DB43 T 2313-2022 政务信息化项目网络安全审查规范.pdf

1、Cybersecurity review specificationof government affairs informationize projects政务信息化项目网络安全审查规范发 布 湖南省市场监督管理局 2022-03 发 布-3143湖南省地方标准ICSCCS 13.200A 90DB43/T2313 2022 2022-06 实 施-30DB43/T 2313 2022 I 目 次 前言 1 范围 1 2 规 范性 引用 文件 1 3 术 语和 定义 1 4 审 查方 式 2 4.1 线下 审查 2 4.2 线上 审查 2 5 审 查前 合规 性自 查 2 5.1 方案 编制

2、 2 5.2 方案 自查 3 6 审 查流 程 3 6.1 审查 申请 4 6.2 完备 性审 查 4 6.3 专业 审查 4 6.4 出具 审查 结果 4 7 审 查内 容 4 7.1 基本 要求 4 7.2 具体 要求 5 8 审 查结 果 5 附录A（资料 性）流程图 6 附录B（规范 性）网络安全审 查申 请表 7 附录C（资料 性）审 查 结果的 判别 37 参考文 献 38 DB43/T 2313 2022 II DB43/T 2313 2022 III 前 言 本文件 按 照 GB/T 1.1 2020 标 准化 工作 导则 第 1 部 分：标准 化文 件的 结 构和起 草规 则

3、 的规定起草。请注意 本文 件的 某些 内容 可能涉 及专 利。本文 件的 发布机 构不 承担 识别 专利 的责任。本文件 由中 共湖 南省 委网 络安全 和信 息化 委员 会办 公室提 出并 归口。本文件 起草 单位：中 共湖 南省委 网络 安全 和信 息化 委员会 办公 室、长沙 市委 网络安 全和 信息 化委 员会办公 室、湖南 省金 盾信 息安全 等级 保护 评估 中心 有限公 司。本文件 主要 起 草 人：刘学、刘厚、刘 志勇、李 浩、周海毅、周 明熙、方 木、查国峰、李 雪飞、邓 庭波、熊 璐、刘兰 芳、彭晓 涛、龚 捷、禹振 博。DB43/T 2313 2022 IV DB43/

4、T 2313 2022 1 政务信息 化项目 网络安全 审查规 范 1 范围 本文件 规定 了政 务信 息化 项目网 络安 全审 查的 审查 方式、审查 前合 规性 自查、审查流 程、审查 内容、审查结 果等 要求。本文件 适用 于政 务信 息化 项目的 项目 规划、建设、运行阶 段的 网络 安全 审查，其 他信 息化 项目 网络安全审 查可 参照 执行。2 规 范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 文件必 不可 少的 条款。其 中，注日 期的 引用 文件，仅该日 期对 应的 版本 适用 于本文 件；不注 日期 的引 用文件，其 最新 版本（包 括所

5、有 的修 改单）适 用 于 本文件。GB/T 22239 2019 信息 安全技 术 网络 安全 等级 保护基 本要 求 GB/T 22240 2020 信息 安全技 术 网络 安全 等级 保护定 级指 南 GB/T 25070 2019 信息 安全技 术 网络 安全 等级 保护安 全设 计技 术要 求 GB/T 35273 2020 信息 安全技 术 个人 信息 安全 规范 GB/T 37988 2019 信息 安全技 术 数据 安全 能力 成熟度 模型 GB/T 39335 2020 信息 安全技 术 个人 信息 安全 影响评 估指 南 GB/T 39477 2020 信息 安全技 术 政

6、务 信息 共享 数据 安全 技术 要求 GB/T 39786 2021 信息 安全技 术 信息 系统 密码 应用基 本要 求 GB/T 40692 2021 政务 信息系 统定 义和 范围 DA/T 28 2018 建 设项 目 档案管 理规 范 3 术 语和 定义 下列术 语和 定义 适用 于本 文件。3.1 政务信 息系 统 Government information system 由政务 部门 建设、运 行或 使用的，用 于直 接支 持政 务部门 工作 或履 行其 职能 的各类 信息 系统。来源：GB/T 40692 2021 4 3.2 政务信 息化 项目 Government af

7、fairs informationize projects 由财政 性资 金投 资建 设、与社会 企业 联合 建设、购 买服务 或需 要财 政性 资金 运行维 护的 信息 化项 目（含新 建、扩建 和改 造升 级信息 化项 目）。3.3 项目设 计方 案 Project design scheme 在信息 化项 目建 设过 程中 编制的 可行 性研 究报 告、初步设 计方 案、深化 设计 方案和 投资 概算 等。DB43/T 2313 2022 2 3.4 安全设 计方 案 Security design scheme 项目设 计 方 案 中 包 含 的 网 络 安 全 体 系 总 体 设 计

8、 方 案、密 码 应 用 方 案、数 据 安 全 保 护 方 案 等 子 方 案。3.5 关键信 息基 础设 施 Critical information infrastructure 公共通 信和 信息 服务、能 源、交 通、水 利、金 融、公共服 务、电子 政务、国 防科技 工业 等重 要行 业和领域 的，以及 其他 一旦 遭到破 坏、丧失 功能 或者 数据泄 露，可能 严重 危害 国家安 全、国计 民生、公 共利益的 重要 网络 设施、信 息系统 等。3.6 重要信 息系 统 Important information system 一旦遭 到破 坏、丧失 功能 或者数 据泄 露，可能

9、严重 危害国 家安 全、国计 民生、公共 利益 的重 要网 络设施、信息 系统 等。重要 信息系 统包 含关 键信 息基 础设施。3.7 重要数 据 Important data 一旦遭 到篡 改、破坏、泄 露或者 非法 获取、非 法利 用，可 能危 害国 家安 全、公共利 益的 数据。3.8 网络安 全投 入 Cybersecurity investment 项目建 设及 运行 过程 中投 入的安 全咨 询服 务、安 全 运维服 务、安全 技术 服务、安全 集成 服务、等 保测评服 务、商用 密码 安全 性评估 服务、安 全软 件、安全设 备 及 其他 硬件 等相 关费用。3.9 建设单 位

10、 Constructing units 对项目 实施 进行 组织 管理，并在 项目 建设 过程 中负 总责的 组织。来源：DA/T 28 2018，3.4 3.10 审查部 门 Review department 负责组 织网 络安 全审 查工 作的组 织。4 审 查方 式 审查方 式包 括线 下审 查和 线上审 查。4.1 线下 审查 建设单 位向 审查 部门 提交 网络安 全审 查申 请表 和项 目设计 方案，审 查部 门组 织 审查专 家并 召开 现场网络安 全审 查专 家评 审会，审查 专家 现场 出具 审查 意见。4.2 线上 审查 建设单 位通 过线 上方 式向 审查部 门提 交网

11、 络安 全审 查申请 表和 项目 设计 方 案，审查部 门组 织审 查专家召开 线上 网络 安全 审查 专家评 审会，审 查专 家在 线上出 具审 查意 见。5 审 查前 合规 性自 查 5.1 方案 编制 DB43/T 2313 2022 3 5.1.1 建设 单位应 对项 目 安全需 求进行 分析，并根 据安全 需求组 织编 制项目 安全设 计方案。安 全设计方案应 包含 网络 安全 体系 总体设 计方 案、密码 应用 方案、数据 安全 保护 方案。5.1.2 网 络安 全体 系总 体 设计方 案应 明确 系统 的安 全保护 等级，方 案宜 包括 但不限 于以 下内 容：1）项 目类 型及

12、 系统 类型；2）业 务和 资产 识别；3）参 考依 据；4）项 目建 设现 状；5）安 全需 求分 析；6）系 统功 能和 系统 架构 情况；7）网 络拓 扑结 构；8）安 全解 决方 案；9）主 要软 硬件 设备 选型 清单。5.1.3 密 码应 用方 案宜 包 括但不 限于 以下 内容：1）系 统现 状分 析；2）安 全风 险及 控制 需求；3）密 码应 用需 求；4）总 体方 案设 计；5）密 码技 术方 案设 计；6）管 理体 系设 计与 运维 体系设 计；7）安 全与 合规 性分 析；8）密 码产 品和 服务 应用 情况；9）业 务应 用系 统建 设/改 造情况；10）运行 环境

13、建设/改造 情况。5.1.4 数 据安 全保 护方 案 宜包括 但不 限于 以下 内容：1）数 据分 级分 类；2）系 统及 数据 库间 的业 务与数 据流 向说 明；3）数 据安 全需 求分 析；4）数 据采 集安 全设 计；5）数 据传 输安 全设 计；6）数 据存 储安 全设 计；7）数 据处 理安 全设 计；8）数 据交 换安 全设 计；9）数 据销 毁安 全设 计；10）个人 信息 保护 政策；11）个人 信息 保护 方案。5.2 方案 自查 建设单 位应 在项 目审 批提 交前对 项目 安全 设计 方案 内容进 行自 查。自查 发现 的问题，建 设单 位应 组织修改 项目 安全 设

14、计 方案。6 审 查流 程 审查流 程包 括审 查申 请、完备性 审查、专 业审 查和 出具审 查结 果。DB43/T 2313 2022 4 6.1 审查 申请 建设单 位按 照 网络 安全审 查工作 相关流 程（详见附 录 A 流 程图）和相 关要 求，提交 项目设 计方 案和网络 安全 审查 申请 表（详见附 录 B 网 络安 全审 查 申请表）。6.2 完备 性审 查 6.2.1 审 查部 门在 收到 审 查申请 后，按 照7 的 要求 组织完 备性 审查。6.2.2 完 备性 审查 完成 后 由审查 部门 出具 完备 性审 查意见 并反 馈至 建设 单位。6.2.3 建 设单 位参

15、照完 备 性审查 意见 补充 或修 改申 报材料。6.3 专业 审查 6.3.1 专 业审 查之 前，审 查部门 根据 实际 情况 选择 线上或 线下 审查 方式。6.3.2 审 查部 门组 织审 查 专家、建设 单位 代表 召开 线上或 线下 专家 评审 会议。6.3.3 审 查可 以是 网络 安 全专项 审查，也 可以 与立 项审查 联合 进行。6.3.4 专项 审查时，建 设 单位介 绍项目 安全 设计方 案并就 专家疑 问进 行答疑。审查 专家依 据本 文件对设计方 案进 行网 络安 全审 查，出 具专 家意 见。6.4 出具 审查 结果 由审查 部门 依据 专家 意见 进行综 合判

16、定，出具 审查 结果。7 审 查内 容 7.1 基本 要求 7.1.1 项 目类 型和 等级 保 护级别 判定 7.1.1.1 应准 确判 定项 目 类型及 涉及 的内 容。7.1.1.2 应依 据GB/T 22240 2020 有关 规定 准确 判定系 统 网 络安 全 等 级保 护级别。7.1.1.3 应准 确判 定系 统 是否为 重要 信息 系统。7.1.1.4 应准 确判 定系 统 采用的 云计 算、大数 据、移动互 联、物联 网、工业 控制等 新技 术情 况。7.1.1.5 应 准确 判定系 统 中是否 承载重 要数 据、个 人信息，是否 涉及 数据跨 组织流 动、数 据出 境情况等

17、。7.1.2 安 全技 术标 准及 安 全管理 体系 7.1.2.1 应依 据项 目类 型 和系统 的安 全保 护等 级，选择适 宜的、最 新的 安全 建设参 考标 准。7.1.2.2 应 规划 建设完 善 的安全 管理体 系，包括但 不限于 安全管 理制 度、安 全管理 机构、安全 管理人员、安 全建 设管 理及 安全 运维管 理内 容。7.1.3 产 品与 服务 采购 7.1.3.1 网络 安全 产品 与 服务采 购和 使用 应符 合国 家的有 关规 定。7.1.3.2 密码 产品 与服 务 的采购 和使 用应 符合 国家 的有关 规定。7.1.4 项 目经 费预 算 7.1.4.1 应

18、依据 系统建 设 规模、系统安 全需 求、系 统数量 合理制 定安 全建设 费用预 算、软 件安 全性测DB43/T 2313 2022 5 试、等 级保 护测 评、商用 密码应 用安 全性 评估 等费 用预算。7.1.4.2 重要 信息 系统 宜 制定系 统上 线安 全检 测评 估费用 和安 全措 施有 效性 验证费 用预 算。7.1.4.3 涉及 重要 数据 处 理的系 统宜 制定 重要 数据 安全风 险评 估费 用预 算。7.1.4.4 涉及 个人 信息 处 理的系 统宜 制定 个人 信息 安全影 响评 估费 用预 算。7.1.4.5 涉及 个人 信息 出 境的系 统宜 制定 个人 信息

19、 出境风 险评 估费 用预 算。7.1.4.6 依 据系 统建设 规 模宜合 理制定 风险 评估、上线安 全检测、安 全加固、网络 安全培 训、应急演练、系 统安 全运 维以 及新 技术新 业务 等费 用预 算。7.1.4.7 网 络 安 全 投 入 应 按 照 国 家 相 关 法 规 标 准 执 行，网 络 安 全 投 入 占 信 息 化 投 入 比 例 不 宜 低 于10。7.2 具体 要求 7.2.1 网 络安 全技 术措 施 应符 合 GB/T 25070 2019、GB/T 22239 2019 以 及 国家规 定的 相关 要求。7.2.2 数 据安 全保 护措 施 应符 合 GB/

20、T 37988 2019、GB/T 39477 2020 以 及 国家规 定的 相关 要求。7.2.3 个 人信 息安 全保 护 措施应 符 合 GB/T 35273 2020、GB/T 39335 2020 以 及国家 规定 的相 关要 求。7.2.4 密 码应 用安 全措 施 应符 合 GB/T 39786 2021 以及国 家规 定的 相关 要求。7.2.5 重 要信 息系 统安 全 保护措 施应 符合 国家 规定 的相关 要求。8 审 查结 果 审查结 果分“通 过”、“暂缓通 过”和“不通 过”三种情 况：审 查结 果为“通 过”时，项 目可 按项 目建 设方 案进行 建设。审 查结

21、 果为“暂 缓通 过”时，项目 建设 方参考 专家 建议修 改项 目设 计方 案后 可按方 案进 行建 设。审 查结 果为“不 通过”时，项目 建设 方应 组织 重新编 写项 目设 计方 案。审查结 果判 定规 则参 见 附录 C。DB43/T 2313 2022 6 附 录 A（资料 性）流程图 A 网 络 安 全 审 查 工 作 流 程 可 参 照 图1 进 行 操 作。图1 网络 安全 审查 工作 流程出具审 查结 果 报送安全 审 查材 料 完备 性 审 查 专业审 查 暂缓通 过 通过 修改方 案 修改方 案 通过 修改方 案 复审 不通过 启动网 络安 全审 查 不通过 组织线 上

22、 或 线下 评审会 合规性 自查 修改方 案 不通过 通过 DB43/T 2313 2022 7 附 录 B（规范 性）网络安 全审 查申 请表 网络安 全审 查工 作需 要各 建设单 位提 交的 申请 表材 料包括：网络 安全 审查 申请表 和 网 络安 全审查自 查表。具体 表格 形式及 内容 如下 所示：B.1 网 络 安全 审查 申请 表 模板 表B.1 网 络安 全审 查申 请表 项目名称 项目建设单位情况 项目建设单位 项目建设单位项目负责人 联系电话 项目建设单位项目联系人 联系电话 方案设计编制单位情况 方案设计编制单位 方案设计编制单位项目负责人 联系电话 方案设计编制单位项

23、目联系人 联系电话 申请内容 申请 单位（公章）：申 请日期：DB43/T 2313 2022 8 网络安 全审 查自 查表 按照 系统部 署类 型不 同（本地 部署、托管 部署、政 务云 部署与 混合 模式 部署）分为四 个子 表，分别 对应 表 B.2、B.3、B.4、B.5，申请人 应根 据系 统部 署类 型选择 相应 的表 格进 行填写,项 目涉 及多 个系 统的，每个系 统应 单独 填写 自查 表。B.2 本地 部署 的政 务信 息 化项目 按照 表B.2 进 行安 全审 查 自查 并填 表 表B.2 本 地部 署系 统安 全审 查 自查 表 自 查项目 自 查情况 系统名称 系统所

24、属 范畴 是否属于关键信息基础设施 是 否 是否属于重要信息系统 是 否 项目类型 此项目类型为：新建机房 机房改造 网络扩容 网络改造 新建网络 新建信息系统（含软件和硬件）新建信息系统（仅软件）信息系统功能升级（含软件和硬件）信息系统功能升 级（仅软件）信息系统性能升级（仅硬件）其它_ 系统基本 情况介绍 1.此系统类别为（可多选）：传统信息系统（不含 APP)传统信息系统(含APP)云计算 移动 互联 物 联网 工业控制 大数据 其它_ 2.此系统用户类型有_，此系统用户数量有_，用户分布范围：全国 全 省 本地区 本单位 其它_ 3.系统是否需24 小时运行：是 否 系统中断会造成什

25、么影响：_ 可容忍系统中断的时间为：_ 4.本单位是否已明确的信息系 统安全等级：未确定 已 确定 级别是:S1A2G2 S2A1G2 S2A2G2 S1A3G3 S2A3G3 S3A1G3 S3A2G3 S3A3G3 5.安全等级确定方法：本单 位内部自行判断 主管单位 定级指导意见 专家评审会 判定 6.系统访问类型：互联网开 放访问 电子政务外网开放 访问 内部局域网访问 专网访问 其他_ 7.系统和网络边界情况：互 联网边界 上联边界 下联边界 外联边界，外联单位有_ 系统边界，对接系统有_ 8.软件开发形式：自主 软件 开发 外包软件开发 基 于成熟产品定制开发 上级统一下发 购买成

26、熟产品 9.运行维护情况：自行维护 外包单位维护 开发单 位驻场维护 开发单位远程 维护 系统数据 情况 1.数据内容：系统存储有哪些 重要数据_ 是否包含个人信息数据：是 否 个人信息数据量（概数）：_ 条 是否包含儿童信息数据：是 否 是否包含涉密数据：是 否 2.数据载体：结构化数据库 大数据平台 数据湖 其 他_ 3.数据来源：单位内部 单 位外部共享 社会公众 业务数据产生途径：业务采集 互联网抓取 搜集分析 外购 APP 收集 网站收集 人工导入 国 内共享 其他_ 4.外部数据交换：是否存在国 内组织外数据共享：是 否 共享单位及主要共享数据类型：_ 是否存在数据出境：是 否 出

27、境对象主体及主要出境数据类型：_ DB43/T 2313 2022 9 表 B.2 本 地部 署系 统安 全审查 自查 表（续）自 查项目 自 查情况 安全产品及措施情况 系统将部署的主要安全产品有（未在以下列举产品范围的可自行扩行补充说明）：网络防护类：网闸（采购 利旧）防火墙（采购 利旧）WAF（采购 利旧）UTM（采购 利旧）入侵防御系统 IPS（采购 利旧）防毒墙/防病毒网关（采购 利旧）抗 DDoS 设备（采购 利旧）准入控制系统（采购 利旧）防非法外联系统（采购 利旧）其它_（采购 利旧）主机防护类：防病毒软件企业版（采购 利旧）桌面终端安全软件（采购 利旧）服务器加固软件（采购

28、利旧）其它_（采购 利旧）数据安全类：数据库审计（采购 利旧）网页防篡改（采购 利旧）数据脱敏系统（采购 利旧）DLP 数据防泄漏系统（采购 利旧）灾备系统（采购 利旧）其它_（采购 利旧）加密类：VPN（采购 利旧）加 密机（采购 利旧）CA（采购 利旧）其它_（采购 利旧）安全管理类：安全审计系统（采购 利旧）安全监控系统（采购 利旧）堡垒机（采购 利旧）漏洞扫描（采购 利旧）安全管理平台（采购 利旧）上网行为管理（采购 利旧）其它_（采购 利旧）安全监测类：入侵检测系统 IDS（采购 利旧）态势感知（采 购 利旧）蜜罐（采购 利旧）其它_（采购 利旧）之后安全维护情况：自行维护 外包安全

29、服务 商维护 安全厂商维护 其他_ 方案结构 1.方案是否有专门的章节或单 独的方案对信息安全防护方案进行说明：方案内独立的安全章节（含网络安全总体设计方案 密码应用方案 数据安全方案）独立的安全方案 无 2.方案中是否包括以下内容：网络安全建设依据 业务数据描述 系统定级描述（二级或三级）是否属于关键信 息基础设施范畴 是否属于重要信息系统 网络拓扑图 网络边界分析 系统部署架构 安全需求分析 安全责任划分 网络安全设备清单 应用系统安全功 能 采取的安全措施 如有利旧，需明 确新建和利旧的部分 DB43/T 2313 2022 10 表 B.2 本 地部 署系 统安 全审查 自查 表（续）

30、自 查项目 自 查情况 网络安全经费预算 1.方案中是否有网络安全专项 经费：有 否 2.项目总预算：_ 万元，网络安全预算：_ 万元，网络安全预算所占比例：_ 3.网络安全预算包括：安全建设费用预算 安全加固费用预 算 代码安全测试预算/渗透测试预算 等级测评费用预 算 密码应用安全性评估费用预算 网络安全培训预 算 应急演练费用预 算 风险评估费用预 算 安全运维费用预算 其他_ 方案中安全区域边界采用的安全 措施 1.网络区域划分 拓扑图中是否体现按照功能进行区域划分：是，实现方式为_ 否 区域之间是否采用隔离措施:是，实现方式为_ 否 2.线路硬件冗余 拓扑图中是否体现通信线路的冗余：

31、新建，实现方式为_ 利旧，实现方式为_ 否 拓扑图中是否体现关键网络设备的硬件冗余：新建，实现方式为_ 利旧，实现方式为_ 否 拓扑图中是否体现关键计算设备的硬件冗余：新建，实现方式为_ 利旧，实现方式为_ 否 3.数据备份和加密 方案中是否有明确哪些数据是重要数据，并对数据进行分类：是 否 方案中是否有体现重要数据备份措施（数据备份系统）：新建，实现方式为_ 利旧，实现方式为_ 否 如为三级（网络安全等级保护三级系统），是否有异地实时备份功能：新建，实现方式为_，备份地为_ 利旧，实现方式为_，备份地为_ 否 方案中是否有体现重要数据存储加密措施：新建，实现方式为_ 利旧，实现方式为_ 否

32、DB43/T 2313 2022 11 表 B.2 本 地部 署系 统安 全审查 自查表（续）自 查项目 自 查情况 方案中安全区域边界采用的安全 措施 如有，加密算法是否使用国产加密算法：是，加密算法是_ 否，加密算法是_ 4.容灾备份 方案中是否有体现重要系统进行容灾备份措施（容灾备份系统）：新建，实现方式为_ 利旧，实现方式为_ 否 方案中是否有体现数据库进行容灾备份措施（容灾备份系统）：新建，实现方式为_ 利旧，实现方式为_ 否 5.通信保密性 是否采用校验技术或密码技术实现对数据通信的保护：新建，实现方式为_ 利旧，实现方式为_ 否 如有，加密算法是否使用国产加密算法：是，加密算法是

33、_ 否，加密算法是_ 6.边界防护 网络边界防护情况：是否冗余：是 否 是否有互联网连接：是 否 如有互联网连接，是否有外联边界防火墙：新建 利旧 否 是否有外联：是 否 如有外联，外联单位有_，是否所有外联边界均有防火墙：新建 利旧 否 是否有上联单位：是 否 如有上联，是否有上联边界防火墙：新建 利旧 否 是否有下联单位：是 否 如有下联，是否有下联边界防火墙：新建 利旧 否 是否有无线互联边界：是 否 如有，是否有无线接入安全网关：新建 利旧 否 内部核心区域是否有防火墙：新建，实现方式为_ 利旧，实现方式为_ 否 防火墙是否具有 以下功能：源端口、目的端口和协议等进行检查 根据会话状态

34、信息为进出数据流提供明确的允许/拒绝访问的能力 对进出网络的数据流实现基于应用协议和应用内容的访问控制 DB43/T 2313 2022 12 表 B.2 本 地部 署系 统安 全审查 自查 表（续）自 查项目 自 查情况 方案中安全区域边界采用的安全 措施 是否有准入控制措施（准入控制系统）：新建，实现方式为_ 利旧，实现方式为_ 否 是否有违规外联检测/限制（违规外联检测系统）：新建，实现方式为_ 利旧，实现方式为_ 否 是否有无线网络接入管控措施：新建，实现方式为_ 利旧，实现方式为_ 否 7.入侵防范 是否有检测、防止或限制从外部发起的网络攻击行为的措施（外网入侵检测设备）：新建，实现

35、方式为_ 利旧，实现方式为_ 否 入侵检测设备是否能在发生严重事件时提供报警：是 否 是否有检测、防止或限制从内部发起的网络攻击行为的措施（入侵检测设备）：新建，实现方式为_ 利旧，实现方式为_ 否 入侵检测设备是否能在发生严重事件时提供报警：是 否 是否有新型网络攻击行为进行检测的措施（入侵检测设备）：新建，实现方式为_ 利旧，实现方式为_ 否 入侵检测设备是否能在发生严重事件时提供报警：是 否 8.恶意代码防范 网络边界处/关键网络节点处是否有对恶意代码进行检测和清除的措施：新建，实现方式为_ 利旧，实现方式为_ 否 方案中安全计算环境采用的安全 措施 1.重要数据处理系统热冗余 方案中是

36、否体现重要数据处理系统的热冗余：新建，实现方式为_ 利旧，实现方式为_ 否 2.恶意代码防护：服务器使用的操作系统为_ 服务器如为 Windows 操作系统，是否有免受恶意代码攻击的技术措施或主动免疫可信验证机制：DB43/T 2313 2022 13 表 B.2 本 地部 署系 统安 全审查 自查 表（续）自 查项目 自 查情况 方案中安全计算环境采用的安全 措施 新建，实现方式为_ 利旧，实现方式为_ 否 3.入侵防范 是否具有主机入侵防护的措施（主机入侵防护软件）：新建，实现方式为_ 利旧，实现方式为_ 否 4.安全基线加固 是否有对网络设备、安全设备、操作系统、数据库、中间件、应用等进

37、行安全基线加固的内容：有相关安全基线加固方案，实现方式为_ 自行进行安全基线加固 采购相关安全基线加 固服务的内容 其他_ 否 系统是否涉及 APP 开发：是 否 如有，是否有 APP 安全加固的 内容：是 否 5.应用安全功能 是否有对应用安全功能的描述：是 否 双因子鉴别功能：有，实现方式为_ 无 密码复杂度检测功能：有 无 登录失败处理功能：有 无 访问控制功能：有 无 安全审计功能：有，审计内容有_ 无 软件容错功能：有 无 数据加密存储功能：有，实现方式为_ 无 数据加密传输功能：有，实现方式为_ 无 超时退出功能：有 无 6.代码开发安全 是否有代码安全开发的要求和描述：是 否 是

38、否有代码安全测试：是 否 7.个人信息安全保护 是否需收集个人信息：是 否 如有，是否明确收集个人信息的内容和理由：是 否 是否存在收集与业务无关的个人信息：是 否 是否提供有效的更正、删除个人信息及注销用户账号功能：是 否 是否建立并公布个人信息安全投诉、举报渠道：是 否 是否有 APP:是 否 如有，在 APP 中是否在显示位 置展示有隐私政策：是 否 如有，隐私政策中是 否有收集使用个人信息规则：是 否 是否简明清晰的明示收集使用个人信息的目的、方式和范围：是 否 DB43/T 2313 2022 14 表 B.2 本 地部 署系 统安 全审查 自查 表（续）自 查项目 自 查情况 方案

39、中安全管理中心采用的安全 措施 1.集中管理和监测 是否对设备进行集中管理：新建，实现方式为：新购置堡垒机 新购 置安全管理平台有设备集中管理功能 其他_ 利旧，实现方式为：利旧原有堡垒机 利旧 原有安全管理平台 其他_ 否 是否有设备集中监控：新建，实现方式为：新建监控系统 新 建安全管理平台中有集中监控功能 其他_ 利旧，实现方式为：利旧原有监控系统 利旧 安全管理平台中有集中监控功能 其他_ 否 2.安全审计 是否有日志审计集中收集和分析的措施（日志审计设备）：新建，实现方式为：新建日志审计系统 新建 安全管理平台中有日志集中收集分析功能 其他_ 利旧，实现方式为：使用已有日志审计系统

40、使 用已有 安全管理平台中的日志集中收集分析功能 其他_ 否 3.集中管控 是否建设安全管理中心：是，实现方式为_ 否 是否划分安全管理区域：是，实现方式为_ 否 是否有恶意代码集中管理措施 新建，实现方式为_ 利旧，实现方式为_ 否 是否有安全策略、补丁升级集中管理措施：新建，实现方式为_ 利旧，实现方式为_ 否 是否有对各类安全事件进行识别、报警和分析措施：新建，实现方式为_ 利旧，实现方式为_ 否 DB43/T 2313 2022 15 表 B.2 本 地部 署系 统安 全审查 自查 表（续）自 查项目 自 查情况 方案中数据安全措施 1.是否有数据采集的安全手段：是，实现方式为_ 否

41、2.是否有数据传输的安全手段：是，实现方式为_ 否 3.是否有数据存储的安全手段：是，实现方式为_ 否 4.是否有数据处理的安 全手段：是，实现方式为_ 否 5.是否有数据交换的安全手段：是，实现方式为_ 否 6.是否有数据销毁的安全手段：是，实现方式为_ 否 7.是否明确数据安全负责人和 管理机构：是 否 8.是否有数据安全管理岗位专 人配置：是 否 9.是否有数据安全管理制度：是 否 10.是否有数据安全应急预案和 管理：是 否 11.是否开展数据安全风险评估 工作和管理：是 否 12.是否开展数据分类分级工作 和管理：是 否 方案中密码应用安全 措施 1.是否采用国产密码技术、密 码产品

42、：新建，使用密码技术为_ 使用密码产品为_ 利旧，使用密码技术为_ 使用密码产品为_ 否 2.密码产品是否符合法律、法 规的规定和密码相关国家标准、行业标准的有关要求：是 否 B.3 托管 部署 的政 务信 息 化项目 按照 表B.3 进 行安 全审 查 自查 并填 表 表B.3 托 管部 署系 统安 全审查 自查 表 自 查项目 自 查情况 系统名称 系统所属 范畴 是否属于关键信息基础设施 是 否 是否属于重要信息系统 是 否 项目类型 此项目类型为：新建信息系统（含软件开发和硬件）新建信息系 统（仅软件开发）信息系统功能升级（含软件开发和硬件）信息系统功 能升级（仅软件开发）信息系统性能

43、升级（仅硬件）系统基本 情况介绍 1.此系统类别为（可多选）：传统信息系统（不含 APP)传统信息系统(含APP)云计算 移动互联 物 联网 工业控制 大数据 其它_ 2.此系统用户类型有_，此系统用户数量有_，用户分布范围：全国 全 省 本地区 本单位 其它_ 3.系统是否需24 小时运行：是 否 系统中断会造成什 么影响：_ 可容忍系统中断的时间为：_ DB43/T 2313 2022 16 表 B.3 托 管部 署系 统安 全审查 自查 表（续）自 查项目 自 查情况 系统基本 情况介绍 4.本单位是否已明确信息系统 安全等级：未确定 已确 定 级别是:S1A2G2 S2A1G2 S2A

44、2G2 S1A3G3 S2A3G3 S3A1G3 S3A2G3 S3A3G3 5.安全等级确定方法：本单 位内部自行判断 主管单位 定级指导意见 专家评审会 判定 6.系统访问类型：互联网开 放访问 电子政务外网开放 访问 内部局域网访问 专网访问 其他_ 7.系统和网络边界情况：互 联网边界 上联边界 下联边界 外联边界，外联单位有_ 系统边界，对接系统有_ 8.软件开发形式：自主软件 开发 外包软件开发 基于成熟产品定制开发 上级统一下发 购买成熟 产品 9.运行维护情况：自行维护 外包单位维护 开发 单位驻场维护 开发单位远 程维护 系统数据 情况 1.数据内容：系统存储有哪些 重要数据

45、_ 是否包含个人信息数据：是 否 个人信息数据量（概数）：_ 条 是否包含儿童信息数据：是 否 是否包含涉密数据：是 否 2.数据载体：结构化数据库 大数据平台 数据湖 其 他_ 3.数据来源：单位内部 单 位外部共享 社会公众 业务数据产生途径：业务采集 互联网抓取 搜集分 析 外购 APP 收集 网 站收集 人工导入 国内共享 其 他_ 4.外部数据交换：是否存在国 内组织外数据共享：是 否 共享单位及主要共享数据类型：_ 是否存在数据出境：是 否 出境对象主体及主要出境数据类型：_ 安全产品及措施情况 系统将部署的主要安全产品有（未在以下列举产品范围的可自行扩行补充说明）：网络防护类：网

46、闸（采购 利旧 托 管方提供）防火墙（采 购 利旧 托管方提供）WAF（采购 利旧 托管 方提供）UTM（采购 利旧 托管方提供）IPS（采购 利旧 托管 方提供）防毒墙/防病毒网 关（采购 利旧 托管方 提供）抗DDoS 设备（采购 利 旧 托管方提供）其它_（采购 利 旧 托 管 方 提 供）主机防护类：防病毒软件企业版（采购 利旧 托管方提供）桌 面终端安全软件（采购 利旧 托管方提供）服务器加固软件（采购 利旧 托管方提供）其它_（采购 利旧 托管方提供）数据安全类：数据库审计（采购 利旧 托管方提供）网页防 篡改（采购 利旧 托管 方提供）数据脱敏系统（采购 利旧 托管方提供）DLP

47、 数 据防泄漏系统（采购 利旧 托管方提供）灾备系统（采 购 利旧 托管方提供）其它_（采购 利旧 托管 方提供）加密类：VPN（采购 利旧 托管 方提供）加密机（采 购 利旧 托管方提供）CA（采购 利旧 托管 方提供）其它_（采购 利旧 托管方提 供）DB43/T 2313 2022 17 表 B.3 托 管部 署系 统安 全审查 自查 表（续）自 查项目 自 查情况 安全产品及措施情况 安全管理类：安全审计系统（采购 利 旧 托管方提供）安全监 控系统（采购 利旧 托 管方提供）堡垒机（采购 利旧 托管方提供）漏洞扫描（采购 利旧 托管方提供）安全管理平台（采购 利 旧 托管方提供）其它

48、_（采购 利旧 托 管方提供）安全监测类：入侵检测系统 IDS（采购 利旧 托管方提供）态 势感知（采购 利旧 托 管方提供）蜜罐（采购 利旧 托 管方提供）其它_（采购 利旧）方案结构 1.方案是否有专门的章节或单 独的方案对信息安全防护方案进行说明：方案内独立的安全章 节（含网络安全总体设计方案 密码应用方案 数据安全方案）独立的安全方案 无 2.方案中是否包括以下内容：网络安全建设依据 业务数据描述 系统定级描述（二级或三级）是否属于关键信 息基础设施范畴 是否属于重要信息系统 网络拓扑图 网络边界分析 系统部署架构 安全需求分析 安全责任划分 网络安全设备清单 应用系统安全功 能 采取

49、的安全措施 如有利旧，需明 确新建和利旧的部分 网络安全经费预算 1.方案中是否有网络安全专项 经费：有 否 2.项目总预算：_ 万元，网络安全预算：_ 万元，网络安全预算所占比例：_ 3.网络安全预算包括：安全建设费用预算 安全加固费用预 算 代码安全测试预算/渗透测试预算 等级测评费用预 算 密码应用安全性评估费用预算 网络安全培训预 算 应急演练费用预算 风险评估费用预 算 安全运维费用预算 其他_ 托管机房 情况 1.托管机房物理位置 托管的机房的物理位置是否位于中国境内：是 否 2.托管机房网络等级保护级别 机房（含整体网络）的安全保护等级是：第二级 第 三级 第四级 尚未 定级 用

50、户建设方的业务应用系统的安全保护等级是否高于托管方机房（含整体网络）定级：是 否 3.托管机房等级测评情况 托管的机房（含整体网络）的等级测评结论是：优 良 中 差 符合 基本符合 不 符合 未做等保测评 DB43/T 2313 2022 18 表 B.3 托 管部 署系 统安 全审查 自查 表（续）自 查项目 自 查情况 方案中安全通信网络采用的安全 措施 1.区域划分 系统与托管单位托管的其他系统之间是否采用隔离措施：是，实现方式为_ 否 2.关键计算设备硬件冗余 拓扑图中是否体现关键计算设备的硬件冗余：新建，实现方式为_ 利旧，实现方式为_ 否 3.数据备份和加密 方案中是否有明确哪些数