2022年3月31日,湖南省市场监督管理局批准发布《政务信息化项目网络安全审查规范》(DB43/T 2313-2022,以下简称:《审查规范》),是国内规范网络安全审查工作的首个地方标准,将于2022年6月30日正式实施。
审查工作的必要性
习近平总书记强调,没有网络安全就没有国家安全,没有信息化就没有现代化。网络安全和信息化是一体之两翼、驱动之双轮。政务信息化项目大部分是关键信息基础设施和重要信息系统,而关键信息基础设施和重要信息系统的安全保障是关乎国家安全的战略优先事项,也是我国网络安全工作的重中之重。从全球来看,开展网络安全审查成为各国防范网络安全风险的通用做法。
近年来,全球范围内针对关键信息基础设施的网络攻击行为不断攀升,涉及金融、医疗、能源、交通和工业控制等领域,影响范围广泛、程度严重。为加强对关键信息基础设施和重要信息系统的保护,确保信息产品和服务安全性,美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度。通过开展网络安全审查,预判和检查产品及服务投入使用后可能带来的网络安全风险,防范因供应链产品安全漏洞引发的安全事件,从源头上消除安全隐患。
对我国而言,《网络安全审查办法》是强化关键信息基础设施安全防护的适时之举。多部门联合出台并修订的《网络安全审查办法》,明确了网络安全审查的具体要求,为关键信息基础设施运营者申报审查提供了指引,建立了网络安全产品和服务安全风险预判机制,从识别威胁、化解风险的角度,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。
对我省而言,重点抓好政务信息化项目网络安全审查工作,是督促建设管理单位严格遵守网络安全技术措施“三同步”(同步规划、同步建设、同步使用)有关要求的具体举措。同时,通过规范政务信息化项目网络安全审查的审查方式、审查流程、审查内容、审查结果等要求,推动建设管理单位完善网络安全防护体系,不断提高防护水平,确保有效应对内外网络安全风险和威胁。
审查工作的法律依据
政务信息化项目网络安全审查是依据《国家安全法》《网络安全法》《数据安全法》《网络安全审查办法》和《湖南省网络安全和信息化条例》开展的一项重要工作。《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查。《网络安全法》第三十三条规定,建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。《网络安全审查办法》第五条规定,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。《湖南省网络安全和信息化条例》第十五条规定,省人民政府对本省行政区域内未列入关键信息基础设施的重要信息系统,在网络安全等级保护制度的基础上,实行重点保护。
审查规范的制定过程
(一)在前期网络安全审查实践中积累经验
根据《湖南省省直单位政务信息系统项目前置审查管理办法(试行)》和《湖南省省直单位政务信息系统项目建设管理办法》文件要求,2019年5月起,中共湖南省委网络安全和信息化委员会办公室(以下简称:湖南省委网信办)开展省直单位新建、改建、扩建的政务信息化项目前置审查联审,重点开展网络安全、数据安全等相关内容审查。截至2022年6月,已完成39家省直单位的70个项目的网络安全前置审查。
根据长沙市人民政府办公厅《关于印发长沙市政府投资信息化建设项目管理办法的通知》文件要求,2021年4月起,中共长沙市委网络安全和信息化委员会办公室(以下简称:长沙市委网信办)开展网络安全监督审查工作,通过建立专家团队、制定审查标准等措施对申请立项的政务信息化项目可行性研究报告开展专项审查,其中网络安全审查分为初审和复审两个环节,复审仍不通过的项目一概不予立项。截至2022年6月,已完成43家市直单位的88个项目的网络安全前置审查。
(二)组织审查规范起草发布工作
湖南省委网信办从实际需求出发,在充分吸收和积累省市两级网信部门审查工作经验的基础上,指导长沙市委网信办和湖南省金盾信息安全等级保护评估中心有限公司,共同起草编制了《政务信息化项目网络安全审查规范》地方标准。在起草阶段,主要经过了以下环节:一是成立标准起草小组,制定标准制定工作推进方案;二是开展前期调研,收集、整理和分析相关国家、行业、地方标准,全面查阅与本标准相关的文献资料;三是起草标准初稿,分阶段多次召开标准草案研讨会,并征求有关部门、企业、专家的意见;四是纳入2021年度湖南省地方标准制定项目增补计划;五是根据各有关方面的意见对标准初稿进行修改,形成征求意见稿;六是湖南省市场监督管理局官网公开征求意见,收集网络安全行业专家、网络安全厂商、市县两级网信部门、行业主管单位等相关建议及意见84条;七是充分吸纳征求意见内容,形成标准送审稿。2022年3月,湖南省市场监督管理局会同湖南省委网信办组织专家召开标准审查专题会议,专家组一致通过送审稿审查。同月,湖南省市场监督管理局发布通告,正式批准审查标准,并明确2022年6月30日开始实施。
审查规范的主要内容
《政务信息化项目网络安全审查规范》共8个章节,内容丰富,特色鲜明,有三个突出的特点。一是全面性。审查规范比较全面和系统地明确了政务信息化项目网络安全审查的方式、流程、内容、结果等要求;明确了适用于政务信息化项目规划、建设、运行各阶段,非政务信息化项目的网络安全审查可参照执行;明确了安全设计方案中网络安全、数据安全、个人信息保护、密码应用有关措施执行的技术标准。二是针对性。审查规范从我省实际情况出发,坚持问题导向,总结实际经验,有针对性地建立相关标准,重在管用,重在解决实际问题。三是协调性。审查规范坚持安全与发展并重,保证二者协调一致、共同推进,以安全保发展,以发展促安全。
《审查规范》提出:项目建设单位应当对项目的网络安全、数据安全、密码应用等安全需求进行分析,并在项目可行性研究报告中编制专门章节体现安全设计方案。安全设计方案应包含网络安全体系总体设计方案、密码应用方案、数据安全保护方案和项目安全经费预算等内容。
网络安全体系总体设计方案中应明确项目建设现状,安全需求分析,系统功能和架构,网络拓扑结构,安全解决方案以及相应的软硬件设备清单,还应明确系统的等级保护定级和测评。
密码应用方案应包括系统现状分析,安全风险控制,密码应用需求,密码技术方案,密码产品选型和服务应用情况等内容。还要说明清楚业务应用系统和运行环境建设的建设或改造情况。
数据安全保护方案应包括数据分级分类,系统及数据库间的业务与数据流向说明,数据安全需求分析,数据采集、传输、存储、处理、交换、销毁等安全设计,个人信息保护等方面的内容,还要重点阐述清楚本项目与外部系统之间有哪些数据交互。
项目经费预算应依据系统建设规模、系统安全需求、系统数量合理制定网络安全建设、软件安全性测试、等级保护测评、商用密码应用、安全性评估等费用预算。还要考虑系统安全运维、网络安全培训、应急预案演练等安全投入经费。
来源:网信湖南
编辑:刘良骏