2022年3月31日,湖南省市場監(jiān)督管理局批準(zhǔn)發(fā)布《政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全審查規(guī)范》(DB43/T 2313-2022,以下簡稱:《審查規(guī)范》),是國內(nèi)規(guī)范網(wǎng)絡(luò)安全審查工作的首個(gè)地方標(biāo)準(zhǔn),將于2022年6月30日正式實(shí)施。
審查工作的必要性
習(xí)近平總書記強(qiáng)調(diào),沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化。網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪。政務(wù)信息化項(xiàng)目大部分是關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng),而關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全保障是關(guān)乎國家安全的戰(zhàn)略優(yōu)先事項(xiàng),也是我國網(wǎng)絡(luò)安全工作的重中之重。從全球來看,開展網(wǎng)絡(luò)安全審查成為各國防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的通用做法。
近年來,全球范圍內(nèi)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊行為不斷攀升,涉及金融、醫(yī)療、能源、交通和工業(yè)控制等領(lǐng)域,影響范圍廣泛、程度嚴(yán)重。為加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的保護(hù),確保信息產(chǎn)品和服務(wù)安全性,美國、英國、德國、澳大利亞、俄羅斯等國已紛紛建立網(wǎng)絡(luò)安全審查制度。通過開展網(wǎng)絡(luò)安全審查,預(yù)判和檢查產(chǎn)品及服務(wù)投入使用后可能帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),防范因供應(yīng)鏈產(chǎn)品安全漏洞引發(fā)的安全事件,從源頭上消除安全隱患。
對(duì)我國而言,《網(wǎng)絡(luò)安全審查辦法》是強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的適時(shí)之舉。多部門聯(lián)合出臺(tái)并修訂的《網(wǎng)絡(luò)安全審查辦法》,明確了網(wǎng)絡(luò)安全審查的具體要求,為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者申報(bào)審查提供了指引,建立了網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)安全風(fēng)險(xiǎn)預(yù)判機(jī)制,從識(shí)別威脅、化解風(fēng)險(xiǎn)的角度,推動(dòng)安全關(guān)口前移,強(qiáng)化供應(yīng)鏈安全風(fēng)險(xiǎn)管控,提升網(wǎng)絡(luò)安全保障水平。
對(duì)我省而言,重點(diǎn)抓好政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全審查工作,是督促建設(shè)管理單位嚴(yán)格遵守網(wǎng)絡(luò)安全技術(shù)措施“三同步”(同步規(guī)劃、同步建設(shè)、同步使用)有關(guān)要求的具體舉措。同時(shí),通過規(guī)范政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全審查的審查方式、審查流程、審查內(nèi)容、審查結(jié)果等要求,推動(dòng)建設(shè)管理單位完善網(wǎng)絡(luò)安全防護(hù)體系,不斷提高防護(hù)水平,確保有效應(yīng)對(duì)內(nèi)外網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅。
審查工作的法律依據(jù)
政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全審查是依據(jù)《國家安全法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全審查辦法》和《湖南省網(wǎng)絡(luò)安全和信息化條例》開展的一項(xiàng)重要工作?!秶野踩ā返谖迨艞l規(guī)定,國家建立國家安全審查和監(jiān)管的制度和機(jī)制,對(duì)影響或者可能影響國家安全的網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù),以及其他重大事項(xiàng)和活動(dòng),進(jìn)行國家安全審查?!毒W(wǎng)絡(luò)安全法》第三十三條規(guī)定,建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能,并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。第三十五條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),可能影響國家安全的,應(yīng)當(dāng)通過國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門組織的國家安全審查?!毒W(wǎng)絡(luò)安全審查辦法》第五條規(guī)定,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的,應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險(xiǎn)。影響或者可能影響國家安全的,應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查?!逗鲜【W(wǎng)絡(luò)安全和信息化條例》第十五條規(guī)定,省人民政府對(duì)本省行政區(qū)域內(nèi)未列入關(guān)鍵信息基礎(chǔ)設(shè)施的重要信息系統(tǒng),在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。
審查規(guī)范的制定過程
(一)在前期網(wǎng)絡(luò)安全審查實(shí)踐中積累經(jīng)驗(yàn)
根據(jù)《湖南省省直單位政務(wù)信息系統(tǒng)項(xiàng)目前置審查管理辦法(試行)》和《湖南省省直單位政務(wù)信息系統(tǒng)項(xiàng)目建設(shè)管理辦法》文件要求,2019年5月起,中共湖南省委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室(以下簡稱:湖南省委網(wǎng)信辦)開展省直單位新建、改建、擴(kuò)建的政務(wù)信息化項(xiàng)目前置審查聯(lián)審,重點(diǎn)開展網(wǎng)絡(luò)安全、數(shù)據(jù)安全等相關(guān)內(nèi)容審查。截至2022年6月,已完成39家省直單位的70個(gè)項(xiàng)目的網(wǎng)絡(luò)安全前置審查。
根據(jù)長沙市人民政府辦公廳《關(guān)于印發(fā)長沙市政府投資信息化建設(shè)項(xiàng)目管理辦法的通知》文件要求,2021年4月起,中共長沙市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室(以下簡稱:長沙市委網(wǎng)信辦)開展網(wǎng)絡(luò)安全監(jiān)督審查工作,通過建立專家團(tuán)隊(duì)、制定審查標(biāo)準(zhǔn)等措施對(duì)申請(qǐng)立項(xiàng)的政務(wù)信息化項(xiàng)目可行性研究報(bào)告開展專項(xiàng)審查,其中網(wǎng)絡(luò)安全審查分為初審和復(fù)審兩個(gè)環(huán)節(jié),復(fù)審仍不通過的項(xiàng)目一概不予立項(xiàng)。截至2022年6月,已完成43家市直單位的88個(gè)項(xiàng)目的網(wǎng)絡(luò)安全前置審查。
(二)組織審查規(guī)范起草發(fā)布工作
湖南省委網(wǎng)信辦從實(shí)際需求出發(fā),在充分吸收和積累省市兩級(jí)網(wǎng)信部門審查工作經(jīng)驗(yàn)的基礎(chǔ)上,指導(dǎo)長沙市委網(wǎng)信辦和湖南省金盾信息安全等級(jí)保護(hù)評(píng)估中心有限公司,共同起草編制了《政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全審查規(guī)范》地方標(biāo)準(zhǔn)。在起草階段,主要經(jīng)過了以下環(huán)節(jié):一是成立標(biāo)準(zhǔn)起草小組,制定標(biāo)準(zhǔn)制定工作推進(jìn)方案;二是開展前期調(diào)研,收集、整理和分析相關(guān)國家、行業(yè)、地方標(biāo)準(zhǔn),全面查閱與本標(biāo)準(zhǔn)相關(guān)的文獻(xiàn)資料;三是起草標(biāo)準(zhǔn)初稿,分階段多次召開標(biāo)準(zhǔn)草案研討會(huì),并征求有關(guān)部門、企業(yè)、專家的意見;四是納入2021年度湖南省地方標(biāo)準(zhǔn)制定項(xiàng)目增補(bǔ)計(jì)劃;五是根據(jù)各有關(guān)方面的意見對(duì)標(biāo)準(zhǔn)初稿進(jìn)行修改,形成征求意見稿;六是湖南省市場監(jiān)督管理局官網(wǎng)公開征求意見,收集網(wǎng)絡(luò)安全行業(yè)專家、網(wǎng)絡(luò)安全廠商、市縣兩級(jí)網(wǎng)信部門、行業(yè)主管單位等相關(guān)建議及意見84條;七是充分吸納征求意見內(nèi)容,形成標(biāo)準(zhǔn)送審稿。2022年3月,湖南省市場監(jiān)督管理局會(huì)同湖南省委網(wǎng)信辦組織專家召開標(biāo)準(zhǔn)審查專題會(huì)議,專家組一致通過送審稿審查。同月,湖南省市場監(jiān)督管理局發(fā)布通告,正式批準(zhǔn)審查標(biāo)準(zhǔn),并明確2022年6月30日開始實(shí)施。
審查規(guī)范的主要內(nèi)容
《政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全審查規(guī)范》共8個(gè)章節(jié),內(nèi)容豐富,特色鮮明,有三個(gè)突出的特點(diǎn)。一是全面性。審查規(guī)范比較全面和系統(tǒng)地明確了政務(wù)信息化項(xiàng)目網(wǎng)絡(luò)安全審查的方式、流程、內(nèi)容、結(jié)果等要求;明確了適用于政務(wù)信息化項(xiàng)目規(guī)劃、建設(shè)、運(yùn)行各階段,非政務(wù)信息化項(xiàng)目的網(wǎng)絡(luò)安全審查可參照?qǐng)?zhí)行;明確了安全設(shè)計(jì)方案中網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)、密碼應(yīng)用有關(guān)措施執(zhí)行的技術(shù)標(biāo)準(zhǔn)。二是針對(duì)性。審查規(guī)范從我省實(shí)際情況出發(fā),堅(jiān)持問題導(dǎo)向,總結(jié)實(shí)際經(jīng)驗(yàn),有針對(duì)性地建立相關(guān)標(biāo)準(zhǔn),重在管用,重在解決實(shí)際問題。三是協(xié)調(diào)性。審查規(guī)范堅(jiān)持安全與發(fā)展并重,保證二者協(xié)調(diào)一致、共同推進(jìn),以安全保發(fā)展,以發(fā)展促安全。
《審查規(guī)范》提出:項(xiàng)目建設(shè)單位應(yīng)當(dāng)對(duì)項(xiàng)目的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、密碼應(yīng)用等安全需求進(jìn)行分析,并在項(xiàng)目可行性研究報(bào)告中編制專門章節(jié)體現(xiàn)安全設(shè)計(jì)方案。安全設(shè)計(jì)方案應(yīng)包含網(wǎng)絡(luò)安全體系總體設(shè)計(jì)方案、密碼應(yīng)用方案、數(shù)據(jù)安全保護(hù)方案和項(xiàng)目安全經(jīng)費(fèi)預(yù)算等內(nèi)容。
網(wǎng)絡(luò)安全體系總體設(shè)計(jì)方案中應(yīng)明確項(xiàng)目建設(shè)現(xiàn)狀,安全需求分析,系統(tǒng)功能和架構(gòu),網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),安全解決方案以及相應(yīng)的軟硬件設(shè)備清單,還應(yīng)明確系統(tǒng)的等級(jí)保護(hù)定級(jí)和測評(píng)。
密碼應(yīng)用方案應(yīng)包括系統(tǒng)現(xiàn)狀分析,安全風(fēng)險(xiǎn)控制,密碼應(yīng)用需求,密碼技術(shù)方案,密碼產(chǎn)品選型和服務(wù)應(yīng)用情況等內(nèi)容。還要說明清楚業(yè)務(wù)應(yīng)用系統(tǒng)和運(yùn)行環(huán)境建設(shè)的建設(shè)或改造情況。
數(shù)據(jù)安全保護(hù)方案應(yīng)包括數(shù)據(jù)分級(jí)分類,系統(tǒng)及數(shù)據(jù)庫間的業(yè)務(wù)與數(shù)據(jù)流向說明,數(shù)據(jù)安全需求分析,數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀等安全設(shè)計(jì),個(gè)人信息保護(hù)等方面的內(nèi)容,還要重點(diǎn)闡述清楚本項(xiàng)目與外部系統(tǒng)之間有哪些數(shù)據(jù)交互。
項(xiàng)目經(jīng)費(fèi)預(yù)算應(yīng)依據(jù)系統(tǒng)建設(shè)規(guī)模、系統(tǒng)安全需求、系統(tǒng)數(shù)量合理制定網(wǎng)絡(luò)安全建設(shè)、軟件安全性測試、等級(jí)保護(hù)測評(píng)、商用密碼應(yīng)用、安全性評(píng)估等費(fèi)用預(yù)算。還要考慮系統(tǒng)安全運(yùn)維、網(wǎng)絡(luò)安全培訓(xùn)、應(yīng)急預(yù)案演練等安全投入經(jīng)費(fèi)。
責(zé)編:周冠成
來源:網(wǎng)信湖南
岳塘區(qū)“強(qiáng)國復(fù)興有我”思政微課總決賽舉行
人氣火爆!步步高超市湘潭華隆店調(diào)改完成恢復(fù)營業(yè)
悠游國慶 就來盤龍大觀園(二) 開啟養(yǎng)肺之旅 邂逅無盡綠意
悠游國慶 就來盤龍大觀園(一) 國慶節(jié),一起來“rua”鹿,超萌!
文旅新區(qū) 多彩岳塘丨漫步法華山森林步道 暢享春日詩意浪漫
文旅新區(qū) 多彩岳塘丨盤龍大觀園:賞花踏青休閑 樂享春日好時(shí)光
“數(shù)”說岳塘——關(guān)鍵詞“30”
護(hù)士執(zhí)業(yè)資格證首次注冊(cè)超詳細(xì)流程,趕緊收藏起來
下載APP
分享到