数字政府网络安全合规性指引

本书主要面向具备信息系统和网络安全基础知识，希望对我国网络安全法律法规和标准的体系进行系统深入学习的人员。本书将数字政府网络安全合规性拆分为政务行业和领域的网络安全要求、政务部门网络安全责任、政务信息系统安全防护技术要求三个方面，分别从工作角度和技术角度对网络安全领域“4 法+4 条例 +7 办法意见 +7 类标准”进行梳理、整合，较为系统全面地归纳总结了网络安全合规工作的各项要求，同时紧贴数字政府建设安全需求，对相关单位在非涉密信息系统的规划、建设和运行阶段规范开展网络安全工作具有指导和参考意义。 本书共 6 章，前 3 章是工作合规指引，后 3 章是技术合规指引。第 1 章主要介绍我国网络安全法律法规体系，分析政务行业网络安全合规工作主要依据。第 2 章主要介绍网络安全法律法规，以及政务主管部门发布的规定和办法中网络安全主要相关内容。第 3 章在前两章的基础上，系统梳理了政务部门的工作角色、应承担的网络安全责任和义务以及在信息系统规划、建设和运行等阶段，网络安全主要工作重点和步骤。第 4章系统地讲解了 7 项网络安全工作对应的 7 大类网络安全标准。第 5 章系统地描述了在规划、建设和运行阶段，网络安全 7 项工作应如何按照标准实施。第 6 章是本书的重点，旨在解决实施过程中可能由于条款理解偏差带来的低效率、重复建设等问题，本章将相关条款整合到统一框架体系中，便于读者查阅、对照，从而在实际工作中做到一次工作多项合规。

第一部分 工作合规指引 第1 章 数字政府网络安全合规概述 2 1.1 网络安全政策法律法规介绍 2 1.1.1 党中央高度重视网络安全工作 2 1.1.2 《网络安全法》确立了网络安全领域的基本制度 4 1.1.3 《数据安全法》和《个人信息保护法》完善和发展了法律规范体系 5 1.1.4 《密码法》通过促进密码应用保障网络与信息安全 5 1.2 数字政府网络安全合规的主要依据 6 1.2.1 网络安全法律法规给出了合规工作的上位要求 6 1.2.2 政务主管部门办法和意见指明合规工作的推进方向 6 1.2.3 网络安全突出问题暴露了合规工作的薄弱环节 7 1.2.4 网络安全监管部门的措施建议提供了合规工作的方法 8 1.3 政务部门网络安全管理和工作主要责任 9 1.3.1 党委（党组）网络安全责任 9 1.3.2 网络运营者主体责任 9 1.3.3 政务数据资源管理和保护责任 10 第2 章 数字政府网络安全合规要求 11 2.1 《网络安全法》 11 2.1.1 主要内容 11 2.1.2 政务主要相关要求 12 2.2 《密码法》 13 2.2.1 主要内容 13 2.2.2 政务主要相关要求 14 2.3 《数据安全法》 14 2.3.1 主要内容 14 2.3.2 政务主要相关要求 16 2.4 《个人信息保护法》 17 2.4.1 主要内容 17 2.4.2 政务主要相关要求 19 2.5 《国家政务信息化项目建设管理办法》 20 2.5.1 落实网络安全等级保护规定 20 2.5.2 密码应用“三同步、一评估” 21 2.5.3 安全验收 21 2.5.4 构建全方位、多层次、一致性的防护体系 21 2.6 《关键信息基础设施安全保护条例》 22 2.6.1 关键信息基础设施的认定 22 2.6.2 关键信息基础设施运营者的职责 22 2.6.3 关键信息基础设施行业保护部门的职责 23 2.7 《网络安全等级保护条例（征求意见稿）》 23 2.8 《商用密码管理条例》 24 2.9 《网络数据安全管理条例（征求意见稿）》 26 2.10 《网络安全审查办法》 28 2.10.1 网络安全审查的客体和原则 28 2.10.2 网络安全审查的重点对象 28 2.10.3 网络平台运营者赴国外上市须强制性审查 29 2.11 《数据出境安全评估办法》 29 2.11.1 境外数据安全评估原则 30 2.11.2 数据出境安全评估情形与要求 30 2.12 《云计算服务安全评估办法》 30 2.12.1 云计算服务安全评估依据 30 2.12.2 云计算服务安全评估的重点评估内容 31 2.13 国务院《关于加强数字政府建设的指导意见》 33 2.13.1 坚持安全可控的基础原则 34 2.13.2 构建数字政府全方位安全保障体系 34 2.13.3 保障数据和个人信息安全 35 2.14 《国家电子政务外网网络与信息安全管理暂行办法》 36 2.15 《全国一体化政务大数据体系建设指南》 37 2.16 网络安全主要角色合规要求汇总 38 2.16.1 个人信息处理者 39 2.16.2 数据处理者 43 2.16.3 重要数据的处理者 49 2.16.4 网络运营者 51 2.16.5 关键信息基础设施运营者 55 2.16.6 关键信息基础设施安全保护工作的部门 58 2.16.7 履行个人信息保护职责的部门 59 2.16.8 当事人 60 2.16.9 各级政务外网单位 61 2.16.10 项目建设单位 62 2.16.11 云服务商 64 第3 章 数字政府网络安全合规工作指南 66 3.1 政务部门网络安全工作的确立 66 3.1.1 网络安全合规工作的主要目标 66 3.1.2 安全保护对象 67 3.1.3 网络安全保护责任和义务 69 3.2 政务部门网络安全职责分工 72 3.2.1 政务信息化领导小组 74 3.2.2 政务信息化建设管理协调机制 75 3.2.3 数据资源管理部门 75 3.2.4 政务云主管部门 76 3.2.5 政务云管理机构 77 3.2.6 政务云相关服务商 77 3.2.7 政务云使用单位 78 3.2.8 未上云的政务信息系统运营者 79 3.3 开展网络安全合规工作的主要步骤 79 3.3.1 统筹规划 79 3.3.2 全面执行 80 3.3.3 监督检查 81 3.3.4 处理改进 81 3.4 网络安全合规工作要点 81 3.4.1 网络安全等级保护 81 3.4.2 商用密码应用安全性评估 83 3.4.3 数据安全保护 84 3.4.4 个人信息保护 85 3.4.5 关键信息基础设施安全保护 86 3.4.6 云计算服务安全评估 87 3.4.7 网络安全事件应急预案和演练 88 3.4.8 政务网络安全保障 90 第二部分 技术合规指引 第4 章 数字政府网络安全合规标准 94 4.1 政务信息系统网络安全合规适用性说明 95 4.2 网络安全等级保护 95 4.2.1 定级指南 97 4.2.2 基本要求 98 4.2.3 设计技术要求 101 4.2.4 测评要求 104 4.3 商用密码应用安全性评估 106 4.3.1 基本要求 107 4.3.2 商用密码应用 110 4.3.3 密码应用安全性评估 112 4.4 关键信息基础设施安全保护 115 4.4.1 《关键信息基础设施安全保护要求》的主要内容 115 4.4.2 安全保护基本原则 117 4.4.3 安全保护的内容活动 117 4.5 云计算服务安全评估 118 4.5.1 《云计算服务安全指南》 119 4.5.2 《云计算服务安全能力要求》 121 4.5.3 云计算服务安全评估流程 122 4.5.4 云计算服务系统安全计划 123 4.6 数据安全保护 123 4.7 个人信息保护 125 4.8 政务行业网络安全要求 131 4.8.1 政务外网安全要求 132 4.8.2 政务云安全要求 135 4.8.3 《政务大数据安全风险评估实施指南》（立项） 136 4.8.4 《政务信息共享数据安全技术要求》 137 4.8.5 《政务计算机终端核心配置规范》 139 4.8.6 《电子政务移动办公系统安全技术规范》 140 第5 章 数字政府网络安全实施过程指南 142 5.1 过程描述 142 5.2 规划阶段 143 5.2.1 确定系统安全保护级别 143 5.2.2 安全方案设计 143 5.2.3 安全方案评审 145 5.3 建设阶段 145 5.3.1 产品采购和使用 145 5.3.2 源代码审计 146 5.3.3 安全监理 146 5.3.4 安全验收 146 5.3.5 上线前检测 146 5.4 运行阶段 147 5.4.1 安全运营（动态合规） 147 5.4.2 等级测评 151 5.4.3 密码应用安全性评估 151 5.4.4 云计算服务安全评估 151 5.4.5 风险评估 152 5.5 监督检查 153 5.5.1 定期自查 153 5.5.2 督导检查 153 5.5.3 监督检查 154 第6 章 数字政府网络安全合规要求整合和对照 155 6.1 物理和环境安全 157 6.2 通信网络安全 160 6.3 区域边界安全 163 6.4 计算环境安全 171 6.5 安全管理中心 182 6.6 网络安全制度 185 6.7 网络安全组织 190 6.8 安全管理人员 192 6.9 安全建设管理 195 6.10 安全运维管理 204 6.11 供应链安全 218 6.12 业务连续性 224 6.13 应急处置 226 6.14 密码管理 228 6.15 数据安全 231 6.16 个人信息安全 237 参考文献 238 附录A 名词解释 239 附录B 法律法规 241 附录C 标准 243