34Guidelinesfortheevaluationindexsystemofe-governmentexternalnetworkI本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。江淮中心、滁州市大數(shù)據(jù)中心、六安市大數(shù)限公司、北京知道創(chuàng)宇信息技術(shù)股份有限公司、中國電信股份有限公司安徽分公司、中科國昱(合肥)科技有限公司、安徽中科國金智能科技有限公司、安徽成方智能科技有限1電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評價指標體系指南GB/T29246信息技術(shù)安全技術(shù)信息安全管理體系概述和GB/T31495信息安全技術(shù)信息安全保障指標體系及評價方法GB/T29246、GB/T31495、GB/T38645界定的術(shù)語和定義適用于本文4指標體系框架4.1電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評價指標體系包括：a)安全管理指標：用于評價電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理措施的完備性與科學(xué)性；b)安全建設(shè)指標：用于評價電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全技術(shù)措施的完整性；d)安全效果指標：用于評價電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全保障體系的實際成效。2安安全事件專項檢查情報共享應(yīng)急響應(yīng)安全漏洞安全告警安全服務(wù)支撐體系業(yè)務(wù)連續(xù)性保障安全協(xié)同安全審計安全檢查應(yīng)急處置安全監(jiān)測日常安全運維信息資產(chǎn)管理安全運營建設(shè)指標數(shù)據(jù)安全建設(shè)指標應(yīng)用安全建設(shè)指標云安全建設(shè)指標密碼基礎(chǔ)設(shè)施指標終端安全指標網(wǎng)絡(luò)邊界安全指標合規(guī)履行指標供應(yīng)鏈安全管理第三方人員管理安全投入日常工作機制安全管理制度安全管理組織安全規(guī)劃安全管理指標安全建設(shè)指標安全運營指標電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全能力評價指標體系5.2.1安全管理組織是指電子政務(wù)外網(wǎng)建設(shè)、運維單位中負責(zé)管理與協(xié)調(diào)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全相關(guān)5.3.1安全管理制度是指電子政務(wù)外網(wǎng)建設(shè)、運維及使用單位依據(jù)國家網(wǎng)絡(luò)安全相關(guān)政策5.4日常工作機制5.4.1日常工作機制是指電子政務(wù)外網(wǎng)建設(shè)、運維單位為完成年度網(wǎng)絡(luò)安全工作目標，所做出的系統(tǒng)3a)年度網(wǎng)絡(luò)安全工作目標、工作要點的制定和開展情況；b)網(wǎng)絡(luò)安全工作是否納入重要議事日程；d)每年組織網(wǎng)絡(luò)安全專項檢查、攻防演練e)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全工作日報、月報、年報的工作總結(jié)情況。5.5.1安全投入是指電子政務(wù)外網(wǎng)建設(shè)、運維單位在網(wǎng)絡(luò)安全方面的經(jīng)費投入。a)網(wǎng)絡(luò)安全預(yù)算在新建信息化項目中的執(zhí)行情況；5.6第三方人員管理5.6.1第三方人員管理是指針對第三方人員制定的管理規(guī)范制度。b)第三方人員安全背景審查和保密協(xié)議簽署的落實情況；c)第三方人員賬號權(quán)限管控、資源訪問控制及操作行為監(jiān)管的落實情況。5.7供應(yīng)鏈安全管理5.7.1供應(yīng)鏈安全管理是指電子政務(wù)外網(wǎng)建設(shè)、運測評、改進等各環(huán)節(jié)中，對供應(yīng)商及采購的產(chǎn)品或服務(wù)的安a)供應(yīng)鏈風(fēng)險評估開展情況；b)采購的產(chǎn)品和服務(wù)是否符合國家相關(guān)安全規(guī)定；信息安全風(fēng)險評估和關(guān)鍵信息基礎(chǔ)設(shè)施保護等合規(guī)要求的履行a)等級保護定級備案、測評及整改情況；b)密碼應(yīng)用方案制定、密碼應(yīng)用安全性評估及整改情況；c)信息安全風(fēng)險評估開展、測評及整改情d)關(guān)鍵信息基礎(chǔ)設(shè)施是否落實《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例46.2.1網(wǎng)絡(luò)邊界安全是指電子政務(wù)外網(wǎng)與外部網(wǎng)絡(luò)的隔離與可控交b)網(wǎng)絡(luò)邊界防護、訪問控制、安全接入、安全隔離、違規(guī)外聯(lián)監(jiān)測等建設(shè)情況；c)網(wǎng)絡(luò)安全流量監(jiān)測和審計的建設(shè)情況；e)政務(wù)外網(wǎng)終端與互聯(lián)網(wǎng)邏輯隔離情況。6.3.1終端安全是指接入電子政務(wù)外網(wǎng)的辦公終端、運維終端和移動終端的a)終端安全防護軟件安裝率和安裝后的使用率（平均用戶在線人數(shù)）；b)終端“一機兩用”安全管控能力建設(shè)情況；6.4.1密碼基礎(chǔ)設(shè)施是指為電子政務(wù)外網(wǎng)自身以及承載的信息系統(tǒng)提供密碼服務(wù)的設(shè)a)密碼基礎(chǔ)設(shè)施設(shè)計及建設(shè)方案的編制情況；b)密碼基礎(chǔ)設(shè)施（包含密碼機、簽名驗簽服務(wù)器、數(shù)字證書、密碼服務(wù)平臺、密碼6.5.1云安全建設(shè)是指承載電子政務(wù)外網(wǎng)信息系統(tǒng)的云平臺安全建設(shè)情況，包括云平a)云平臺安全管理制度建設(shè)及落實情況；b)云平臺安全能力建設(shè)情況；g)云平臺的“云計算安全服務(wù)評估”落實情6.6.1應(yīng)用安全建設(shè)是指電子政務(wù)外網(wǎng)a)應(yīng)用上線的安全流程與標準規(guī)范的建立及執(zhí)行情況；b)應(yīng)用上線前的安全檢測能力建設(shè)情況；d)應(yīng)用運行時的安全防護能力建設(shè)情況；e)移動應(yīng)用的安全加固與隱私合規(guī)檢測能力建設(shè)情56.7.1數(shù)據(jù)安全建設(shè)是指電子政務(wù)外網(wǎng)建設(shè)、運維單位在數(shù)據(jù)全生命周期安全、個人信息安全以及國家和地方數(shù)據(jù)安全等方面為保證數(shù)據(jù)機密性、完整性、可用性以及合規(guī)性的系統(tǒng)性a)數(shù)據(jù)分類分級標準規(guī)范的建立及執(zhí)行情況；g)數(shù)據(jù)安全監(jiān)測管理能力建設(shè)情況；h)個人信息處理的合規(guī)情況。6.8.1安全運營建設(shè)是指電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全主動防御、監(jiān)測預(yù)警、應(yīng)急處置、協(xié)同治理能力建設(shè)a)統(tǒng)一采集和處理各類安全數(shù)據(jù)的能力；b)按照數(shù)據(jù)架構(gòu)標準構(gòu)建安全主題庫；c)統(tǒng)一管理和調(diào)度各類安全資源的能力；f)統(tǒng)一態(tài)勢展示及統(tǒng)計分析的能力；7.1.1信息資產(chǎn)管理是指電子政務(wù)外網(wǎng)信息系統(tǒng)的資產(chǎn)管a)政務(wù)信息系統(tǒng)主機資產(chǎn)的準確性、完整性、實時性；d)政務(wù)信息系統(tǒng)應(yīng)用資產(chǎn)的準確性、完整性、實時性；e)政務(wù)信息系統(tǒng)網(wǎng)絡(luò)設(shè)備資產(chǎn)的準確性、完整性、實時b)安全設(shè)備特征庫升級情況；67.3.1網(wǎng)絡(luò)安全監(jiān)測是指網(wǎng)絡(luò)安全日常監(jiān)測及預(yù)警研判，其中也包括監(jiān)測密碼應(yīng)用的合規(guī)性、正確性a)網(wǎng)絡(luò)邊界安全監(jiān)測：全流量威脅發(fā)現(xiàn)、異常行為發(fā)現(xiàn)、資產(chǎn)攻擊等；b)云安全監(jiān)測：云平臺自身安全監(jiān)測、租戶安全監(jiān)測、容器云安全監(jiān)測等；f)終端安全監(jiān)測：終端異常行為監(jiān)測、終端違規(guī)外聯(lián)監(jiān)測、終端病毒監(jiān)測、失陷監(jiān)測、主機安7.4.1應(yīng)急處置是指電子政務(wù)外網(wǎng)自身以及承載的信息系統(tǒng)在應(yīng)急預(yù)案制定、應(yīng)急演練及事件處置工a)應(yīng)急預(yù)案的編制情況（預(yù)案流程）；b)應(yīng)急演練開展情況（預(yù)案總結(jié)）；c)事件處置開展情況（事件報告、處置、調(diào)查評估、事件建檔d)供應(yīng)商參與安全事件協(xié)同處置及漏洞修復(fù)情況。7.5.1安全檢查是指一段時間內(nèi)對電子政務(wù)外網(wǎng)自身以及承載的信息系統(tǒng)開展全面安全評估的情a)風(fēng)險評估及整改情況；h)應(yīng)用系統(tǒng)開源組件安全檢測情況。7.6.1安全審計是指基礎(chǔ)信息網(wǎng)絡(luò)或重要信息系統(tǒng)的安全運行現(xiàn)狀、各系統(tǒng)安全運維管理和各權(quán)限與7a)網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)訪問行為日志、網(wǎng)絡(luò)訪問權(quán)限情況；b)主機賬號、系統(tǒng)記錄和行為日志情況；c)應(yīng)用程序賬號、系統(tǒng)記錄和行為日志情e)安全設(shè)備賬號、系統(tǒng)記錄和行為日志情f)對供應(yīng)商賬號權(quán)限、操作記錄的定期審計情況。7.7.1安全協(xié)同是指與上級安全管理部門、下級安全責(zé)任部門、以及相關(guān)監(jiān)管機構(gòu)之間通過協(xié)作和共a)與網(wǎng)信、公安等監(jiān)管機構(gòu)之間的溝通合作情況；c)向電子政務(wù)外網(wǎng)上級管理部門報告安全事件（情報信息）情況；d)向電子政務(wù)外網(wǎng)上級管理部門上報安全監(jiān)測數(shù)據(jù)e)與下級電子政務(wù)外網(wǎng)管理部門安全管理工作的協(xié)同機制情f)向下級電子政務(wù)外網(wǎng)管理部門通報安全事件、安全預(yù)警的情況。7.8.1業(yè)務(wù)連續(xù)性保障是指保證業(yè)務(wù)運營的連續(xù)性和穩(wěn)定a)數(shù)據(jù)備份及恢復(fù)測試情況；7.9.1安全服務(wù)支撐體系是指協(xié)助支撐電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全技術(shù)手段，包括培訓(xùn)類服務(wù)、評估類服88.1.1安全告警是指一段時間內(nèi)電子政務(wù)外網(wǎng)自身a)統(tǒng)計各類告警的數(shù)量；c)重要信息系統(tǒng)中危及以上安全告警數(shù)量與安全告警總數(shù)的比例。8.2.1安全漏洞是指一段時間內(nèi)電子政務(wù)外a)統(tǒng)計各類漏洞的數(shù)量；c)重要信息系統(tǒng)中危及以上漏洞數(shù)量與漏洞總數(shù)的8.3.1應(yīng)急響應(yīng)是指在網(wǎng)絡(luò)安全風(fēng)險或事件發(fā)生時，電子政務(wù)外網(wǎng)建設(shè)、運維單位依據(jù)應(yīng)急預(yù)案，通過技術(shù)手段和管理措施快速定位、控制、處置風(fēng)險或事件，最大限度減少損失并恢復(fù)業(yè)務(wù)連續(xù)a)上級管理部門下發(fā)安全風(fēng)險或事件的處置率；b)向電子政務(wù)外網(wǎng)上級管理部門報告安全風(fēng)險、預(yù)警以d)向下級電子政務(wù)外網(wǎng)管理部門通報安全風(fēng)險、預(yù)警是否及時、全面。a)向電子政務(wù)外網(wǎng)上級管理部門報送威脅情報的數(shù)量；b)威脅情報被電子政務(wù)外網(wǎng)上級管理部門采納