DB3601 11-2024 數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查規(guī)范_第1頁(yè)
DB3601 11-2024 數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查規(guī)范_第2頁(yè)
DB3601 11-2024 數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查規(guī)范_第3頁(yè)
DB3601 11-2024 數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查規(guī)范_第4頁(yè)
DB3601 11-2024 數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查規(guī)范_第5頁(yè)
已閱讀5頁(yè),還剩17頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

CCSA90DB3601Cybersecurityreviewspecificationofdigitalprojects南昌市市場(chǎng)監(jiān)督管理局發(fā)布IDB3601/T11—2024前言 Ⅱ 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14審查方式 25審查流程 26審查內(nèi)容 37審查結(jié)果 3附錄A(規(guī)范性)數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查流程圖 4附錄B(規(guī)范性)數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則 5附錄C(規(guī)范性)數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查結(jié)果判別說(shuō)明 參考文獻(xiàn) DB3601/T11—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由南昌市互聯(lián)網(wǎng)信息辦公室提出并歸口。本文件起草單位:南昌市互聯(lián)網(wǎng)信息辦公室、江西安極信息技術(shù)有限公司。本文件主要起草人:周凡、宋徽青、張倫芳、肖慧、武永偉、周圍、劉煜、潘偉琦、何琪、黃瑞。DB3601/T11—20241本文件規(guī)定了數(shù)字化項(xiàng)目(非涉密)網(wǎng)絡(luò)安全審查的審查方式、審查流程、審查內(nèi)容、審查結(jié)果。本文件適用于數(shù)字化項(xiàng)目(非涉密)規(guī)劃設(shè)計(jì)階段的網(wǎng)絡(luò)安全審查,其他信息化項(xiàng)目網(wǎng)絡(luò)安全審查可參照?qǐng)?zhí)行。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T39477信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T40692政務(wù)信息系統(tǒng)定義和范圍DA/T28建設(shè)項(xiàng)目檔案管理規(guī)范3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)字化項(xiàng)目Digitalprojects全市各級(jí)行政機(jī)關(guān)以及法律法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織等使用財(cái)政性資金建設(shè)、運(yùn)維的數(shù)字化項(xiàng)目,主要包括:電子政務(wù)網(wǎng)絡(luò)平臺(tái)、重點(diǎn)業(yè)務(wù)數(shù)字化系統(tǒng)、數(shù)據(jù)資源庫(kù)、信息安全基礎(chǔ)設(shè)施、電子政務(wù)基礎(chǔ)設(shè)施(政務(wù)云、數(shù)據(jù)中心等)、數(shù)字政府標(biāo)準(zhǔn)化體系以及相關(guān)支撐體系等符合《政務(wù)信息系統(tǒng)定義和范圍》(GB/T40692)規(guī)定的非涉密項(xiàng)目。[來(lái)源:江西省數(shù)字化項(xiàng)目建設(shè)管理辦法,1,2,有修改]3.2項(xiàng)目設(shè)計(jì)方案ProjectdesignschemeDB3601/T11—20242在項(xiàng)目建設(shè)過(guò)程中編制的可行性研究報(bào)告、初步設(shè)計(jì)方案、深化設(shè)計(jì)方案、投資概算或項(xiàng)目建議書3.3安全設(shè)計(jì)方案Securitydesignscheme項(xiàng)目設(shè)計(jì)方案中包含的網(wǎng)絡(luò)安全體系總體設(shè)計(jì)方案、商用密碼應(yīng)用方案、數(shù)據(jù)安全保護(hù)方案等子方3.4關(guān)鍵信息基礎(chǔ)設(shè)施Criticalinformationinfrastructure公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。[來(lái)源:關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例,1,2]3.5網(wǎng)絡(luò)安全投入Cybersecurityinvestment項(xiàng)目建設(shè)及運(yùn)行過(guò)程中投入的安全咨詢服務(wù)、安全運(yùn)維服務(wù)、安全技術(shù)服務(wù)、安全集成服務(wù)、等保測(cè)評(píng)服務(wù)、商用密碼安全性評(píng)估服務(wù)、安全軟件、安全設(shè)備及其他硬件等相關(guān)費(fèi)用。3.6建設(shè)單位Constructingunits對(duì)項(xiàng)目實(shí)施進(jìn)行組織管理,并在項(xiàng)目建設(shè)過(guò)程中負(fù)總責(zé)的部門。[來(lái)源:DA/T28]3.7審查部門Reviewdepartment負(fù)責(zé)組織網(wǎng)絡(luò)安全審查工作的部門。4審查方式建設(shè)單位應(yīng)向?qū)彶椴块T提交審查材料,審查部門開(kāi)展審查工作并出具審查意見(jiàn)。5審查流程5.1總體流程應(yīng)參照數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查流程執(zhí)行(數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查流程圖見(jiàn)附錄A)。5.2審查申報(bào)DB3601/T11—2024建設(shè)單位應(yīng)提交項(xiàng)目設(shè)計(jì)方案等書面審查材料。5.3審查受理審查部門收到審查材料后應(yīng)受理審查并通知建設(shè)單位。5.4開(kāi)展審查工作5.4.1審查工作分為初步審查和專家審查,初步審查為審查部門就申報(bào)材料進(jìn)行初步審查,給出初步審查意見(jiàn);專家審查為審查部門聘請(qǐng)專家進(jìn)行審查,要求建設(shè)單位配合審查工作。5.4.2專家審查工作應(yīng)由不低于三名專家組成的專家組負(fù)責(zé),設(shè)置一名專家組組長(zhǎng)。流程主要分為三步,一是建設(shè)單位陳述申報(bào)建設(shè)項(xiàng)目安全設(shè)計(jì)方案等相關(guān)情況,二是專家組針對(duì)審查疑問(wèn)進(jìn)行提問(wèn),三是專家組討論并形成專家意見(jiàn)和建議。5.5問(wèn)題整改審查部門給出書面的審查結(jié)果后,建設(shè)單位應(yīng)針對(duì)審查結(jié)果中的相應(yīng)條款進(jìn)行必要的安全整改工作并書面報(bào)送審查部門。5.6審查意見(jiàn)審查部門應(yīng)出具審查意見(jiàn)并反饋給建設(shè)單位。6審查內(nèi)容應(yīng)參照數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則執(zhí)行(數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則見(jiàn)附錄B)。7審查結(jié)果審查結(jié)果應(yīng)分“通過(guò)”和“不通過(guò)”兩種情況:——審查結(jié)果為“通過(guò)”時(shí),項(xiàng)目可按項(xiàng)目設(shè)計(jì)方案進(jìn)行建設(shè);——審查結(jié)果為“不通過(guò)”時(shí),建設(shè)單位應(yīng)對(duì)提交的項(xiàng)目設(shè)計(jì)方案進(jìn)行修改并重新提交審查。應(yīng)參照數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查結(jié)果判別說(shuō)明確定審查結(jié)果(參見(jiàn)附錄C)。DB3601/T11—20244(規(guī)范性)數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查流程圖圖A.1規(guī)定了數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查流程。圖A.1數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查流程DB3601/T11—20245(規(guī)范性)數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則表B.1規(guī)定了數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則。表B.1數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則序號(hào)1護(hù)對(duì)象等設(shè)計(jì)的合理性,包括是否列為關(guān)鍵信息基礎(chǔ)設(shè)2保護(hù)對(duì)象的網(wǎng)絡(luò)安全保護(hù)等級(jí)自定級(jí)項(xiàng)目設(shè)計(jì)方案中應(yīng)給出建設(shè)項(xiàng)目(系統(tǒng))的保護(hù)等級(jí),給出等級(jí)確定的依據(jù),依據(jù)必須嚴(yán)格按照《GBT22240信息3險(xiǎn)分析。根據(jù)安全保護(hù)等級(jí)的要求對(duì)網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)現(xiàn)狀、網(wǎng)絡(luò)安全管理現(xiàn)狀及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等進(jìn)行分析,并依據(jù)現(xiàn)狀及風(fēng)險(xiǎn)分析提出安全4案設(shè)計(jì)的合理性。根據(jù)保護(hù)對(duì)象的安全保護(hù)等級(jí)及與其他級(jí)別保護(hù)對(duì)象的關(guān)系進(jìn)行安全整體規(guī)劃和安全方案設(shè)計(jì)。針對(duì)性地提出物理環(huán)境、網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)、計(jì)商用密碼應(yīng)用安全應(yīng)在設(shè)置自動(dòng)消防系統(tǒng)的基礎(chǔ)之上對(duì)機(jī)房劃分區(qū)DB3601/T11—20246表B.1數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則(續(xù)表)序號(hào)DB3601/T11—20247表B.1數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則(續(xù)表)序號(hào)求)。5數(shù)據(jù)安全設(shè)計(jì)的合理性。涉及數(shù)據(jù)資源建設(shè)的,是否對(duì)重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)進(jìn)行識(shí)別。是否根據(jù)數(shù)據(jù)的重要性和數(shù)據(jù)對(duì)系統(tǒng)運(yùn)行的影響,制定數(shù)據(jù)備份策略和恢復(fù)策略、備份程序和恢應(yīng)當(dāng)按照國(guó)家對(duì)數(shù)據(jù)分類分級(jí)保護(hù)的相關(guān)要求對(duì)建設(shè)項(xiàng)目(系統(tǒng))中的數(shù)據(jù)實(shí)行分類分級(jí)保護(hù),確定建設(shè)項(xiàng)目(系6型產(chǎn)品選型的合理性。方案所選用的網(wǎng)絡(luò)安全產(chǎn)品是否符合國(guó)家和主管部門網(wǎng)絡(luò)安全管理有7項(xiàng)目的資金預(yù)算及依據(jù),網(wǎng)絡(luò)安全資金安排計(jì)劃是否滿足國(guó)家、省、市有關(guān)網(wǎng)絡(luò)安全管理的相關(guān)規(guī)定及網(wǎng)絡(luò)安新建設(shè)項(xiàng)目(系統(tǒng))的網(wǎng)絡(luò)安全(含軟硬件安全設(shè)備、安DB3601/T11—20248表B.1數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則(續(xù)表)序號(hào)8建立情況。確保安全策略、管理制度和操作規(guī)程等保障措施同步實(shí)施,并保障系統(tǒng)處于持續(xù)求)。應(yīng)定期對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),并進(jìn)行應(yīng)急預(yù)案演練,并定期對(duì)原有的應(yīng)急預(yù)案重新評(píng)9DB3601/T11—20249表B.1數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則(續(xù)表)序號(hào)全DB3601/T11—2024(規(guī)范性)數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查結(jié)果判別說(shuō)明C.1數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查結(jié)果為“通過(guò)”的要求數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查細(xì)則中的審查內(nèi)容要求“必須項(xiàng)”和“建議項(xiàng)”都滿足的判定為“通過(guò)”。C.2數(shù)字化項(xiàng)目網(wǎng)絡(luò)安全審查結(jié)果為“不通過(guò)”的要求有下列情況之一判定為“不通過(guò)”。a)網(wǎng)絡(luò)安全保障體系未進(jìn)行系統(tǒng)化、結(jié)構(gòu)化設(shè)計(jì),安全防護(hù)層面缺失較大;b)產(chǎn)品與服務(wù)采購(gòu)不符合國(guó)家相關(guān)規(guī)定;c)項(xiàng)目建設(shè)參考安全技術(shù)標(biāo)準(zhǔn)為老舊標(biāo)準(zhǔn);d)其他結(jié)合實(shí)際情況應(yīng)判定為“不通過(guò)”的情況。DB3601/T11—2024參考文獻(xiàn)[1]中華人民共和國(guó)網(wǎng)絡(luò)安全法[2]中華人民共和國(guó)密碼法[3]

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論