《电子政务系统安全成熟度评估规范（征求意见稿）》编制说明.docx

—1—

电子政务系统安全成熟度评估规范

编制说明

1.目的意义

如今，新国际形势下的网络安全环境日益严峻，网络威胁冲突与对抗已常态化，非法入侵活动的目标围绕着政府单位和关基设施。江苏省各政府单位对安全的要求发生了很大的变化，除了需要满足合规要求以外，还应具备对抗网络战和APT攻击的能力。江苏省在电子政务系统建设中虽然已采取了一定的安全防护措施，但现有安全建设的成效难以量化和评价。并且随着检验检测市场的开放和各类第三方检验检测机构的出现，缺乏客观的网络安全能力评价标准，不利于全省网络安全评估工作的开展。

通过建立此规范，不仅能够全面量化电子政务系统在应对各类威胁的防护能力，深入了解各电子政务系统目前所处的安全成熟度级别及与目标的差距，同时能够为其完善和提升安全能力提供方向和依据。

此规范的发布将填补江苏省在电子政务系统安全成熟度评估方面的空白，为全省电子政务系统的安全建设提供科学的评价依据。通过标准化评估方法，不仅能有效评估现有安全防护体系的成熟度，还能识别安全建设中的不足，提出改进建议，促进电子政务系统网络安全防御体系的持续改进和完善，提升全省电子政务系统的整体安全水平。

2.任务来源

标准《电子政务系统安全成熟度评估规范》是经江苏省市场监督管理局批准立项（苏市监标〔2023〕173号）的项目。本标准由江苏省数据局（江苏省政务服务管理办公室）提出并归口，由江苏省产品质量监督检验研究院、江苏海事职业技术学院、国家税务总局江苏省税务局信息中心、南京市城市数字治理中心、南京市水务信息中心、南京市国土资源信息中心、苏州市中级人民法院、苏州市信息中心、北京长亭科技有限公司、江苏天竞云合数据技术有限公司、江苏全博信息科技有限公司、江苏网擎信息技术有限公司、徐州云天网络安全技术有限公司、江苏翔晟信

—2—

息技术股份有限公司共同起草。

3.编制过程

3.1.前期调研

2019年，GB/T22239-2019《信息安全技术网络安全等级保护基本要求》发布并实施，江苏省电子政务系统均已按照该标准完成了网络安全建设，满足了国家对重要系统的安全建设的基本要求，但其是否能够抵御网络攻击，其安全成熟度如何，却无法评价。

国家标准委于2019年发布2020年实施了GB/T37988-2019《信息安全技术数据安全能力成熟度模型》，工业和信息化部于2023年批准2024年实施了《电信网和互联网网络安全能力成熟度评价模型》和《电信网和互联网网络安全能力成熟度评价方法》，但在电子政务系统安全成熟度领域无相关标准规范的发布。

3.2.标准立项

经江苏省政务服务管理办公室申请，江苏省市场监督管理局批准《电子政务系统安全成熟度评估规范》立项（苏市监标〔2023〕173号）。

3.3.成立编制组并进行标准编制

2023年8月4日，标准完成申报立项。随后江苏省产品质量监督检验研究院、江苏海事职业技术学院、国家税务总局江苏省税务局信息中心、南京市城市数字治理中心、南京市水务信息中心、南京市国土资源信息中心、苏州市中级人民法院、苏州市信息中心、北京长亭科技有限公司、江苏天竞云合数据技术有限公司、江苏全博信息科技有限公司、江苏网擎信息技术有限公司、徐州云天网络安全技术有限公司、江苏翔晟信息技术股份有限公司成立标准编制组，着手开展标准的调查研究和编写工作。

2023年9月6日，编制组在江苏省产品质量监督检验研究院召开了第一次工作

—3—

会议，确定了工作思路，制定了标准编制计划。

2023年9月15日，编制组在江苏省质量和标准化研究院组织召开了第一次校审会，并提出了以下建议：

1）增加评估方式、评估条款和分值；

2）确定评估过程和评估结果；

3）增加“能力成熟度”术语定义；

4）确定二级和三级指标项。

2023年11月9日，编制组在江苏省质量和标准化研究院组织召开了第二次地标文件校审会，并提出了以下建议：

1）修改“指标层级”为“指标框架”并完善指标框架图；

2）修改“指标体系框架”为“指标项”并以表格的形式呈现所有指标项；

3）以表格形式呈现成熟度等级中五个级别的相关描述；

4）明确是否需要设置必须满足项。

2024年4月12日，编制组在江苏省质量和标准化研究院组织召开了第三次地标文件校审会，并提出了以下建议：

1）细化评分定级标准；

2）删除每个一级指标下的“概述”部分内容；

3）简化评估方式；

4）简化评估过程；

5）格式和用词标准化。

经修改，形成标准征求意见稿。

3.4.公开征求意见

2024年6月22日-7月22日，编制组向16家单位发送