DB3601/T11—2024ICS35.240 CCSA90DB3601 南昌市地方标准 DB3601/11—2024 数字化项目网络安全审查规范 Cybersecurityreviewspecificationofdigitalprojects 2024-06-03发布 2024-09-01实施 南昌市市场监督管理局发布DB3601/T11—2024 I目次 前言...................................................................................Ⅱ 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4审查方式.............................................................................2 5审查流程.............................................................................2 6审查内容.............................................................................3 7审查结果.............................................................................3 附录A（规范性）数字化项目网络安全审查流程图....................................4 附录B（规范性）数字化项目网络安全审查细则......................................5 附录C（规范性）数字化项目网络安全审查结果判别说明.............................10 参考文献..............................................................................11DB3601/T11—2024 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由南昌市互联网信息办公室提出并归口。 本文件起草单位：南昌市互联网信息办公室、江西安极信息技术有限公司。 本文件主要起草人：周凡、宋徽青、张伦芳、肖慧、武永伟、周围、刘煜、潘伟琦、何琪、黄瑞。DB3601/T11—2024 1数字化项目网络安全审查规范 1范围 本文件规定了数字化项目（非涉密）网络安全审查的审查方式、审查流程、审查内容、审查结果。 本文件适用于数字化项目（非涉密）规划设计阶段的网络安全审查，其他信息化项目网络安全审查 可参照执行。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T22240信息安全技术网络安全等级保护定级指南 GB/T25070信息安全技术网络安全等级保护安全设计技术要求 GB/T35273信息安全技术个人信息安全规范 GB/T39477信息安全技术政务信息共享数据安全技术要求 GB/T39786信息安全技术信息系统密码应用基本要求 GB/T40692政务信息系统定义和范围 DA/T28建设项目档案管理规范 3术语和定义 下列术语和定义适用于本文件。 3.1 数字化项目Digitalprojects 全市各级行政机关以及法律法规授权的具有管理公共事务职能的组织等使用财政性资金建设、运维 的数字化项目，主要包括：电子政务网络平台、重点业务数字化系统、数据资源库、信息安全基础设施、 电子政务基础设施（政务云、数据中心等）、数字政府标准化体系以及相关支撑体系等符合《政务信息 系统定义和范围》（GB/T40692）规定的非涉密项目。 [来源：江西省数字化项目建设管理办法，1,2,有修改] 3.2 项目设计方案ProjectdesignschemeDB3601/T11—2024 2在项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案、投资概算或项目建议书 等。 3.3 安全设计方案Securitydesignscheme 项目设计方案中包含的网络安全体系总体设计方案、商用密码应用方案、数据安全保护方案等子方 案。 3.4 关键信息基础设施Criticalinformationinfrastructure 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业 和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共 利益的重要网络设施、信息系统等。 [来源：关键信息基础设施安全保护条例，1,2] 3.5 网络安全投入Cybersecurityinvestment 项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保 测评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。 3.6 建设单位Constructingunits 对项目实施进行组织管理，并在项目建设过程中负总责的部门。 [来源：DA/T28] 3.7 审查部门Reviewdepartment 负责组织网络安全审查工作的部门。 4审查方式 建设单位应向审查部门提交审查材料，审查部门开展审查工作并出具审查意见。 5审查流程 5.1总体流程 应参照数字化项目网络安全审查流程执行（数字化项目网络安全审查流程图见附录A）。 5.2审查申报D B 3 6 0 1 / T 1 1 — 2 0 2 4 3建 设 单 位 应 提 交 项 目 设 计 方 案 等 书 面 审 查 材 料 。 5 . 3 审 查 受 理 审 查 部 门 收 到 审 查 材 料 后 应 受 理 审 查 并 通 知 建 设 单 位 。 5 . 4 开 展 审 查 工 作 5 . 4 . 1 审 查 工 作 分 为 初 步 审 查 和 专 家 审 查 ， 初 步 审 查 为 审 查 部 门 就 申 报 材 料 进 行 初 步 审 查 ， 给 出 初 步 审 查 意 见 ； 专 家 审 查 为 审 查 部 门 聘 请 专 家 进 行 审 查 ， 要 求 建 设 单 位 配 合 审 查 工 作 。 5 . 4 . 2 专 家 审 查 工 作 应 由 不 低 于 三 名 专 家 组 成 的 专 家 组 负 责 ， 设 置 一 名 专 家 组 组 长 。 流 程 主 要 分 为 三 步 ， 一 是 建 设 单 位 陈 述 申 报 建 设 项 目 安 全 设 计 方 案 等 相 关 情 况 ， 二 是 专 家 组 针 对 审 查 疑 问 进 行 提 问 ， 三 是 专 家 组 讨 论 并 形 成 专 家 意 见 和 建 议 。 5 . 5 问 题 整 改 审 查 部 门 给 出 书 面 的 审 查 结 果 后 ， 建 设 单 位 应 针 对 审 查 结 果 中 的 相 应 条 款 进 行 必 要 的 安 全 整 改 工 作 并 书 面 报 送 审 查 部 门 。 5 . 6 审 查 意 见 审 查 部 门 应 出 具 审 查 意 见 并 反 馈 给 建 设 单 位 。 6 审 查 内 容 应 参 照 数 字 化 项 目 网 络 安 全 审 查 细 则 执 行 （ 数 字 化 项 目 网 络 安 全 审 查 细 则 见 附 录 B ） 。 7 审 查 结 果 审 查 结 果 应 分 “ 通 过 ” 和 “ 不 通 过 ” 两 种 情 况 ： — — 审 查 结 果 为 “ 通 过 ” 时 ， 项 目 可 按 项 目 设 计 方 案 进 行 建 设 ； — — 审 查 结 果 为 “ 不 通 过 ” 时 ， 建 设 单 位 应 对 提 交 的 项 目 设 计 方 案 进 行 修 改 并 重 新 提 交 审 查 。 应 参 照 数 字 化 项 目 网 络 安 全 审 查 结 果 判 别 说 明 确 定 审 查 结 果 （ 参 见 附 录 C ） 。DB3601/T11—2024 4A 附录A （规范性） 数字化项目网络安全审查流程图 图A.1规定了数字化项目网络安全审查流程。 图A.1数字化项目网络安全审查流程