近日,广东发布了《2022数字政府网络安全指数评估报告》,网络安全指数指标体系共包含安全管理、安全建设、安全运营、安全效果4项一级指标,24项二级指标,103项评估要点,并在此基础上对网络安全指数指标体系进行了标准化。
(2022年度广东省数字政府网络安全指数指标体系)
从2020年起,广东连续三年组织开展省数字政府网络安全指数评估工作,网络安全指数实现了数字政府网络安全工作由“看不见、摸不着”向“可量化、可评估”的转变,已经成为广东指导推动各地各部门构建数字政府网络安全保障体系的重要抓手,为全国输出了数字政府网络安全建设的广东经验和样本。
显然,网络安全建设已经成为数字政府发展的重中之重,并且2022 年 6 月 6 日,国务院正式印发《关于加强数字政府建设的指导意见》,首次在国家层面形成了数字政府的顶层规划,将“构建数字政府全方位安全保障体系”作为第二位重要任务来部署,并提出了“强化安全管理责任、落实安全制度要求、提升安全保障能力和提高自主可控水平”四方面具体要求。在政策的引导下,飞速发展的数字政府亟需同步规划建设相配套的网络安全保障体系。
数字政府网络安全体系建设仍有诸多挑战
数字政府网络安全体系建设已经成为推进数字政府改革建设发展的“燃眉之急”,同步规划、构建数字政府网络安全体系势在必行。与此同时,当前数字政府网络安全体系建设仍然存在诸多深层次问题与挑战。
01、网络安全监管合规要求多
网络安全监管要求越来越多,满足监管的难度越来越大。各类监管规范、管理要求、技术标准等数量庞大繁杂且需要在不同项目阶段进行贯彻执行,需要进行系统化管理。
02、信息系统资产复杂
政府部门的系统资产较多,需要对自有系统资产掌握全面,对拥有的信息系统、信息资产如何满足监管要求、应该满足哪些监管要求、如何满足监管要求等进行整体规划。
03、网络安全威胁加剧
传统漏洞、弱口令、高危端口等安全问题及新生的勒索、挖矿、违规外联等未知威胁层出不穷,缺乏专业安全运营团队和常态化运营机制,导致现有安全防控能力难以抵御各类安全威胁。
04、数据安全保障体系不完善
政务数据多层级、多统、多角色的使用、提取中存在数据泄露、数据资源滥用等风险,无法满足监管部门对数据安全的要求。
数据开放共享扩大了数据访问的范围,在数据流转过程中,共享管理责任不明确、数据超范围共享、扩大数据暴露面等安全风险和隐患,将增加数据泄露风险。
数据分类分级基础制度建设相对滞后,无法有效支撑数据分类分级工作。
数据在采集、存储、传输、处理、交换、销毁的数据生存周期中,存在功能性、可靠性、安全性、性能、易用性等风险。
05、难以量化评价安全工作成效
政务平台遭受网络攻击的预测和风险分析缺乏实时、定量的数据分析手段,同时缺乏网络安全工作成效量化管理评价。
多规管理融合助力打造数字政府网络安全综合防御体系
以上种种易导致部分政务服务平台存在身份冒用问题、监管难合规等问题。道普信息风险管控专家建议,针对以上问题,通过第三方信息化风险管控,采取多规管理融合、数据安全风险评估等手段,积极跟踪国内主要政策以及产业生态环境变化,切实落实数字政府安全制度要求,实现数字政府立体可控的安全保障美好蓝图。
1、量化评价安全工作成效
建立可量化的网络安全评估报告或方案,从安全管理、安全建设、安全运营、安全效果等方面分析进行评估,评估结果纳入网络安全工作责任制考核、数字政府改革建设工作评价等,来量化数字政府网络安全工作成效。
2、多规管理融合加强网络安全合规
基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,开展等保、密码、关保等多规测评,针对风险提出改进建议,帮助完成合规整改。
3、健全数据安全治理体系保障数据安全
通过数据治理体系建设,不断开发创新的数据服务,融合目标、流程、方法、工具,建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。
强化数据安全风险评估,对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。
4、构建安全防护体系实现安全运营
从运营管理、运营运行、运行技术三方面,构建具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的数字政府安全保障体系,形成终端防护、边界隔离与威胁监测的安全方案,实现安全运营。
进入数字经济时代,网络安全已成为数字政府高质量发展的核心动力。面对层出不穷、愈加复杂的网络病毒攻击,全面筑牢网络安全防护网、保障数字政府网络安全变得十分必要、极其迫切。道普信息风险管控专家强调,借助专业的第三方风险管控手段,通过多规管理融合、数据安全风险评估、构建安全运营体系等手段,有效预防网络攻击、数据泄露,夯实数字政府网络安全保障,持续提升数字政府网络安全防护水平,践行总体国家安全观,守护网络安全基准线。