù)竊取、隱私侵犯等。

10.5信息內(nèi)容安全事件

應發(fā)現(xiàn)內(nèi)容安全事件，包括但不限于反動宣傳、暴恐宣傳、色情傳播等。

10.6異常事件

應發(fā)現(xiàn)異常事件，包括但不限于訪問異常、流量異常、高風險操作等。

10.7設(shè)備設(shè)施故障事件

應發(fā)現(xiàn)設(shè)備設(shè)施故障事件，包括但不限于云平臺硬件故障、軟件故障、過載等。

11重大保障與應急響應

11.1重大保障

11.1.1在春節(jié)、國慶等重要活動、會議期間，應設(shè)立專門負責加強安全響應的保障組織，開展專項活

動，制定工作規(guī)范，確保政務云基礎(chǔ)設(shè)施安全運行。

11.1.2應將重大保障活動劃分為準備階段、實戰(zhàn)階段、總結(jié)階段等環(huán)節(jié)，在各環(huán)節(jié)落實檢查自查，及時

通報預警安全隱患，處置安全事件，管理監(jiān)測過程結(jié)果數(shù)據(jù)，落實報告管理、信息共享、輿情報送等工作。

11.1.3應基于可視化態(tài)勢大屏等工具平臺開展專項安全監(jiān)測和分析研判，及時預警可能造成重大影

響的風險和隱患，重點部門、重點崗位保持24h值班，及時發(fā)現(xiàn)和處置安全事件隱患。

11.1.4應在重大保障期間組織協(xié)同技術(shù)支撐單位、政務云基礎(chǔ)設(shè)施服務商、安全專家等，提升重大活

動整體安全保障能力。

6

DB32/T5073.1—2025

11.2應急響應

11.2.1應急管理

應明確應急管理組織、職責和工作機制等，包括：

a）應落實安全應急工作責任制，明確安全事件應急領(lǐng)導機構(gòu)與職責，辦事機構(gòu)與職責，各單位部門

職責，將責任落實到具體部門、崗位和個人；

b）應建立健全應急工作機制，制定安全應急管理規(guī)范，明確安全事件的預防、監(jiān)測、報告和應急處

置等的工作流程。

11.2.2應急預案

應制定應急預案并開展預案培訓與演練，包括：

a）應制定并管理安全突發(fā)事件處置場景預案，圍繞政務云關(guān)鍵業(yè)務的可持續(xù)運行保障進行個性化

預案編排和執(zhí)行流程配置；

b）加強安全應急預案的培訓，提高防范意識及技能，每年應至少組織1次預案培訓；

c）定期組織演練，檢驗和完善預案，提高實戰(zhàn)能力，每年應至少組織1次預案演練。

11.2.3應急處置

應對安全事件開展應急處置，按要求進行事件上報、響應和總結(jié)調(diào)查，包括：

a）政務云安全事件發(fā)生后，應立即啟動應急預案，實施先期處置并及時報送信息，屬于較大、重大

或特別重大安全事件的，應當于1h內(nèi)進行報告。

b）應按相關(guān)預案開展應急處置工作，加強技術(shù)手段運用，實現(xiàn)快速響應，及時將事態(tài)發(fā)展變化情況

及應急處置結(jié)果上報。

c）應急結(jié)束后應組織調(diào)查處理和總結(jié)評估，總結(jié)調(diào)查報告應對事件的起因、性質(zhì)、影響、責任等進

行分析評估，提出處理意見和改進措施?？偨Y(jié)調(diào)查工作應在應急響應結(jié)束后30d內(nèi)完成。

12安全協(xié)同

12.1縱向協(xié)同

12.1.1應積極、主動配合上級主管單位的安全管理工作，包括工作指揮、指令協(xié)同、安全檢查、考核評

估等。

12.1.2應及時、準確向上級主管單位報告安全監(jiān)測數(shù)據(jù)。

12.1.3應及時、全面向上級主管單位報告較大及以上級別安全事件。

12.1.4應及時向下級單位發(fā)布風險預警，進行日常通報，開展通報處置，包括：

a）針對潛在威脅事件，應向下級單位發(fā)布預警信息，預警發(fā)布內(nèi)容宜包括事件性質(zhì)、威脅方式、影

響范圍、涉及對象、影響程度、防范對策等信息，同時對預警的接收狀態(tài)進行跟蹤確認，確保預警

信息被及時接收確認，達到主動預警防范的效果；

b）應持續(xù)獲取預警發(fā)布機構(gòu)的安全預警信息，按規(guī)定通報給相關(guān)人員和部門，分析、研判相關(guān)事件

或威脅對政務云基礎(chǔ)設(shè)施可能造成損害的程度，必要時啟動應急預案；

c）應主動采取措施對預警進行協(xié)同響應，當安全隱患得以控制或消除時，執(zhí)行預警解除流程；

d）應監(jiān)測發(fā)現(xiàn)安全隱患、事件，通報至對應單位，推動開展暴露面收斂、隱患排查等主動防御工作，

形成通報處置業(yè)務閉環(huán)。

7

DB32/T5073.1—2025

12.2橫向協(xié)同

12.2.1應落實安全監(jiān)管要求，與網(wǎng)信、公安等主管部門建立溝通工作機制，配合開展安全檢查工作。

12.2.2針對潛在威脅事件，應向同級相關(guān)單位發(fā)布預警信息。

12.2.3涉及跨區(qū)域安全事件時，應按需展開與同級單位的事件協(xié)查、分析研判、形成分析報告等。

13供應鏈安全

13.1供應商要求

13.1.1應調(diào)查政務云基礎(chǔ)設(shè)施供應商及人員背景、保密協(xié)議簽訂、安全教育培訓等情況，包括：

a）應調(diào)查供應商類型應包括但不限于咨詢、設(shè)計、集成、運維、測評、改進等各環(huán)節(jié)供應商；

b）應調(diào)查人員類型應包括但不限于項目經(jīng)理、外派運維人員、實施人員、監(jiān)理人員、開發(fā)人員、測評

人員、設(shè)計人員等；

c）應調(diào)查保密協(xié)議簽訂情況，協(xié)議內(nèi)容應包括但不限于安全責任、保密內(nèi)容、保密期限、獎懲機

制等。

13.1.2應明確供應商安全責任和義務，包括但不限于加強對提供產(chǎn)品的設(shè)計、研發(fā)、生產(chǎn)、交付等環(huán)節(jié)

的安全管理，聲明不非法獲取用戶數(shù)據(jù)、不非法控制和操作用戶系統(tǒng)和設(shè)備，不利用用戶對產(chǎn)品的依賴性

謀取不正當利益或迫使用戶更新?lián)Q代、無正當理由不中斷產(chǎn)品供應或必要的技術(shù)支持服務等。

13.1.3應對供應商人員加強賬號權(quán)限管控、資源訪問控制管理及操作行為監(jiān)管。

13.1.4供應商應對涉及的運維后門、特權(quán)賬號重置及其他特權(quán)管理技術(shù)進行技術(shù)交底，并提供關(guān)閉

方式。

13.1.5對于被認定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應加強如下要求：

a）應建立和維護合格供應商目錄。應選擇有保障的供應商，防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)

因素導致產(chǎn)品和服務供應中斷的風險；

b）應強化采購渠道管理，保持采購的產(chǎn)品和服務來源的穩(wěn)定或多樣性。

13.2供應鏈要求

13.2.1應開展軟件源代碼安全檢測、開源組件檢測、容器鏡像檢測等，或由供應商提供第三方機構(gòu)出

具的相應檢測報告，并在正式上線前進行漏洞檢查。

13.2.2采購和使用的產(chǎn)品和服務應符合國家相關(guān)標準要求。

13.2.3使用的產(chǎn)品和服務存在安全缺陷、漏洞等風險時，應及時采取措施消除風險隱患，涉及重大風

險的應按規(guī)定向相關(guān)部門報告。

13.2.4按照《云計算服務安全評估辦法》要求，對政務云服務商開展安全評估的情況進行監(jiān)督核查。

13.2.5對于被認定為關(guān)鍵信息基礎(chǔ)設(shè)施的，應加強如下要求：

a）采購網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄中的設(shè)備產(chǎn)品時，應采購通過國家檢測認證的設(shè)備

和產(chǎn)品；

b）采購、使用的網(wǎng)絡(luò)產(chǎn)品和服務，可能影響國家安全的，應通過國家網(wǎng)絡(luò)安全審查；

c）應要求網(wǎng)絡(luò)產(chǎn)品和服務的提供者對網(wǎng)絡(luò)產(chǎn)品和服務研發(fā)、制造過程中涉及的實體擁有或控制的

已知技術(shù)專利等知識產(chǎn)權(quán)獲得10年以上授權(quán)，或在網(wǎng)絡(luò)產(chǎn)品和服務使用期內(nèi)獲得持續(xù)授權(quán)；

d）應要求網(wǎng)絡(luò)產(chǎn)品和服務的提供者提供中文版運行維護、二次開發(fā)等技術(shù)資料。

8

DB32/T5073.1—2025

14安全檢查

14.1整體要求

14.1.1應制定安全檢查計劃，定期開展安全檢查工作，并能根據(jù)重大保障等時期的實際情況進行

調(diào)整。

14.1.2應建立檢查事項庫，包括但不限于漏洞掃描、滲透測試、基線核查、代碼檢測、開源組件檢測、數(shù)

據(jù)安全檢查、運維安全檢查等。

14.2漏洞掃描

14.2.1應檢查漏洞掃描工作開展情況，漏洞掃描的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復、報送情況等。

14.2.2漏洞掃描的頻率應不低于每季度一次，范圍應至少覆蓋政務云平臺、核心系統(tǒng)，執(zhí)行時應不影

響信息系統(tǒng)正常運行。

14.3滲透測試

14.3.1應檢查滲透測試工作開展情況，滲透測試的頻率、覆蓋范圍、漏洞發(fā)現(xiàn)、修復、報送情況等。

14.3.2滲透測試的頻率應不低于每半年一次，范圍應至少覆蓋核心系統(tǒng)，執(zhí)行時應不影響信息系統(tǒng)正

常運行。

14.4基線核查

14.4.1應檢查基線核查工作開展情況，基線核查的頻率、覆蓋范圍、配置缺陷發(fā)現(xiàn)及修復加固情況等。

14.4.2基線核查的頻率應不低于每半年一次，范圍應至少覆蓋政務云平臺、核心系統(tǒng)。

14.5代碼檢測

14.5.1應檢查代碼檢測工作開展情況，代碼檢測的覆蓋范圍、源代碼缺陷檢出及整改情況等。

14.5.2政務關(guān)鍵信息系統(tǒng)上線及重大變更前應進行代碼檢測，范圍應至少覆蓋核心系統(tǒng)。

14.6開源組件檢測

14.6.1應檢查開源組件檢測工作開展情況，開源組件檢測的頻率、覆蓋范圍、開源組件漏洞檢出及整

改、開源組件許可協(xié)議情況等。

14.6.2開源組件檢測的頻率應不低于每年一次，范圍應至少覆蓋核心系統(tǒng)。

14.7數(shù)據(jù)安全檢查

14.7.1應檢查云上數(shù)據(jù)安全運行工作開展情況，安全檢測的頻率、覆蓋范圍、檢出問題及整改情

況等。

14.7.2云上數(shù)據(jù)安全檢查的頻率應不低于每年一次，范圍應至少覆蓋核心系統(tǒng)、數(shù)據(jù)庫及API接口。

14.8運維安全檢查

14.8.1應檢查運維安全工作開展情況，運維安全檢查頻率、覆蓋范圍、檢出及整改情況等。運維安全

包括但不限于機房環(huán)境、設(shè)備運行狀態(tài)、設(shè)備維保期限、云平臺運行狀態(tài)、云平臺資源管理、賬號使用情

9

DB32/T5073.1—2025

況、運維人員管理、告警監(jiān)測分析與策略優(yōu)化等。

14.8.2運維安全檢查的頻率應不低于每季度一次，范圍應至少覆蓋政務數(shù)據(jù)中心服務器、網(wǎng)絡(luò)設(shè)備及

安全設(shè)備和信息系統(tǒng)檢出問題整改情況。

15運行效果評價

15.1云環(huán)境效果

應核查云基礎(chǔ)設(shè)施高危端口暴露、云平臺邊界違規(guī)外聯(lián)等云環(huán)境安全效果情況，包括：

a）應核查政務云基礎(chǔ)設(shè)施高危端口暴露情況，按季度進行匯總，并采取有效措施防范高危端口利用；

b）應核查政務云平臺邊界違規(guī)外聯(lián)情況，按季度進行匯總，并采取有效措施阻斷違規(guī)外聯(lián)；

15.2漏洞效果

應核查年度周期內(nèi)政務云基礎(chǔ)設(shè)施中危及以上漏洞數(shù)量、及時修復率等，涉及影響業(yè)務安全運行的

漏洞應立即采取補救措施，包括：

a）應核查中危及以上漏洞發(fā)現(xiàn)數(shù)量等情況；

b）應核查中危及以上漏洞及時修復率，高危漏洞應在3d內(nèi)完成修復，及時修復率不低于98%，中

危漏洞應在5d內(nèi)完成修復，及時修復率不低于95%，存在嚴重安全隱患且未按期修復時，政務

云運行管理機構(gòu)關(guān)閉系統(tǒng)對外網(wǎng)絡(luò)策略，中止提供云資源服務。

15.3事件效果

應核查年度周期內(nèi)政務云基礎(chǔ)設(shè)施發(fā)生一般、較大、重大、特別重大及國家通報的安全事件的次數(shù)：

a）應核查發(fā)生特別重大安全事件的情況，扼制損害程度和影響范圍的擴大，確保不發(fā)生特別重大

安全事故；

b）應核查發(fā)生重大安全事件的情況，扼制損害程度和影響范圍的擴大，確保不發(fā)生重大安全事故；

c）應核查發(fā)生較大安全事件的情況，扼制較大安全事件發(fā)生率，開展有效處置，防范事件升級；

d）應核查發(fā)生一般安全事件的情況，扼制一般安全事件發(fā)生率，開展有效處置，防范事件升級；

e）應核查國家通報的本地區(qū)高危隱患和安全事件情況，確保不發(fā)生安全事故。

15.4專項工作成效

應核查年度周期內(nèi)政務云基礎(chǔ)設(shè)施運行管理單位開展攻防演習、安全檢查等專項工作情況。

a）應核查在政務云基礎(chǔ)設(shè)施安全攻防演練中所發(fā)現(xiàn)問題的整改修復情況；

b）應核查在各種政務云安全檢查中的表現(xiàn)情況、政務云基礎(chǔ)設(shè)施的可用性情況。

16安全審計

16.1審計計劃

應建立常態(tài)化安全審計機制，審計工作開展頻率應不低于每月1次，范圍至少應覆蓋政務云平臺、云

上信息系統(tǒng)。

16.2人員配置

16.2.1應配備專職審計人員或采購安全審計服務。

10

DB32/T5073.1—2025

16.2.2應劃分審計管理員、系統(tǒng)管理員、安全管理員等獨立的運維管理角色，僅審計管理員具備審計

權(quán)限，僅系統(tǒng)管理員具備日常管理權(quán)限，僅安全管理員具備賬戶管理權(quán)限。

16.3開展情況

16.3.1應建立統(tǒng)一的日志采集和存儲工具，確保日志審計記錄留存時間不低于6個月，應對審計記錄

進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

16.3.2應對安全策略及安全制度進行審查，對日志進行審計分析，對運維人員日常操作進行監(jiān)督

審計。

16.3.