DB43/T 2313-2022 标准规范下载简介
DB43/T 2313-2022 政务信息化项目网络安全审查规范.pdfICS13.200 CCS A 90
DB43/T 23132022
Cybersecurityreviewspecification ofgovernmentaffairsinformationizeprojects
TCBDA 41-2020 幕墙石材板块生产技术规程.pdf湖南省市场监督管理局 发布
DB43/T23132022
范围, 规范性引用文件: 术语和定义· 审查方式… 4.1线下审查 4.2线上审查, 审查前合规性自查 5.1方案编制, 5.2方案自查. 审查流程 6.1审查申请, 6.2完备性审查, 6.3专业审查. 6.4出具审查结果 审查内容, 7.1基本要求 7.2具体要求, 审查结果 附录A (资料性)流程图· 附录B (规范性)网络安全审查申请表 附录C (资料性)审查结果的判别 参考文献,
DB43/T23132022
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中共湖南省委网络安全和信息化委员会办公室提出并归口。 本文件起草单位:中共湖南省委网络安全和信息化委员会办公室、长沙市委网络安全和信息化委员 会办公室、湖南省金盾信息安全等级保护评估中心有限公司。 本文件主要起草人:刘学、刘厚、刘志勇、李浩、周海毅、周明熙、方木、查国峰、李雪飞、邓庭 波、熊璐、刘兰芳、彭晓涛、龚捷、禹振博
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规 定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中共湖南省委网络安全和信息化委员会办公室提出并归口。 本文件起草单位:中共湖南省委网络安全和信息化委员会办公室、长沙市委网络安全和信息化委员 会办公室、湖南省金盾信息安全等级保护评估中心有限公司。 本文件主要起草人:刘学、刘厚、刘志勇、李浩、周海毅、周明熙、方木、查国峰、李雪飞、邓庭 波、熊璐、刘兰芳、彭晓涛、龚捷、禹振博,
DB43/T23132022
务信息化项目网络安全审查规范
本文件规定了政务信息化项目网络安全审查的审查方式、审查前合规性自查、审查流程、审查内容、 审查结果等要求。 本文件适用于政务信息化项目的项目规划、建设、运行阶段的网络安全审查,其他信息化项目网络 安全审查可参照执行。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T22239—2019 信息安全技术网络安全等级保护基本要求 GB/T22240—2020 信息安全技术网络安全等级保护定级指南 GB/T25070—2019 信息安全技术网络安全等级保护安全设计技术要求 GB/T35273—2020 信息安全技术个人信息安全规范 GB/T 37988—2019 信息安全技术数据安全能力成熟度模型 GB/T 39335—2020 信息安全技术个人信息安全影响评估指南 GB/T 39477—2020 信息安全技术政务信息共享数据安全技术要求 GB/T 39786—2021 信息安全技术信息系统密码应用基本要求 GB/T 40692—2021 政务信息系统定义和范围 DA/T28一2018建设项目档案管理规范
下列术语和定义适用于本文件。 3.1 政务信息系统Governmentinformationsystem 由政务部门建设、运行或使用的,用于直接支持政务部门工作或履行其职能的各类信息系统。 [来源:GB/T40692—20214] 3.2 政务信息化项目Governmentaffairsinformationizeprojects 由财政性资金投资建设、与社会企业联合建设、购买服务或需要财政性资金运行维护的信息化 (含新建、扩建和改造升级信息化项目)
下列术语和定义适用于本文件。 3.1 政务信息系统Governmentinformationsystem 由政务部门建设、运行或使用的,用于直接支持政务部门工作或履行其职能的各类信息系统。 [来源:GB/T40692—20214] 3.2 政务信息化项目Governmentaffairsinformationizeprojects 由财政性资金投资建设、与社会企业联合建设、购买服务或需要财政性资金运行维护的信息化项目 (含新建、扩建和改造升级信息化项目)
Project design scheme
Project design scheme
在信息化项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案
息化项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案和投资概算等。
DB43/T2313—2022
DB43/T2313—2022
关键信息基础设施Criticalinformationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共 利益的重要网络设施、信息系统等。
重到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络 息系统等。重要信息系统包含关键信息基础设施。
重要数据Importantd
一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 3.8 网络安全投入Cybersecurityinvestment 项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保 则评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。 3.9 建设单位Constructingunits 对项目实施进行组织管理,并在项目建设过程中负总责的组织。 [来源:DA/T28—2018,3.4] 3.10 审查部门Reviewdepartment 负责组织网络安全审查工作的组织
审查方式包括线下审查和线上审查
建设单位向审查部门提交网络安全审查申请表和项目设计方案,审查部门组织审查专家并召开 安全审查专家评审会,审查专家现场出具审查意见
建设单位通过线上方式向审查部门提交网络安全审查申请表和项目设计方案,审查部门组织审 开线上网络安全审查专家评审会,审查专家在线上出具审查意见。
DB43/T23132022
5.1.1建设单位应对项目安全需求进行分析, 并根据安全需求组织编制项目安全设计方案。安全设计 方案应包含网络安全体系总体设计方案、 密码应用方案、数据安全保护方案。
1) 项目类型及系统类型; 2) 业务和资产识别; 3) 参考依据; 4) 项目建设现状; 5) 安全需求分析: 6) 系统功能和系统架构情况; 7) 网络拓扑结构; 8) 安全解决方案; 9) 主要软硬件设备选型清单。 .1.3 密码应用方案宜包括但不限于以下内容: 1) 系统现状分析; 2) 安全风险及控制需求; 3) 密码应用需求; 4) 总体方案设计; 5) 密码技术方案设计; 6) 管理体系设计与运维体系设计; 7) 安全与合规性分析; 8) 密码产品和服务应用情况; 9) 业务应用系统建设/改造情况; 10) 运行环境建设/改造情况。 .1.4 数据安全保护方案宜包括但不限于以下内容: 1) 数据分级分类: 2) 系统及数据库间的业务与数据流向说明; 3) 数据安全需求分析; 4) 数据采集安全设计; 5) 数据传输安全设计; 6) 数据存储安全设计; 7) 数据处理安全设计; 8) 数据交换安全设计; 9) 数据销毁安全设计; 10) 个人信息保护政策; 11) 个人信息保护方案。
自位应在项目审批提交前对项目安全设计方案内容进行自查。自查发现的问题,建设单位应组 目安全设计方案。
建设单位应在项目审批提交前对项目安全设计方案内容进行自查。自查发现的问题,建 织修改项目安全设计方案。
审查流程包括审查申请、完备性审查、专业审查和出具审查结果,
DB43/T2313—2022
DB43/T 23132022
见附录A流程图)和相关要求,提交项目设计 网络安全审查申请表(详见附录B
6.2.1审查部门在收到审查申请后,按照7的要求组织完备性审查, 6.2.2完备性审查完成后由审查部门出具完备性审查意见并反馈至建设单位。 6.2.3建设单位参照完备性审查意见补充或修改申报材料。
6.3.1专业审查之前,审查部门根据实际情况选择线上或线下审查方式。 6.3.2审查部门组织审查专家、建设单位代表召开线上或线下专家评审会议。 6.3.3审查可以是网络安全专项审查,也可以与立项审查联合进行。 6.3.4专项审查时,建设单位介绍项目安全设计方案并就专家疑问进行答疑。审查专家依据本文件对 设计方案进行网络安全审查,出具专家意见
部门依据专家意见进行综合判定,出具审查结果
7.1.1项目类型和等级保护级别判定
7.1.1.1应准确判定项目类型及涉及的内容。 7.1.1.2 应依据GB/T22240一2020有关规定准确判定系统网络安全等级保护级别 7.1.1.3应准确判定系统是否为重要信息系统。 7.1.1.4应准确判定系统采用的云计算、大数据、移动互联、物联网、工业控制等新技术情况。 7.1.1.5应准确判定系统中是否承载重要数据、个人信息,是否涉及数据跨组织流动、数据出境情况 等。
7.1.2安全技术标准及安全管理体系
7.1.2.1应依据项目类型和系统的安全保护等级,选择适宜的、最新的安全建设参考标准。 7.1.2.2应规划建设完善的安全管理体系,包括但不限于安全管理制度、安全管理机构、安全管理人 员、安全建设管理及安全运维管理内容,
.1.3产品与服务采购
7.1.3.1网络安全产品与服务采购和使月
7.1.3.1网络安全产品与服务采购和使用应符合国家的有关规定
7.1.4项目经费预算
4.1应依据系统建设规模、系统安全需求、系统数量合理制定安全建设费用预算、软件安全
DB43/T23132022
试、等级保护测评、商用密码应用安全性评估等费用预算。 7.1.4.2重要信息系统宜制定系统上线安全检测评估费用和安全措施有效性验证费用预算。 7.1.4.3涉及重要数据处理的系统宜制定重要数据安全风险评估费用预算。 7.1.4.4涉及个人信息处理的系统宜制定个人信息安全影响评估费用预算。 7.1.4.5涉及个人信息出境的系统宜制定个人信息出境风险评估费用预算。 7.1.4.6依据系统建设规模宜合理制定风险评估、上线安全检测、安全加固、网络安全培训、应急演 练、系统安全运维以及新技术新业务等费用预算。 7.1.4.7网络安全投入应按照国家相关法规标准执行,网络安全投入占信息化投入比例不宜低于 10%。
7.2.1网络安全技术措施应符合GB/T25070一2019、GB/T22239一2019以及国家规定的相关要求。 7.2.2数据安全保护措施应符合GB/T37988一2019、GB/T39477一2020以及国家规定的相关要求。 7.2.3个人信息安全保护措施应符合GB/T35273一2020、GB/T39335一2020以及国家规定的相关要求 7.2.4密码应用安全措施应符合GB/T39786一2021以及国家规定的相关要求。 7.2.5重要信息系统安全保护措施应符合国家规定的相关要求。
审查结果分“通过”、“暂缓通过”和“不通过”三种情况: 审查结果为“通过”时,项目可按项目建设方案进行建设。 审查结果为“暂缓通过”时,项目建设方参考专家建议修改项目设计方案后可按方案进行建设, 审查结果为“不通过”时,项目建设方应组织重新编写项目设计方案。 审查结果判定规则参见附录C。
审查结果分“通过”、“暂缓通过”和“不通过”三种情况: 审查结果为“通过”时,项目可按项目建设方案进行建设。 审查结果为“暂缓通过”时,项目建设方参考专家建议修改项目设计方案后可按方案进行建 审查结果为“不通过”时,项目建设方应组织重新编写项目设计方案。 审查结果判定规则参见附录C。
DB43/T2313—2022
A网络安全审查工作流程可参照图1进行操作
网络安全审查工作流程可参照图1进行操作。
二连浩特至河口国道主干线工程施工组织设计方案附录 (资料性) 流程图
图1网络安全审查工作流程
DB43/T23132022
附录B (规范性) 网络安全审查申请表 网络安全审查工作需要各建设单位提交的申请表材料包括:《网络安全审查申请表》和《网络安全 审查自查表》。具体表格形式及内容如下所示:
B.1网络安全审查申请表模板
表B.1网络安全审查申请表
DB43/T2313—2022
网络安全审查自查表按照系统部署类型不同(本地部署、托管部署、政务云部署与混合模式部署》 分为四个子表,分别对应表B.2、B.3、B.4、B.5,申请人应根据系统部署类型选择相应的表格进行填 写,项目涉及多个系统的翠景湾4、5栋、地下室土建工程总体施工方案-8wr,每个系统应单独填写自查表。