CCSA90DB3601Cybersecurityreviewspecificationofdigitalprojects2024-06-03發布南昌市市場監督管理局發布IDB3601/T11—2024前言 2規范性引用文件 3術語和定義 4審查方式 25審查流程 26審查內容 37審查結果 3附錄A（規范性）數字化項目網絡安全審查流程圖 4附錄B（規范性）數字化項目網絡安全審查細則 5附錄C（規范性）數字化項目網絡安全審查結果判別說明 參考文獻 DB3601/T11—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件由南昌市互聯網信息辦公室提出并歸口。本文件起草單位：南昌市互聯網信息辦公室、江西安極信息技術有限公司。本文件主要起草人：周凡、宋徽青、張倫芳、肖慧、武永偉、周圍、劉煜、潘偉琦、何琪、黃瑞。1DB3601/T11—2024本文件規定了數字化項目（非涉密）網絡安全審查的審查方式、審查流程、審查內容、審查結果。本文件適用于數字化項目（非涉密）規劃設計階段的網絡安全審查，其他信息化項目網絡安全審查可參照執行。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術網絡安全等級保護基本要求GB/T22240信息安全技術網絡安全等級保護定級指南GB/T25070信息安全技術網絡安全等級保護安全設計技術要求GB/T35273信息安全技術個人信息安全規范GB/T39477信息安全技術政務信息共享數據安全技術要求GB/T39786信息安全技術信息系統密碼應用基本要求GB/T40692政務信息系統定義和范圍DA/T28建設項目檔案管理規范3術語和定義下列術語和定義適用于本文件。3.1數字化項目Digitalprojects全市各級行政機關以及法律法規授權的具有管理公共事務職能的組織等使用財政性資金建設、運維的數字化項目，主要包括：電子政務網絡平臺、重點業務數字化系統、數據資源庫、信息安全基礎設施、電子政務基礎設施（政務云、數據中心等）、數字政府標準化體系以及相關支撐體系等符合《政務信息系統定義和范圍》（GB/T40692）規定的非涉密項目。[來源：江西省數字化項目建設管理辦法，1,2,有修改]3.2項目設計方案Projectdesignscheme2DB3601/T11—2024在項目建設過程中編制的可行性研究報告、初步設計方案、深化設計方案、投資概算或項目建議書3.3安全設計方案Securitydesignscheme項目設計方案中包含的網絡安全體系總體設計方案、商用密碼應用方案、數據安全保護方案等子方3.4關鍵信息基礎設施Criticalinformationinfrastructure公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。[來源：關鍵信息基礎設施安全保護條例，1,2]3.5網絡安全投入Cybersecurityinvestment項目建設及運行過程中投入的安全咨詢服務、安全運維服務、安全技術服務、安全集成服務、等保測評服務、商用密碼安全性評估服務、安全軟件、安全設備及其他硬件等相關費用。3.6建設單位Constructingunits對項目實施進行組織管理，并在項目建設過程中負總責的部門。[來源：DA/T28]3.7審查部門Reviewdepartment負責組織網絡安全審查工作的部門。4審查方式建設單位應向審查部門提交審查材料，審查部門開展審查工作并出具審查意見。5審查流程5.1總體流程應參照數字化項目網絡安全審查流程執行（數字化項目網絡安全審查流程圖見附錄A）。5.2審查申報DB3601/T11—2024建設單位應提交項目設計方案等書面審查材料。5.3審查受理審查部門收到審查材料后應受理審查并通知建設單位。5.4開展審查工作5.4.1審查工作分為初步審查和專家審查，初步審查為審查部門就申報材料進行初步審查，給出初步審查意見；專家審查為審查部門聘請專家進行審查，要求建設單位配合審查工作。5.4.2專家審查工作應由不低于三名專家組成的專家組負責，設置一名專家組組長。流程主要分為三步，一是建設單位陳述申報建設項目安全設計方案等相關情況，二是專家組針對審查疑問進行提問，三是專家組討論并形成專家意見和建議。5.5問題整改審查部門給出書面的審查結果后，建設單位應針對審查結果中的相應條款進行必要的安全整改工作并書面報送審查部門。5.6審查意見審查部門應出具審查意見并反饋給建設單位。6審查內容應參照數字化項目網絡安全審查細則執行（數字化項目網絡安全審查細則見附錄B）。7審查結果審查結果應分“通過”和“不通過”兩種情況：——審查結果為“通過”時，項目可按項目設計方案進行建設；——審查結果為“不通過”時，建設單位應對提交的項目設計方案進行修改并重新提交審查。應參照數字化項目網絡安全審查結果判別說明確定審查結果（參見附錄C）。4(規范性)圖A.1規定了數字化項目網絡安全審查流程。否是重新提交審查5DB3601/T11—2024（規范性）數字化項目網絡安全審查細則表B.1規定了數字化項目網絡安全審查細則。表B.1數字化項目網絡安全審查細則1網絡安全目標、保護對象等設計的合理性，包括是否列為關鍵信息基礎設2保護對象的網絡安全保護等級自定級3網絡安全現狀及風險分析。根據安全保護等級的要求對網絡安全設備和系統現狀、網絡安全管理現狀及網絡安全風險等進行分析，并依據現狀及風險分析提出安全4安全規劃及安全方案設計的合理性。根據保護對象的安全保護等級及與其他級別保護對象的關系進行安全整體規劃和安全方案設計。針對性地提出物理環境、網絡架構、邊界防護、計商用密碼應用安全6DB3601/T11—2024表B.1數字化項目網絡安全審查細則（續表）7DB3601/T11—2024表B.1數字化項目網絡安全審查細則（續表）5數據安全設計的合理性。涉及數據資源建設的，是否對重要業務信息、系統數據及軟件系統進行識別。是否根據數據的重要性和數據對系統運行的影響，制定數據備份策略和恢復策略、備份程序和恢6型產品選型的合理性。方案所選用的網絡安全產品是否符合國家和主管部門網絡安全管理有7項目的資金預算及依據，網絡安全資金安排計劃是否滿足國家、省、市有關網絡安全管理的相關規定及網絡安8DB3601/T11—2024表B.1數字化項目網絡安全審查細則（續表）8網絡安全管理制度建立情況。確保安全策略、管理制度和操作規程等保障措施同步實施，并保障系統處于持續99DB3601/T11—2024表B.1數字化項目網絡安全審查細則（續表）全DB3601/T11—2024（規范性）數字化項目網絡安全審查結果判別說明C.1數字化項目網絡安全審查結果為“通過”的要求數字化項目網絡安全審查細則中的審查內容要求“必須項”和“建議項”都滿足的判定為“通過”。C.2數字化項目網絡安全審查結果為“不通過”的要求有下列情況之一判定為“不通過”。a）網絡安全保障體系未進行系統化、結構化設計，安全防護層面缺失較大；b）產品與服務采購不符合國家相關規定；c）項目建設參考安全技術標準為老舊標準；d）其他結合實際情況應判定為“不通過”的情況。DB3601/T11—2024參考文獻[1]中華人民共和國網絡安全法[2]中華人民共和國密碼法[3]