44IndicatorsystemofdigitalgovernmentcybersecurityindexI 2 2 7本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由廣東省數(shù)字政府標(biāo)準(zhǔn)化技術(shù)委員會（GD/TC14展、賀高戈、賴騫、林曉明、李煒、王威、盧江澤、廖結(jié)瑩1數(shù)字政府網(wǎng)絡(luò)安全指數(shù)指標(biāo)體系本文件規(guī)定了數(shù)字政府網(wǎng)絡(luò)安全指數(shù)指標(biāo)基本要求，用于指導(dǎo)廣東省政務(wù)部門網(wǎng)絡(luò)安全保障體系政務(wù)部門governmentdepar息系統(tǒng)（含網(wǎng)站、移動APP等）、數(shù)據(jù)、API服務(wù)等資產(chǎn)的基本情況、關(guān)聯(lián)關(guān)系及安全單位接入網(wǎng)departmentacc政務(wù)外網(wǎng)接入單位自行建設(shè)和管理的內(nèi)部局域網(wǎng)絡(luò)軟件物料清單softwarebillofm描述軟件產(chǎn)品的組成成分、內(nèi)外部依賴關(guān)系、來源信息以及潛在的安全風(fēng)險信息的4縮略語API：應(yīng)用編程接口（ApplicationProgrammingInterfacAPP：移動互聯(lián)網(wǎng)應(yīng)用程序（MobileInternetApplicatioDDoS：分布式拒絕服務(wù)攻擊（DistributedDenial-of-ServiceAttack）2ICT:信息與通信技術(shù)(InformationandCommunic數(shù)字政府網(wǎng)絡(luò)安全指數(shù)指標(biāo)體系包括一級指標(biāo)和二級指標(biāo)。一級指標(biāo)基于數(shù)字政府網(wǎng)絡(luò)安全框架安全、應(yīng)用安全、數(shù)據(jù)安全、安全平臺等安全技術(shù)能力方面的二級指標(biāo)；安全運(yùn)營指標(biāo)包創(chuàng)新成果創(chuàng)新成果負(fù)面影響安全合規(guī)檢查評估應(yīng)急響應(yīng)監(jiān)測預(yù)警運(yùn)行維護(hù)安全平臺數(shù)據(jù)安全應(yīng)用安全云平臺安全終端安全供應(yīng)鏈管理人員管理管理組織戰(zhàn)略規(guī)劃安全管理指標(biāo)安全技術(shù)指標(biāo)安全運(yùn)營指標(biāo)安全效果指標(biāo)數(shù)字政府網(wǎng)絡(luò)安全指數(shù)指標(biāo)戰(zhàn)略規(guī)劃指標(biāo)關(guān)注地區(qū)和部門網(wǎng)絡(luò)安全工作a)地區(qū)應(yīng)制定網(wǎng)絡(luò)安全中長期(三年及以上)建設(shè)規(guī)劃，明確總體目標(biāo)、整體架構(gòu)、管理機(jī)制、c)部門應(yīng)將網(wǎng)絡(luò)安全工作納入年度工作計(jì)3管理組織指標(biāo)關(guān)注地區(qū)和部門負(fù)責(zé)網(wǎng)絡(luò)安全相關(guān)工作的機(jī)構(gòu)建設(shè)情況及其人員配備情況。指標(biāo)基b)地區(qū)宜組建網(wǎng)絡(luò)安全專家隊(duì)伍、智庫機(jī)構(gòu)，充分發(fā)揮專家智庫決策參謀和智力支撐作用；d)部門應(yīng)明確網(wǎng)絡(luò)安全工作統(tǒng)籌科（處）室及其職責(zé)，指定網(wǎng)絡(luò)安全聯(lián)絡(luò)人員；供應(yīng)鏈管理指標(biāo)關(guān)注部門對供應(yīng)商、采購的產(chǎn)品或服務(wù)的安全管理情況。指標(biāo)基本要求包括：終端安全指標(biāo)關(guān)注接入地區(qū)政務(wù)外網(wǎng)的終端安全防護(hù)能力建設(shè)情況。指標(biāo)基本4a)地區(qū)政務(wù)外網(wǎng)應(yīng)具備廣域網(wǎng)安全防護(hù)能力，包括訪問控制、流量監(jiān)測等；b)地區(qū)政務(wù)外網(wǎng)應(yīng)具備城域網(wǎng)安全防護(hù)能力，包括準(zhǔn)入認(rèn)證、訪問控制、流量監(jiān)測等；c)地區(qū)政務(wù)外網(wǎng)應(yīng)具備互聯(lián)網(wǎng)出入口安全防護(hù)能力，包括訪問控制、入侵防御、抗流量型云平臺安全指標(biāo)關(guān)注地區(qū)政務(wù)云平臺的安全保護(hù)能力建設(shè)情況。指標(biāo)a)部門信息系統(tǒng)應(yīng)選用安全可控的開發(fā)環(huán)境和工具，開發(fā)測試環(huán)境與生產(chǎn)環(huán)境應(yīng)進(jìn)行分離；b)部門信息系統(tǒng)應(yīng)對軟件物料清單的軟件組件進(jìn)行安全性測試，防止帶有已知安全漏洞和隱蔽c)部門信息系統(tǒng)應(yīng)開展代碼審查，并通過混淆、加密等技術(shù)保護(hù)核心代碼；e)部門信息系統(tǒng)應(yīng)具備完備的日志功能，能夠及時識別異常操作。數(shù)據(jù)安全指標(biāo)關(guān)注數(shù)據(jù)保護(hù)能力建設(shè)情況。指標(biāo)基本c)部門信息系統(tǒng)應(yīng)強(qiáng)化數(shù)據(jù)傳輸安全技術(shù)應(yīng)用，包括身份鑒別、傳輸加密、完整性校驗(yàn)等；e)部門信息系統(tǒng)應(yīng)強(qiáng)化數(shù)據(jù)銷毀安全技術(shù)5安全平臺指標(biāo)關(guān)注地區(qū)網(wǎng)絡(luò)安全公共支撐能力集約化建設(shè)情況。指標(biāo)基b)地區(qū)應(yīng)集約建設(shè)信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力，包括web應(yīng)用d)地區(qū)應(yīng)集約建設(shè)商用密碼應(yīng)用支撐能力，包括密鑰管理、加解密、簽名驗(yàn)簽、時間戳等；e)地區(qū)應(yīng)集約建設(shè)日志采集分析能力，運(yùn)行維護(hù)指標(biāo)關(guān)注地區(qū)和部門網(wǎng)絡(luò)安全運(yùn)行維護(hù)工作開展情況。指標(biāo)基本要求包括：設(shè)備及平臺運(yùn)行狀態(tài)良好，重要網(wǎng)絡(luò)安全設(shè)備應(yīng)做主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、人職責(zé)分工、監(jiān)測預(yù)警、應(yīng)急處置、總結(jié)評估、保障措施等相6通過桌面推演、模擬演練、實(shí)戰(zhàn)演練等方式開展網(wǎng)絡(luò)安全應(yīng)急a)地區(qū)和部門在省級主管（監(jiān)管）部門組織的網(wǎng)絡(luò)安全能力評估工作中的表現(xiàn)；c)地區(qū)和部門落實(shí)國家或省部署的網(wǎng)絡(luò)安全專項(xiàng)工作的情況。負(fù)面影響指標(biāo)關(guān)注地區(qū)和部門因網(wǎng)絡(luò)安全事件產(chǎn)生不良影響的情況