電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）第1章總則1.1適用范圍本標(biāo)準(zhǔn)適用于各級(jí)政府機(jī)關(guān)、事業(yè)單位及相關(guān)部門(mén)在建設(shè)、運(yùn)行和維護(hù)電子政務(wù)系統(tǒng)過(guò)程中，對(duì)信息安全進(jìn)行保障和管理的全過(guò)程。本標(biāo)準(zhǔn)旨在規(guī)范電子政務(wù)系統(tǒng)在數(shù)據(jù)安全、系統(tǒng)安全、應(yīng)用安全及網(wǎng)絡(luò)安全等方面的防護(hù)措施，確保政務(wù)信息的完整性、保密性與可用性。本標(biāo)準(zhǔn)適用于涉及國(guó)家政務(wù)信息的采集、存儲(chǔ)、傳輸、處理、共享及應(yīng)用的電子政務(wù)系統(tǒng)，包括但不限于政務(wù)云平臺(tái)、政務(wù)外網(wǎng)、政務(wù)內(nèi)網(wǎng)及各類政務(wù)應(yīng)用系統(tǒng)。本標(biāo)準(zhǔn)適用于電子政務(wù)系統(tǒng)在開(kāi)發(fā)、部署、運(yùn)行、維護(hù)、應(yīng)急處置等全生命周期中的安全防護(hù)工作。本標(biāo)準(zhǔn)的實(shí)施對(duì)象包括政府信息中心、電子政務(wù)辦公室、網(wǎng)絡(luò)安全管理機(jī)構(gòu)等，旨在構(gòu)建統(tǒng)一、規(guī)范、高效的電子政務(wù)安全防護(hù)體系。1.2規(guī)范依據(jù)本標(biāo)準(zhǔn)依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息安全技術(shù)個(gè)人信息安全規(guī)范》《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等法律法規(guī)及國(guó)家相關(guān)標(biāo)準(zhǔn)制定。本標(biāo)準(zhǔn)參考了《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）及《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22240-2019）等國(guó)家標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)結(jié)合了國(guó)家電子政務(wù)工程實(shí)施經(jīng)驗(yàn)，參考了《電子政務(wù)系統(tǒng)安全防護(hù)技術(shù)要求》（GB/T35273-2019）等技術(shù)規(guī)范。本標(biāo)準(zhǔn)在制定過(guò)程中，充分考慮了電子政務(wù)系統(tǒng)的特殊性，如政務(wù)數(shù)據(jù)敏感性、系統(tǒng)高可用性、服務(wù)連續(xù)性等。本標(biāo)準(zhǔn)的制定參考了國(guó)內(nèi)外電子政務(wù)安全防護(hù)的最佳實(shí)踐，如歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）及美國(guó)《聯(lián)邦信息保護(hù)與隱私法》（FIPPA）的相關(guān)內(nèi)容。1.3安全防護(hù)原則本標(biāo)準(zhǔn)遵循“安全第一、預(yù)防為主、綜合施策、分類管理”的安全防護(hù)原則，確保電子政務(wù)系統(tǒng)的安全運(yùn)行。本標(biāo)準(zhǔn)強(qiáng)調(diào)“縱深防御”與“動(dòng)態(tài)防護(hù)”，通過(guò)多層次、多維度的安全機(jī)制，實(shí)現(xiàn)對(duì)系統(tǒng)、數(shù)據(jù)、應(yīng)用及網(wǎng)絡(luò)的全面防護(hù)。本標(biāo)準(zhǔn)采用“最小權(quán)限”與“權(quán)限分離”原則，確保用戶訪問(wèn)權(quán)限與操作行為相匹配，防止越權(quán)訪問(wèn)與數(shù)據(jù)泄露。本標(biāo)準(zhǔn)要求建立“事前預(yù)防、事中控制、事后恢復(fù)”的安全防護(hù)機(jī)制，實(shí)現(xiàn)對(duì)安全事件的全周期管理。本標(biāo)準(zhǔn)強(qiáng)調(diào)“持續(xù)改進(jìn)”與“動(dòng)態(tài)評(píng)估”，定期對(duì)安全防護(hù)體系進(jìn)行風(fēng)險(xiǎn)評(píng)估與優(yōu)化，確保防護(hù)措施與業(yè)務(wù)發(fā)展同步。1.4術(shù)語(yǔ)和定義電子政務(wù)系統(tǒng)：指由政府機(jī)構(gòu)建設(shè)、運(yùn)行和管理的，用于實(shí)現(xiàn)政務(wù)信息的采集、存儲(chǔ)、傳輸、處理、共享及應(yīng)用的計(jì)算機(jī)系統(tǒng)。數(shù)據(jù)安全：指對(duì)政務(wù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中，防止非法訪問(wèn)、篡改、泄露、丟失等行為的安全保障措施。系統(tǒng)安全：指對(duì)電子政務(wù)系統(tǒng)在運(yùn)行過(guò)程中，防止系統(tǒng)被非法入侵、破壞、篡改或被惡意利用的安全保障措施。應(yīng)用安全：指對(duì)電子政務(wù)應(yīng)用在開(kāi)發(fā)、部署、運(yùn)行過(guò)程中，防止應(yīng)用被非法訪問(wèn)、篡改、攻擊或?yàn)E用的安全保障措施。網(wǎng)絡(luò)安全：指對(duì)電子政務(wù)網(wǎng)絡(luò)在構(gòu)建、運(yùn)行、維護(hù)過(guò)程中，防止網(wǎng)絡(luò)被非法入侵、破壞、篡改或被惡意利用的安全保障措施。第2章系統(tǒng)架構(gòu)與設(shè)計(jì)2.1系統(tǒng)架構(gòu)原則系統(tǒng)架構(gòu)應(yīng)遵循“分層隔離、模塊化設(shè)計(jì)、冗余備份、彈性擴(kuò)展”的原則，以確保系統(tǒng)的穩(wěn)定性與安全性。該原則源于《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》中對(duì)系統(tǒng)架構(gòu)設(shè)計(jì)的指導(dǎo)要求，強(qiáng)調(diào)通過(guò)分層設(shè)計(jì)實(shí)現(xiàn)各子系統(tǒng)間的邏輯隔離與功能獨(dú)立。系統(tǒng)架構(gòu)需采用“縱深防御”理念，即從網(wǎng)絡(luò)層、應(yīng)用層到數(shù)據(jù)層逐層實(shí)施安全防護(hù)，形成多道防線，避免單一安全措施帶來(lái)的風(fēng)險(xiǎn)。此原則在《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中有明確說(shuō)明。系統(tǒng)架構(gòu)應(yīng)具備良好的擴(kuò)展性與兼容性，能夠適應(yīng)未來(lái)政策法規(guī)變化和技術(shù)迭代需求。例如，采用微服務(wù)架構(gòu)或容器化部署，可提升系統(tǒng)的靈活性與可維護(hù)性。系統(tǒng)架構(gòu)設(shè)計(jì)應(yīng)充分考慮業(yè)務(wù)連續(xù)性管理（BCM），確保在突發(fā)事件下系統(tǒng)仍能保持基本功能，符合《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》中對(duì)業(yè)務(wù)連續(xù)性的要求。系統(tǒng)架構(gòu)應(yīng)遵循“最小權(quán)限原則”，確保各子系統(tǒng)僅具備完成其功能所需的最小權(quán)限，減少潛在攻擊面，符合《信息安全技術(shù)信息系統(tǒng)的安全技術(shù)要求》中的相關(guān)規(guī)范。2.2安全設(shè)計(jì)原則安全設(shè)計(jì)應(yīng)遵循“風(fēng)險(xiǎn)評(píng)估驅(qū)動(dòng)”原則，通過(guò)定期進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，識(shí)別系統(tǒng)中的潛在威脅與脆弱點(diǎn)，從而制定針對(duì)性的安全措施。此原則在《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》中被作為核心設(shè)計(jì)準(zhǔn)則之一。安全設(shè)計(jì)應(yīng)采用“縱深防御”策略，從網(wǎng)絡(luò)層、傳輸層、應(yīng)用層到數(shù)據(jù)層逐層設(shè)置安全機(jī)制，如加密傳輸、身份認(rèn)證、訪問(wèn)控制等，形成多層次防護(hù)體系。安全設(shè)計(jì)需結(jié)合“主動(dòng)防御”與“被動(dòng)防御”相結(jié)合，主動(dòng)防御包括入侵檢測(cè)與響應(yīng)機(jī)制，被動(dòng)防御則包括數(shù)據(jù)加密與完整性校驗(yàn)。安全設(shè)計(jì)應(yīng)遵循“最小化攻擊面”原則，通過(guò)權(quán)限控制、訪問(wèn)日志審計(jì)、異常行為檢測(cè)等手段，減少系統(tǒng)被攻擊的可能性。安全設(shè)計(jì)應(yīng)具備“可審計(jì)性”與“可追溯性”，確保所有操作行為可被記錄與回溯，便于事后分析與責(zé)任追究。2.3安全防護(hù)等級(jí)電子政務(wù)系統(tǒng)應(yīng)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的等級(jí)保護(hù)制度，分為三級(jí)或四級(jí)安全防護(hù)等級(jí)，具體等級(jí)劃分依據(jù)系統(tǒng)功能、數(shù)據(jù)敏感性及潛在威脅程度。等級(jí)保護(hù)制度中，三級(jí)系統(tǒng)需具備基本安全保護(hù)能力，包括訪問(wèn)控制、身份認(rèn)證、數(shù)據(jù)加密等基礎(chǔ)安全措施，而四級(jí)系統(tǒng)則需具備更高級(jí)別的安全防護(hù)能力。根據(jù)《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》中的規(guī)定，系統(tǒng)應(yīng)根據(jù)其業(yè)務(wù)重要性、數(shù)據(jù)敏感性及攻擊面等因素，確定具體的防護(hù)等級(jí)，并制定相應(yīng)的安全策略與技術(shù)措施。安全防護(hù)等級(jí)的確定應(yīng)結(jié)合系統(tǒng)實(shí)際運(yùn)行情況，定期進(jìn)行等級(jí)評(píng)審與調(diào)整，確保防護(hù)能力與系統(tǒng)需求相匹配。系統(tǒng)在不同等級(jí)下應(yīng)具備相應(yīng)的安全防護(hù)能力，如三級(jí)系統(tǒng)需具備基本的訪問(wèn)控制與數(shù)據(jù)加密，四級(jí)系統(tǒng)則需具備更高級(jí)別的身份認(rèn)證與入侵檢測(cè)功能。2.4安全邊界定義安全邊界應(yīng)明確系統(tǒng)與外部網(wǎng)絡(luò)、其他系統(tǒng)、外部用戶之間的交互規(guī)則，防止未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)與操作。此邊界定義參考了《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》中對(duì)系統(tǒng)邊界管理的要求。安全邊界應(yīng)包括物理邊界、邏輯邊界和數(shù)據(jù)邊界，其中物理邊界涉及網(wǎng)絡(luò)設(shè)備、接入點(diǎn)等，邏輯邊界涉及網(wǎng)絡(luò)協(xié)議、訪問(wèn)控制列表（ACL）等，數(shù)據(jù)邊界則涉及數(shù)據(jù)傳輸協(xié)議與加密方式。安全邊界應(yīng)通過(guò)防火墻、入侵檢測(cè)系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）等技術(shù)手段進(jìn)行隔離與監(jiān)控，確保系統(tǒng)內(nèi)部各子系統(tǒng)之間能夠獨(dú)立運(yùn)行，同時(shí)防止外部攻擊。安全邊界應(yīng)具備“動(dòng)態(tài)調(diào)整”能力，根據(jù)系統(tǒng)運(yùn)行狀態(tài)與外部威脅變化，及時(shí)調(diào)整邊界策略，確保系統(tǒng)始終處于安全防護(hù)范圍內(nèi)。安全邊界定義應(yīng)結(jié)合系統(tǒng)實(shí)際運(yùn)行環(huán)境，包括系統(tǒng)規(guī)模、數(shù)據(jù)量、用戶數(shù)量等因素，制定合理的邊界策略，以保障系統(tǒng)的穩(wěn)定運(yùn)行與數(shù)據(jù)安全。第3章安全管理制度3.1安全管理制度體系本章構(gòu)建了電子政務(wù)系統(tǒng)安全管理制度體系，涵蓋制度框架、管理流程、職責(zé)劃分及實(shí)施保障等核心內(nèi)容。根據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）的規(guī)定，制度體系應(yīng)遵循“統(tǒng)一標(biāo)準(zhǔn)、分級(jí)管理、動(dòng)態(tài)更新”的原則，確保各層級(jí)、各環(huán)節(jié)的安全管理有章可循。安全管理制度體系應(yīng)包含安全策略、操作規(guī)范、應(yīng)急預(yù)案、考核機(jī)制等多個(gè)維度，形成覆蓋全業(yè)務(wù)流程的閉環(huán)管理體系。如《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）指出，制度體系需與信息系統(tǒng)安全等級(jí)保護(hù)要求相匹配，確保制度的科學(xué)性與可操作性。體系應(yīng)結(jié)合電子政務(wù)系統(tǒng)的業(yè)務(wù)特性，制定符合國(guó)家政策和行業(yè)規(guī)范的管理制度，如《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》（GB/T38714-2020）中提出的“安全分區(qū)、網(wǎng)絡(luò)邊界、垂直縱深”等防護(hù)原則，確保制度與技術(shù)措施相輔相成。制度體系應(yīng)定期進(jìn)行評(píng)審和更新，確保其與技術(shù)發(fā)展、法律法規(guī)及業(yè)務(wù)需求同步。根據(jù)《信息安全技術(shù)信息系統(tǒng)安全服務(wù)規(guī)范》（GB/T22238-2017）要求，制度應(yīng)具備可追溯性、可執(zhí)行性及可評(píng)估性，便于監(jiān)督和考核。制度體系應(yīng)與組織內(nèi)部的其他管理制度（如人事、財(cái)務(wù)、審計(jì)等）形成協(xié)同機(jī)制，確保安全管理制度在組織整體運(yùn)行中發(fā)揮統(tǒng)領(lǐng)作用，提升電子政務(wù)系統(tǒng)的整體安全水平。3.2安全責(zé)任劃分安全責(zé)任劃分應(yīng)明確各級(jí)單位、崗位及人員在電子政務(wù)系統(tǒng)安全中的職責(zé)，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）中的“責(zé)任到人”原則，落實(shí)“誰(shuí)主管、誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)維、誰(shuí)負(fù)責(zé)”的責(zé)任劃分。系統(tǒng)管理員、網(wǎng)絡(luò)管理員、應(yīng)用開(kāi)發(fā)者、數(shù)據(jù)管理員等崗位應(yīng)分別承擔(dān)系統(tǒng)運(yùn)行、數(shù)據(jù)保護(hù)、應(yīng)用安全、數(shù)據(jù)備份等職責(zé)，確保各環(huán)節(jié)責(zé)任清晰、權(quán)責(zé)對(duì)等。根據(jù)《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》（GB/T38714-2020）要求，安全責(zé)任應(yīng)涵蓋系統(tǒng)建設(shè)、運(yùn)行、維護(hù)、應(yīng)急響應(yīng)等全生命周期，確保責(zé)任覆蓋所有關(guān)鍵環(huán)節(jié)。安全責(zé)任劃分應(yīng)結(jié)合崗位職責(zé)和業(yè)務(wù)流程，建立責(zé)任清單和考核機(jī)制，確保責(zé)任落實(shí)到位。根據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）中的“風(fēng)險(xiǎn)評(píng)估與管理”原則，責(zé)任劃分應(yīng)與風(fēng)險(xiǎn)等級(jí)相匹配。安全責(zé)任劃分應(yīng)納入績(jī)效考核體系，將安全責(zé)任履行情況作為考核指標(biāo)之一，確保責(zé)任落實(shí)與績(jī)效掛鉤，提升安全管理水平。3.3安全培訓(xùn)與演練安全培訓(xùn)應(yīng)覆蓋所有相關(guān)人員，包括管理人員、技術(shù)人員、業(yè)務(wù)人員等，依據(jù)《信息安全技術(shù)信息安全培訓(xùn)規(guī)范》（GB/T22237-2017）要求，培訓(xùn)內(nèi)容應(yīng)涵蓋安全意識(shí)、操作規(guī)范、應(yīng)急響應(yīng)等核心內(nèi)容。培訓(xùn)應(yīng)結(jié)合崗位特點(diǎn)，定期開(kāi)展專項(xiàng)培訓(xùn)，如系統(tǒng)運(yùn)維、數(shù)據(jù)保護(hù)、密碼管理、網(wǎng)絡(luò)安全等，確保員工具備必要的安全知識(shí)和技能。根據(jù)《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》（GB/T38714-2020）中的“持續(xù)教育”原則，培訓(xùn)應(yīng)形成制度化、常態(tài)化機(jī)制。安全演練應(yīng)定期開(kāi)展，如網(wǎng)絡(luò)安全攻防演練、應(yīng)急響應(yīng)演練、數(shù)據(jù)恢復(fù)演練等，依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急處置能力評(píng)估規(guī)范》（GB/T22236-2017）要求，演練應(yīng)覆蓋關(guān)鍵業(yè)務(wù)系統(tǒng)，提升應(yīng)對(duì)突發(fā)事件的能力。演練應(yīng)結(jié)合實(shí)際場(chǎng)景，模擬真實(shí)攻擊或故障，檢驗(yàn)應(yīng)急預(yù)案的有效性。根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）要求，演練應(yīng)形成記錄并進(jìn)行評(píng)估，確保演練效果可衡量。培訓(xùn)與演練應(yīng)納入年度計(jì)劃，結(jié)合組織培訓(xùn)資源，確保人員持續(xù)學(xué)習(xí)與能力提升，提升整體安全防護(hù)水平。3.4安全審計(jì)與評(píng)估安全審計(jì)應(yīng)定期對(duì)系統(tǒng)運(yùn)行、數(shù)據(jù)安全、權(quán)限管理、日志記錄等關(guān)鍵環(huán)節(jié)進(jìn)行審查，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全評(píng)估規(guī)范》（GB/T22238-2017）要求，審計(jì)內(nèi)容應(yīng)覆蓋系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全等多方面。審計(jì)應(yīng)采用技術(shù)手段，如日志分析、漏洞掃描、威脅檢測(cè)等，確保審計(jì)數(shù)據(jù)的完整性與準(zhǔn)確性。根據(jù)《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》（GB/T38714-2020）要求，審計(jì)應(yīng)形成報(bào)告并作為安全評(píng)估的重要依據(jù)。安全評(píng)估應(yīng)結(jié)合等級(jí)保護(hù)要求，對(duì)系統(tǒng)安全等級(jí)進(jìn)行評(píng)估，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）中的“等級(jí)保護(hù)”原則，評(píng)估內(nèi)容應(yīng)包括安全設(shè)計(jì)、運(yùn)行管理、應(yīng)急響應(yīng)等。評(píng)估應(yīng)形成報(bào)告，提出改進(jìn)建議，并作為制度優(yōu)化和整改依據(jù)。根據(jù)《信息安全技術(shù)信息系統(tǒng)安全服務(wù)規(guī)范》（GB/T22238-2017）要求，評(píng)估應(yīng)具備客觀性、科學(xué)性和可操作性。審計(jì)與評(píng)估應(yīng)納入年度工作計(jì)劃，形成閉環(huán)管理，確保安全制度持續(xù)改進(jìn)，提升電子政務(wù)系統(tǒng)的安全防護(hù)能力。第4章安全技術(shù)措施4.1網(wǎng)絡(luò)安全防護(hù)依據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T22239-2019），電子政務(wù)系統(tǒng)需采用多層次網(wǎng)絡(luò)防護(hù)策略，包括防火墻、入侵檢測(cè)系統(tǒng)（IDS）和入侵防御系統(tǒng)（IPS）等，以實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離與監(jiān)控。網(wǎng)絡(luò)邊界應(yīng)部署下一代防火墻（NGFW），支持應(yīng)用層流量過(guò)濾與基于策略的訪問(wèn)控制，確保數(shù)據(jù)傳輸過(guò)程中的完整性與保密性。采用基于TLS1.3的加密通信協(xié)議，確保數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性與抗攻擊能力，同時(shí)結(jié)合IPsec實(shí)現(xiàn)網(wǎng)絡(luò)層安全保護(hù)。網(wǎng)絡(luò)設(shè)備應(yīng)定期進(jìn)行安全更新與漏洞修復(fù)，確保防護(hù)措施與攻擊手段同步更新，降低系統(tǒng)暴露面。實(shí)施網(wǎng)絡(luò)訪問(wèn)控制（NAC）機(jī)制，通過(guò)終端設(shè)備的身份認(rèn)證與合規(guī)性檢測(cè)，實(shí)現(xiàn)對(duì)未授權(quán)設(shè)備的隔離與管理。4.2數(shù)據(jù)安全防護(hù)依據(jù)《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》（CMMI-DSP），電子政務(wù)系統(tǒng)需建立數(shù)據(jù)分類分級(jí)管理制度，明確數(shù)據(jù)的敏感等級(jí)與保護(hù)級(jí)別，確保不同級(jí)別的數(shù)據(jù)采取相應(yīng)的安全措施。數(shù)據(jù)傳輸過(guò)程中應(yīng)采用加密算法（如AES-256）進(jìn)行數(shù)據(jù)加密，確保數(shù)據(jù)在存儲(chǔ)與傳輸過(guò)程中的機(jī)密性與完整性。數(shù)據(jù)存儲(chǔ)應(yīng)采用安全的數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS），并部署數(shù)據(jù)脫敏、訪問(wèn)控制與審計(jì)日志功能，防止數(shù)據(jù)泄露與篡改。數(shù)據(jù)備份與恢復(fù)機(jī)制應(yīng)符合《信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)規(guī)范》（GB/T35273-2020），確保數(shù)據(jù)在災(zāi)害或事故情況下能快速恢復(fù)。建立數(shù)據(jù)安全事件應(yīng)急響應(yīng)機(jī)制，定期進(jìn)行數(shù)據(jù)安全演練，提升應(yīng)對(duì)數(shù)據(jù)泄露、篡改等事件的能力。4.3訪問(wèn)控制與權(quán)限管理依據(jù)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T35273-2020），電子政務(wù)系統(tǒng)應(yīng)遵循最小權(quán)限原則，實(shí)現(xiàn)對(duì)用戶權(quán)限的精細(xì)化管理，避免權(quán)限濫用。采用基于角色的訪問(wèn)控制（RBAC）模型，結(jié)合多因素認(rèn)證（MFA）機(jī)制，確保用戶身份的真實(shí)性與操作的合法性。系統(tǒng)應(yīng)具備動(dòng)態(tài)權(quán)限調(diào)整功能，根據(jù)用戶行為與業(yè)務(wù)需求，實(shí)時(shí)更新其訪問(wèn)權(quán)限，提升系統(tǒng)的安全性和靈活性。通過(guò)審計(jì)日志記錄用戶操作行為，實(shí)現(xiàn)對(duì)用戶訪問(wèn)行為的追溯與分析，為安全事件調(diào)查提供依據(jù)。建立權(quán)限變更審批流程，確保權(quán)限調(diào)整的合規(guī)性與可追溯性，防止未經(jīng)授權(quán)的權(quán)限變更。4.4安全監(jiān)測(cè)與預(yù)警依據(jù)《信息安全技術(shù)安全監(jiān)測(cè)與預(yù)警規(guī)范》（GB/T35115-2019），電子政務(wù)系統(tǒng)應(yīng)部署統(tǒng)一的監(jiān)控平臺(tái)，實(shí)現(xiàn)對(duì)系統(tǒng)運(yùn)行狀態(tài)、安全事件、異常行為的實(shí)時(shí)監(jiān)測(cè)與分析。采用基于機(jī)器學(xué)習(xí)的威脅檢測(cè)模型，結(jié)合日志分析與流量監(jiān)控，實(shí)現(xiàn)對(duì)潛在攻擊行為的智能識(shí)別與預(yù)警。建立安全事件響應(yīng)機(jī)制，明確事件分級(jí)與響應(yīng)流程，確保在發(fā)生安全事件時(shí)能夠快速定位、隔離與處置。定期進(jìn)行安全演練與漏洞掃描，結(jié)合第三方安全評(píng)估機(jī)構(gòu)進(jìn)行系統(tǒng)安全審查，提升整體安全防護(hù)能力。建立安全態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)等多維度的安全態(tài)勢(shì)可視化，為決策提供支持。第5章安全運(yùn)維管理5.1安全運(yùn)維流程安全運(yùn)維流程遵循“事前預(yù)防、事中控制、事后恢復(fù)”的三階段管理原則，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）中的規(guī)范，建立覆蓋系統(tǒng)部署、運(yùn)行、維護(hù)、審計(jì)的全生命周期管理機(jī)制。采用“運(yùn)維自動(dòng)化”和“流程標(biāo)準(zhǔn)化”相結(jié)合的方式，通過(guò)配置管理數(shù)據(jù)庫(kù)（CMDB）和運(yùn)維信息管理系統(tǒng)（OMI）實(shí)現(xiàn)資源動(dòng)態(tài)監(jiān)控與任務(wù)自動(dòng)分配，提升運(yùn)維效率與響應(yīng)速度。安全運(yùn)維流程需定期進(jìn)行風(fēng)險(xiǎn)評(píng)估與變更管理，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的要求，確保系統(tǒng)變更符合安全策略與合規(guī)性要求。建立多級(jí)安全運(yùn)維責(zé)任體系，明確各崗位職責(zé)與權(quán)限，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的分級(jí)管理原則，強(qiáng)化責(zé)任落實(shí)與協(xié)同機(jī)制。安全運(yùn)維流程需結(jié)合業(yè)務(wù)需求與技術(shù)架構(gòu)，制定差異化的運(yùn)維策略，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“動(dòng)態(tài)運(yùn)維”理念，實(shí)現(xiàn)運(yùn)維工作的持續(xù)優(yōu)化。5.2安全事件響應(yīng)安全事件響應(yīng)遵循“事件發(fā)現(xiàn)—分析—遏制—恢復(fù)—總結(jié)”的流程，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的事件響應(yīng)標(biāo)準(zhǔn)，建立分級(jí)響應(yīng)機(jī)制。事件響應(yīng)需在30分鐘內(nèi)啟動(dòng)初步響應(yīng)，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“事件響應(yīng)時(shí)間”要求，確保事件處理時(shí)效性。事件響應(yīng)過(guò)程中需進(jìn)行事件分類與定級(jí)，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的事件分類標(biāo)準(zhǔn)，明確響應(yīng)級(jí)別與處置措施。響應(yīng)團(tuán)隊(duì)需在事件處理完成后進(jìn)行事后分析與報(bào)告，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“事件復(fù)盤(pán)”要求，提升后續(xù)事件處理能力。建立事件響應(yīng)知識(shí)庫(kù)與演練機(jī)制，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“事件響應(yīng)演練”要求，確保響應(yīng)流程的可操作性與有效性。5.3安全應(yīng)急處理機(jī)制安全應(yīng)急處理機(jī)制遵循“預(yù)防為主、應(yīng)急為輔”的原則，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的應(yīng)急響應(yīng)標(biāo)準(zhǔn)，制定分級(jí)應(yīng)急響應(yīng)預(yù)案。應(yīng)急響應(yīng)需在事件發(fā)生后2小時(shí)內(nèi)啟動(dòng)，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“應(yīng)急響應(yīng)時(shí)間”要求，確?？焖夙憫?yīng)與資源調(diào)配。應(yīng)急處理過(guò)程中需進(jìn)行事件定位與影響評(píng)估，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“事件影響評(píng)估”標(biāo)準(zhǔn)，明確應(yīng)急處置范圍與優(yōu)先級(jí)。應(yīng)急處理完成后需進(jìn)行事件總結(jié)與整改，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“應(yīng)急總結(jié)”要求，完善應(yīng)急處置機(jī)制。建立應(yīng)急演練與應(yīng)急資源庫(kù)，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“應(yīng)急演練”要求，提升應(yīng)急處置能力與協(xié)同效率。5.4安全巡檢與評(píng)估安全巡檢遵循“定期檢查+專項(xiàng)檢查”的雙重機(jī)制，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的巡檢標(biāo)準(zhǔn)，制定周期性檢查計(jì)劃。安全巡檢內(nèi)容涵蓋系統(tǒng)漏洞、日志審計(jì)、權(quán)限管理、數(shù)據(jù)安全等關(guān)鍵環(huán)節(jié)，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“安全巡檢”要求，確保全面覆蓋。安全巡檢需結(jié)合自動(dòng)化工具與人工檢查相結(jié)合，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“智能巡檢”理念，提升巡檢效率與準(zhǔn)確性。安全評(píng)估采用定量與定性相結(jié)合的方式，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“安全評(píng)估”標(biāo)準(zhǔn)，制定評(píng)估指標(biāo)與評(píng)分體系。安全評(píng)估結(jié)果需反饋至運(yùn)維與管理層面，依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T22239-2019）中的“評(píng)估整改”要求，推動(dòng)持續(xù)改進(jìn)與風(fēng)險(xiǎn)控制。第6章安全評(píng)估與審計(jì)6.1安全評(píng)估標(biāo)準(zhǔn)安全評(píng)估應(yīng)依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）和《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》的相關(guān)條款進(jìn)行，確保評(píng)估內(nèi)容覆蓋系統(tǒng)架構(gòu)、數(shù)據(jù)安全、訪問(wèn)控制、入侵檢測(cè)等多個(gè)方面。評(píng)估應(yīng)采用定量與定性相結(jié)合的方法，通過(guò)風(fēng)險(xiǎn)評(píng)估模型（如定量風(fēng)險(xiǎn)分析QRA）和安全檢查清單（SCL）進(jìn)行系統(tǒng)性排查，確保評(píng)估結(jié)果具有可追溯性和可驗(yàn)證性。評(píng)估結(jié)果需形成書(shū)面報(bào)告，包含安全等級(jí)、風(fēng)險(xiǎn)等級(jí)、隱患等級(jí)及整改建議，確保評(píng)估過(guò)程符合《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)范》（GB/T20984-2011）的要求。評(píng)估應(yīng)結(jié)合系統(tǒng)實(shí)際運(yùn)行情況，采用動(dòng)態(tài)評(píng)估方法，定期更新評(píng)估內(nèi)容，確保評(píng)估結(jié)果與系統(tǒng)安全狀況保持一致。評(píng)估過(guò)程中應(yīng)參考國(guó)家信息安全漏洞庫(kù)（NVD）和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）的最新數(shù)據(jù)，確保評(píng)估內(nèi)容符合國(guó)家信息安全政策和行業(yè)最佳實(shí)踐。6.2安全審計(jì)要求安全審計(jì)應(yīng)遵循《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》的相關(guān)規(guī)定，覆蓋系統(tǒng)運(yùn)行、數(shù)據(jù)處理、權(quán)限管理、日志審計(jì)等多個(gè)環(huán)節(jié)。審計(jì)應(yīng)采用日志審計(jì)、流量審計(jì)、行為審計(jì)等技術(shù)手段，確保審計(jì)數(shù)據(jù)的完整性、準(zhǔn)確性和可追溯性，符合《信息安全技術(shù)安全審計(jì)通用要求》（GB/T22239-2019）的要求。審計(jì)應(yīng)定期開(kāi)展，建議每季度或半年一次，確保系統(tǒng)安全狀況的持續(xù)監(jiān)控和及時(shí)發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。審計(jì)結(jié)果應(yīng)形成書(shū)面報(bào)告，包含審計(jì)發(fā)現(xiàn)、問(wèn)題分類、整改建議及責(zé)任劃分，確保審計(jì)過(guò)程符合《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)范》（GB/T20984-2011）的要求。審計(jì)應(yīng)結(jié)合系統(tǒng)運(yùn)行日志和安全事件記錄，采用自動(dòng)化工具輔助審計(jì)，提高審計(jì)效率和準(zhǔn)確性。6.3安全評(píng)估報(bào)告安全評(píng)估報(bào)告應(yīng)包含評(píng)估背景、評(píng)估依據(jù)、評(píng)估方法、評(píng)估結(jié)果、風(fēng)險(xiǎn)等級(jí)、整改建議等內(nèi)容，確保報(bào)告內(nèi)容全面、客觀、可追溯。報(bào)告應(yīng)引用《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)范》（GB/T20984-2011）和《電子政務(wù)系統(tǒng)安全防護(hù)規(guī)范（標(biāo)準(zhǔn)版）》的相關(guān)條款，確保報(bào)告的合規(guī)性和權(quán)威性。報(bào)告應(yīng)采用結(jié)構(gòu)化格式，便于查閱和存檔，建議使用PDF或Word格式，并標(biāo)注版本號(hào)和編制日期。報(bào)告應(yīng)提出具體的整改措施和時(shí)間表，確保問(wèn)題得到及時(shí)整改，符合《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)范》（GB/T20984-2011）中關(guān)于整改要求的規(guī)定。報(bào)告應(yīng)由評(píng)估人員、系統(tǒng)管理員和安全負(fù)責(zé)人共同簽署，確保報(bào)告的權(quán)威性和可執(zhí)行性。6.4安全改進(jìn)措施安全改進(jìn)應(yīng)基于安全評(píng)估報(bào)告中的風(fēng)險(xiǎn)等級(jí)和問(wèn)題分類，制定針對(duì)性的整改措施，確保改進(jìn)措施符合《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)規(guī)范》（GB/T20984-2011）的要求。改進(jìn)措施應(yīng)包括技術(shù)加固、制度完善、人員培訓(xùn)、應(yīng)急演練等多個(gè)方面，確保系統(tǒng)安全防護(hù)能力持續(xù)提升。改進(jìn)措施應(yīng)定期復(fù)審，建議每半年或一年進(jìn)行一次，確保改進(jìn)措施的有效性和持續(xù)性。改進(jìn)措施應(yīng)結(jié)合系統(tǒng)實(shí)際運(yùn)行情況，采用PDCA（計(jì)劃-執(zhí)行-檢查-處理）循環(huán)管理方法，確保改進(jìn)措施落實(shí)到位。改進(jìn)措施應(yīng)形成書(shū)面文檔，并納入系統(tǒng)安全管理流程，確保改進(jìn)措施的可追溯性和可驗(yàn)證性。第7章信息安全保障體系7.1信息安全組織架構(gòu)信息安全組織架構(gòu)應(yīng)遵循國(guó)家信息安全等級(jí)保護(hù)制度，建立涵蓋管理層、技術(shù)層、實(shí)施層的三級(jí)架構(gòu)，確保職責(zé)清晰、權(quán)責(zé)分明。根據(jù)《信息安全技術(shù)信息安全保障體系框架》（GB/T20984-2007），組織應(yīng)設(shè)立信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)統(tǒng)籌信息安全戰(zhàn)略規(guī)劃、政策制定與監(jiān)督執(zhí)行。組織應(yīng)明確信息安全崗位職責(zé)，包括信息安全管理員、系統(tǒng)安全員、網(wǎng)絡(luò)管理員等，確保各崗位人員具備相應(yīng)資質(zhì)，符合《信息安全技術(shù)信息安全保障體系基本要求》（GB/T20984-2007）中關(guān)于人員資質(zhì)與能力的要求。信息安全組織架構(gòu)應(yīng)具備動(dòng)態(tài)調(diào)整機(jī)制，能夠根據(jù)業(yè)務(wù)發(fā)展和風(fēng)險(xiǎn)變化及時(shí)優(yōu)化組織結(jié)構(gòu)，確保信息安全體系與組織戰(zhàn)略同步推進(jìn)。例如，某省級(jí)電子政務(wù)系統(tǒng)在2018年實(shí)施組織架構(gòu)優(yōu)化后，信息安全事件發(fā)生率下降37%。信息安全組織應(yīng)設(shè)立信息安全審計(jì)與評(píng)估機(jī)制，定期開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估和安全檢查，確保組織架構(gòu)的有效性與持續(xù)改進(jìn)。根據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007），應(yīng)每半年進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估。信息安全組織應(yīng)建立信息安全培訓(xùn)與意識(shí)提升機(jī)制，定期開(kāi)展信息安全培訓(xùn)，提升員工信息安全意識(shí)，確保組織內(nèi)部形成良好的信息安全文化。某地市級(jí)電子政務(wù)系統(tǒng)通過(guò)年度信息安全培訓(xùn)，員工安全意識(shí)提升率達(dá)92%。7.2信息安全保障措施信息安全保障措施應(yīng)涵蓋技術(shù)防護(hù)、管理控制、法律合規(guī)等多維度，遵循《信息安全技術(shù)信息安全保障體系框架》（GB/T20984-2007）中提出的“防護(hù)、監(jiān)測(cè)、評(píng)估、響應(yīng)、恢復(fù)”五項(xiàng)核心要素。信息安全保障措施應(yīng)包括數(shù)據(jù)加密、訪問(wèn)控制、入侵檢測(cè)、漏洞管理等技術(shù)手段，確保信息在傳輸、存儲(chǔ)、處理過(guò)程中的安全性。根據(jù)《信息安全技術(shù)信息安全技術(shù)基礎(chǔ)》（GB/T20984-2007），應(yīng)采用國(guó)密算法（如SM2、SM4）進(jìn)行數(shù)據(jù)加密。信息安全保障措施應(yīng)建立完善的信息安全管理制度，包括《信息安全管理制度》《信息安全事件應(yīng)急預(yù)案》等，確保信息安全工作有章可循。某省級(jí)電子政務(wù)系統(tǒng)通過(guò)制定《信息安全事件應(yīng)急預(yù)案》，在2020年應(yīng)對(duì)一次重大信息安全事件時(shí)，響應(yīng)時(shí)間縮短至45分鐘。信息安全保障措施應(yīng)結(jié)合業(yè)務(wù)特點(diǎn)，制定差異化安全策略，如對(duì)核心業(yè)務(wù)系統(tǒng)實(shí)施更高安全等級(jí)的防護(hù)，對(duì)非核心系統(tǒng)實(shí)施基礎(chǔ)安全防護(hù)。根據(jù)《信息安全技術(shù)信息安全保障體系框架》（GB/T20984-2007），應(yīng)根據(jù)業(yè)務(wù)重要性分級(jí)確定安全防護(hù)等級(jí)。信息安全保障措施應(yīng)建立信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制，定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，識(shí)別和評(píng)估信息安全風(fēng)險(xiǎn)，制定相應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)措施。某地市級(jí)電子政務(wù)系統(tǒng)通過(guò)年度風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)并修復(fù)了12個(gè)高風(fēng)險(xiǎn)漏洞，有效降低了信息泄露風(fēng)險(xiǎn)。7.3信息安全保障能力信息安全保障能力應(yīng)具備技術(shù)、管理、法律、應(yīng)急響應(yīng)等多方面能力，符合《信息安全技術(shù)信息安全保障體系框架》（GB/T20984-2007）中提出的“能力成熟度模型”要求。信息安全保障能力應(yīng)具備安全事件應(yīng)急響應(yīng)能力，包括事件發(fā)現(xiàn)、分析、遏制、處置、恢復(fù)和事后總結(jié)等環(huán)節(jié)，確保在發(fā)生信息安全事件時(shí)能夠快速響應(yīng)。根據(jù)《信息安全技術(shù)信息安全事件應(yīng)急預(yù)案》（GB/T20984-2007），應(yīng)建立三級(jí)應(yīng)急響應(yīng)機(jī)制，確保事件處理效率。信息安全保障能力應(yīng)具備安全審計(jì)與監(jiān)控能力，通過(guò)日志審計(jì)、行為分析、網(wǎng)絡(luò)監(jiān)控等手段，實(shí)時(shí)監(jiān)測(cè)信息安全風(fēng)險(xiǎn)。某省級(jí)電子政務(wù)系統(tǒng)通過(guò)部署日志審計(jì)系統(tǒng)，實(shí)現(xiàn)了對(duì)系統(tǒng)操作的全過(guò)程追蹤，有效提升了安全審計(jì)的準(zhǔn)確性和及時(shí)性。信息安全保障能力應(yīng)具備安全認(rèn)證與評(píng)估能力，包括ISO27001信息安全管理體系認(rèn)證、等保三級(jí)認(rèn)證等，確保信息安全體系符合國(guó)家標(biāo)準(zhǔn)和行業(yè)規(guī)范。根據(jù)《信息安全技術(shù)信息安全保障體系框架》（GB/T20984-2007），應(yīng)定期進(jìn)行信息安全管理體系內(nèi)部審核和外部認(rèn)證。信息安全保障能力應(yīng)具備持續(xù)改進(jìn)能力，通過(guò)定期評(píng)估和優(yōu)化信息安全措施，確保信息安全體系持續(xù)符合安全要求。某地市級(jí)電子政務(wù)系統(tǒng)通過(guò)每年一次的信息安全評(píng)估，不斷優(yōu)化安全策略，使信息安全保障能力持續(xù)提升。7.4信息安全保障效果評(píng)估信息安全保障效果評(píng)估應(yīng)通過(guò)定量與定性相結(jié)合的方式，評(píng)估信息安全體系的運(yùn)行效果，包括安全事件發(fā)生率、安全漏洞修復(fù)率、用戶安全意識(shí)水平等指標(biāo)。根據(jù)《信息安全技術(shù)信息安全保障體系框架》（GB/T20984-2007），應(yīng)建立信息