资源描述:
《DB3205∕T 1042-2022 数字政府 城市网络安全评价指标体系(苏州市)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
ICS35.020CCSA90DB3205苏州市地方标准DB3205/T1042—2022数字政府城市网络安全评价指标体系Digitalgovernment-Citycybersecurityevaluationindexsystem2022-08-19发布2022-08-26实施苏州市市场监督管理局发布
1
2DB3205/T1042—2022目次前言.......................................................................................................................................................................II引言.....................................................................................................................................................................III1范围...................................................................................................................................................................12规范性引用文件...............................................................................................................................................13术语和定义.......................................................................................................................................................14缩略语...............................................................................................................................................................15基本原则...........................................................................................................................................................26政策规范实施...................................................................................................................................................26.1基本制度规范实施...............................................................................................................................26.2等级保护制度实施...............................................................................................................................26.3关键信息基础设施保护实施...............................................................................................................26.4安全审查制度实施...............................................................................................................................26.5应急管理实施.......................................................................................................................................37风险控制...........................................................................................................................................................37.1网络犯罪控制.......................................................................................................................................37.2威胁和漏洞通报...................................................................................................................................37.3事件监测、评估与响应.......................................................................................................................47.4信息共享...............................................................................................................................................47.5城市整体防护.......................................................................................................................................47.6数据安全...............................................................................................................................................58网络安全文化...................................................................................................................................................58.1网络安全宣传与活动...........................................................................................................................58.2网络安全报送机制...............................................................................................................................58.3网络安全人才培养...............................................................................................................................59研究创新...........................................................................................................................................................69.1网络安全创新投资...............................................................................................................................69.2网络安全创新环境...............................................................................................................................69.3网络安全创新水平...............................................................................................................................610发展协同.........................................................................................................................................................610.1网络安全产业发展.............................................................................................................................610.2政企合作.............................................................................................................................................710.3跨城市合作.........................................................................................................................................710.4网络安全市场.....................................................................................................................................7附录A(资料性)评价方法原理........................................................................................................................8附录B(资料性)评价细则..............................................................................................................................10参考文献...............................................................................................................................................................18I
3DB3205/T1042—2022前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件由苏州市市委网信办、苏州市公安局提出。本文件由苏州市公安局归口。本文件起草单位:苏州市公安局、国家计算机网络与信息安全管理中心江苏分中心、苏州市质量和标准化院、三六零科技集团有限公司、北京鸿腾智能科技有限公司、苏州如意云网络科技有限公司、北京天云海数技术有限公司、北京信息科技大学。本文件主要起草人:李晶、庄唯、袁欣、厉白、高威、朱泽洲、赵云、顾弘、周文渊、高昕、许蔓舒、何宛罄、姚一楠、张彬哲、王志威、张记卫、罗冬雪、张欣艺、钱国祥、李冬月、薛陈根、金临耘。本文件为首次发布。
4DB3205/T1042—2022引言从世界范围看,日益突出的网络安全威胁和风险,对组织机构和公共设施的危害日益严重,进而阻碍城市正常运转,甚至瘫痪城市运作。城市正在成为网络威胁的受害者,评价数字化时代城市发展与安全建设,是世界各国共同面对的一个难题。因此,对城市进行网络安全评价,全面掌握城市网络安全的状况和存在的问题,是保障城市网络安全的前提,也是支撑城市正常运行的基础。本文件对城市网络安全评价指标体系进行标准化设计,构建合理的评价指标体系框架,从多维度反映城市网络安全体系的能力和运行状态,并形成与之匹配的、具备可操作性的评价方法,进而为城市网络安全体系改进和城市管理部门决策提供科学、合理的支撑。本文件提出的城市网络安全评价指标,是一个逐级展开的三层指标体系框架,其中一级指标设定了政策规范实施、风险控制、网络安全文化、研究创新和发展协同,规定了城市网络安全评价的主要维度;二级指标设定了对应一级指标的基本要素;三级指标对应二级指标的具体评估内容和要求。本文件旨在为县级行政区和地级市开展相关工作提供参考。在实际应用中,可根据实际业务进行调整,具体包括:确定评价范围、决定开展全面评估还是局部评估,以及对考核内容和权重进行调整等,以符合当前城市状况和当地网络安全建设战略。III
5
6DB3205/T1042—2022数字政府城市网络安全评价指标体系1范围本文件给出了城市网络安全评价指标体系的基本原则、政策规范实施、风险控制、网络安全文化、研究创新、发展协同等内容。本文件适用于城市网络安全评价工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件,不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T25069信息安全技术术语GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T36637-2018信息安全技术ICT供应链安全风险管理指南3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1城市网络安全citycybersecurity整个城市包括政府、机构和个人在内的主要实体,在网络空间中所面对的风险和应对状况。3.2监测monitoring通过部署探针,收集城市重要资产的安全状况。3.3评价evaluate采集指标体系相关数据,通过专家评估或分析计算,得出反映现实状况的结果。3.4信息技术应用创新产业informationtechnologyapplicationinnovationindustry以信息技术产业为根基,通过科技创新,构建国内信息技术产业生态体系,简称信创。4缩略语下列缩略语适用于本文件。ICT:信息与通信技术(Informationandcommunicationstechnology)PC:个人计算机(Personalcomputer)APP:移动互联网应用程序(Application)1
7DB3205/T1042—20225基本原则城市网络安全评价指标体系的确立主要符合以下原则:a)全面性——覆盖城市网络安全体系的组织、管理、技术、运行和社会基础等方面;b)代表性——有效刻画城市网络安全体系能力和状态的特定维度和方面;c)可比性——不同城市和城市不同阶段都可根据指标进行科学比较;d)可考核性——通过访谈、检查、测试和监测等多种手段实现可靠、科学的收集历史和当前数据,进而开展综合评价,评价方法可参考附录A,评价细则可参考附录B;e)可扩展性——根据实际发展情况对指标体系框架进行修订;f)前瞻性——体现城市网络安全防护发展趋势,引导城市网络安全体系建设、运行与调整。6政策规范实施6.1基本制度规范实施通过相关工作制度、工作流程及规范,统筹与推进国家网络安全等级保护制度、关键信息基础设施保护制度、应急管理制度等法律法规规定要求的制度,并统筹各类安全审查制度,在财力、物力、人力等方面多维度保障制度规范实施。6.2等级保护制度实施6.2.1定级备案根据国家网络安全等级保护制度相关要求,组建专家团队,主导定级备案工作,为区域各单位定级,保障定级备案工作覆盖全区所有单位及重点业务。6.2.2测评整改根据国家网络安全等级保护制度相关要求,监管测评机构参考GB/T28448-2019开展网络安全测评工作,在安全建设与自查整改中提供技术指导和专家人员支持。6.3关键信息基础设施保护实施6.3.1识别认定各保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并组织认定本行业、本领域的关键信息基础设施。6.3.2安全监督指导监督运营者在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性,并采取必要措施,优先保障能源、电信等关键信息基础设施安全运行。6.3.3自主可控为关键信息基础设施信息化工作的信创工作提供必要的政策、资金支持,鼓励保护工作部门有序实施信创工程。6.4安全审查制度实施2
8DB3205/T1042—20226.4.1ICT供应链安全审查指导监督区域重要系统或关键信息基础设施ICT供应链安全管理工作,通过专业工作小组按照GB/T36637-2018要求定期检查ICT供应链安全风险管理过程与控制措施情况。6.4.2政府采购安全审查采取必要的措施,保证政府采购计划、采购活动及信息化运维过程的网络安全持续投入,通过项目评审及专业的工作小组定期检查安全投入情况。6.4.3外资并购安全审查为外资并购提供政策与流程支持,监测外资并购活动可能产生的风险,通过专业的工作小组定期评估外资并购活动风险。6.4.4信息安全相关审查组织专业队伍评估区域采购的关键网络产品和服务安全风险,对发生重大安全事故的单位,展开强制安全审查工作。6.5应急管理实施6.5.1应急预案结合区域网络安全环境,制定区域化的网络安全应急预案,并监督区域各单位制定各自应急预案。6.5.2演习演练定期组织演练,检验和完善预案,提高实战能力,并记录演练情况。7风险控制7.1网络犯罪控制7.1.1网络犯罪防范针对网络犯罪危害情况,建立与完善城市网络犯罪防范体系,对网络犯罪进行预警、阻断和劝阻,并与上级或其他公安机关协同防范。7.1.2网络犯罪打击针对网络犯罪手段情况,建立城市网络犯罪打击体系,对网络犯罪进行侦查、研判和溯源,并建立联合侦办机制。7.2威胁和漏洞通报7.2.1威胁预警建立网络安全威胁预警机制,构建与维护威胁情报库,及时发布威胁信息。7.2.2漏洞披露3
9DB3205/T1042—2022建立漏洞披露机制,构建漏洞库和漏洞披露机制,定期向社会发布漏洞、危害、修补措施等信息,推动区域内漏洞的修复。7.3事件监测、评估与响应7.3.1事件监测建立网络安全事件监测机制,成立专项工作组和专业监测技术团队,制定与执行事件的监测和报送流程。7.3.2事件评估建立网络安全事件评估机制,成立专项工作组和安全事件研判团队,对安全事件中发现的威胁信息进行关联分析,给出评估结论。7.3.3事件响应建立网络安全事件应急响应机制,制定城市网络安全事件的管理制度和处置流程,并组建相关技术团队和平台支撑相关事件响应活动。7.4信息共享7.4.1威胁情报共享建立网络安全威胁情报共享机制,导入城市网络安全威胁流量监测数据,规范威胁情报的收集、存储与分发,及时发布最新的威胁情报。7.4.2安全大数据共享建立网络安全大数据共享机制,规范安全大数据的采集、存储、分析与分发,支撑城市网络风险控制。7.5城市整体防护7.5.1测绘与资产管理建立网络安全测绘与资产管理机制,通过测绘掌握城市网络空间资产清单,明晰城市网络安全防护范围。7.5.2网络安全状态监测对于城市重要信息资源,从个人、组织和城市三个角度开展城市网络安全状态监测,综合感知与分析暴露在互联网上的个人终端、网站、APP和重要系统所遭遇的主要网络攻击情况。7.5.3体系建设与运行建立城市网络安全防护体系,统筹与协同城市各政府部门、各机构和社会力量,有序应对重大网络安全事件与威胁。7.5.4基础设施建设建立城市网络安全基础设施,组建安全专家团队运营各项网络安全基础设施,支撑各项城市网络安全风险控制的开展与落实。4
10DB3205/T1042—20227.6数据安全7.6.1数据分类分级建立数据分类分级管理制度,制定相关方案与措施,推进数据排查和安全治理。7.6.2数据安全保护建立不同数据处理活动的安全保护机制,制定与执行数据保护和应急响应的方案与措施,并开展相关宣传与培训。7.6.3数据安全流通建立数据安全流通机制,制定与执行数据安全流通、数据出入境的管理制度与措施,并通过技术平台提供保障。7.6.4数据安全应用建立数据安全应用机制,建设大数据安全计算平台,组织与开展数据安全审计。8网络安全文化8.1网络安全宣传与活动8.1.1网络安全宣传区域监管单位和组织机构在政务、法治、金融、电信、科技、重点人群、个人信息等方面,开展各类网络安全宣传工作。8.1.2网络安全活动区域监管单位和组织机构定期开展网络安全技术交流、攻防演练、人才选拔、生态合作等活动。8.2网络安全报送机制8.2.1安全威胁报送区域监管单位制定报送机制,推动个人与组织机构关于网络安全威胁与危害信息报送的规范化和制度化。8.2.2安全事件报送区域监管单位制定报送机制,推动个人与组织机构关于网络安全事件信息报送的规范化和制度化。8.3网络安全人才培养8.3.1网络安全人才教育在公共教育、中小学教育和高等教育等方面推动网络安全人才培养的开展。8.3.2网络安全专业培训区域监管单位、政府部门和组织机构针对城市网络安全治理和产业安全发展需求,开展各类网络安全专业人才的培养。5
11DB3205/T1042—20229研究创新9.1网络安全创新投资9.1.1政府网络安全创新加强在网络安全技术研究、标准研制、示范推进等方面的投入力度。9.1.2高等院校网络安全创新加强在网络安全科研、重点技术、人才培养等方面的投入力度。9.1.3企业网络安全创新当地各类企业加强在网络安全产品研发、技术创新、场景研究等方面的投入力度。9.2网络安全创新环境9.2.1网络安全创新政策制定和落实针对网络安全产品创新、技术创新、应用创新等方面促进政策的制定与落实。9.2.2网络安全公共服务平台和创新基地推动创新基地和公共服务平台的建设、运营和成果输出。9.2.3网络安全创新人才队伍逐步优化网络安全技术科研、工程应用、安全开发人才队伍的数量、区域分布、产业分布、变化趋势等情况。9.2.4网络安全技术创新服务体系推动政府、企业、学校、产业一体化进行协同创新工作机制的建立和运行。9.3网络安全创新水平9.3.1科研成果数量与质量推进网络安全科研,并反映在成果数量、成果类别、成果转化、产业促进等方面的情况。9.3.2网络安全新兴技术标准在网络安全新兴技术领域,建立标准体系,推动技术和产品的市场化水平。10发展协同10.1网络安全产业发展10.1.1产业规划根据区域优势,扶持重点网络安全技术产业,结合新兴技术特征制定网络安全与信息化产业发展政策及政策实施细则。6
12DB3205/T1042—202210.1.2激励机制统筹规划,加大投入,在网络安全与信息化产业创新、应用示范、园区发展、人才引进、人才培养等多方面采取激励措施,大力促进区域网络安全与信息化产业高质量发展。10.2政企合作10.2.1合作框架在技术研究、产业落地、人才培养等多领域为政企合作提供政策与流程支持。10.2.2支撑力量建立分级分类的支撑性力量目录,提升区域网络安全防御与应急响应能力。10.3跨城市合作10.3.1城市间合作联合其他同级行政单位在产业发展、支撑性力量等领域展开合作,优化网络安全生态。10.3.2跨区域活动鼓励区域机关、高校、研究单位及其他机构在网络安全防御、检测、响应等领域共同协作与研究,并提供响应的政策与激励措施,提升网络安全保障能力。10.4网络安全市场10.4.1技术市场环境加大投入,支持网络安全技术的研究开发和应用,推广安全可信的网络产品,保护网络技术知识产权,支持并鼓励本地企业、研究机构和高等学校等参与国家网络安全技术创新项目。10.4.2网络安全服务统筹规划,积极投入,推进网络安全社会化服务体系建设,鼓励企业、机构在区域开展网络安全认证、检测和风险评估等安全服务。10.4.3供应链安全统筹并推进区域重要系统或关键信息基础设施供应链安全管理工作,在供应链风险评估、供应商选择上提供技术支持。7
13DB3205/T1042—2022附录A(资料性)评价方法原理A.1概述城市网络安全评价采用权重分值计算方式进行评价。根据评估目标,分析城市在政策规范实施、风险控制、网络安全文化、研究创新和发展协同等方面的实际情况,并根据所选择的城市网络安全评价指标体系框架的应用场景确定城市网络安全评价的指标和权重。其中,指标的权重可依据对城市网络安全评价的定位和用途进行调整。A.2评价场景全面评价,直接参照城市网络安全评价指标体系框架的各级指标,协同主要部门和企业开展相关指标的评价。专项评价,选择城市网络安全评价指标体系框架中一个或多个一级指标作为评价范围,协同主要部门组织开展相关下级指标的评价。阶段评价,将城市网络安全评价指标体系框架分成若干阶段,可根据城市安全建设重点或难易程度划分每个阶段的评价范围,并制定计划推进各阶段评估。注:以上各类评价应用场景都可根据本地实际情况进行考核项的内容和权重调整,以符合本地网络安全建设战略。A.3计算逻辑整体计算结论用综合得分表示,综合得分通过各一级指标得出,一级指标通过二级指标权重相加,三级指标可以根据城市情形做灵活调整,是评估的最小单元,可以通过一个或多个三级指标,支撑二级指标评价。城市网络安全评价结果(M)为各项一级指标得分的加权求和,其计算公式如式(A.1)所示:�=�(�×�)…………………………(A.1)式中:M——城市网络安全评价结果;D——一级指标得分。�——一级指标权重。一级指标得分(D)为该能力子域下每项二级指标得分的加权求和,其计算公式如式(A.2)所示:�=�(�×�)…………………………(A.2)式中:D——一级指标得分;S——一级指标所属各项二级指标评分;�——二级指标权重。二级指标得分(S)为该能力子域下每项三级指标得分的算术求和,其计算公式如式(A.3)所示:�=�(�×�)…………………………(A.3)式中:S——二级指标得分;8
14DB3205/T1042—2022X——二级指标所属各项三级指标评分;�——三级指标权重三级指标得分(X)为该指标下具体要求得分的算术平均值,其计算公式如式(A.4)所示:1��=��…………………………(A.4)�1式中:X——三级指标得分;y——三级指标各项评价内容的评分,其中评价内容满足程度与评分对照表如表A.1所示;m——评价涉及的评价内容个数。表A.1评价内容满足程度与评分对照表评价内容满足程度评分全部满足1大部分满足0.8部分满足0.5不满足09
15DB3205/T1042—2022附录B(资料性)评价细则B.1评价指标细则参考附录A的评价原理,具体评价中可以使用百分制,将权重转化为各级指标的分值,简化评估过程,具体实施细则可参考表B.1的示例。针对当地网络空间的特殊领域进行评价,可根据其特殊性适当调整指标项和相应的评价内容。其中,评价内容参考公式(A.4)进行计算,得出评价内容满足程度;然后将评价内容满足程度乘以对应3级指标的分值,得出该3级指标的评价分值;最后将所有3级指标的评价分值进行求和,得出城市网络安全评价结果。表B.1评价指标细则(示例)1级指标2级指标3级指标评价内容1、制定网络安全等级保护相关安全管理制度和操作规程,包括但不限于:依据法律法规,建立专门的等级保护工作机构、工作制度、工作流程及工作规范;对于关键信息基础设施,在等级保护基础上,建立专门的工作机制。2、依据法律法规及区域特点,建立ICT供应链安全、政府采购安全、外基本制度资并购安全、信息安全等审查制度工作制度、工作流程、工作规范。规范/3、通过制度及财力、物力、人力保障各种审查工作实施,落实各类审查(3分)专业工作小组人员,并确保小组成员审查能力组成合理。4、设立专门的应急管理领导小组与管理机构,建立健全制度,并在财力、物力、人力上保障应急管理工作落实。5、建立并维护等级保护、关键信息基础设施保护、安全审查、应急管理等相关专家库,相关工作充分发挥专家价值。1、公安部门有完善的定级备案制度,对每一年度定级备案情况有详细的政策规范记录。(20分)定级备案2、定级过程中有相关专家参与,专家参与形式通过随机抽取。(2分)3、公安部门近两年开始,对区域内的云计算平台、物联网、工业控制系等级保护统、采用移动互联技术的系统形成清单,有计划完成定级备案。(4分)1、网络安全等级测评报告按照GB/T28448-2019的要求逐项进行等级测评,等级测评结果能客观反映安全保护状况,并提供准确合理、完全覆盖测评整改所有安全问题的整改建议。(2分)2、区域相关部门,为运营者等级测评中发现的安全问题整改,提供流程支持及技术指导。1、根据国家法律法规要求,制定关键信息基础设施识别范围清单,设置关键信息并管理本区域行业、领域关键信息基础设施安全保护工作部门。基础设施识别认定保护2、保护工作部门结合行业、领域实际情况,充分发挥相关专家作用,对(2分)辖区内关键信息基础设施识别,并维护各自职责范围内的关键信息基础设(6分)施资源库。10
16DB3205/T1042—2022表B.1评价指标细则(续)1级指标2级指标3级指标评价内容识别认定3、公安部门统筹并维护辖区内关键信息基础设施资源库,资源库能覆盖(2分)关键行业、领域及相关业务。1、监督关键信息基础设施运营者根据制度规范,建立健全安全保护责任关键信息安全监督制,保障关键信息基础设施安全保护的人力、财力、物力的投入。基础设施(2分)2、对关键信息基础设施施行分级分类保护策略,优先保障能源、电信及保护本区域其他重点关键信息基础设施安全运行。(6分)1、参照国家信创工作要求,统筹关键信息基础设施运营者,建立信息化自主可控工作的信创工作指标,每自然年定期对指标进行监测、监督。(2分)2、关键信息基础设施保护工作部门在本行业、本领域建立不低于国家信创要求的自主可控达成率指标,并周期性监测、监督。1、统筹、指导、监督区域重要系统或关键信息基础运营者按照GB/T36637-2018要求开展供应链安全风险评估。ICT供应链安全审查2、委派专业工作小组每财年制度评估检查运营者管理的供应商风险情况。(1分)3、根据检查评估结果,制定并完善供应商名录,形成区域供应商黑白名单名录。1、按照网络安全同步规划、同步建设、同步运行原则,要求政府采购计政府采购安全划、政府采购活动中,网络安全产品及服务占比8%及以上。审查政策规范安全审查2、统筹各单位,制定运维费用的网络安全占比基线,财政项目评审及专(1分)(20分)制度业工作小组评估政府每年运维费用中网络安全占比基线的落实情况。(4分)1、成立专业工作小组,对中国企业收购外资企业活动企业跨国收购活动外资并购安全展开网络安全、数据安全及个人信息安全等风险评估。审查2、成立专业工作小组,对外资企业收购中国企业活动展开法律法规合规(1分)性评估,并重点评估核心数据、关键数据、关键信息基础设施数据安全。1、根据信息安全和相关产品审查制度规范,评估采购的关键网络产品和信息安全相关服务可能带来的社会秩序、公共利益及国家安全风险。审查2、对发生重大安全事故的网络运营者,以书面强制开展网络安全审查,(1分)并在完成审查工作起,30个工作日内反馈审查结论。1、根据《国家网络安全事件应急预案》(中网办发文〔2017〕4号)制定区域网络安全应急预案,并统筹、监督各运营者制定响应的应急预案。应急预案2、结合区域特点,对网络安全事件进行分级,并明确处置流程与措施。(1分)3、根据网络安全事件类型、级别,统筹协调应急工作中各网络运营者、应急管理产品及服务提供者之间的分工与协作。(3分)1、统筹运营者、产品与服务提供者建立城市应急演练计划,每两年组织演习演练一次跨机构、跨领域、跨行业的应急演练,重点对关键信息基础设施实施演练。(2分)2、区域各行业、领域主管单位在本行业、领域内每年开展一次应急演练。网络犯罪1、建立城市级网络犯罪预警、阻断和劝阻在内的防范体系。风险控制网络犯罪防范控制2、建立联动机制,网络犯罪防范体系纵向与国家级及省部级相关单位紧(30分)(2分)(4分)密对接,横向与能够赋能的高校、科研机构、头部安全公司紧密对接。11
17DB3205/T1042—2022表B.1评价指标细则(续)1级指标2级指标3级指标评价内容网络犯罪1、建立城市网络犯罪侦查、研判和溯源在内的打击体系。网络犯罪打击控制2、成立由各级监管机构、电信和金融等关键企业组成的联合工作组,针(2分)(4分)对网络犯罪制定案件联合侦办机制。1、依据国家相关规范,建立本地威胁情报的存储规范、管理规范,以及城市级威胁情报库。威胁预警2、跟踪国内外权威威胁情报平台的进展情况,建立威胁情报时效性管理(2分)流程,在情报时效范围内完成城市级威胁情报库的增量更新。威胁和漏3、制订威胁预警流程,及时审核和发布威胁预警信息。洞通报1、建立与完善城市漏洞库,整合当地安全事件中的漏洞信息。(4分)2、汇总高可信应急响应平台发布的漏洞报告和软硬件缺陷预警信息,及漏洞披露时更新城市级漏洞库。(2分)3、按照国家及省内相关要求制订漏洞披露流程,定期向社会发布漏洞、危害、修补措施等信息。1、成立由各级监管机构组成的工作组,有效的组织网络安全事件监测管理工作。2、制定网络安全事件的监测和报送流程,实现跨地区、跨部门、跨行业事件监测联动,确保及时掌握职责范围内关键信息基础设施运行状况和安全风险,向有关运营者通报安全风险和相关工作信息。(2分)风险控制3、制定城市范围内监测策略、监测内容、预警分级标准、预警流程,重(30分)点对关键信息基础设施进行网络安全风险监测预警。4、组建专门从事监测预警的专业技术团队。1、成立由各级监管机构组成的工作组,有效的组织网络安全事件评估管理工作。事件监测、评估与响事件评估2、建立专门的安全事件研判团队,对网络安全事件进行分析评估,研判应(2分)事件发生的影响范围、危害程度和再次发生的可能性。(6分)3、建立安全威胁分析平台,对安全事件中发现的威胁信息进行关联,争取还原完整的攻击过程。1、建立城市网络安全事件管理制度,明确城市内网络安全事件管理的主体责任,对不同网络安全事件进行分类分级,明确制度实施过程中的审批变更流程等,并针对关键信息基础设施的应急响应做出明确的规定。事件响应2、制定城市内部的网络安全事件应急处置操作规程,明确技术方法和工具等。(2分)3、建立专门的技术团队,能够对城市内的网络安全事件进行处理。4、建立事件响应的自动化处理平台,能够快速的将危害关键业务的安全事件通报到相关组织机构,并推动相关响应活动的开展。1、成立由各级监管机构组成的工作组,规范城市内政府部门和企业的网信息共享威胁情报共享络安全威胁情报收集与汇总。(4分)(2分)2、建立城市内统一的威胁情报结构规范。12
18DB3205/T1042—2022表B.1评价指标细则(续)1级指标2级指标3级指标评价内容3、建立威胁情报共享平台,与城市内政府部门和企业进行威胁情报对接,威胁情报共享导入城市网络安全威胁流量监测数据,实现威胁情报的自动化汇聚、清洗、(2分)存储和分发。1、成立由各级监管机构组成的安全大数据协同工作组,组织城市内各部信息共享门、各行业的网络安全大数据共享管理工作。(4分)安全大数据共2、建立安全大数据平台,完成安全大数据的全生命周期管理,按照相关享规定进行网络安全大数据的采集、存储、传输和处理。(2分)3、建立专门的技术团队,能够对城市内的网络安全大数据进行深度分析,挖掘威胁信息。1、发现与识别城市范围内网络空间设施、服务和关键数据等资源,绘制测绘与资产管网络资产地图,直观展现城市网络空间的资产、状态和安全态势。理2、构建城市网络空间资产清单,并基于IT和OT资产活动的监测,及时(1分)更新清单。1、监测与综合分析城市中个人网络用户在终端上遭遇的各种主要的网络攻击情况,例如钓鱼网站、网络欺诈、其他信息假冒等。网络安全状态监测2、监测与综合分析城市中各政府部门和各企业暴露在互联网上的网站、APP和重要系统所遭遇的各种主要的网络攻击情况,例如有害程序、拒绝(1分)服务攻击、后门攻击、漏洞攻击、网络扫描窃听、信息篡改、信息泄露、城市整体信息内容安全等。防护(6分)1、具备城市网络安全整体防护体系实施方案。风险控制体系建设与运2、全面实时的监测城市内网络安全重点防护机构和设施的安全风险。行(30分)(2分)3、建立包含城市现有安全防护机制、安全大数据平台、安全专家团队、云端安全服务等在内的城市整体性网络安全防护体系。1、建设城市级网络安全基础设施,可包括但不限于威胁情报中心、地图测绘中心、漏洞管理中心、实网攻防靶场、联合指挥中心、应急响应中心基础设施建设等设施。(2分)2、配置安全专家团队对网络安全基础设施开展持续运营,以安全服务形式对城市内各部门赋能。1、按照国家数据分类分级要求和规定进行本地区和相关行业的数据分类分级管理,并围绕数据的类型和级别形成统筹推进数据保护、数据流通和数据应用的方案和措施。数据分类分级(2分)2、对城市内一般数据、重要数据、核心数据进行划分与排查。3、对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施。数据安全1、建立数据存储保护管理制度和技术保护要求。(6分)2、具备数据安全保护计划和数据安全事件应急预案。数据安全保护3、开展数据安全风险监测,协调数据安全风险和事件的处置。(2分)4、定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动。5、为城市公共数据建立成熟稳定的存储媒体和设备安全管理、备份恢复机制。13
19DB3205/T1042—2022表B.1评价指标细则(续)1级指标2级指标3级指标评价内容1、建立数据安全流通管理制度和技术保护措施。2、在数据分类分级定义的基础上,明确提出对不同类型、级别的数据的加数据安全流通密传输要求,包含对数据加密算法的要求和密钥的管理要求。(1分)风险控制数据安全3、基于可流通数据目录,建设可信的城市数据流通交易平台,保障数据(30分)(6分)标识、确权、流通、溯源等业务的开展。1、梳理城市数据应用场景,建设城市大数据安全计算平台,保障数据应数据安全应用用过程的安全性和隐私性。(1分)2、组织开展对当地重要数据处理活动的数据安全审计。1、建立网络安全宣传工作的执行机构。网络安全宣传2、制定全民网络安全宣传工作的执行方案。网络安全宣传与活(3分)3、网络安全宣传工作覆盖人群同比上升。动4、提升各类人群网络安全意识水平。(5分)网络安全活动1、开展技术交流、生态合作、人才招聘或攻防演练等各类网络安全活动。(2分)2、网络安全活动受众覆盖人群同比上升。安全威胁报送1、建立网络安全危害行为举报机制。(2分)2、落实安全威胁报送后的处理。网络安全报送机制1、建立各级单位网络安全事件的上报机制。(4分)安全事件报送2、建立部门之间针对网络安全事件的协同机制。(2分)网络安全3、落实安全事件报送后的处理。文化(15分)1、推动高等教育机构开设网络安全相关专业课程。2、网络安全相关专业应届生同比上升。网络安全人才3、打造高等院校、中小学网络安全教师队伍。教育4、建立网络安全产教融合联盟或相关协会,推动形成网络安全人才教育(3分)和企业协同工作平台。网络安全人才培养5、面向教师和学生开展网络安全意识、知识、技能和素养的培养工作。(6分)6、创造网络安全就业环境。1、支持教育机构开设网络安全相关职业培训或者认证工作。网络安全专业2、打造网络安全行业专家教师与讲师队伍。培训3、推动重点行业开展网络安全职业技能培训或认证。(3分)4、落实网络安全就业和再就业支持措施。政府网络安全创新经费支出1、为网络安全相关研发提供专项经费。网络安全研究创新(2分)创新投资(15分)(4分)高等院校网络安全创新经费1、高等院校为网络安全相关科研提供专项经费。支出(1分)14
20DB3205/T1042—2022表B.1评价指标细则(续)1级指标2级指标3级指标评价内容高等院校网络安全创新经费2、网络安全相关科研专项经费重点向技术、应用与人才培养方向倾斜。网络安全支出(1分)创新投资企业网络安全(4分)研发经费支出1、相关企业在网络安全研发方面进行有效投入,并提供一定的研发经费。(1分)网络安全创新1、出台网络安全创新激励政策,并覆盖相关领域。政策制定和落实(2分)2、制定网络安全创新政策的执行方案及效果评价方法。网络安全公共1、创建网络安全产学研的工作园区或者基地。服务平台和创2、制定网络安全公共服务平台和创新基地的工作机制。新基地网络安全(2分)3、对网络安全公共服务平台和创新基地的参与单位和成果进行评价。研究创新创新环境1、建立网络安全技术研究人才队伍,并定期对其能力进行评价。网络安全创新(15分)(7分)人才队伍2、建立网络安全工程应用人才队伍,并定期对其能力进行评价。(1分)3、建立网络安全开发人才队伍,并定期对其能力进行评价。1、带动地方配套支持,优化自主创新环境。网络安全技术创新服务体系2、提升公共服务效能,提高资源利用效益。(2分)3、促进国际交流合作,深化产学研贸结合。1、促进科学成果向产品和技术转化。科研成果数量与质量2、科学成果覆盖重点技术突破和应用领域。网络安全(2分)创新水平3、利用科研成果促进网络安全工作和社会经济发展。(4分)网络安全新兴1、制定网络安全新兴技术与应用标准工作计划。技术标准2、定期发布或更新网络安全新兴技术与应用标准。(2分)1、制定符合区域信息化战略的网络安全产业发展政策,并实施相应的市场活动。产业规划(2分)2、制定网络安全产业发展政策实施细则,并配置相应的机构、人员支持。3、每两年开展一次产业规划政策的评审和修订。1、每年投入必要的资金与其他资源,激励相关企业,尤其是本地网络安网络安全全企业,促进网络安全与信息化产业创新、应用示范。发展协同产业发展(20分)2、设立专门激励制度与实施细则,引进国内中高端网络安全人才,尤其(5分)是云计算安全、物联网安全、工业控制系统安全、大数据安全等稀缺性人激励机制才。(3分)3、布局网络安全产业园,通过税收优惠、政策补贴等方式促进园区生态发展。4、设立实施细则,鼓励企业、专业培训机构和高校展开网络安全教育与培训。15
21DB3205/T1042—2022表B.1评价指标细则(续)1级指标2级指标3级指标评价内容合作框架1、为网络安全产业招商引资提供政策指引。(2分)2、为网络安全培训本地化提供政策指引。政企合作1、建立城市网络安全支撑力量与政策规范。(5分)支撑力量2、为政策落地提供主管机构、主管人员等支持。(3分)3、对支撑性力量名录进行分类分级。1、联合两个及以上城市在网络安全产业发展、产业互补协作等方面,共同出台相关政策、实施指引及落地标准。城市间合作2、联合两个及以上城市,探讨城市安全防御、检测及响应互助,在支撑(3分)性力量领域展开合作,并出台相关权责细则。跨城市合作3、与其他城市在产业合作、支撑性力量等领域合作上已经取得一定成效。发展协同(5分)(20分)1、为跨区域的网络安全信息交换提供政策与技术支持,交换对当前区域跨区域活动经济生活造成影响的安全事件、威胁信息、漏洞信息等。(2分)2、为跨区域协同推进风险评估、应急响应及网络安全演习演练提供政策与技术支持。1、支持本地企业网络安全技术的研究开发和应用,明确保护网络技术知技术市场环境识产权实施细则。(2分)2、支持本地企业、高校及科研机构参与国家网络安全科研项目、课题。网络安全1、政府采购活动中,支持必要的网络安全服务活动。市场网络安全服务2、对网络安全服务提供商建立认证和管理,帮助机构选择合适的服务提(5分)(2分)供商。供应链安全1、为网络安全技术和服务采购的供应链安全提供政策和工作流程支持。(1分)2、推动机关、事业单位、企业等机构实施供应链安全管理。注1:表格中的1级、2级指标不应做调整。注2:表格中的3级目录建议不做调整。注3:表格中的评价内容可以根据需求做剪裁或调整,如果剪裁,建议提供剪裁理由。B.2评价结果判定将城市网络安全评价结果设为四级:差、合格、良好、优秀。针对评价得分,依据表B.2判断出当前城市网络安全评价的等级。表B.2城市网络安全评价得分与等级判定得分区间城市网络安全评价等级0分-60分差60分-75分(含60分)合格75分-85分(含75分)良好85分以上(含85分)优秀16
22DB3205/T1042—2022B.3改进与提升评价活动结束后,针对评估结果与预期状态之间存在的差距,结合实际情况,研判改进与提升措施,而评估结果可作为决策支撑材料。17
23DB3205/TXXX-2021参考文献[1]GB/T20984-2007信息安全技术信息安全风险评估规范[2]GB/T20985.1-2017信息技术安全技术信息安全事件管理第1部分:事件管理原理[3]GB/T20985.2-2020信息技术安全技术信息安全事件管理第2部分:事件响应规划和准备指南[4]GB/Z20986-2007信息安全技术信息安全事件分类分级指南[5]GB/T22239-2008信息安全技术信息系统安全等级保护基本要求[6]GB/T28448-2019信息安全技术网络安全等级保护测评要求[7]GB/T30276-2020信息安全技术网络安全漏洞管理规范[8]GB/T36635-2018信息安全技术网络安全监测基本要求与实施指南[9]GB/T37988-2019信息安全技术数据安全能力成熟度模型[10]GB/T38645-2020信息安全技术网络安全事件应急演练指南[11]中华人民共和国网络安全法(中华人民共和国主席令第53号)2016年11月7日通过[12]中华人民共和国数据安全法(中华人民共和国主席令第84号)2021年6月10日通过[13]中华人民共和国个人信息保护法(中华人民共和国主席令第91号)2021年8月20日通过[14]关键信息基础设施安全保护条例(中华人民共和国国务院令第745号)2021年4月27日通过[15]网络安全审查办法2021年11月16日通过18
