ICS35.020

CCSL67

34

安徽省地方標(biāo)準(zhǔn)

DB34/T5302—2025

電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評(píng)價(jià)指標(biāo)

體系指南

Guidelinesfortheevaluationindexsystemofe-governmentexternalnetwork

securitycapability

2025-09-03發(fā)布2025-10-03實(shí)施

安徽省市場(chǎng)監(jiān)督管理局發(fā)布

DB34/T5302—2025

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專(zhuān)利的責(zé)任。

本文件由安徽省大數(shù)據(jù)中心提出。

本文件由安徽省數(shù)據(jù)資源管理局歸口。

本文件起草單位：安徽省大數(shù)據(jù)中心、安徽省數(shù)據(jù)資源管理局、馬鞍山市大數(shù)據(jù)中心、安徽省數(shù)字

江淮中心、滁州市大數(shù)據(jù)中心、六安市大數(shù)據(jù)中心、阜陽(yáng)市數(shù)據(jù)資源管理局、六安市數(shù)據(jù)資源管理局、

安徽省電子產(chǎn)品監(jiān)督檢驗(yàn)所(安徽省信息安全測(cè)評(píng)中心)、池州市數(shù)據(jù)資源管理局、池州市大數(shù)據(jù)中心、

滁州市數(shù)據(jù)資源管理局、蚌埠市信息中心、阜陽(yáng)市大數(shù)據(jù)產(chǎn)業(yè)發(fā)展中心、銅陵市大數(shù)據(jù)中心、深信服科

技股份有限公司、數(shù)字安徽有限責(zé)任公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、安徽省電子認(rèn)證管理中

心有限責(zé)任公司、安徽中科晶格技術(shù)有限公司、科來(lái)網(wǎng)絡(luò)技術(shù)股份有限公司、聯(lián)通(安徽)產(chǎn)業(yè)互聯(lián)網(wǎng)有

限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司、中國(guó)電信股份有限公司安徽分公司、中科國(guó)昱(合肥)

科技有限公司、安徽中科國(guó)金智能科技有限公司、安徽成方智能科技有限公司。

本文件主要起草人：朱典、陳鋼、李春艷、鄒莉強(qiáng)、陶峰、閆飛、楊陽(yáng)、李步偉、陳先才、申慧、

王俊、王銳、胡允峰、張翔宇、童武俊、王理冬、馮玲莉、鄭平、吳文秀、王雅運(yùn)、顧勇健、李厚民、

馬寧、白修靈、李淵、鄒岳明、彭琿、蔣毅、于東、余青松、羅川、康健、李星、王平安、張龍、宋康、

崔康康、徐灝、查正朋、楊楊、夏磊。

I

DB34/T5302—2025

電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評(píng)價(jià)指標(biāo)

體系指南

1范圍

本文件給出了電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評(píng)價(jià)的指標(biāo)體系框架、安全管理指標(biāo)、安全建設(shè)指標(biāo)、安

全運(yùn)營(yíng)指標(biāo)和安全效果指標(biāo)。

本文件適用于指導(dǎo)電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維和使用單位開(kāi)展網(wǎng)絡(luò)安全能力自評(píng)價(jià)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T29246信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T31495信息安全技術(shù)信息安全保障指標(biāo)體系及評(píng)價(jià)方法

GB/T38645信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南

3術(shù)語(yǔ)和定義

GB/T29246、GB/T31495、GB/T38645界定的術(shù)語(yǔ)和定義適用于本文件。

4指標(biāo)體系框架

4.1電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評(píng)價(jià)指標(biāo)體系包括：

a)安全管理指標(biāo)：用于評(píng)價(jià)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理措施的完備性與科學(xué)性；

b)安全建設(shè)指標(biāo)：用于評(píng)價(jià)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全技術(shù)措施的完整性；

c)安全運(yùn)營(yíng)指標(biāo)：用于評(píng)價(jià)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全運(yùn)營(yíng)措施在運(yùn)行過(guò)程中的風(fēng)險(xiǎn)識(shí)別、安全防護(hù)、

安全監(jiān)測(cè)及應(yīng)急處置等能力；

d)安全效果指標(biāo)：用于評(píng)價(jià)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全保障體系的實(shí)際成效。

4.2電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評(píng)價(jià)指標(biāo)體系詳細(xì)框架參見(jiàn)圖1。

1

DB34/T5302—2025

圖1電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評(píng)價(jià)指標(biāo)體系框架

5安全管理指標(biāo)

5.1安全規(guī)劃

5.1.1安全規(guī)劃是指電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維單位制定的本地區(qū)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全建設(shè)發(fā)展戰(zhàn)略、

中長(zhǎng)期發(fā)展計(jì)劃等指導(dǎo)性文件。

5.1.2安全規(guī)劃指標(biāo)主要評(píng)價(jià)：

a)網(wǎng)絡(luò)安全規(guī)劃的制定情況；

b)網(wǎng)絡(luò)安全規(guī)劃的實(shí)施情況。

5.2安全管理組織

5.2.1安全管理組織是指電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維單位中負(fù)責(zé)管理與協(xié)調(diào)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全相關(guān)

工作或具備網(wǎng)絡(luò)安全管理職責(zé)的部門(mén)。

5.2.2安全管理組織指標(biāo)主要評(píng)價(jià)：

a)網(wǎng)絡(luò)安全管理組織的建立情況；

b)相關(guān)負(fù)責(zé)人和管理機(jī)構(gòu)情況；

c)相關(guān)參與方的網(wǎng)絡(luò)安全工作責(zé)任；

d)人員配備、職責(zé)分工情況。

5.3安全管理制度

5.3.1安全管理制度是指電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維及使用單位依據(jù)國(guó)家網(wǎng)絡(luò)安全相關(guān)政策、標(biāo)準(zhǔn)、規(guī)

范，制定并落實(shí)的網(wǎng)絡(luò)安全管理制度。

5.3.2安全管理制度指標(biāo)主要評(píng)價(jià)：

a)網(wǎng)絡(luò)安全管理制度的制定、發(fā)布、修訂情況；

b)網(wǎng)絡(luò)安全管理制度在日常工作中的落實(shí)情況。

5.4日常工作機(jī)制

5.4.1日常工作機(jī)制是指電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維單位為完成年度網(wǎng)絡(luò)安全工作目標(biāo)，所做出的系統(tǒng)

性安排。

5.4.2日常工作機(jī)制指標(biāo)主要評(píng)價(jià)：

2

DB34/T5302—2025

a)年度網(wǎng)絡(luò)安全工作目標(biāo)、工作要點(diǎn)的制定和開(kāi)展情況；

b)網(wǎng)絡(luò)安全工作是否納入重要議事日程；

c)網(wǎng)絡(luò)安全應(yīng)急預(yù)案制定及演練情況；

d)每年組織網(wǎng)絡(luò)安全專(zhuān)項(xiàng)檢查、攻防演練情況；

e)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全工作日?qǐng)?bào)、月報(bào)、年報(bào)的工作總結(jié)情況。

5.5安全投入

5.5.1安全投入是指電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維單位在網(wǎng)絡(luò)安全方面的經(jīng)費(fèi)投入。

5.5.2安全投入指標(biāo)主要評(píng)價(jià)：

a)網(wǎng)絡(luò)安全預(yù)算在新建信息化項(xiàng)目中的執(zhí)行情況；

b)網(wǎng)絡(luò)安全預(yù)算在安全日常運(yùn)維、教育培訓(xùn)、安全加固、風(fēng)險(xiǎn)評(píng)估、升級(jí)運(yùn)維、應(yīng)急處置等網(wǎng)絡(luò)

安全保障工作中的經(jīng)費(fèi)執(zhí)行情況。

5.6第三方人員管理

5.6.1第三方人員管理是指針對(duì)第三方人員制定的管理規(guī)范制度。

5.6.2第三方人員管理指標(biāo)主要評(píng)價(jià)：

a)信息化項(xiàng)目招標(biāo)文件或合同中是否明確外包服務(wù)機(jī)構(gòu)的網(wǎng)絡(luò)和數(shù)據(jù)安全責(zé)任，以及相關(guān)處罰條

款；

b)第三方人員安全背景審查和保密協(xié)議簽署的落實(shí)情況；

c)第三方人員賬號(hào)權(quán)限管控、資源訪問(wèn)控制及操作行為監(jiān)管的落實(shí)情況。

5.7供應(yīng)鏈安全管理

5.7.1供應(yīng)鏈安全管理是指電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維單位在信息化項(xiàng)目的咨詢、設(shè)計(jì)、集成、運(yùn)維、

測(cè)評(píng)、改進(jìn)等各環(huán)節(jié)中，對(duì)供應(yīng)商及采購(gòu)的產(chǎn)品或服務(wù)的安全管理。

5.7.2供應(yīng)鏈安全管理指標(biāo)主要評(píng)價(jià)：

a)供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估開(kāi)展情況；

b)采購(gòu)的產(chǎn)品和服務(wù)是否符合國(guó)家相關(guān)安全規(guī)定；

c)供應(yīng)商安全職責(zé)是否明確；

d)供應(yīng)商服務(wù)安全監(jiān)控和審計(jì)機(jī)制建立及執(zhí)行情況。

6安全建設(shè)指標(biāo)

6.1合規(guī)履行指標(biāo)

6.1.1合規(guī)履行是指電子政務(wù)外網(wǎng)自身以及承載的重要信息系統(tǒng)，在等級(jí)保護(hù)、密碼應(yīng)用安全性評(píng)估、

信息安全風(fēng)險(xiǎn)評(píng)估和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等合規(guī)要求的履行情況。

6.1.2合規(guī)履行指標(biāo)主要評(píng)價(jià)：

a)等級(jí)保護(hù)定級(jí)備案、測(cè)評(píng)及整改情況；

b)密碼應(yīng)用方案制定、密碼應(yīng)用安全性評(píng)估及整改情況；

c)信息安全風(fēng)險(xiǎn)評(píng)估開(kāi)展、測(cè)評(píng)及整改情況；

d)關(guān)鍵信息基礎(chǔ)設(shè)施是否落實(shí)《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》。

6.2網(wǎng)絡(luò)邊界安全指標(biāo)

3

DB34/T5302—2025

6.2.1網(wǎng)絡(luò)邊界安全是指電子政務(wù)外網(wǎng)與外部網(wǎng)絡(luò)的隔離與可控交互。

6.2.2網(wǎng)絡(luò)邊界安全指標(biāo)主要評(píng)價(jià)：

a)網(wǎng)絡(luò)分區(qū)、分域、分級(jí)保護(hù)情況；

b)網(wǎng)絡(luò)邊界防護(hù)、訪問(wèn)控制、安全接入、安全隔離、違規(guī)外聯(lián)監(jiān)測(cè)等建設(shè)情況；

c)網(wǎng)絡(luò)安全流量監(jiān)測(cè)和審計(jì)的建設(shè)情況；

d)政務(wù)外網(wǎng)公用區(qū)與互聯(lián)網(wǎng)邏輯隔離情況；

e)政務(wù)外網(wǎng)終端與互聯(lián)網(wǎng)邏輯隔離情況。

6.3終端安全指標(biāo)

6.3.1終端安全是指接入電子政務(wù)外網(wǎng)的辦公終端、運(yùn)維終端和移動(dòng)終端的安全。

6.3.2終端安全指標(biāo)主要評(píng)價(jià)：

a)終端安全防護(hù)軟件安裝率和安裝后的使用率（平均用戶在線人數(shù)）；

b)終端“一機(jī)兩用”安全管控能力建設(shè)情況；

c)移動(dòng)終端安全管控能力建設(shè)情況。

6.4密碼基礎(chǔ)設(shè)施指標(biāo)

6.4.1密碼基礎(chǔ)設(shè)施是指為電子政務(wù)外網(wǎng)自身以及承載的信息系統(tǒng)提供密碼服務(wù)的設(shè)施。

6.4.2密碼基礎(chǔ)設(shè)施指標(biāo)主要評(píng)價(jià)：

a)密碼基礎(chǔ)設(shè)施設(shè)計(jì)及建設(shè)方案的編制情況；

b)密碼基礎(chǔ)設(shè)施（包含密碼機(jī)、簽名驗(yàn)簽服務(wù)器、數(shù)字證書(shū)、密碼服務(wù)平臺(tái)、密碼安全監(jiān)測(cè)等）

建設(shè)情況；

c)密碼安全監(jiān)測(cè)機(jī)制落實(shí)情況。

6.5云安全建設(shè)指標(biāo)

6.5.1云安全建設(shè)是指承載電子政務(wù)外網(wǎng)信息系統(tǒng)的云平臺(tái)安全建設(shè)情況，包括云平臺(tái)自身安全和云

上租戶安全。

6.5.2云安全建設(shè)指標(biāo)主要評(píng)價(jià)：

a)云平臺(tái)安全管理制度建設(shè)及落實(shí)情況；

b)云平臺(tái)安全能力建設(shè)情況；

c)云平臺(tái)管理平臺(tái)密碼應(yīng)用落實(shí)情況；

d)云平臺(tái)數(shù)據(jù)安全及云租戶數(shù)據(jù)安全能力建設(shè)情況；

e)云平臺(tái)供應(yīng)鏈安全落實(shí)情況；

f)云平臺(tái)安全應(yīng)急重保落實(shí)情況；

g)云平臺(tái)的“云計(jì)算安全服務(wù)評(píng)估”落實(shí)情況。

6.6應(yīng)用安全建設(shè)指標(biāo)

6.6.1應(yīng)用安全建設(shè)是指電子政務(wù)外網(wǎng)承載的信息系統(tǒng)全生命周期安全情況。

6.6.2應(yīng)用安全建設(shè)指標(biāo)主要評(píng)價(jià)：

a)應(yīng)用上線的安全流程與標(biāo)準(zhǔn)規(guī)范的建立及執(zhí)行情況；

b)應(yīng)用上線前的安全檢測(cè)能力建設(shè)情況；

c)供應(yīng)鏈安全審查的機(jī)制與能力建設(shè)情況；

d)應(yīng)用運(yùn)行時(shí)的安全防護(hù)能力建設(shè)情況；

e)移動(dòng)應(yīng)用的安全加固與隱私合規(guī)檢測(cè)能力建設(shè)情況。

4

DB34/T5302—2025

6.7數(shù)據(jù)安全建設(shè)指標(biāo)

6.7.1數(shù)據(jù)安全建設(shè)是指電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維單位在數(shù)據(jù)全生命周期安全、個(gè)人信息安全以及國(guó)

家和地方數(shù)據(jù)安全等方面為保證數(shù)據(jù)機(jī)密性、完整性、可用性以及合規(guī)性的系統(tǒng)性建設(shè)。

6.7.2數(shù)據(jù)安全建設(shè)指標(biāo)主要評(píng)價(jià)：

a)數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)規(guī)范的建立及執(zhí)行情況；

b)數(shù)據(jù)全生命周期安全管理制度建設(shè)情況；

c)個(gè)人信息保護(hù)職責(zé)與管理制度建設(shè)情況；

d)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估和個(gè)人信息影響評(píng)估開(kāi)展情況；

e)數(shù)據(jù)資產(chǎn)管理與分類(lèi)分級(jí)能力建設(shè)情況；

f)數(shù)據(jù)全生命周期安全能力建設(shè)情況（數(shù)據(jù)加密、脫敏、水印溯源、API審計(jì)等）；

g)數(shù)據(jù)安全監(jiān)測(cè)管理能力建設(shè)情況；

h)個(gè)人信息處理的合規(guī)情況。

6.8安全運(yùn)營(yíng)建設(shè)指標(biāo)

6.8.1安全運(yùn)營(yíng)建設(shè)是指電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全主動(dòng)防御、監(jiān)測(cè)預(yù)警、應(yīng)急處置、協(xié)同治理能力建設(shè)

情況。

6.8.2安全運(yùn)營(yíng)建設(shè)指標(biāo)主要評(píng)價(jià)：

a)統(tǒng)一采集和處理各類(lèi)安全數(shù)據(jù)的能力；

b)按照數(shù)據(jù)架構(gòu)標(biāo)準(zhǔn)構(gòu)建安全主題庫(kù)；

c)統(tǒng)一管理和調(diào)度各類(lèi)安全資源的能力；

d)監(jiān)測(cè)預(yù)警及應(yīng)急處置的能力；

e)資產(chǎn)風(fēng)險(xiǎn)管理及評(píng)估的能力；

f)統(tǒng)一態(tài)勢(shì)展示及統(tǒng)計(jì)分析的能力；

g)上下級(jí)協(xié)同處置及指揮調(diào)度的能力。

7安全運(yùn)營(yíng)指標(biāo)

7.1信息資產(chǎn)管理

7.1.1信息資產(chǎn)管理是指電子政務(wù)外網(wǎng)信息系統(tǒng)的資產(chǎn)管理情況。

7.1.2信息資產(chǎn)管理指標(biāo)主要評(píng)價(jià)：

a)政務(wù)信息系統(tǒng)主機(jī)資產(chǎn)的準(zhǔn)確性、完整性、實(shí)時(shí)性；

b)政務(wù)信息系統(tǒng)數(shù)據(jù)庫(kù)資產(chǎn)的準(zhǔn)確性、完整性、實(shí)時(shí)性；

c)政務(wù)信息系統(tǒng)中間件資產(chǎn)的準(zhǔn)確性、完整性、實(shí)時(shí)性；

d)政務(wù)信息系統(tǒng)應(yīng)用資產(chǎn)的準(zhǔn)確性、完整性、實(shí)時(shí)性；

e)政務(wù)信息系統(tǒng)網(wǎng)絡(luò)設(shè)備資產(chǎn)的準(zhǔn)確性、完整性、實(shí)時(shí)性。

7.2日常安全運(yùn)維

7.2.1日常安全運(yùn)維是指基礎(chǔ)信息網(wǎng)絡(luò)或重要信息系統(tǒng)的日常運(yùn)維。

7.2.2日常安全運(yùn)維指標(biāo)主要評(píng)價(jià)：

a)日常運(yùn)維巡檢情況；

b)安全設(shè)備特征庫(kù)升級(jí)情況；

c)安全策略優(yōu)化情況；

5

DB34/T5302—2025

d)重要時(shí)期安全保障情況；

e)資產(chǎn)、賬號(hào)、接口梳理情況。

7.3安全監(jiān)測(cè)

7.3.1網(wǎng)絡(luò)安全監(jiān)測(cè)是指網(wǎng)絡(luò)安全日常監(jiān)測(cè)及預(yù)警研判，其中也包括監(jiān)測(cè)密碼應(yīng)用的合規(guī)性、正確性

以及有效性工作的開(kāi)展情況。

7.3.2網(wǎng)絡(luò)安全監(jiān)測(cè)指標(biāo)主要評(píng)價(jià)：

a)網(wǎng)絡(luò)邊界安全監(jiān)測(cè)：全流量威脅發(fā)現(xiàn)、異常行為發(fā)現(xiàn)、資產(chǎn)攻擊等；

b)云安全監(jiān)測(cè)：云平臺(tái)自身安全監(jiān)測(cè)、租戶安全監(jiān)測(cè)、容器云安全監(jiān)測(cè)等；

c)數(shù)據(jù)安全監(jiān)測(cè)：數(shù)據(jù)庫(kù)安全監(jiān)測(cè)、API安全監(jiān)測(cè)、數(shù)據(jù)流轉(zhuǎn)安全監(jiān)測(cè)、數(shù)據(jù)庫(kù)審計(jì)、水印溯源

等；

d)應(yīng)用安全監(jiān)測(cè)：DNS安全監(jiān)測(cè)、WEB防護(hù)、軟件成分分析、應(yīng)用漏洞監(jiān)測(cè)等；

e)密碼安全監(jiān)測(cè)：密碼應(yīng)用監(jiān)測(cè)（對(duì)使用的密碼算法、密碼技術(shù)應(yīng)用的合規(guī)性、正確性以及有效

性進(jìn)行監(jiān)測(cè)）、密碼應(yīng)用安全監(jiān)測(cè)態(tài)勢(shì)情況（對(duì)密碼事件進(jìn)行分類(lèi)分級(jí)，密碼事件的攻擊鏈進(jìn)

行分析）；

f)終端安全監(jiān)測(cè)：終端異常行為監(jiān)測(cè)、終端違規(guī)外聯(lián)監(jiān)測(cè)、終端病毒監(jiān)測(cè)、失陷監(jiān)測(cè)、主機(jī)安

全監(jiān)測(cè)等。

7.4應(yīng)急處置

7.4.1應(yīng)急處置是指電子政務(wù)外網(wǎng)自身以及承載的信息系統(tǒng)在應(yīng)急預(yù)案制定、應(yīng)急演練及事件處置工

作的開(kāi)展情況。

7.4.2應(yīng)急處置指標(biāo)主要評(píng)價(jià)：

a)應(yīng)急預(yù)案的編制情況（預(yù)案流程）；

b)應(yīng)急演練開(kāi)展情況（預(yù)案總結(jié)）；

c)事件處置開(kāi)展情況（事件報(bào)告、處置、調(diào)查評(píng)估、事件建檔）；

d)供應(yīng)商參與安全事件協(xié)同處置及漏洞修復(fù)情況。

7.5安全檢查

7.5.1安全檢查是指一段時(shí)間內(nèi)對(duì)電子政務(wù)外網(wǎng)自身以及承載的信息系統(tǒng)開(kāi)展全面安全評(píng)估的情況。

7.5.2安全檢查指標(biāo)主要評(píng)價(jià)：

a)風(fēng)險(xiǎn)評(píng)估及整改情況；

b)安全基線核查執(zhí)行及整改情況；

c)漏洞掃描及安全漏洞隱患整改情況；

d)滲透測(cè)試及整改情況；

e)系統(tǒng)代碼審計(jì)及整改情況；

f)資產(chǎn)安全管控情況；

g)密碼應(yīng)用安全情況；

h)應(yīng)用系統(tǒng)開(kāi)源組件安全檢測(cè)情況。

7.6安全審計(jì)

7.6.1安全審計(jì)是指基礎(chǔ)信息網(wǎng)絡(luò)或重要信息系統(tǒng)的安全運(yùn)行現(xiàn)狀、各系統(tǒng)安全運(yùn)維管理和各權(quán)限與

賬戶管理流程的執(zhí)行情況。

7.6.2安全審計(jì)指標(biāo)主要評(píng)價(jià)：

6

DB34/T5302—2025

a)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)訪問(wèn)行為日志、網(wǎng)絡(luò)訪問(wèn)權(quán)限情況；

b)主機(jī)賬號(hào)、系統(tǒng)記錄和行為日志情況；

c)應(yīng)用程序賬號(hào)、系統(tǒng)記錄和行為日志情況；

d)數(shù)據(jù)庫(kù)賬號(hào)、權(quán)限和行為日志情況；

e)安全設(shè)備賬號(hào)、系統(tǒng)記錄和行為日志情況；

f)對(duì)供應(yīng)商賬號(hào)權(quán)限、操作記錄的定期審計(jì)情況。

7.7安全協(xié)同

7.7.1安全協(xié)同是指與上級(jí)安全管理部門(mén)、下級(jí)安全責(zé)任部門(mén)、以及相關(guān)監(jiān)管機(jī)構(gòu)之間通過(guò)協(xié)作和共

享信息，實(shí)現(xiàn)安全目標(biāo)的情況。

7.7.2安全協(xié)同指標(biāo)主要評(píng)價(jià)：

a)與網(wǎng)信、公安等監(jiān)管機(jī)構(gòu)之間的溝通合作情況；

b)與電子政務(wù)外網(wǎng)上級(jí)管理部門(mén)安全管理工作的配合情況；

c)向電子政務(wù)外網(wǎng)上級(jí)管理部門(mén)報(bào)告安全事件（情報(bào)信息）情況；

d)向電子政務(wù)外網(wǎng)上級(jí)管理部門(mén)上報(bào)安全監(jiān)測(cè)數(shù)據(jù)情況；

e)與下級(jí)電子政務(wù)外網(wǎng)管理部門(mén)安全管理工作的協(xié)同機(jī)制情況；

f)向下級(jí)電子政務(wù)外網(wǎng)管理部門(mén)通報(bào)安全事件、安全預(yù)警的情況。

7.8業(yè)務(wù)連續(xù)性保障

7.8.1業(yè)務(wù)連續(xù)性保障是指保證業(yè)務(wù)運(yùn)營(yíng)的連續(xù)性和穩(wěn)定性情況。

7.8.2業(yè)務(wù)連續(xù)性保障指標(biāo)主要評(píng)價(jià)：

a)數(shù)據(jù)備份及恢復(fù)測(cè)試情況；

b)業(yè)務(wù)影響分析開(kāi)展情況；

c)災(zāi)難恢復(fù)計(jì)劃制定及災(zāi)難恢復(fù)演練開(kāi)展情況；

d)供應(yīng)鏈服務(wù)業(yè)務(wù)的連續(xù)性情況。

7.9安全服務(wù)支撐體系

7.9.1安全服務(wù)支撐體系是指協(xié)助支撐電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全技術(shù)手段，包括培訓(xùn)類(lèi)服務(wù)、評(píng)估類(lèi)服

務(wù)、運(yùn)維類(lèi)服務(wù)、咨詢類(lèi)服務(wù)以及產(chǎn)業(yè)孵化、產(chǎn)學(xué)研的集合。

7.9.2安全服務(wù)支撐體系指標(biāo)主要評(píng)價(jià)：

a)網(wǎng)絡(luò)安全咨詢服務(wù)情況；

b)風(fēng)險(xiǎn)評(píng)估服務(wù)情況；

c)滲透測(cè)試服務(wù)情況；

d)漏洞掃描服務(wù)情況；

e)攻防演練服務(wù)情況；

f)安全專(zhuān)家分析服務(wù)情況；

g)APP安全檢測(cè)加固服務(wù)情況；

h)安全服務(wù)技能培訓(xùn)服務(wù)情況；

i)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全產(chǎn)業(yè)協(xié)同、合作情況。

8安全效果指標(biāo)

8.1安全告警

7

DB34/T5302—2025

8.1.1安全告警是指一段時(shí)間內(nèi)電子政務(wù)外網(wǎng)自身以及承載的信息系統(tǒng)安全威脅情況。

8.1.2安全告警指標(biāo)主要評(píng)價(jià)：

a)統(tǒng)計(jì)各類(lèi)告警的數(shù)量；

b)中危及以上安全告警數(shù)量與安全告警總數(shù)的比例；

c)重要信息系統(tǒng)中危及以上安全告警數(shù)量與安全告警總數(shù)的比例。

8.2安全漏洞

8.2.1安全漏洞是指一段時(shí)間內(nèi)電子政務(wù)外網(wǎng)自身以及承載的信息系統(tǒng)存在的缺陷情況。

8.2.2安全漏洞指標(biāo)主要評(píng)價(jià)：

a)統(tǒng)計(jì)各類(lèi)漏洞的數(shù)量；

b)中危及以上漏洞數(shù)量與漏洞總數(shù)的比例；

c)重要信息系統(tǒng)中危及以上漏洞數(shù)量與漏洞總數(shù)的比例。

8.3應(yīng)急響應(yīng)

8.3.1應(yīng)急響應(yīng)是指在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或事件發(fā)生時(shí)，電子政務(wù)外網(wǎng)建設(shè)、運(yùn)維單位依據(jù)應(yīng)急預(yù)案，通

過(guò)技術(shù)手段和管理措施快速定位、控制、處置風(fēng)險(xiǎn)或事件，最大限度減少損失并恢復(fù)業(yè)務(wù)連續(xù)性。