DB3601 11-2024 数字化项目网络安全审查规范.docxVIP

ICS35.240CCSA90

DB3601

南昌市地方标准

DB3601/11—2024

数字化项目网络安全审查规范

Cybersecurityreviewspecificationofdigitalprojects

2024-06-03发布2024-09-01实施

南昌市市场监督管理局发布

I

DB3601/T11—2024

目次

前言 Ⅱ

1范围 1

2规范性引用文件 1

3术语和定义 1

4审查方式 2

5审查流程 2

6审查内容 3

7审查结果 3

附录A（规范性）数字化项目网络安全审查流程图 4

附录B（规范性）数字化项目网络安全审查细则 5

附录C（规范性）数字化项目网络安全审查结果判别说明 10

参考文献 11

II

DB3601/T11—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由南昌市互联网信息办公室提出并归口。

本文件起草单位：南昌市互联网信息办公室、江西安极信息技术有限公司。

本文件主要起草人：周凡、宋徽青、张伦芳、肖慧、武永伟、周围、刘煜、潘伟琦、何琪、黄瑞。

1

DB3601/T11—2024

数字化项目网络安全审查规范

1范围

本文件规定了数字化项目（非涉密）网络安全审查的审查方式、审查流程、审查内容、审查结果。

本文件适用于数字化项目（非涉密）规划设计阶段的网络安全审查，其他信息化项目网络安全审查可参照执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求GB/T22240信息安全技术网络安全等级保护定级指南

GB/T25070信息安全技术网络安全等级保护安全设计技术要求GB/T35273信息安全技术个人信息安全规范

GB/T39477信息安全技术政务信息共享数据安全技术要求

GB/T39786信息安全技术信息系统密码应用基本要求GB/T40692政务信息系统定义和范围

DA/T28建设项目档案管理规范

3术语和定义

下列术语和定义适用于本文件。3.1

数字化项目Digitalprojects

全市各级行政机关以及法律法规授权的具有管理公共事务职能的组织等使用财政性资金建设、运维的数字化项目，主要包括：电子政务网络平台、重点业务数字化系统、数据资源库、信息安全基础设施、电子政务基础设施（政务云、数据中心等）、数字政府标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》（GB/T40692）规定的非涉密项目。

[来源：江西省数字化项目建设管理办法，1,2,有修改]3.2

项目设计方案Projectdesignscheme

2

DB3601/T11—2024

在项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案、投资概算或项目建议书等。

3.3

安全设计方案Securitydesignscheme

项目设计方案中包含的网络安全体系总体设计方案、商用密码应用方案、数据安全保护方案等子方案。

3.4

关键信息基础设施Criticalinformationinfrastructure

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

[来源：关键信息基础设施安全保护条例，1,2]3.5

网络安全投入Cybersecurityinvestment

项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保测评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。

3.6

建设单位Constructingunits

对项目实施进行组织管理，并在项目建设过程中负总责的部门。[来源：DA/T28]

3.7

审查部门Reviewdepartment

负责组织网络安全审查工作的部门。

4审查方式

建设单位应向