<listing id="wvz66"><samp id="wvz66"></samp></listing>

  • <nobr id="wvz66"></nobr>
    <tt id="wvz66"><p id="wvz66"></p></tt>

  • <small id="wvz66"><font id="wvz66"></font></small>

    當前位置: 首頁 > 桃江新聞 > 時政要聞
    湖南省地方標準《政務信息化項目網絡安全審查規范》解讀
    發布時間:2022-06-27 08:12 信息來源:網信湖南 作者: 瀏覽量: 【字體:

    2022年3月31日,湖南省市場監督管理局批準發布《政務信息化項目網絡安全審查規范》(DB43/T 2313-2022,以下簡稱:《審查規范》),是國內規范網絡安全審查工作的首個地方標準,將于2022年6月30日正式實施。

    審查工作的必要性

    習近平總書記強調,沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。網絡安全和信息化是一體之兩翼、驅動之雙輪。政務信息化項目大部分是關鍵信息基礎設施和重要信息系統,而關鍵信息基礎設施和重要信息系統的安全保障是關乎國家安全的戰略優先事項,也是我國網絡安全工作的重中之重。從全球來看,開展網絡安全審查成為各國防范網絡安全風險的通用做法。

    近年來,全球范圍內針對關鍵信息基礎設施的網絡攻擊行為不斷攀升,涉及金融、醫療、能源、交通和工業控制等領域,影響范圍廣泛、程度嚴重。為加強對關鍵信息基礎設施和重要信息系統的保護,確保信息產品和服務安全性,美國、英國、德國、澳大利亞、俄羅斯等國已紛紛建立網絡安全審查制度。通過開展網絡安全審查,預判和檢查產品及服務投入使用后可能帶來的網絡安全風險,防范因供應鏈產品安全漏洞引發的安全事件,從源頭上消除安全隱患。

    對我國而言,《網絡安全審查辦法》是強化關鍵信息基礎設施安全防護的適時之舉。多部門聯合出臺并修訂的《網絡安全審查辦法》,明確了網絡安全審查的具體要求,為關鍵信息基礎設施運營者申報審查提供了指引,建立了網絡安全產品和服務安全風險預判機制,從識別威脅、化解風險的角度,推動安全關口前移,強化供應鏈安全風險管控,提升網絡安全保障水平。

    對我省而言,重點抓好政務信息化項目網絡安全審查工作,是督促建設管理單位嚴格遵守網絡安全技術措施“三同步”(同步規劃、同步建設、同步使用)有關要求的具體舉措。同時,通過規范政務信息化項目網絡安全審查的審查方式、審查流程、審查內容、審查結果等要求,推動建設管理單位完善網絡安全防護體系,不斷提高防護水平,確保有效應對內外網絡安全風險和威脅。

    審查工作的法律依據

    政務信息化項目網絡安全審查是依據《國家安全法》《網絡安全法》《數據安全法》《網絡安全審查辦法》和《湖南省網絡安全和信息化條例》開展的一項重要工作。《國家安全法》第五十九條規定,國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的網絡信息技術產品和服務,以及其他重大事項和活動,進行國家安全審查。《網絡安全法》第三十三條規定,建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。第三十五條規定,關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。《網絡安全審查辦法》第五條規定,關鍵信息基礎設施運營者采購網絡產品和服務的,應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查。《湖南省網絡安全和信息化條例》第十五條規定,省人民政府對本省行政區域內未列入關鍵信息基礎設施的重要信息系統,在網絡安全等級保護制度的基礎上,實行重點保護。

    審查規范的制定過程

    (一)在前期網絡安全審查實踐中積累經驗

    根據《湖南省省直單位政務信息系統項目前置審查管理辦法(試行)》和《湖南省省直單位政務信息系統項目建設管理辦法》文件要求,2019年5月起,中共湖南省委網絡安全和信息化委員會辦公室(以下簡稱:湖南省委網信辦)開展省直單位新建、改建、擴建的政務信息化項目前置審查聯審,重點開展網絡安全、數據安全等相關內容審查。截至2022年6月,已完成39家省直單位的70個項目的網絡安全前置審查。

    根據長沙市人民政府辦公廳《關于印發長沙市政府投資信息化建設項目管理辦法的通知》文件要求,2021年4月起,中共長沙市委網絡安全和信息化委員會辦公室(以下簡稱:長沙市委網信辦)開展網絡安全監督審查工作,通過建立專家團隊、制定審查標準等措施對申請立項的政務信息化項目可行性研究報告開展專項審查,其中網絡安全審查分為初審和復審兩個環節,復審仍不通過的項目一概不予立項。截至2022年6月,已完成43家市直單位的88個項目的網絡安全前置審查。

    (二)組織審查規范起草發布工作

    湖南省委網信辦從實際需求出發,在充分吸收和積累省市兩級網信部門審查工作經驗的基礎上,指導長沙市委網信辦和湖南省金盾信息安全等級保護評估中心有限公司,共同起草編制了《政務信息化項目網絡安全審查規范》地方標準。在起草階段,主要經過了以下環節:一是成立標準起草小組,制定標準制定工作推進方案;二是開展前期調研,收集、整理和分析相關國家、行業、地方標準,全面查閱與本標準相關的文獻資料;三是起草標準初稿,分階段多次召開標準草案研討會,并征求有關部門、企業、專家的意見;四是納入2021年度湖南省地方標準制定項目增補計劃;五是根據各有關方面的意見對標準初稿進行修改,形成征求意見稿;六是湖南省市場監督管理局官網公開征求意見,收集網絡安全行業專家、網絡安全廠商、市縣兩級網信部門、行業主管單位等相關建議及意見84條;七是充分吸納征求意見內容,形成標準送審稿。2022年3月,湖南省市場監督管理局會同湖南省委網信辦組織專家召開標準審查專題會議,專家組一致通過送審稿審查。同月,湖南省市場監督管理局發布通告,正式批準審查標準,并明確2022年6月30日開始實施。

    審查規范的主要內容

    《政務信息化項目網絡安全審查規范》共8個章節,內容豐富,特色鮮明,有三個突出的特點。一是全面性。審查規范比較全面和系統地明確了政務信息化項目網絡安全審查的方式、流程、內容、結果等要求;明確了適用于政務信息化項目規劃、建設、運行各階段,非政務信息化項目的網絡安全審查可參照執行;明確了安全設計方案中網絡安全、數據安全、個人信息保護、密碼應用有關措施執行的技術標準。二是針對性。審查規范從我省實際情況出發,堅持問題導向,總結實際經驗,有針對性地建立相關標準,重在管用,重在解決實際問題。三是協調性。審查規范堅持安全與發展并重,保證二者協調一致、共同推進,以安全保發展,以發展促安全。

    《審查規范》提出:項目建設單位應當對項目的網絡安全、數據安全、密碼應用等安全需求進行分析,并在項目可行性研究報告中編制專門章節體現安全設計方案。安全設計方案應包含網絡安全體系總體設計方案、密碼應用方案、數據安全保護方案和項目安全經費預算等內容。

    網絡安全體系總體設計方案中應明確項目建設現狀,安全需求分析,系統功能和架構,網絡拓撲結構,安全解決方案以及相應的軟硬件設備清單,還應明確系統的等級保護定級和測評。

    密碼應用方案應包括系統現狀分析,安全風險控制,密碼應用需求,密碼技術方案,密碼產品選型和服務應用情況等內容。還要說明清楚業務應用系統和運行環境建設的建設或改造情況。

    數據安全保護方案應包括數據分級分類,系統及數據庫間的業務與數據流向說明,數據安全需求分析,數據采集、傳輸、存儲、處理、交換、銷毀等安全設計,個人信息保護等方面的內容,還要重點闡述清楚本項目與外部系統之間有哪些數據交互。

    項目經費預算應依據系統建設規模、系統安全需求、系統數量合理制定網絡安全建設、軟件安全性測試、等級保護測評、商用密碼應用、安全性評估等費用預算。還要考慮系統安全運維、網絡安全培訓、應急預案演練等安全投入經費。

    掃一掃在手機打開當前頁
    【打印本頁】
    【關閉窗口】
    高清无码v