T_DSAG 004-2025 广东省政务云应用系统上线前风险评估指引.docxVIP

ICS35.020L70

团体标准

T/DSAG004-2025

广东省政务云应用系统上线前风险评估指

引

（GuidelinesforRiskAssessmentbeforetheLaunchofGuangdongProvincial

GovernmentCloudApplicationSystems）

2025-01-01发布2025-01-01实施

广东省数字安全协会发布

I

T/DSAG004-2025

目次

前言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4上线前风险评估概述 4

4.1评估定位 4

4.2评估范围 4

4.3角色职责 5

4.3.1政务应用系统建设单位 5

4.3.2评估服务机构 5

5评估流程 6

5.1评估申请 7

5.2评估实施 7

5.2.1系统调研 7

5.2.2首轮评估 8

5.2.3安全问题整改 8

5.2.4回归评估 9

5.2.5评估总结和报告编制 9

6评估内容 9

6.1评估对象选择 9

6.2系统配置核查 11

6.2.1评估对象及内容 11

6.2.2评估方法 16

6.2.3通过评估要求 16

6.3应用渗透测试 16

6.3.1评估对象及内容 16

6.3.2评估方法 20

6.3.3评估通过要求 21

6.4主机漏洞扫描 21

6.4.1评估对象及内容 21

6.4.2评估方法 22

6.4.3通过评估要求 22

6.5恶意代码检查 22

6.5.1评估对象及内容 22

6.5.2评估方法 22

6.5.3通过评估要求 23

7通过评估要求 23

II

T/DSAG004-2025

附录A（资料性）评估对象选择示例 24

附录B（资料性）调研表示例 27

附录C（资料性）评估报告模板 30

参考文献 35

T/DSAG004-2025

III

前言

本标准按GB/T1.1—2020给出的规则起草。

本标准由工业和信息化部电子第五研究所提出并归口。

本标准起草单位：工业和信息化部电子第五研究所、广东省政务服务和数据管理局、数字广东网络建设有限公司、公安部第三研究所、奇安信科技集团股份有限公司、杭州安恒信息技术股份有限公司、深信服科技股份有限公司、亚信安全科技股份有限公司、永信至诚科技集团股份有限公司、广东省信息安全测评中心、广州市政务服务和数据管理局、阳江市政务服务和数据管理局、湛江市政务服务和数据管理局、汕头市政务服务和数据管理局、汕头市信息中心、揭阳市政务服务和数据管理局。

本标准主要起草人：刘北水、观雯玉、罗奇伟、程炜、苏锐生、段彦名、赵弘洋、陈晓、关泳强、贺高戈、张嘉子、容菲菲、戴晨、闵家法、钟林、张志伟、陈耿、王雪凤、叶晖、崔玉刚、江坚强、赵栋良、黄恒、郑楷涛、蒋天翔、刘国栋、张嘉杰、陈晓荣、何栋。

T/DSAG004-2025

1

广东省政务云应用系统上线前风险评估指引

1范围

本标准描述了拟部署到广东省政务云上的政务应用系统在正式上线前开展风险评估的流程、评估内容及通过标准。

本标准适用于广东广东省政务云应用系统上线前风险评估工作，各省有关单位可参考本标准自行开展应用系统上线前风险评估，各地市有关单位可视情况参考执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20984-2022《信息安全技术信息安全风险评估方法》

GB/T28448-2019《信息安全技术网络安全等级保护测评要求》

GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》

GB/T40692-2021《政务信息系统定义和范围》

3术语和定义

2

T/DSAG004-2025

GB/T20984-2022《信息安全技术信息安全风险评估方法》、GB/T40692-2021《政务信息