CCSA90DB32052022-08-19發布蘇州市市場監督管理局發布DB3205/T1042—2022前言 2規范性引用文件 3術語和定義 4縮略語 5基本原則 26政策規范實施 26.1基本制度規范實施 26.2等級保護制度實施 26.3關鍵信息基礎設施保護實施 26.4安全審查制度實施 26.5應急管理實施 37風險控制 37.1網絡犯罪控制 37.2威脅和漏洞通報 37.3事件監測、評估與響應 47.4信息共享 47.5城市整體防護 47.6數據安全 58網絡安全文化 58.1網絡安全宣傳與活動 58.2網絡安全報送機制 58.3網絡安全人才培養 59研究創新 69.1網絡安全創新投資 69.2網絡安全創新環境 69.3網絡安全創新水平 610發展協同 610.1網絡安全產業發展 610.2政企合作 710.3跨城市合作 710.4網絡安全市場 7附錄A（資料性）評價方法原理 8附錄B（資料性）評價細則 參考文獻 DB3205/T1042—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起本文件由蘇州市市委網信辦、蘇州市公安局提出。本文件由蘇州市公安局歸口。本文件起草單位：蘇州市公安局、國家計算機網絡與信息安全管理中心江蘇分中心、蘇州市質量和標準化院、三六零科技集團有限公司、北京鴻騰智能科技有限公司、蘇州如意云網絡科技有限公司、北京天云海數技術有限公司、北京信息科技大學。本文件主要起草人：李晶、莊唯、袁欣、厲白、高威、朱澤洲、趙云、顧弘、周文淵、高昕、許蔓舒、何宛罄、姚一楠、張彬哲、王志威、張記衛、羅冬雪、張欣藝、錢國祥、李冬月、薛陳根、金臨耘。本文件為首次發布。DB3205/T1042—2022從世界范圍看，日益突出的網絡安全威脅和風險，對組織機構和公共設施的危害日益嚴重，進而阻礙城市正常運轉，甚至癱瘓城市運作。城市正在成為網絡威脅的受害者，評價數字化時代城市發展與安全建設，是世界各國共同面對的一個難題。因此，對城市進行網絡安全評價，全面掌握城市網絡安全的狀況和存在的問題，是保障城市網絡安全的前提，也是支撐城市正常運行的基礎。本文件對城市網絡安全評價指標體系進行標準化設計，構建合理的評價指標體系框架，從多維度反映城市網絡安全體系的能力和運行狀態，并形成與之匹配的、具備可操作性的評價方法，進而為城市網絡安全體系改進和城市管理部門決策提供科學、合理的支撐。本文件提出的城市網絡安全評價指標，是一個逐級展開的三層指標體系框架，其中一級指標設定了政策規范實施、風險控制、網絡安全文化、研究創新和發展協同，規定了城市網絡安全評價的主要維度；二級指標設定了對應一級指標的基本要素；三級指標對應二級指標的具體評估內容和要求。本文件旨在為縣級行政區和地級市開展相關工作提供參考。在實際應用中，可根據實際業務進行調整，具體包括：確定評價范圍、決定開展全面評估還是局部評估，以及對考核內容和權重進行調整等，以符合當前城市狀況和當地網絡安全建設戰略。1DB3205/T1042—2022數字政府城市網絡安全評價指標體系本文件給出了城市網絡安全評價指標體系的基本原則、政策規范實施、風險控制、網絡安全文化、研究創新、發展協同等內容。本文件適用于城市網絡安全評價工作。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件，不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術術語GB/T28448-2019信息安全技術網絡安全等級保護測評要求GB/T36637-2018信息安全技術ICT供應鏈安全風險管理指南3術語和定義GB/T25069界定的以及下列術語和定義適用于本文件。3.1城市網絡安全citycybersecurity整個城市包括政府、機構和個人在內的主要實體，在網絡空間中所面對的風險和應對狀況。3.2監測monitoring通過部署探針，收集城市重要資產的安全狀況。3.3評價evaluate采集指標體系相關數據，通過專家評估或分析計算，得出反映現實狀況的結果。3.4信息技術應用創新產業informationtechnologyapplicationinnovationindustry以信息技術產業為根基，通過科技創新，構建國內信息技術產業生態體系，簡稱信創。4縮略語下列縮略語適用于本文件。ICT：信息與通信技術（Informationandcommunicationstechnology）PC：個人計算機（Personalcomputer）APP：移動互聯網應用程序（Application）2DB3205/T1042—20225基本原則城市網絡安全評價指標體系的確立主要符合以下原則：a）全面性——覆蓋城市網絡安全體系的組織、管理、技術、運行和社會基礎等方面；b）代表性——有效刻畫城市網絡安全體系能力和狀態的特定維度和方面；c）可比性——不同城市和城市不同階段都可根據指標進行科學比較；d）可考核性——通過訪談、檢查、測試和監測等多種手段實現可靠、科學的收集歷史和當前數據，進而開展綜合評價，評價方法可參考附錄A，評價細則可參考附錄B；e）可擴展性——根據實際發展情況對指標體系框架進行修訂；f）前瞻性——體現城市網絡安全防護發展趨勢，引導城市網絡安全體系建設、運行與調整。6政策規范實施6.1基本制度規范實施通過相關工作制度、工作流程及規范，統籌與推進國家網絡安全等級保護制度、關鍵信息基礎設施保護制度、應急管理制度等法律法規規定要求的制度，并統籌各類安全審查制度，在財力、物力、人力等方面多維度保障制度規范實施。6.2等級保護制度實施6.2.1定級備案根據國家網絡安全等級保護制度相關要求，組建專家團隊，主導定級備案工作，為區域各單位定級，保障定級備案工作覆蓋全區所有單位及重點業務。6.2.2測評整改根據國家網絡安全等級保護制度相關要求，監管測評機構參考GB/T28448-2019開展網絡安全測評工作，在安全建設與自查整改中提供技術指導和專家人員支持。6.3關鍵信息基礎設施保護實施6.3.1識別認定各保護工作部門結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，并組織認定本行業、本領域的關鍵信息基礎設施。6.3.2安全監督指導監督運營者在網絡安全等級保護的基礎上，采取技術保護措施和其他必要措施，應對網絡安全事件，防范網絡攻擊和違法犯罪活動，保障關鍵信息基礎設施安全穩定運行，維護數據的完整性、保密性和可用性，并采取必要措施，優先保障能源、電信等關鍵信息基礎設施安全運行。6.3.3自主可控為關鍵信息基礎設施信息化工作的信創工作提供必要的政策、資金支持，鼓勵保護工作部門有序實施信創工程。6.4安全審查制度實施3DB3205/T1042—20226.4.1ICT供應鏈安全審查指導監督區域重要系統或關鍵信息基礎設施ICT供應鏈安全管理工作，通過專業工作小組按照GB/T36637-2018要求定期檢查ICT供應鏈安全風險管理過程與控制措施情況。6.4.2政府采購安全審查采取必要的措施，保證政府采購計劃、采購活動及信息化運維過程的網絡安全持續投入，通過項目評審及專業的工作小組定期檢查安全投入情況。6.4.3外資并購安全審查為外資并購提供政策與流程支持，監測外資并購活動可能產生的風險，通過專業的工作小組定期評估外資并購活動風險。6.4.4信息安全相關審查組織專業隊伍評估區域采購的關鍵網絡產品和服務安全風險，對發生重大安全事故的單位，展開強制安全審查工作。6.5應急管理實施6.5.1應急預案結合區域網絡安全環境，制定區域化的網絡安全應急預案，并監督區域各單位制定各自應急預案。6.5.2演習演練定期組織演練，檢驗和完善預案，提高實戰能力，并記錄演練情況。7風險控制7.1網絡犯罪控制7.1.1網絡犯罪防范針對網絡犯罪危害情況，建立與完善城市網絡犯罪防范體系，對網絡犯罪進行預警、阻斷和勸阻，并與上級或其他公安機關協同防范。7.1.2網絡犯罪打擊針對網絡犯罪手段情況，建立城市網絡犯罪打擊體系，對網絡犯罪進行偵查、研判和溯源，并建立聯合偵辦機制。7.2威脅和漏洞通報7.2.1威脅預警建立網絡安全威脅預警機制，構建與維護威脅情報庫，及時發布威脅信息。7.2.2漏洞披露4DB3205/T1042—2022建立漏洞披露機制，構建漏洞庫和漏洞披露機制，定期向社會發布漏洞、危害、修補措施等信息，推動區域內漏洞的修復。7.3事件監測、評估與響應7.3.1事件監測建立網絡安全事件監測機制，成立專項工作組和專業監測技術團隊，制定與執行事件的監測和報送流程。7.3.2事件評估建立網絡安全事件評估機制，成立專項工作組和安全事件研判團隊，對安全事件中發現的威脅信息進行關聯分析，給出評估結論。7.3.3事件響應建立網絡安全事件應急響應機制，制定城市網絡安全事件的管理制度和處置流程，并組建相關技術團隊和平臺支撐相關事件響應活動。7.4信息共享7.4.1威脅情報共享建立網絡安全威脅情報共享機制，導入城市網絡安全威脅流量監測數據，規范威脅情報的收集、存儲與分發，及時發布最新的威脅情報。7.4.2安全大數據共享建立網絡安全大數據共享機制，規范安全大數據的采集、存儲、分析與分發，支撐城市網絡風險控制。7.5城市整體防護7.5.1測繪與資產管理建立網絡安全測繪與資產管理機制，通過測繪掌握城市網絡空間資產清單，明晰城市網絡安全防護范圍。7.5.2網絡安全狀態監測對于城市重要信息資源，從個人、組織和城市三個角度開展城市網絡安全狀態監測，綜合感知與分析暴露在互聯網上的個人終端、網站、APP和重要系統所遭遇的主要網絡攻擊情況。7.5.3體系建設與運行建立城市網絡安全防護體系，統籌與協同城市各政府部門、各機構和社會力量，有序應對重大網絡安全事件與威脅。7.5.4基礎設施建設建立城市網絡安全基礎設施，組建安全專家團隊運營各項網絡安全基礎設施，支撐各項城市網絡安全風險控制的開展與落實。5DB3205/T1042—20227.6數據安全7.6.1數據分類分級建立數據分類分級管理制度，制定相關方案與措施，推進數據排查和安全治理。7.6.2數據安全保護建立不同數據處理活動的安全保護機制，制定與執行數據保護和應急響應的方案與措施，并開展相關宣傳與培訓。7.6.3數據安全流通建立數據安全流通機制，制定與執行數據安全流通、數據出入境的管理制度與措施，并通過技術平臺提供保障。7.6.4數據安全應用建立數據安全應用機制，建設大數據安全計算平臺，組織與開展數據安全審計。8網絡安全文化8.1網絡安全宣傳與活動8.1.1網絡安全宣傳區域監管單位和組織機構在政務、法治、金融、電信、科技、重點人群、個人信息等方面，開展各類網絡安全宣傳工作。8.1.2網絡安全活動區域監管單位和組織機構定期開展網絡安全技術交流、攻防演練、人才選拔、生態合作等活動。8.2網絡安全報送機制8.2.1安全威脅報送區域監管單位制定報送機制，推動個人與組織機構關于網絡安全威脅與危害信息報送的規范化和制度化。8.2.2安全事件報送區域監管單位制定報送機制，推動個人與組織機構關于網絡安全事件信息報送的規范化和制度化。8.3網絡安全人才培養8.3.1網絡安全人才教育在公共教育、中小學教育和高等教育等方面推動網絡安全人才培養的開展。8.3.2網絡安全專業培訓區域監管單位、政府部門和組織機構針對城市網絡安全治理和產業安全發展需求，開展各類網絡安全專業人才的培養。6DB3205/T1042—20229研究創新9.1網絡安全創新投資9.1.1政府網絡安全創新加強在網絡安全技術研究、標準研制、示范推進等方面的投入力度。9.1.2高等院校網絡安全創新加強在網絡安全科研、重點技術、人才培養等方面的投入力度。9.1.3企業網絡安全創新當地各類企業加強在網絡安全產品研發、技術創新、場景研究等方面的投入力度。9.2網絡安全創新環境9.2.1網絡安全創新政策制定和落實針對網絡安全產品創新、技術創新、應用創新等方面促進政策的制定與落實。9.2.2網絡安全公共服務平臺和創新基地推動創新基地和公共服務平臺的建設、運營和成果輸出。9.2.3網絡安全創新人才隊伍逐步優化網絡安全技術科研、工程應用、安全開發人才隊伍的數量、區域分布、產業分布、變化趨勢等情況。9.2.4網絡安全技術創新服務體系推動政府、企業、學校、產業一體化進行協同創新工作機制的建立和運行。9.3網絡安全創新水平9.3.1科研成果數量與質量推進網絡安全科研，并反映在成果數量、成果類別、成果轉化、產業促進等方面的情況。9.3.2網絡安全新興技術標準在網絡安全新興技術領域，建立標準體系，推動技術和產品的市場化水平。10發展協同10.1網絡安全產業發展10.1.1產業規劃根據區域優勢，扶持重點網絡安全技術產業，結合新興技術特征制定網絡安全與信息化產業發展政策及政策實施細則。7DB3205/T1042—202210.1.2激勵機制統籌規劃，加大投入，在網絡安全與信息化產業創新、應用示范、園區發展、人才引進、人才培養等多方面采取激勵措施，大力促進區域網絡安全與信息化產業高質量發展。10.2政企合作10.2.1合作框架在技術研究、產業落地、人才培養等多領域為政企合作提供政策與流程支持。10.2.2支撐力量建立分級分類的支撐性力量目錄，提升區域網絡安全防御與應急響應能力。10.3跨城市合作10.3.1城市間合作聯合其他同級行政單位在產業發展、支撐性力量等領域展開合作，優化網絡安全生態。10.3.2跨區域活動鼓勵區域機關、高校、研究單位及其他機構在網絡安全防御、檢測、響應等領域共同協作與研究，并提供響應的政策與激勵措施，提升網絡安全保障能力。10.4網絡安全市場10.4.1技術市場環境加大投入，支持網絡安全技術的研究開發和應用，推廣安全可信的網絡產品，保護網絡技術知識產權，支持并鼓勵本地企業、研究機構和高等學校等參與國家網絡安全技術創新項目。10.4.2網絡安全服務統籌規劃，積極投入，推進網絡安全社會化服務體系建設，鼓勵企業、機構在區域開展網絡安全認證、檢測和風險評估等安全服務。10.4.3供應鏈安全統籌并推進區域重要系統或關鍵信息基礎設施供應鏈安全管理工作，在供應鏈風險評估、供應商選擇上提供技術支持。8DB3205/T1042—2022評價方法原理A.1概述城市網絡安全評價采用權重分值計算方式進行評價。根據評估目標，分析城市在政策規范實施、風險控制、網絡安全文化、研究創新和發展協同等方面的實際情況，并根據所選擇的城市網絡安全評價指標體系框架的應用場景確定城市網絡安全評價的指標和權重。其中，指標的權重可依據對城市網絡安全評價的定位和用途進行調整。A.2評價場景全面評價，直接參照城市網絡安全評價指標體系框架的各級指標，協同主要部門和企業開展相關指標的評價。專項評價，選擇城市網絡安全評價指標體系框架中一個或多個一級指標作為評價范圍，協同主要部門組織開展相關下級指標的評價。階段評價，將城市網絡安全評價指標體系框架分成若干階段，可根據城市安全建設重點或難易程度劃分每個階段的評價范圍，并制定計劃推進各階段評估。A.3計算邏輯整體計算結論用綜合得分表示，綜合得分通過各一級指標得出，一級指標通過二級指標權重相加，三級指標可以根據城市情形做靈活調整，是評估的最小單元，可以通過一個或多個三級指標，支撐二級指標評價。城市網絡安全評價結果(M)為各項一級指標得分的加權求和，其計算公式如式（A.1）所示：?=(?×?)…………（A.1）式中：M——城市網絡安全評價結果；D——一級指標得分。?——一級指標權重。一級指標得分(D)為該能力子域下每項二級指標得分的加權求和，其計算公式如式（A.2）所示：?=(?×?)…………（A.2）式中：D——一級指標得分；S——一級指標所屬各項二級指標評分；?——二級指標權重。二級指標得分(S)為該能力子域下每項三級指標得分的算術求和，其計算公式如式（A.3）所示：?=(?×?)…………（A.3）式中：S——二級指標得分；DB3205/T1042—2022X——二級指標所屬各項三級指標評分；?——三級指標權重三級指標得分(X)為該指標下具體要求得分的算術平均值，其計算公式如式（A.4）所示：?=?…………（A.4）式中：X——三級指標得分；y——三級指標各項評價內容的評分，其中評價內容滿足程度與評分對照表如表A.1所示；m——評價涉及的評價內容個數。表A.1評價內容滿足程度與評分對照表10DB3205/T1042—2022評價細則B.1評價指標細則參考附錄A的評價原理,具體評價中可以使用百分制，將權重轉化為各級指標的分值，簡化評估過程，具體實施細則可參考表B.1的示例。針對當地網絡空間的特殊領域進行評價，可根據其特殊性適當調整指標項和相應的評價內容。其中，評價內容參考公式（A.4）進行計算，得出評價內容滿足程度；然后將評價內容滿足程度乘以對應3級指標的分值，得出該3級指標的評價分值；最后將所有3級指標的評價分值進行求和，得出城市網絡安全評價結果。表B.1評價指標細則（示例）/3、通過制度及財力、物力、人力保障各種審查工作實施，落實各類審查5、建立并維護等級保護、關鍵信息基礎設施保護、安全審查、應急管理1、公安部門有完善的定級備案制度，對每一年度定級備案3、公安部門近兩年開始，對區域內的云計算平1、網絡安全等級測評報告按照GB/T28448-2019的要求逐項進行等級測2、區域相關部門，為運營者等級測評中發現的安全問題整改，提供流程1、根據國家法律法規要求，制定關鍵信息基礎設施識別范2、保護工作部門結合行業、領域實際情況，充分發揮相關專家作用，對DB3205/T1042—2022表B.1評價指標細則（續）3、公安部門統籌并維護轄區內關鍵信息基礎設施資源庫，資源庫能覆蓋1、監督關鍵信息基礎設施運營者根據制度規范，建制，保障關鍵信息基礎設施安全保護的人力、2、對關鍵信息基礎設施施行分級分類保護策略，優先保障能源、電信及1、參照國家信創工作要求，統籌關鍵信息基礎設施運營者2、關鍵信息基礎設施保護工作部門在本行業、本領域建立不低于國家信1、統籌、指導、監督區域重要系統或關鍵信息基礎運營者按照GB/T3、根據檢查評估結果，制定并完善供應商名錄，形成區域供應商黑白名1、按照網絡安全同步規劃、同步建設、同步運行原2、統籌各單位，制定運維費用的網絡安全占比基線，財政項目評審及專業工作小組評估政府每年運維費用中網絡安全占比1、成立專業工作小組，對中國企業收購外資企業活2、成立專業工作小組，對外資企業收購中國企業活動展開法律法規合規1、根據信息安全和相關產品審查制度規范，評估采1、根據《國家網絡安全事件應急預案》(2、結合區域特點，對網絡安全事件進行分級1、統籌運營者、產品與服務提供者建立城市應急演2、建立聯動機制，網絡犯罪防范體系縱向與國家級及省部級相關單位緊密對接，橫向與能夠賦能的高校、科研機構、頭部DB3205/T1042—2022表B.1評價指標細則（續）2、成立由各級監管機構、電信和金融等關鍵企業組成的聯合工作組，針洞通報1、依據國家相關規范，建立本地威脅情報的存儲規范、管2、跟蹤國內外權威威脅情報平臺的進展情況，建立威脅情報時效性管理2、匯總高可信應急響應平臺發布的漏洞報告和軟硬件缺陷預警信息，及1、成立由各級監管機構組成的工作組，有效的組織網絡安2、制定網絡安全事件的監測和報送流程，實現跨地區、跨部門、跨行業3、制定城市范圍內監測策略、監測內容、預警分級標準、預警流程，重1、成立由各級監管機構組成的工作組，有效的組織網絡安2、建立專門的安全事件研判團隊，對網絡安全事件進行分析評估，研判3、建立安全威脅分析平臺，對安全事件中發現的威脅信息進行關聯，爭1、建立城市網絡安全事件管理制度，明確城市內網絡安全變更流程等，并針對關鍵信息基礎設施的應急響2、制定城市內部的網絡安全事件應急處置操作規程，明確技術方法和工3、建立專門的技術團隊，能夠對城市內的4、建立事件響應的自動化處理平臺，能夠快速的將危害關鍵業務的安全1、成立由各級監管機構組成的工作組，規范城市內政府部DB3205/T1042—2022表B.1評價指標細則（續）享1、成立由各級監管機構組成的安全大數據協同工作2、建立安全大數據平臺，完成安全大數據的全生命周期管理，按照相關理1、發現與識別城市范圍內網絡空間設施、服務和關1、監測與綜合分析城市中個人網絡用戶在終端上遭2、監測與綜合分析城市中各政府部門和各企業暴露在互聯網上的網站、行2、全面實時的監測城市內網絡安全重點防1、建設城市級網絡安全基礎設施，可包括但不限于2、配置安全專家團隊對網絡安全基礎設施開展持續運營，以安全服務形1、按照國家數據分類分級要求和規定進行本地區和3、對不同類別和級別的數據建立相應的訪問控制、數據加解密、數據4、定期組織開展數據安全宣傳教育培訓、風險評估5、為城市公共數據建立成熟穩定的存儲媒體和設備安全管理、備份恢復DB3205/T1042—2022表B.1評價指標細則（續）密傳輸要求,包含對數據加密算法的要求和3、基于可流通數據目錄，建設可信的城市數據流通交易平臺，保障數據1、梳理城市數據應用場景，建設城市大數據安全計算平臺（4分）（6分）4、建立網絡安全產教融合聯盟或相關協會，推動形成網絡安全人才教育5、面向教師和學生開展網絡安全意識、知識、（4分）支出（1分）DB3205/T1042—2022表B.1評價指標細則（續）（4分）支出（1分）2、網絡安全相關科研專項經費重點向技術、（7分）（4分）（5分）1、制定符合區域信息化戰略的網絡安全產業發展政1、每年投入必要的資金與其他資源，激勵相關企業2、設立專門激勵制度與實施細則，引進國內中高端網絡安全人才，尤其3、布局網絡安全產業園，通過稅收優惠、政策補貼等方式促進園區生態4、設立實施細則，鼓勵企業、專業培訓機構和高校展開網絡安全教育與DB3205/T1042—20