《政務信息化項目網路安全審查規範》是國內規範網路安全審查工作的地方標準。
基本介紹
- 中文名:政務信息化項目網路安全審查規範
- 實施時間:2022年6月30日
發布歷程,內容解讀,
發布歷程
2022年3月31日,湖南省市場監督管理局批准發布《政務信息化項目網路安全審查規範》(DB43/T 2313-2022,以下簡稱:《審查規範》)。
內容解讀
審查工作的必要性
習近平總書記強調,沒有網路安全就沒有國家安全,沒有信息化就沒有現代化。網路安全和信息化是一體之兩翼、驅動之雙輪。政務信息化項目大部分是關鍵信息基礎設施和重要信息系統,而關鍵信息基礎設施和重要信息系統的安全保障是關乎國家安全的戰略優先事項,也是我國網路安全工作的重中之重。從全球來看,開展網路安全審查成為各國防範網路安全風險的通用做法。
近年來,全球範圍內針對關鍵信息基礎設施的網路攻擊行為不斷攀升,涉及金融、醫療、能源、交通和工業控制等領域,影響範圍廣泛、程度嚴重。為加強對關鍵信息基礎設施和重要信息系統的保護,確保信息產品和服務安全性,美國、英國、德國、澳大利亞、俄羅斯等國已紛紛建立網路安全審查制度。通過開展網路安全審查,預判和檢查產品及服務投入使用後可能帶來的網路安全風險,防範因供應鏈產品安全漏洞引發的安全事件,從源頭上消除安全隱患。
對我國而言,《網路安全審查辦法》是強化關鍵信息基礎設施安全防護的適時之舉。多部門聯合出台並修訂的《網路安全審查辦法》,明確了網路安全審查的具體要求,為關鍵信息基礎設施運營者申報審查提供了指引,建立了網路安全產品和服務安全風險預判機制,從識別威脅、化解風險的角度,推動安全關口前移,強化供應鏈安全風險管控,提升網路安全保障水平。
對我省而言,重點抓好政務信息化項目網路安全審查工作,是督促建設管理單位嚴格遵守網路安全技術措施“三同步”(同步規劃、同步建設、同步使用)有關要求的具體舉措。同時,通過規範政務信息化項目網路安全審查的審查方式、審查流程、審查內容、審查結果等要求,推動建設管理單位完善網路安全防護體系,不斷提高防護水平,確保有效應對內外網路安全風險和威脅。
審查工作的法律依據
政務信息化項目網路安全審查是依據《國家安全法》《網路安全法》《數據安全法》《網路安全審查辦法》和《湖南省網路安全和信息化條例》開展的一項重要工作。《國家安全法》第五十九條規定,國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的網路信息技術產品和服務,以及其他重大事項和活動,進行國家安全審查。《網路安全法》第三十三條規定,建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,並保證安全技術措施同步規劃、同步建設、同步使用。第三十五條規定,關鍵信息基礎設施的運營者採購網路產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。《網路安全審查辦法》第五條規定,關鍵信息基礎設施運營者採購網路產品和服務的,應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網路安全審查辦公室申報網路安全審查。《湖南省網路安全和信息化條例》第十五條規定,省人民政府對本省行政區域內未列入關鍵信息基礎設施的重要信息系統,在網路安全等級保護制度的基礎上,實行重點保護。
審查規範的制定過程
(一)在前期網路安全審查實踐中積累經驗
根據《湖南省省直單位政務信息系統項目前置審查管理辦法(試行)》和《湖南省省直單位政務信息系統項目建設管理辦法》檔案要求,2019年5月起,中共湖南省委網路安全和信息化委員辦公室(以下簡稱:湖南省委網信辦)開展省直單位新建、改建、擴建的政務信息化項目前置審查聯審,重點開展網路安全、數據安全等相關內容審查。截至2022年6月,已完成39家省直單位的70個項目的網路安全前置審查。
根據長沙市人民政府辦公廳《關於印髮長沙市政府投資信息化建設項目管理辦法的通知》檔案要求,2021年4月起,中共長沙市委網路安全和信息化委員辦公室(以下簡稱:長沙市委網信辦)開展網路安全監督審查工作,通過建立專家團隊、制定審查標準等措施對申請立項的政務信息化項目可行性研究報告開展專項審查,其中網路安全審查分為初審和複審兩個環節,複審仍不通過的項目一概不予立項。截至2022年6月,已完成43家市直單位的88個項目的網路安全前置審查。
(二)組織審查規範起草發布工作
湖南省委網信辦從實際需求出發,在充分吸收和積累省市兩級網信部門審查工作經驗的基礎上,指導長沙市委網信辦和湖南省金盾信息安全等級保護評估中心有限公司,共同起草編制了《政務信息化項目網路安全審查規範》地方標準。在起草階段,主要經過了以下環節:一是成立標準起草小組,制定標準制定工作推進方案;二是開展前期調研,收集、整理和分析相關國家、行業、地方標準,全面查閱與本標準相關的文獻資料;三是起草標準初稿,分階段多次召開標準草案研討會,並徵求有關部門、企業、專家的意見;四是納入2021年度湖南省地方標準制定項目增補計畫;五是根據各有關方面的意見對標準初稿進行修改,形成徵求意見稿;六是湖南省市場監督管理局官網公開徵求意見,收集網路安全行業專家、網路安全廠商、市縣兩級網信部門、行業主管單位等相關建議及意見84條;七是充分吸納徵求意見內容,形成標準送審稿。2022年3月,湖南省市場監督管理局會同湖南省委網信辦組織專家召開標準審查專題會議,專家組一致通過送審稿審查。同月,湖南省市場監督管理局發布通告,正式批准審查標準,並明確2022年6月30日開始實施。
審查規範的主要內容
《政務信息化項目網路安全審查規範》共8個章節,內容豐富,特色鮮明,有三個突出的特點。一是全面性。審查規範比較全面和系統地明確了政務信息化項目網路安全審查的方式、流程、內容、結果等要求;明確了適用於政務信息化項目規劃、建設、運行各階段,非政務信息化項目的網路安全審查可參照執行;明確了安全設計方案中網路安全、數據安全、個人信息保護、密碼套用有關措施執行的技術標準。二是針對性。審查規範從我省實際情況出發,堅持問題導向,總結實際經驗,有針對性地建立相關標準,重在管用,重在解決實際問題。三是協調性。審查規範堅持安全與發展並重,保證二者協調一致、共同推進,以安全保發展,以發展促安全。
《審查規範》提出:項目建設單位應當對項目的網路安全、數據安全、密碼套用等安全需求進行分析,並在項目可行性研究報告中編制專門章節體現安全設計方案。安全設計方案應包含網路安全體系總體設計方案、密碼套用方案、數據安全保護方案和項目安全經費預算等內容。
網路安全體系總體設計方案中應明確項目建設現狀,安全需求分析,系統功能和架構,網路拓撲結構,安全解決方案以及相應的軟硬體設備清單,還應明確係統的等級保護定級和測評。
密碼套用方案應包括系統現狀分析,安全風險控制,密碼套用需求,密碼技術方案,密碼產品選型和服務套用情況等內容。還要說明清楚業務套用系統和運行環境建設的建設或改造情況。
數據安全保護方案應包括數據分級分類,系統及資料庫間的業務與數據流向說明,數據安全需求分析,數據採集、傳輸、存儲、處理、交換、銷毀等安全設計,個人信息保護等方面的內容,還要重點闡述清楚本項目與外部系統之間有哪些數據互動。
項目經費預算應依據系統建設規模、系統安全需求、系統數量合理制定網路安全建設、軟體安全性測試、等級保護測評、商用密碼套用、安全性評估等費用預算。還要考慮系統安全運維、網路安全培訓、應急預案演練等安全投入經費。
