1 范围
本文件给出了广东省数字政府网络安全指数指标体系框架、指标描述和评价方法。本文件适用于广东省内各地级及以上城市数字政府网络安全评估,可为其他地区数字政府网络安全评估提供参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 39786—2021 信息安全技术信息系统密码应用基本要求
GB/T 38645—2020 信息安全技术网络安全事件应急演练指南
GB/T 22239—2019 信息安全技术网络安全等级保护基本要求
GB/T 28448—2019 信息安全技术网络安全等级保护测评要求
GB/T 29246—2017 信息技术安全技术信息安全管理体系概述和词汇
GB/T 35274—2017 信息安全技术大数据服务安全能力要求
GB/Z 20986—2007 信息安全技术信息安全事件分类分级指南
3 术语和定义
GB/T 39786—2021、GB/T 38645—2020、GB/T 22239—2019、GB/T 28448—2019、GB/T 29246—2017、
GB/T 35274—2017、GB/Z 20986—2007 界定的术语和定义适用于本文件。为了便于使用,以下重复列出了某些术语和定义。
3.1
数字政府网络安全评估digital government cybersecurity assessment为核查数字政府网络安全保障工作开展情况及验证保障效果的有效性而开展的一系列评价活动。
3.2
数字政府网络安全指数指标体系indicator system of digital government cybersecurity index为实现对地区数字政府网络安全态势的客观评估,从安全管理、安全建设、安全运营和安全效果4个方面设定的一系列评价指标的集合。
3.3
数字政府网络安全指数digital government network security index在数字政府网络安全评估活动中,根据数字政府网络安全指数指标体系,量化得出的数字化指数。
3.4
重要数据important data与国家安全、经济发展和社会公共利益密切相关的数据。[GB/T 35274—2017,定义3.13]
3.5
部门覆盖率department coverage ratio被评估地市中开展指标体系中某项评估内容相关工作的部门数量与部门总数量之比。
4 指标体系
4.1 指标层级
广东省数字政府网络安全指数指标体系包括一级指标、二级指标、评价内容三个层级。一级指标和二级指标相对固定,评价内容可根据防护需求和防护重点进行扩展或删减。
指标层级结构见图1。
图1 指标层级结构
4.2 指标体系框架
一级指标是基于数字政府网络安全保障工作基本要求设计,二级指标是按照一定的准则对一级指标进行分析和分解。
一级指标包括安全管理指标、安全建设指标、安全运营指标、安全效果指标,其中安全管理指标包含战略、标准规范、组织、人员管理、安全投入等管理保障措施方面的二级指标;安全建设指标包括网络安全等级保护、关键信息基础设施保护、数据安全保护、个人信息保护、密码应用等技术保障措施方面的二级指标;安全运营指标包含信息资产管理、日常安全运维、安全监测、应急处置、安全检查、安全审计等运行保障能力方面的二级指标;安全效果指标包含网络环境安全、安全漏洞、安全事件、专项工作等安全保障效果方面的二级指标。
广东省数字政府网络安全指数指标体系框架见图2。
5 指标描述和评价方法
5.1 安全管理指标
5.1.1 概述
安全管理指标用于评价地区数字政府网络安全管理措施是否充分、适宜,包含安全战略规划、安全标
准规范、安全管理组织、人员安全管理、安全投入以及供应链安全管理6 个二级指标。
5.1.2 安全战略规划
——指标描述
安全战略规划主要指地区数字政府网络安全主管部门制定的统领本地区数字政府网络安全建设的发
展战略、中长期发展计划等指导性文件。安全战略规划指标主要评价:
a)网络安全战略方针、战略目标的明确程度。
b)网络安全规划制定及实施情况。
——评价方法
a)调研地区是否制定网络安全工作的总体方案,明确战略方针和目标。
b)调研地区是否制定并发布了网络安全规划及实施方案。
5.1.3 安全标准规范
——指标描述
安全标准规范是指地区及部门发布的网络安全标准规范、管理制度、行业指引等。安全标准规范指标
主要评价:
a)数字政府网络安全行业指引制定情况。
b)数字政府网络安全标准规范制定情况。
c)数字政府网络安全管理制度制定情况。
——评价方法
a)调研地区是否制定并发布了网络安全行业指引。
b)调研地区是否制定并发布了网络安全标准规范。
附录
34
c)统计地区制定网络安全管理体系的部门覆盖率。
5.1.4 安全管理组织
——指标描述
网络安全管理组织是指地区及部门负责管理与协调数字政府网络安全相关工作或具备网络安全管理
职责的部门,可以是网络安全领导小组,以及数字政府相关负责网络安全保障工作的部门或组织等。安全
管理组织指标主要评价:
a)网络安全管理组织的健全性。
b)数据安全负责人和管理机构明确程度。
c)数字政府相关参与方网络安全工作责任的明晰程度。
d)部门内部业务处(科)室与安全管理处(科)室的安全职责分工的明晰程度。
e) 网络安全管理人员配备情况。
f) 网络安全管理人员职责分工明确程度。
g)网络安全专家队伍和智库机构的建设情况。
——评价方法
a)统计成立网络安全领导小组的部门覆盖率。
b)统计明确数据安全负责人和管理机构的部门覆盖率。
c)调研地区政务服务数据管理部门是否制定并发布政务外网网络安全管理办法,并明确各相关参与
方职责分工。
d)统计已明确部门内部业务处(科)室与安全管理处(科)室的安全职责分工的部门覆盖率。
e)统计拥有专职安全管理人员的部门覆盖率。
f)调研地区政务服务数据管理部门是否明确安全岗位职责及人员分工。
g)调研地区政务服务数据管理部门是否组建了网络安全专家队伍和智库机构。
5.1.5 人员安全管理
——指标描述
人员安全管理是指地区及部门数字政府管理、建设、运维、运营部门及相关服务机构工作人员的安全
管理。人员安全管理指标主要评价:
a)安全意识、安全技能教育、培训和宣传工作开展情况。
b)安全考核与奖惩工作开展情况。
c)供应商人员的背景调查、保密协议签订、安全培训教育等安全管理情况。
——评价方法
a)统计地区参加省政务服务数据管理部门组织的网络安全培训的学习及效果评价情况、地区政
务服务数据管理部门组织开展的安全意识、安全技能教育和培训的次数、地区开展全员网络安全宣传
活动的次数。
b)统计地区开展安全考核与奖惩工作的部门覆盖率。
c)统计地区落实供应商人员签订保密协议的部门覆盖率、地区开展供应商人员安全培训教育的部门
覆盖率。
5.1.6 安全投入
——指标描述
安全投入是指地区数字政府开展网络安全管理、建设、运维等相关工作的经费投入。安全投入指标主
要评价:
a) 新建信息化项目的网络安全预算情况。
b)安全日常运维、教育培训、安全防护加固、风险评估、升级运维、应急处置等网络安全保障工作
经费落实情况。
——评价方法
a)统计地区新建政务信息化项目网络安全建设投资占比。
附录
35
b)统计地区采购安全日常运维服务的部门覆盖率、地区采购安全教育培训服务的部门覆盖率、地区
采购安全防护加固服务的部门覆盖率、地区采购安全风险评估服务的部门覆盖率、地区采购安全升级运维
服务的部门覆盖率、地区采购安全应急处置服务的部门覆盖率。
5.1.7 供应链安全管理
——指标描述
供应链安全管理是地区及部门数字政府咨询、设计、集成、运维、测评、改进等各环节供应商及采购
的产品或服务的安全管理情况。供应链安全管理指标主要评价:
a)供应链风险评估开展情况。
b)采购的产品和服务是否符合国家相关安全规定。
c)供应商安全职责是否明确。
d)供应商服务安全监控和审计机制建立及执行情况。
e)供应商的安全评价机制建立及执行情况。
——评价方法
a)统计地区开展供应链风险评估的部门覆盖率。
b)统计地区采购的产品和服务符合国家相关安全规定的部门覆盖率。
c)统计地区明确供应商安全职责的部门覆盖率。
d)统计地区建立供应商服务安全监控和审计机制的部门覆盖率。
e)统计地区建立供应商安全评价机制的部门覆盖率。
5.2 安全建设指标
5.2.1 概述
安全建设指标用于评价地区数字政府网络安全技术措施是否完备,包含网络安全等级保护、关键信息
基础设施保护、数据安全保护、个人信息保护、密码应用以及安全服务支撑体系6 个二级指标。
5.2.2 网络安全等级保护
——指标描述
网络安全等级保护指标是数字政府重要信息系统落实国家和地方网络安全等级保护相关要求的情况。
主要评价:
a)政务信息系统等级保护定级备案情况。
b)政务信息系统等级保护测评及整改情况。
c)政务信息系统上线前安全测评落实情况。
d)政务外网分区防御、内部逻辑隔离、互联网出口安全管控等安全技术要求落实情况。
——评价方法
a)统计地区政务信息系统定级备案的比例。
b)统计地区政务信息系统通过等保测评的比例。
c)统计地区政务信息系统上线前开展安全测评的比例。
d)统计地区落实政务外网分区防御的部门覆盖率、地区落实政务外网内部逻辑隔离的部门覆盖率、
地区落实互联网出口安全管控的部门覆盖率。
5.2.3 关键信息基础设施保护
——指标描述
关键信息基础设施保护指标是数字政府重要信息系统落实国家和地方关键信息基础设施保护相关要
求的情况。主要评价:
a)关键信息基础设施清单建立情况。
b) 关键信息基础设施边界防护技术、访问控制、容灾备份建设等重要安全技术要求落实情况。
附录
36
——评价方法
a)统计地区建立关键信息基础设施清单的部门覆盖率。
b)统计地区落实关键信息基础设施边界防护技术手段的部门覆盖率、地区落实关键信息基础设施访
问控制技术手段的部门覆盖率、地区建设关键信息基础设施容灾备份系统的部门覆盖率。
5.2.4 数据安全保护
——指标描述
数据安全保护指标是数字政府重要信息系统落实国家和地方数据安全相关要求的情况。主要评价:
a)数据分类分级标准规范的建立及执行情况。
b)重要数据目录是否准确、完整。
c)重要数据安全技术要求建设情况。
d)全流程数据安全管理制度建设情况。
e)数据安全风险评估开展情况。
f)政务数据开放共享管理机制建设情况。
g)重要政务数据安全开发管理机制建设情况。
h)重要数据的出境安全管理制度落实情况。
——评价方法
a)调研地区是否制定了政务数据分类分级指引。
b)调研地区是否建立了重要数据具体目录、地区是否建立了国家核心数据具体目录。
c)统计地区建设重要数据加密技术的部门覆盖率、地区建设重要数据脱敏技术的部门覆盖率、地区
建设重要数据防泄漏技术的部门覆盖率、地区建设数字水印技术的部门覆盖率、地区建设重要数据审计技
术的部门覆盖率、地区建设重要数据访问控制技术的部门覆盖率。
d)统计地区建立全流程数据安全管理制度的部门覆盖率、地区落实数据处理人员安全责任的部门覆
盖率。
e)统计地区定期开展数据安全风险评估的部门覆盖率。
f)统计地区建立政务数据开放共享管理机制的部门覆盖率、地区是否开展明暗网数据泄露、售卖活动
的监测。
g)统计地区建立重要政务数据安全开发管理机制的部门覆盖率。
h)统计地区落实重要数据出境安全管理制度的部门覆盖率。
5.2.5 个人信息保护
——指标描述
个人信息保护指标是数字政府重要信息系统落实国家和地方个人信息保护相关要求的情况。主要评价:
a)个人信息保护的责任部门与负责人明确情况。
b)个人信息处理的合规情况。
c)个人信息安全影响评估开展情况。
d)个人信息共享传输安全保障机制建设情况。
e)个人信息存储的安全情况。
——评价方法
a)统计地区明确个人信息保护的责任部门与人员的部门覆盖率。
b)统计地区开展个人信息处理活动时符合“权责一致”“目的明确”“选择同意”“最小必要”“公
开透明”“确保安全”“主体参与”等基本原则的部门覆盖率;统计地区符合“不超出履行法定职责所必
需的范围和限度,严格依照法律、行政法规规定的权限、程序处理个人信息”的部门覆盖率;统计地区符
合“履行法定职责处理个人信息时向个人告知并取得其同意”的部门覆盖率;统计地区符合“处理的个人
信息在中华人民共和国境内存储;确需向境外提供的,先进行风险评估”的部门覆盖率;统计地区建立个
人信息去标识化处理机制的部门覆盖率;统计地区建立个人信息公开披露机制的部门覆盖率。
c)统计地区定期开展个人信息安全影响评估的部门覆盖率、、地区开展APP 数据安全检查的部门覆
盖率。
d)统计地区共享传输个人信息时采取安全措施的部门覆盖率。
e)统计地区储存个人信息时采取安全措施的部门覆盖率。
附录
37
5.2.6 密码应用
——指标描述
密码应用指标是数字政府重要信息系统落实国家和地方密码应用相关要求的情况。主要评价:
a)密码应用保障能力建设情况。
b)新建政务信息系统密码应用情况。
c)存量系统进行密码应用改造情况。
d)密码应用安全性评估的开展情况。
——评价方法
a)调研地区是否建设配套密码应用保障能力。
b)统计地区新建政务信息系统按要求开展密码应用建设的系统占比。
c)统计地区存量政务信息系统按要求进行密码应用改造的系统占比。
d)统计地区按要求定期开展密码应用安全性评估的政务信息系统占比。
5.2.7 安全服务支撑体系
——指标描述
安全服务支撑体系是支撑数字政府网络安全规划设计、集成建设、运营运维、测试评估、整改加固等
工作的服务商、供应商的集合。主要评价:
a)网络安全咨询、设计、集成、运维、测试、风险评估(含等保、密评等)、应急处置、攻防演练
等安全服务提供商/安全服务资源池的完善程度。
b) 数字政府网络安全产业协同、合作情况。
——评价方法
a)统计地区建立网络安全咨询服务能力的部门覆盖率、地区建立网络安全设计服务能力的部门覆盖
率、地区建立网络安全集成服务能力的部门覆盖率、地区建立网络安全运维服务能力的部门覆盖率、地区
建立网络安全测评服务能力的部门覆盖率、地区建立网络安全风险评估服务能力的部门覆盖率、地区建立
网络安全攻防演练服务能力的部门覆盖率。
b)统计地区数字政府网络安全协会组织、培训教育基地、产业基地、合作项目等形式的产学研用合
作的情况。
5.3 安全运营指标
5.3.1 概述
安全运营指标用于评价数字政府网络安全保障体系在运行过程中的风险识别、安全防护、安全监测及
应急处置等能力,包含信息资产管理、日常安全运维、安全监测、应急处置、安全检查、安全审计、业务
连续性保障、安全协同8 个二级指标。
5.3.2 信息资产管理
——指标描述
信息资产管理指标是地区及部门数字政府信息系统的资产管理情况。主要评价:
a)政务信息系统清单内容的准确性、完整性。
b)政务信息系统服务端口清单的准确性。
——评价方法
a)统计地区政务信息系统清单内容准确、完整的部门覆盖率,地区明确政务信息系统责任人的部门
覆盖率,地区及时更新网络拓扑及IP 清单表的部门覆盖率。
b)统计地区建立政务信息系统服务端口及接口清单的部门覆盖率、地区掌握政务信息系统互联网暴
露面情况的部门覆盖率。
附录
38
5.3.3 日常安全运维
——指标描述
日常安全运维指标主要评价基础信息网络或重要信息系统的日常运维和安全管理的开展情况,主要评
价:
a)系统日常运维开展情况。
b)地区网络安全管理中心(SOC)建设情况。
c)地区网络安全管理中心(SOC)与省平台级联对接情况。
d)日志集中管理情况。
——评价方法
a)统计地区指定专人负责系统日常巡检工作的部门覆盖率、地区指定专人负责系统权限管理工作的部门覆盖率、地区指定专人负责系统变更管理工作的部门覆盖率、地区开展安全设备维保、规则库定期升级、安全策略定期更新等工作的部门覆盖率。
b)调研地区是否使用网络安全管理中心(SOC)。
c)调研地区网络安全管理中心(SOC)是否与省平台级联对接。
d)统计地区实现日志集中管理并妥善保存6 个月的部门覆盖率。
5.3.4 安全监测
——指标描述
网络安全监测指标主要评价网络安全日常监测及预警研判情况,主要评价:
a)全流量威胁监测分析开展情况。
b)异常行为监测开展情况。
c)失陷监测开展情况。
d)威胁情报分析开展情况。
e)欺骗防御开展情况。
f)网站防篡改开展情况。
g)数据安全风险监测开展情况。
h)主机入侵检测开展情况。
i)办公终端安全监测开展情况。
j)政务外网非法无线接入点监测开展情况。
——评价方法
a)统计地区开展全流量威胁监测分析的部门覆盖率。
b)统计地区开展异常行为监测的部门覆盖率。
c)统计地区开展失陷监测的部门覆盖率。
d)统计地区开展威胁情报分析的部门覆盖率。
e)统计地区部署欺骗性防御技术的部门覆盖率。
f)统计地区开展网站防篡改监测的部门覆盖率。
g)统计地区开展数据安全风险监测的部门覆盖率。
h)统计地区开展主机入侵检测的部门覆盖率。
i)统计地区开展办公终端安全巡检的部门覆盖率。
j)统计地区开展办公场所私架无线接入点检查的部门覆盖率。
5.3.5 应急处置
——指标描述
应急处置指标主要评价应急演练及事件处置工作的开展情况,主要评价:
a)网络安全应急预案管理情况。
b)数据安全应急预案管理情况。
c)个人信息安全事件应急预案管理情况。
d)安全事件报告情况。
e)安全事件处置情况。
f)安全事件调查评估情况。
——评价方法
a)统计地区制定网络安全应急预案的部门覆盖率、定期开展应急演练的部门覆盖率、定期开展应急预案培训的部门覆盖率。
b)统计地区制定数据安全应急预案的部门覆盖率。
c)统计地区制定个人信息安全事件应急预案的部门覆盖率。
d)统计地区安全事件及时报告的比例。
e)统计地区安全事件及时处置的比例。
f)统计地区安全事件开展调查与分析、总结与汇报的比例。
5.3.6 安全检查
——指标描述
安全检查指标主要评价基础信息网络或重要信息系统的安全漏洞和隐患管理情况,主要评价:
a)全面风险评估开展情况。
b)安全基线核查执行情况。
c)漏洞扫描开展情况。
d)渗透测试开展情况。
e)系统代码审计开展情况。
f)安全漏洞隐患整改情况。
g)应用系统开源组件安全检测开展情况。
——评价方法
a)统计地区开展网络安全全面风险评估的部门覆盖率。
b)统计地区定期执行网络安全基线核查的部门覆盖率。
c)统计地区定期开展网络安全漏洞扫描的部门覆盖率。
d)统计地区定期开展网络安全渗透测试的部门覆盖率。
e)统计地区按要求开展代码审计的部门覆盖率。
f)统计地区及时处置网络安全风险隐患的部门覆盖率。
g)统计地区开展应用系统开源组件安全检测的部门覆盖率。
5.3.7 安全审计
——指标描述
安全审计指标主要评价安全审计制度制定及执行效果。主要评价:
a)安全审计制度及审计计划的制定及执行情况。
b)安全审计人员配备情况。
c)安全策略及安全制度执行审查开展情况。
d)日志审计开展情况。
——评价方法
a)统计地区建立安全审计机制的部门覆盖率。
b)统计地区配备专职安全审计人员或采购审计服务的部门覆盖率。
c)统计地区定期开展安全策略和安全制度执行情况审查的部门覆盖率。
d)统计地区定期对日志进行审计分析的部门覆盖率,地区定期对运维管理人员日常操作进行跟踪、分析和监督检查的部门覆盖率。
5.3.8 业务连续性保障
——指标描述
业务连续性保障指标主要评价支持政府服务的基础信息网络或重要信息系统的业务连续性管理情况,
主要评价:
a)数据备份及恢复测试情况。
b)业务影响分析开展情况。
c)灾难恢复培训及灾难恢复测试开展情况。
——评价方法
a)统计地区根据数据、系统重要性制定并执行备份策略的部门覆盖率,地区定期开展备份数据有效性测试的部门覆盖率。
b)统计地区定期开展政务信息系统业务影响分析的部门覆盖率。
c)统计地区定期开展灾难恢复培训及灾难恢复测试的部门覆盖率。
5.3.9 安全协同
——指标描述
安全协同指标主要评价与上级安全管理部门、监管机构之间协同互动性情况,主要评价:
a)与网信、公安等监管机构之间的沟通合作情况。
b)与上级政务服务数据管理部门安全管理工作的配合程度。
c)向上级政务服务数据管理部门报告安全事件是否及时、全面。
d)向上级政务服务数据管理部门上报安全监测数据是否及时、准确。
——评价方法
a)调查地区政务服务数据管理部门与网信、公安等监管机构之间是否形成良好合作与沟通。
b)调查地区政务服务数据管理部门是否积极、主动配合省级政务服务数据管理部门的安全管理工作。
c)调查地区政务服务数据管理部门是否及时、全面向省级政务服务数据管理部门报告安全事件。
d)调查地区政务服务数据管理部门是否及时、准确向省级政务服务数据管理部门报告安全监测数据。
5.4 安全效果指标
5.4.1 概述
安全效果指标用于评价地区数字政府网络安全保障体系的实际运行效果,包含网络环境安全、安全漏洞、安全事件及专项工作结果4 个二级指标。
5.4.2 网络环境安全
——指标描述
网络环境安全指标是地区网络环境的安全状况。主要评价:
a)桌面终端被非法控制情况。
b)桌面终端中木马、病毒情况。
c)移动终端被非法控制情况。
d)移动终端中木马、病毒情况。
e)办公场所无线AP 弱口令、被挟持情况。
f)政务信息系统互联网高危端口暴露情况。
——评价方法
a)统计地区桌面终端被非法控制的数量占比。
b)统计地区桌面终端中木马、病毒的数量占比。
c)统计地区移动终端被非法控制的数量占比。
d)统计地区移动终端中木马、病毒的数量占比。
e)统计地区办公场所无线AP 弱口令、被挟持的数量占比。
f)统计地区政务信息系统互联网高危端口暴露比例。
5.4.3 安全漏洞
——指标描述
附录
41
安全漏洞指标是地区数字政府重要信息系统漏洞情况。主要评价:
a)中危及以上安全漏洞情况。
b)中危及以上漏洞数与地区系统总数比例。
——评价方法
a)统计地区政务信息系统中危及以上漏洞数量、地区政务信息系统中危及以上漏洞及时修复率。
b)统计地区政务信息系统中危及以上漏洞数与地区系统总数比例。
5.4.4 安全事件
——指标描述
安全事件指标是指数字政府重要信息系统发生的安全事件的情况。主要评价:
a)特别重大网络安全事件发生情况。
b)重大网络安全事件发生情况。
c)较大网络安全事件发生情况
d)一般网络安全事件发生情况。
——评价方法
a)统计地区发生特别重大安全事件的次数与地区系统总数的比例。
b)统计地区发生重大安全事件的次数与地区系统总数的比例。
c)统计地区发生较大安全事件的次数与地区系统总数的比例。
d)统计地区发生一般安全事件的次数与地区系统总数的比例。
5.4.5 专项工作
——指标描述
专项工作指标主要评价地区安全防护、安全监测、应急响应、异常恢复及溯源打击等实际安全保障能力。主要评价:
a)实战攻防演练中的情况。
b)省级安全检查中的情况。
c)获得国、省级网络安全竞赛、能力认证、试点示范工程等奖励、荣誉情况。
d)履行网络安全监督检查职能的工作成效。
——评价方法
a)统计地区在省数字政府网络安全攻防演练中的得失分情况。
b)调研地区在各种省级安全检查中的表现、地区重要业务系统的可用性情况。
c)调研地区获得国、省级网络安全竞赛、能力认证、试点示范工程等奖励、荣誉情况;调研部门获得国、省级网络安全竞赛、能力认证、试点示范工程等奖励、荣誉情况。
d)调研地区履行数字政府网络安全监督检查职能的工作情况。
参考文献
[1] 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147 号)
[2] GB/T31495.1—2015 信息安全技术信息安全保障指标体系及评价方法
[3] GB/T 31495.1—2015 信息安全技术信息安全保障指标体系及评价方法第1 部分:概念和模型
[4] GB/T 31495.2—2015 信息安全技术信息安全保障指标体系及评价方法第2 部分:指标体系
[5] GB/T 31495.3—2015 信息安全技术信息安全保障指标体系及评价方法第3 部分:实施指南