DB43/T 2313-2022 政务信息化项目网络安全审查规范

ICS13.200

CCSA90

43

湖南省地方标准

DB43/T2313—2022

政务信息化项目网络安全审查规范

Cybersecurityreviewspecification

ofgovernmentaffairsinformationizeprojects

2022-03-31发布2022-06-30实施

湖南省市场监督管理局发布

DB43/T2313—2022

目次

前言························································································································Ⅲ

1范围·····················································································································1

2规范性引用文件······································································································1

3术语和定义············································································································1

4审查方式···············································································································2

4.1线下审查·········································································································2

4.2线上审查·········································································································2

5审查前合规性自查···································································································2

5.1方案编制·········································································································2

5.2方案自查·········································································································3

6审查流程···············································································································3

6.1审查申请·········································································································4

6.2完备性审查······································································································4

6.3专业审查·········································································································4

6.4出具审查结果···································································································4

7审查内容···············································································································4

7.1基本要求·········································································································4

7.2具体要求·········································································································5

8审查结果···············································································································5

附录A（资料性）流程图···························································································6

附录B（规范性）网络安全审查申请表·········································································7

附录C（资料性）审查结果的判别·············································································37

参考文献··················································································································38

I

DB43/T2313—2022

II

DB43/T2313—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中共湖南省委网络安全和信息化委员会办公室提出并归口。

本文件起草单位：中共湖南省委网络安全和信息化委员会办公室、长沙市委网络安全和信息化委员

会办公室、湖南省金盾信息安全等级保护评估中心有限公司。

本文件主要起草人：刘学、刘厚、刘志勇、李浩、周海毅、周明熙、方木、查国峰、李雪飞、邓庭

波、熊璐、刘兰芳、彭晓涛、龚捷、禹振博。

III

DB43/T2313—2022

IV

DB43/T2313—2022

政务信息化项目网络安全审查规范

1范围

本文件规定了政务信息化项目网络安全审查的审查方式、审查前合规性自查、审查流程、审查内容、

审查结果等要求。

本文件适用于政务信息化项目的项目规划、建设、运行阶段的网络安全审查，其他信息化项目网络

安全审查可参照执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T22240—2020信息安全技术网络安全等级保护定级指南

GB/T25070—2019信息安全技术网络安全等级保护安全设计技术要求

GB/T35273—2020信息安全技术个人信息安全规范

GB/T37988—2019信息安全技术数据安全能力成熟度模型

GB/T39335—2020信息安全技术个人信息安全影响评估指南

GB/T39477—2020信息安全技术政务信息共享数据安全技术要求

GB/T39786—2021信息安全技术信息系统密码应用基本要求

GB/T40692—2021政务信息系统定义和范围

DA/T28—2018建设项目档案管理规范

3术语和定义

下列术语和定义适用于本文件。

3.1

政务信息系统Governmentinformationsystem

由政务部门建设、运行或使用的，用于直接支持政务部门工作或履行其职能的各类信息系统。

[来源：GB/T40692—20214]

3.2

政务信息化项目Governmentaffairsinformationizeprojects

由财政性资金投资建设、与社会企业联合建设、购买服务或需要财政性资金运行维护的信息化项目

（含新建、扩建和改造升级信息化项目）。

3.3

项目设计方案Projectdesignscheme

在信息化项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案和投资概算等。

1

DB43/T2313—2022

3.4

安全设计方案Securitydesignscheme

项目设计方案中包含的网络安全体系总体设计方案、密码应用方案、数据安全保护方案等子方案。

3.5

关键信息基础设施Criticalinformationinfrastructure

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业

和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共

利益的重要网络设施、信息系统等。

3.6

重要信息系统Importantinformationsystem

一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络

设施、信息系统等。重要信息系统包含关键信息基础设施。

3.7

重要数据Importantdata

一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

3.8

网络安全投入Cybersecurityinvestment

项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保

测评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。

3.9

建设单位Constructingunits

对项目实施进行组织管理，并在项目建设过程中负总责的组织。

[来源：DA/T28—2018，3.4]

3.10

审查部门Reviewdepartment

负责组织网络安全审查工作的组织。

4审查方式

审查方式包括线下审查和线上审查。

4.1线下审查

建设单位向审查部门提交网络安全审查申请表和项目设计方案，审查部门组织审查专家并召开现场

网络安全审查专家评审会，审查专家现场出具审查意见。

4.2线上审查

建设单位通过线上方式向审查部门提交网络安全审查申请表和项目设计方案，审查部门组织审查专

家召开线上网络安全审查专家评审会，审查专家在线上出具审查意见。

5审查前合规性自查

5.1方案编制

2

DB43/T2313—2022

5.1.1建设单位应对项目安全需求进行分析，并根据安全需求组织编制项目安全设计方案。安全设计

方案应包含网络安全体系总体设计方案、密码应用方案、数据安全保护方案。

5.1.2网络安全体系总体设计方案应明确系统的安全保护等级，方案宜包括但不限于以下内容：

1）项目类型及系统类型；

2）业务和资产识别；

3）参考依据；

4）项目建设现状；

5）安全需求分析；

6）系统功能和系统架构情况；

7）网络拓扑结构；

8）安全解决方案；

9）主要软硬件设备选型清单。

5.1.3密码应用方案宜包括但不限于以下内容：

1）系统现状分析；

2）安全风险及控制需求；

3）密码应用需求；

4）总体方案设计；

5）密码技术方案设计；

6）管理体系设计与运维体系设计；

7）安全与合规性分析；

8）密码产品和服务应用情况；

9）业务应用系统建设/改造情况；

10）运行环境建设/改造情况。

5.1.4数据安全保护方案宜包括但不限于以下内容：

1）数据分级分类；

2）系统及数据库间的业务与数据流向说明；

3）数据安全需求分析；

4）数据采集安全设计；

5）数据传输安全设计；

6）数据存储安全设计；

7）数据处理安全设计；

8）数据交换安全设计；

9）数据销毁安全设计；

10）个人信息保护政策；

11）个人信息保护方案。

5.2方案自查

建设单位应在项目审批提交前对项目安全设计方案内容进行自查。自查发现的问题，建设单位应组

织修改项目安全设计方案。

6审查流程

审查流程包括审查申请、完备性审查、专业审查和出具审查结果。

3

DB43/T2313—2022

6.1审查申请

建设单位按照网络安全审查工作相关流程（详见附录A流程图）和相关要求，提交项目设计方案

和网络安全审查申请表（详见附录B网络安全审查申请表）。

6.2完备性审查

6.2.1审查部门在收到审查申请后，按照7的要求组织完备性审查。

6.2.2完备性审查完成后由审查部门出具完备性审查意见并反馈至建设单位。

6.2.3建设单位参照完备性审查意见补充或修改申报材料。

6.3专业审查

6.3.1专业审查之前，审查部门根据实际情况选择线上或线下审查方式。

6.3.2审查部门组织审查专家、建设单位代表召开线上或线下专家评审会议。

6.3.3审查可以是网络安全专项审查，也可以与立项审查联合进行。

6.3.4专项审查时，建设单位介绍项目安全设计方案并就专家疑问进行答疑。审查专家依据本文件对

设计方案进行网络安全审查，出具专家意见。

6.4出具审查结果

由审查部门依据专家意见进行综合判定，出具审查结果。

7审查内容

7.1基本要求

7.1.1项目类型和等级保护级别判定

7.1.1.1应准确判定项目类型及涉及的内容。

7.1.1.2应依据GB/T22240—2020有关规定准确判定系统网络安全等级保护级别。

7.1.1.3应准确判定系统是否为重要信息系统。

7.1.1.4应准确判定系统采用的云计算、大数据、移动互联、物联网、工业控制等新技术情况。

7.1.1.5应准确判定系统中是否承载重要数据、个人信息，是否涉及数据跨组织流动、数据出境情况

等。

7.1.2安全技术标准及安全管理体系

7.1.2.1应依据项目类型和系统的安全保护等级，选择适宜的、最新的安全建设参考标准。

7.1.2.2应规划建设完善的安全管理体系，包括但不限于安全管理制度、安全管理机构、安全管理人

员、安全建设管理及安全运维管理内容。

7.1.3产品与服务采购

7.1.3.1网络安全产品与服务采购和使用应符合国家的有关规定。

7.1.3.2密码产品与服务的采购和使用应符合国家的有关规定。

7.1.4项目经费预算

7.1.4.1应依据系统建设规模、系统安全需求、系统数量合理制定安全建设费用预算、软件安全性测

4

DB43/T2313—2022

试、等级保护测评、商用密码应用安全性评估等费用预算。

7.1.4.2重要信息系统宜制定系统上线安全检测评估费用和安全措施有效性验证费用预算。

7.1.4.3涉及重要数据处理的系统宜制定重要数据安全风险评估费用预算。

7.1.4.4涉及个人信息处理的系统宜制定个人信息安全影响评估费用预算。

7.1.4.5涉及个人信息出境的系统宜制定个人信息出境风险评估费用预算。

7.1.4.6依据系统建设规模宜合理制定风险评估、上线安全检测、安全加固、网络安全培训、应急演

练、系统安全运维以及新技术新业务等费用预算。

7.1.4.7网络安全投入应按照国家相关法规标准执行，网络安全投入占信息化投入比例不宜低于

10％。

7.2具体要求

7.2.1网络安全技术措施应符合GB/T25070—2019、GB/T22239—2019以及国家规定的相关要求。

7.2.2数据安全保护措施应符合GB/T37988—2019、GB/T39477—2020以及国家规定的相关要求。

7.2.3个人信息安全保护措施应符合GB/T35273—2020、GB/T39335—2020以及国家规定的相关要求。

7.2.4密码应用安全措施应符合GB/T39786—2021以及国家规定的相关要求。

7.2.5重要信息系统安全保护措施应符合国家规定的相关要求。

8审查结果

审查结果分“通过”、“暂缓通过”和“不通过”三种情况：

——审查结果为“通过”时，项目可按项目建设方案进行建设。

——审查结果为“暂缓通过”时，项目建设方参考专家建议修改项目设计方案后可按方案进行建设。

——审查结果为“不通过”时，项目建设方应组织重新编写项目设计方案。

审查结果判定规则参见附录C。

5

DB43/T2313—2022

附录A

（资料性）

流程图

A网络安全审查工作流程可参照图1进行操作。

启动网络安全审查

不通过

合规性自查修改方案

通过

报送安全审查材料

不通过

完备性审查修改方案

通过

组织线上或线下评审

会

暂缓通过不通过

修改方案专业审查修改方案

通过

复审

出具审查结果

图1网络安全审查工作流程

6

DB43/T2313—2022

附录B

（规范性）

网络安全审查申请表

网络安全审查工作需要各建设单位提交的申请表材料包括：《网络安全审查申请表》和《网络安全

审查自查表》。具体表格形式及内容如下所示：

B.1网络安全审查申请表模板

表B.1网络安全审查申请表

项目名称

项目建设单位

项目建设单位情况项目建设单位项目负责人联系电话

项目建设单位项目联系人联系电话

方案设计编制单位

方案设计编制单位情况方案设计编制单位项目负责人联系电话

方案设计编制单位项目联系人联系电话

申请内容

申请单位（公章）：

申请日期：

7

DB43/T2313—2022

网络安全审查自查表按照系统部署类型不同（本地部署、托管部署、政务云部署与混合模式部署）

分为四个子表，分别对应表B.2、B.3、B.4、B.5，申请人应根据系统部署类型选择相应的表格进行填

写,项目涉及多个系统的，每个系统应单独填写自查表。

B.2本地部署的政务信息化项目按照表B.2进行安全审查自查并填表

表B.2本地部署系统安全审查自查表

自查项目自查情况

系统名称

系统所属是否属于关键信息基础设施□是□否

范畴是否属于重要信息系统□是□否

此项目类型为：

□新建机房□机房改造

□网络扩容□网络改造□新建网络

项目类型

□新建信息系统（含软件和硬件）□新建信息系统（仅软件）

□信息系统功能升级（含软件和硬件）□信息系统功能升级（仅软件）

□信息系统性能升级（仅硬件）□其它______________________

1.此系统类别为（可多选）：□传统信息系统（不含APP)□传统信息系统(含APP)

云计算□移动互联□物联网□工业控制□大数据□其它__________

2.此系统用户类型有___________，此系统用户数量有_______，

用户分布范围：□全国□全省□本地区□本单位□其它____

3.系统是否需24小时运行：□是□否系统中断会造成什么影响：__________

可容忍系统中断的时间为：________

4.本单位是否已明确的信息系统安全等级：□未确定□已确定

级别是:□S1A2G2□S2A1G2□S2A2G2□S1A3G3□S2A3G3□S3A1G3□S3A2G3□S3A3G3

系统基本

5.安全等级确定方法：□本单位内部自行判断□主管单位定级指导意见□专家评审会判定

情况介绍

6.系统访问类型：□互联网开放访问□电子政务外网开放访问□内部局域网访问

专网访问□其他______________

7.系统和网络边界情况：□互联网边界□上联边界□下联边界

□外联边界，外联单位有____________________

系统边界，对接系统有____________________

8.软件开发形式：□自主软件开发□外包软件开发□基于成熟产品定制开发□上级统一下发

购买成熟产品

9.运行维护情况：□自行维护□外包单位维护□开发单位驻场维护□开发单位远程维护

1.数据内容：系统存储有哪些重要数据__________________________________________________

是否包含个人信息数据：□是□否个人信息数据量（概数）：_________条

是否包含儿童信息数据：□是□否是否包含涉密数据：□是□否

2.数据载体：□结构化数据库□大数据平台□数据湖□其他______________

系统数据3.数据来源：□单位内部□单位外部共享□社会公众

情况业务数据产生途径：□业务采集□互联网抓取□搜集分析□外购□APP收集

网站收集□人工导入□国内共享□其他______________

4.外部数据交换：是否存在国内组织外数据共享：□是□否

共享单位及主要共享数据类型：__________________

是否存在数据出境：□是□否出境对象主体及主要出境数据类型：__________________

8

DB43/T2313—2022

表B.2本地部署系统安全审查自查表（续）

自查项目自查情况

系统将部署的主要安全产品有（未在以下列举产品范围的可自行扩行补充说明）：

网络防护类：

□网闸（□采购□利旧）□防火墙（□采购□利旧）□WAF（□采购□利旧）

□UTM（□采购□利旧）□入侵防御系统IPS（□采购□利旧）

□防毒墙/防病毒网关（□采购□利旧）□抗DDoS设备（□采购□利旧）

□准入控制系统（□采购□利旧）□防非法外联系统（□采购□利旧）

□其它_________（□采购□利旧）

主机防护类：

□防病毒软件企业版（□采购□利旧）□桌面终端安全软件（□采购□利旧）

□服务器加固软件（□采购□利旧）□其它_________（□采购□利旧）

数据安全类：

□数据库审计（□采购□利旧）□网页防篡改（□采购□利旧）

□数据脱敏系统（□采购□利旧）□DLP数据防泄漏系统（□采购□利旧）

安全产品及

□灾备系统（□采购□利旧）□其它_________（□采购□利旧）

措施情况

加密类：

□VPN（□采购□利旧）□加密机（□采购□利旧）□CA（□采购□利旧）

□其它_________（□采购□利旧）

安全管理类：

□安全审计系统（□采购□利旧）安全监控系统（□采购利旧）

堡垒机（□采购□利旧）□漏洞扫描（□采购□利旧）

□安全管理平台（□采购□利旧）上网行为管理（□采购□利旧）

其它_________（□采购□利旧）

安全监测类：

□入侵检测系统IDS（□采购□利旧）□态势感知（□采购□利旧）

□蜜罐（□采购□利旧）□其它___________（□采购□利旧）

之后安全维护情况：

□自行维护□外包安全服务商维护□安全厂商维护□其他_________

1.方案是否有专门的章节或单独的方案对信息安全防护方案进行说明：

□方案内独立的安全章节（含□网络安全总体设计方案□密码应用方案□数据安全方案）

□独立的安全方案

□无

2.方案中是否包括以下内容：

□网络安全建设依据□业务数据描述

方案结构

□系统定级描述（二级或三级）□是否属于关键信息基础设施范畴

□是否属于重要信息系统□网络拓扑图

□网络边界分析□系统部署架构

□安全需求分析□安全责任划分

□网络安全设备清单□应用系统安全功能

□采取的安全措施□如有利旧，需明确新建和利旧的部分

9

DB43/T2313—2022

表B.2本地部署系统安全审查自查表（续）

自查项目自查情况

1.方案中是否有网络安全专项经费：

□有□否

2.项目总预算：_______万元，网络安全预算：_______万元，网络安全预算所占比例：________

3.网络安全预算包括：

网络安全经

□安全建设费用预算□安全加固费用预算

费预算

□代码安全测试预算/渗透测试预算□等级测评费用预算

□密码应用安全性评估费用预算□网络安全培训预算

□应急演练费用预算□风险评估费用预算

□安全运维费用预算□其他______________

1.网络区域划分

拓扑图中是否体现按照功能进行区域划分：

□是，实现方式为______________□否

区域之间是否采用隔离措施:

是，实现方式为______________□否

2.线路硬件冗余

拓扑图中是否体现通信线路的冗余：

新建，实现方式为_____________

□利旧，实现方式为_____________

□否

拓扑图中是否体现关键网络设备的硬件冗余：

□新建，实现方式为_____________

□利旧，实现方式为_____________

□否

拓扑图中是否体现关键计算设备的硬件冗余：

方案中安全□新建，实现方式为_____________

区域边界采□利旧，实现方式为_____________

用的安全否

措施3.数据备份和加密

方案中是否有明确哪些数据是重要数据，并对数据进行分类：

□是□否

方案中是否有体现重要数据备份措施（数据备份系统）：

□新建，实现方式为_____________

□利旧，实现方式为_____________

□否

如为三级（网络安全等级保护三级系统），是否有异地实时备份功能：

□新建，实现方式为________，备份地为_________

□利旧，实现方式为________，备份地为_________

□否

方案中是否有体现重要数据存储加密措施：

□新建，实现方式为________

□利旧，实现方式为________

□否

10

DB43/T2313—2022

表B.2本地部署系统安全审查自查表（续）

自查项目自查情况

如有，加密算法是否使用国产加密算法：

是，加密算法是_________

□否，加密算法是_________

4.容灾备份

方案中是否有体现重要系统进行容灾备份措施（容灾备份系统）：

新建，实现方式为_____________

□利旧，实现方式为_____________

□否

方案中是否有体现数据库进行容灾备份措施（容灾备份系统）：

□新建，实现方式为_____________

□利旧，实现方式为_____________

否

5.通信保密性

是否