数字政府网络安全合规性指引

　　第一部分 工作合规指引
　　第1 章 数字政府网络安全合规概述  2
　　1.1 网络安全政策法律法规介绍  2
　　1.1.1 党中央高度重视网络安全工作  2
　　1.1.2 《网络安全法》确立了网络安全领域的基本制度  4
　　1.1.3 《数据安全法》和《个人信息保护法》完善和发展了法律规范体系  5
　　1.1.4 《密码法》通过促进密码应用保障网络与信息安全  5
　　1.2 数字政府网络安全合规的主要依据  6
　　1.2.1 网络安全法律法规给出了合规工作的上位要求  6
　　1.2.2 政务主管部门办法和意见指明合规工作的推进方向  6
　　1.2.3 网络安全突出问题暴露了合规工作的薄弱环节  7
　　1.2.4 网络安全监管部门的措施建议提供了合规工作的方法  8
　　1.3 政务部门网络安全管理和工作主要责任  9
　　1.3.1 党委（党组）网络安全责任  9
　　1.3.2 网络运营者主体责任  9
　　1.3.3 政务数据资源管理和保护责任  10
　　第2 章 数字政府网络安全合规要求 11
　　2.1 《网络安全法》 11
　　2.1.1 主要内容  11
　　2.1.2 政务主要相关要求  12
　　2.2 《密码法》  13
　　2.2.1 主要内容  13
　　2.2.2 政务主要相关要求  14
　　2.3 《数据安全法》  14
　　2.3.1 主要内容  14
　　2.3.2 政务主要相关要求  16
　　2.4 《个人信息保护法》  17
　　2.4.1 主要内容  17
　　2.4.2 政务主要相关要求  19
　　2.5 《国家政务信息化项目建设管理办法》  20
　　2.5.1 落实网络安全等级保护规定  20
　　2.5.2 密码应用“三同步、一评估”  21
　　2.5.3 安全验收  21
　　2.5.4 构建全方位、多层次、一致性的防护体系  21
　　2.6 《关键信息基础设施安全保护条例》  22
　　2.6.1 关键信息基础设施的认定  22
　　2.6.2 关键信息基础设施运营者的职责  22
　　2.6.3 关键信息基础设施行业保护部门的职责  23
　　2.7 《网络安全等级保护条例（征求意见稿）》  23
　　2.8 《商用密码管理条例》  24
　　2.9 《网络数据安全管理条例（征求意见稿）》  26
　　2.10 《网络安全审查办法》  28
　　2.10.1 网络安全审查的客体和原则  28
　　2.10.2 网络安全审查的重点对象  28
　　2.10.3 网络平台运营者赴国外上市须强制性审查  29
　　2.11 《数据出境安全评估办法》  29
　　2.11.1 境外数据安全评估原则  30
　　2.11.2 数据出境安全评估情形与要求  30
　　2.12 《云计算服务安全评估办法》  30
　　2.12.1 云计算服务安全评估依据  30
　　2.12.2 云计算服务安全评估的重点评估内容  31
　　2.13 国务院《关于加强数字政府建设的指导意见》  33
　　2.13.1 坚持安全可控的基础原则  34
　　2.13.2 构建数字政府全方位安全保障体系  34
　　2.13.3 保障数据和个人信息安全  35
　　2.14 《国家电子政务外网网络与信息安全管理暂行办法》  36
　　2.15 《全国一体化政务大数据体系建设指南》  37
　　2.16 网络安全主要角色合规要求汇总  38
　　2.16.1 个人信息处理者  39
　　2.16.2 数据处理者  43
　　2.16.3 重要数据的处理者  49
　　2.16.4 网络运营者  51
　　2.16.5 关键信息基础设施运营者  55
　　2.16.6 关键信息基础设施安全保护工作的部门  58
　　2.16.7 履行个人信息保护职责的部门  59
　　2.16.8 当事人  60
　　2.16.9 各级政务外网单位  61
　　2.16.10 项目建设单位  62
　　2.16.11 云服务商  64
　　第3 章 数字政府网络安全合规工作指南 66
　　3.1 政务部门网络安全工作的确立  66
　　3.1.1 网络安全合规工作的主要目标  66
　　3.1.2 安全保护对象  67
　　3.1.3 网络安全保护责任和义务  69
　　3.2 政务部门网络安全职责分工  72
　　3.2.1 政务信息化领导小组  74
　　3.2.2 政务信息化建设管理协调机制  75
　　3.2.3 数据资源管理部门  75
　　3.2.4 政务云主管部门  76
　　3.2.5 政务云管理机构  77
　　3.2.6 政务云相关服务商  77
　　3.2.7 政务云使用单位  78
　　3.2.8 未上云的政务信息系统运营者  79
　　3.3 开展网络安全合规工作的主要步骤  79
　　3.3.1 统筹规划  79
　　3.3.2 全面执行  80
　　3.3.3 监督检查  81
　　3.3.4 处理改进  81
　　3.4 网络安全合规工作要点  81
　　3.4.1 网络安全等级保护  81
　　3.4.2 商用密码应用安全性评估  83
　　3.4.3 数据安全保护  84
　　3.4.4 个人信息保护  85
　　3.4.5 关键信息基础设施安全保护  86
　　3.4.6 云计算服务安全评估  87
　　3.4.7 网络安全事件应急预案和演练  88
　　3.4.8 政务网络安全保障  90
　　第二部分 技术合规指引
　　第4 章 数字政府网络安全合规标准 94
　　4.1 政务信息系统网络安全合规适用性说明  95
　　4.2 网络安全等级保护  95
　　4.2.1 定级指南  97
　　4.2.2 基本要求  98
　　4.2.3 设计技术要求  101
　　4.2.4 测评要求  104
　　4.3 商用密码应用安全性评估  106
　　4.3.1 基本要求  107
　　4.3.2 商用密码应用  110
　　4.3.3 密码应用安全性评估  112
　　4.4 关键信息基础设施安全保护  115
　　4.4.1 《关键信息基础设施安全保护要求》的主要内容  115
　　4.4.2 安全保护基本原则  117
　　4.4.3 安全保护的内容活动  117
　　4.5 云计算服务安全评估  118
　　4.5.1 《云计算服务安全指南》  119
　　4.5.2 《云计算服务安全能力要求》  121
　　4.5.3 云计算服务安全评估流程  122
　　4.5.4 云计算服务系统安全计划  123
　　4.6 数据安全保护  123
　　4.7 个人信息保护  125
　　4.8 政务行业网络安全要求  131
　　4.8.1 政务外网安全要求  132
　　4.8.2 政务云安全要求  135
　　4.8.3 《政务大数据安全风险评估实施指南》（立项）  136
　　4.8.4 《政务信息共享数据安全技术要求》   137
　　4.8.5 《政务计算机终端核心配置规范》  139
　　4.8.6 《电子政务移动办公系统安全技术规范》  140
　　第5 章 数字政府网络安全实施过程指南  142
　　5.1 过程描述  142
　　5.2 规划阶段  143
　　5.2.1 确定系统安全保护级别  143
　　5.2.2 安全方案设计  143
　　5.2.3 安全方案评审  145
　　5.3 建设阶段  145
　　5.3.1 产品采购和使用  145
　　5.3.2 源代码审计  146
　　5.3.3 安全监理  146
　　5.3.4 安全验收  146
　　5.3.5 上线前检测  146
　　5.4 运行阶段  147
　　5.4.1 安全运营（动态合规）  147
　　5.4.2 等级测评  151
　　5.4.3 密码应用安全性评估  151
　　5.4.4 云计算服务安全评估  151
　　5.4.5 风险评估  152
　　5.5 监督检查  153
　　5.5.1 定期自查  153
　　5.5.2 督导检查  153
　　5.5.3 监督检查  154
　　第6 章 数字政府网络安全合规要求整合和对照  155
　　6.1 物理和环境安全  157
　　6.2 通信网络安全  160
　　6.3 区域边界安全  163
　　6.4 计算环境安全  171
　　6.5 安全管理中心  182
　　6.6 网络安全制度  185
　　6.7 网络安全组织  190
　　6.8 安全管理人员  192
　　6.9 安全建设管理  195
　　6.10 安全运维管理  204
　　6.11 供应链安全  218
　　6.12 业务连续性  224
　　6.13 应急处置  226
　　6.14 密码管理  228
　　6.15 数据安全  231
　　6.16 个人信息安全  237
　　参考文献  238
　　附录A 名词解释  239
　　附录B 法律法规  241
　　附录C 标准  243

　　禄凯，国家信息中心信息与网络安全部副主任。多年从事网络安全领域研究工作，注重技术理论与实线结合。参与完成国家“信息安全风险管理”“网络安全等级保护”“网络安全监测预警”等多项国家标准，参与多项国家网络安全防护工程建设工作，组织完成多项国家网络安全专项研究和产业化建设项目。组织政务及相关领域网络安全专业培训工作，培养了大批专业技术人才。
　　章恒，国家信息中心电子政务信息安全等级保护测评中心高级工程师，国信北大网络空间安全实验室主任；多年从事网络安全领域研究工作，主要研究方向为自组织网络、移动通信系统、云计算安全、数据安全、移动应用安全等；国家网络安全等级保护标准云计算部分主要编制人；主持或参与过多项国家、省部级重大专项课题的研究工作；在国内外发表多篇学术论文，获得国际国内发明专利多项。
　　李万仓，国家信息中心电子政务信息安全等级保护测评中心高级工程师，国信北大网络空间安全实验室副主任；多年从事网络安全领域研究工作，主要研究方向为密码算法安全、云计算安全和数据安全等；主持或参与多个政务重要信息系统和超大型互联网平台的安全咨询和评估工作；参与信息安全风险评估方法等国家标准的编制，在国内发表多篇学术论文。

　　《数字政府网络安全合规性指引》主要面向具备信息系统和网络安全基础知识，希望对我国网络安全法律法规和标准的体系进行系统深入学习的人员。
　　《数字政府网络安全合规性指引》将数字政府网络安全合规性拆分为政务行业和领域的网络安全要求、政务部门网络安全责任、政务信息系统安全防护技术要求三个方面，分别从工作角度和技术角度对网络安全领域“4法+4条例+7办法意见+7类标准”进行梳理、整合，较为系统全面地归纳总结了网络安全合规工作的各项要求，同时紧贴数字政府建设安全需求，对相关单位在非涉密信息系统的规划、建设和运行阶段规范开展网络安全工作具有指导和参考意义。
　　《数字政府网络安全合规性指引》共6章，前3章是工作合规指引，后3章是技术合规指引。首章主要介绍我国网络安全法律法规体系，分析政务行业网络安全合规工作主要依据。第2章主要介绍网络安全法律法规，以及政务主管部门发布的规定和办法中网络安全主要相关内容。第3章在前两章的基础上，系统梳理了政务部门的工作角色、应承担的网络安全责任和义务以及在信息系统规划、建设和运行等阶段，网络安全主要工作重点和步骤。第4章系统地讲解了7项网络安全工作对应的7大类网络安全标准。第5章系统地描述了在规划、建设和运行阶段，网络安全7项工作应如何按照标准实施。第6章是《数字政府网络安全合规性指引》的重点，旨在解决实施过程中可能由于条款理解偏差带来的低效率、重复建设等问题，本章将相关条款整合到统一框架体系中，便于读者查阅、对照，从而在实际工作中做到一次工作多项合规。