数字政府 城市网络安全评价指标体系.docx

ICS35.020CCSA90DB3205苏州市地方标准DB3205/T10422022数字政府城市网络安全评价指标体系Digitalgovernment-Citycybersecurityevaluationindexsystem2022-08-26实施2022-08-19发布苏州市市场监督管理局发布目次前言II引言III1范围12规范性引用文件13 术语和定义14 缩略语15 基本原则26 政策规范实施26.1基本制度规范实施26.2等级保护制度实施26.3关键信息基础设施保护实施26.4安全审查制度实施26. 5应急管理实施37 风险控制37.1 1网络犯罪控制37.2 威胁和漏洞通报37.3 事件监测、评估与响应47.4 信息共享47.5 5城市整体防护47.6 数据安全58 网络安全文化58. 1网络安全宣传与活动59. 2网络安全报送机制510. 网络安全人才培养59 研究创新69. 1网络安全创新投资610. 网络安全创新环境611. 3网络安全创新水平610 发展协同610.1网络安全产业发展610.2政企合作710.3跨城市合作710.4网络安全市场7附录A（资料性）评价方法原理8附录B（资料性）评价细则10参考文献18本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由苏州市市委网信办、苏州市公安局提出。本文件由苏州市公安局归口。本文件起草单位：苏州市公安局、国家计算机网络与信息安全管理中心江苏分中心、苏州市质量和标准化院、三六零科技集团有限公司、北京鸿腾智能科技有限公司、苏州如意云网络科技有限公司、北京天云海数技术有限公司、北京信息科技大学。本文件主要起草人：李晶、庄唯、袁欣、厉白、高威、朱泽洲I、赵云、顾弘、周文渊、高昕、许蔓舒、何宛罄、姚一楠、张彬哲、王志威、张记卫、罗冬雪、张欣艺、钱国祥、李冬月、薛陈根、金临耘。本文件为首次发布。从世界范围看，日益突出的网络安全威胁和风险，对组织机构和公共设施的危害日益严重，进而阻碍城市正常运转，甚至瘫痪城市运作。城市正在成为网络威胁的受害者，评价数字化时代城市发展与安全建设，是世界各国共同面对的一个难题。因此，对城市进行网络安全评价，全面掌握城市网络安全的状况和存在的问题，是保障城市网络安全的前提，也是支撑城市正常运行的基础。本文件对城市网络安全评价指标体系进行标准化设计，构建合理的评价指标体系框架，从多维度反映城市网络安全体系的能力和运行状态，并形成与之匹配的、具备可操作性的评价方法，进而为城市网络安全体系改进和城市管理部门决策提供科学、合理的支撑。本文件提出的城市网络安全评价指标，是一个逐级展开的三层指标体系框架，其中一级指标设定了政策规范实施、风险控制、网络安全文化、研究创新和发展协同，规定了城市网络安全评价的主要维度；二级指标设定了对应一级指标的基本要素；三级指标对应二级指标的具体评估内容和要求。本文件旨在为县级行政区和地级市开展相关工作提供参考。在实际应用中，可根据实际业务进行调整，具体包括：确定评价范围、决定开展全面评估还是局部评估，以及对考核内容和权重进行调整等，以符合当前城市状况和当地网络安全建设战略。数字政府城市网络安全评价指标体系1范围本文件给出了城市网络安全评价指标体系的基本原则、政策规范实施、风险控制、网络安全文化、研究创新、发展协同等内容。本文件适用于城市网络安全评价工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T36637-2018信息安全技术ICT供应链安全风险管理指南3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1城市网络安全cityCybersecurity整个城市包括政府、机构和个人在内的主要实体，在网络空间中所面对的风险和应对状况。3.2监测monitoring通过部署探针，收集城市重要资产的安全状况。3.3评价evaIuate采集指标体系相关数据，通过专家评估或分析计算，得出反映现实状况的结果。3.4信息技术应用创新产业informationtechnoIogyappIicationinnovationindustry以信息技术产业为根基，通过科技创新，构建国内信息技术产业生态体系，简称信创。4缩略语下列缩略语适用于本文件。ICT：信息与通信技术(Informationandcommunicationstechnology)PC：个人计算机(PerSemaIcomputer)APP：移动互联网应用程序(APPliCatiOn)5基本原则城市网络安全评价指标体系的确立主要符合以下原则：a）全面性一一覆盖城市网络安全体系的组织、管理、技术、运行和社会基础等方面；b）代表性一一有效刻画城市网络安全体系能力和状态的特定维度和方面；c）可比性一一不同城市和城市不同阶段都可根据指标进行科学比较；d）可考核性一一通过访谈、检查、测试和监测等多种手段实现可靠、科学的收集历史和当前数据，进而开展综合评价，评价方法可参考附录A,评价细则可参考附录B；e）可扩展性一一根据实际发展情况对指标体系框架进行修订；f）前瞻性一一体现城市网络安全防护发展趋势，引导城市网络安全体系建设、运行与调整。6政策规范实施6. 1基本制度规范实施通过相关工作制度、工作流程及规范，统筹与推进国家网络安全等级保护制度、关键信息基础设施保护制度、应急管理制度等法律法规规定要求的制度，并统筹各类安全审查制度，在财力、物力、人力等方面多维度保障制度规范实施。6.2 等级保护制度实施6.3 .1定级备案根据国家网络安全等级保护制度相关要求，组建专家团队，主导定级备案工作，为区域各单位定级，保障定级备案工作覆盖全区所有单位及重点业务。6. 2.2测评整改根据国家网络安全等级保护制度相关要求，监管测评机构参考GB/T28448-2019开展网络安全测评工作，在安全建设与自查整改中提供技术指导和专家人员支持。6.3 关键信息基础设施保护实施6. 3.1识别认定各保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并组织认定本行业、本领域的关键信息基础设施。7. 3.2安全监督指导监督运营者在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性，并采取必要措施，优先保障能源、电信等关键信息基础设施安全运行。8. 3.3自主可控为关键信息基础设施信息化工作的信创工作提供必要的政策、资金支持，鼓励保护工作部门有序实施信创工程。6.4 .1ICT供应链安全审查指导监督区域重要系统或关键信息基础设施ICT供应链安全管理工作，通过专业工作小组按照GB/T36637-2018要求定期检查ICT供应链安全风险管理过程与控制措施情况。6.4.2 政府采购安全审查采取必要的措施，保证政府采购计划、采购活动及信息化运维过程的网络安全持续投入，通过项目评审及专业的工作小组定期检查安全投入情况。6.4.3 外资并购安全审查为外资并购提供政策与流程支持，监测外资并购活动可能产生的风险，通过专业的工作小组定期评估外资并购活动风险。6.4.4 信息安全相关审查组织专业队伍评估区域采购的关键网络产品和服务安全风险，对发生重大安全事故的单位，展开强制安全审查工作。6. 5应急管理实施7. 5.1应急预案结合区域网络安全环境，制定区域化的网络安全应急预案，并监督区域各单位制定各自应急预案。6.5.2演习演练定期组织演练，检验和完善预案，提高实战能力，并记录演练情况。7风险控制7. 1网络犯罪控制7.1.1 网络犯罪防范针对网络犯罪危害情况，建立与完善城市网络犯罪防范体系，对网络犯罪进行预警、阻断和劝阻，并与上级或其他公安机关协同防范。7. 1.2网络犯罪打击针对网络犯罪手段情况，建立城市网络犯罪打击体系，对网络犯罪进行侦查、研判和溯源，并建立联合侦办机制。7. 2威胁和漏洞通报8. 2.1威胁预警建立网络安全威胁预警机制，构建与维护威胁情报库，及时发布威胁信息。9. 2.2漏洞披露建立漏洞披露机制，构建漏洞库和漏洞披露机制，定期向社会发布漏洞、危害、修补措施等信息，推动区域内漏洞的修复。7.3事件监测、评估与响应7.3.1事件监测建立网络安全事件监测机制，成立专项工作组和专业监测技术团队，制定与执行事件的监测和报送流程。7.3.2事件评估建立网络安全事件评估机制，成立专项工作组和安全事件研判团队，对安全事件中发现的威胁信息进行关联分析，给出评估结论。7.3.3事件响应建立网络安全事件应急响应机制，制定城市网络安全事件的管理制度和处置流程，并组建相关技术团队和平台支撑相关事件响应活动。7.4信息共享7.4.1威胁情报共享建立网络安全威胁情报共享机制，导入城市网络安全威胁流量监测数据，规范威胁情报的收集、存储与分发，及时发布最新的威胁情报。7.4.2安全大数据共享建立网络安全大数据共享机制，规范安全大数据的采集、存储、分析与分发，支撑城市网络风险控制。7.5城市整体防护7.5.1测绘与资产管理建立网络安全测绘与资产管理机制，通过测绘掌握城市网络空间资产清单，明晰城市网络安全防护范围。7.5.2网络安全状态监测对于城市重要信息资源，从个人、组织和城市三个角度开展城市网络安全状态监测，综合感知与分析暴露在互联网上的个人终端、网站、APP和重要系统所遭遇的主要网络攻击情况。7.5.3体系建设与运行建立城市网络安全防护体系，统筹与协同城市各政府部门、各机构和社会力量，有序应对重大网络安全事件与威胁。7.5.4基础设施建设建立城市网络安全基础设施，组建安全专家团队运营各项网络安全基础设施，支撑各项城市网络安全风险控制的开展与落实。7.6数据安全7.6.1数据分类分级建立数据分类分级管理制度，制定相关方案与措施，推进数据排查和安全治理。7.6.2数据安全保护建立不同数据处理活动的安全保护机制，制定与执行数据保护和应急响应的方案与措施，并开展相关宣传与培训。7.6.3数据安全流通建立数据安全流通机制，制定与执行数据安全流通、数据出入境的管理制度与措施，并通过技术平台提供保障。7.6.4数据安全应用建立数据安全应用机制，建设大数据安全计算平台，组织与开展数据安全审计。8网络安全文化8.1网络安全宣传与活动8.1.1网络安全宣传区域监管单位和组织机构在政务、法治、金融、电信、科技、重点人群、个人信息等方面，开展各类网络安全宣传工作。8.1.2网络安全活动区域监管单位和组织机构定期开展网络安全技术交流、攻防演练、人才选拔、生态合作等活动。8.2网络安全报送机制8.2.1安全威胁报送区域监管单位制定报送机制，推动个人与组织机构关于网络安全威胁与危害信息报送的规范化和制度化。8.2.2安全事件报送