ICS 35.020 CCS L 67 34 安徽省 地方 标准 DB34/T 5302—2025 电子政务外网网络安全能力评价指标 体系指南 Guidelines for the evaluation index system of e -government external network security capability 2025 - 09 - 03发布 2025 - 10 - 03实施 安徽省市场监督管理局 发布 DB34/T 5302 —2025 I 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由安徽省大数据中心提出。 本文件由 安徽省数据资源管理局 归口。 本文件起草单位：安徽省大数据中心、安徽省数据资源管理局、马鞍山市大数据中心、安徽省数字 江淮中心、 滁州市大数据中心、六安市大数据中心、阜阳市数据资源管理局、六安市数据资源管理局、 安徽省电子产品监督检验所 (安徽省信息安全测评中心 )、池州市数据资源管理局、池州市大数据中心、 滁州市数据资源管理局、蚌埠市信息中心、阜阳市大 数据产业发展中心、铜陵市大数据中心、深信服科 技股份有限公司、数字安徽有限责任公司、北京天融信网络安全技术有限公司、安徽省电子认证管理中 心有限责任公司、安徽中科晶格技术有限公司、科来网络技术股份有限公司、联通 (安徽)产业互联网有 限公司、北京知道创宇信息技术股份有限公司、中国电信股份有限公司安徽分公司、中科国昱 (合肥) 科技有限公司、安徽中科国金智能科技有限公司、安徽成方智能科技有限公司 。 本文件主要起草人：朱典、陈钢、李春艳、邹莉强、陶峰、闫飞、杨阳、李步伟、陈先才、申慧、 王俊、王锐、胡允峰、张翔宇、童武俊、王 理冬、冯玲莉、郑平、吴文秀、王雅运、顾勇健、李厚民、 马宁、白修灵、李渊、邹岳明、彭珲、蒋毅、于东、余青松、罗川、康健、李星、王平安、张龙、宋康、 崔康康、徐灏、查正朋、杨杨、夏磊 。 DB34/T 5302 —2025 1 电子政务外网网络安全能力评价指标 体系指南 1 范围 本文件给出了 电子政务外网 网络安全 能力评价 的指标体系框架、安全管理指标、安全建设指标 、安 全运营指标 和安全效果指标 。 本文件适用于指导电子政务外网建设、运维和使用单位开展网络安全能力自评价。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 29246 信息技术 安全技术 信息安全管理体系 概述和词汇 GB/T 31495 信息安全技术 信息安全保障指标体系及评价方法 GB/T 38645 信息安全技术 网络安全事件应急演练指南 3 术语和定义 GB/T 29246 、GB/T 31495 、GB/T 38645 界定的术语和定义适用于本文件。 4 指标体系框架 电子政务外网网络安全能力评价指标体系包括： 4.1 a) 安全管理指标：用于评价电子政务外网网络安全管理措施 的完备性与 科学性； b) 安全建设指标：用于评价电子政务外网网络安全技术措施 的完整性 ； c) 安全运营指标： 用于评价电子政务外网网络安全 运营措施 在运行过程中的风险识别、 安全防护、 安全监测及应急处置 等能力； d) 安全效果指标：用于评价电子政务外网网络安全保障体系的实际 成效。 电子政务外网网络安全能力评价指标体系详细框架参见图 1。 4.2 DB34/T 5302 —2025 2 图1 电子政务外网网络安全能力评价指标体系框架 5 安全管理 指标 安全规划 5.1 5.1.1 安全规划是指电子政务外 网建设、运维单位制定的 本地区电子政务外网网络安全建设发展战略、 中长期发展计划等指导性文件。 5.1.2 安全规划指标主要评价： a) 网络安全规划的制定情况； b) 网络安全规划的实施情况。 安全管理组织 5.2 5.2.1 安全管理组织是指电子 政务外网 建设、运维单位中 负责管理与协调电子政务外网网络安全相关 工作或具备网络安全管理职责的部门。 5.2.2 安全管理组织指标主要评价： a) 网络安全管理组织的建立情况； b) 相关负责人和管理机构情况； c) 相关参与方的网络安全工作责任； d) 人员配备、职责分工情况 。 安全管理制度 5.3 5.3.1 安全管理制度是指电子政务外网建设 、运维及使用单位依据国家网络安全相关政策、标准、规 范，制定并落实的网络安全管理制度。 5.3.2 安全管理制度指标主要评价： a) 网络安全管理 制度的制定、发布、修订情况； b) 网络安全管理制度在日常工作中的落实情况。 日常工作机制 5.4 5.4.1 日常工作机制是指 电子政务外网建设 、运维单位 为完成年度网络安全工作目标 ，所做出的 系统 性安排。 5.4.2 日常工作机制指标主要评价： DB34/T 5302 —2025 3 a) 年度网络安全工作目标、 工作要点的制定和开展情况 ； b) 网络安全工作 是否纳入重要议事日程； c) 网络安全应急预案制定及演练情况； d) 每年组织网络安全 专项检查 、攻防演练 情况； e) 电子政务外网网络安全工作 日报、月报、年报的工作总结情况 。 安全投入 5.5 5.5.1 安全投入是指电子政务外网 建设、运维单位 在网络安全 方面的经费投入。 5.5.2 安全投入指标主要评价： a) 网络安全预算 在新建信息化项目 中的执行情况； b) 网络安全预算 在安全日常运维、教育培训、安全加固、风险评估、升级运维、应急处置等网络 安全保障工作 中的经费执行情况。 第三方人员管理 5.6 5.6.1 第三方人员管理是指针对第三方人员 制定的管理规范制度。 5.6.2 第三方人员管理指标主要评价： a) 信息化项目招标文件或合同中 是否明确外包服务机构的网络和数据安全责任， 以及相关处罚条 款； b) 第三方人员安全背景审查 和保密协议签署 的落实情况； c) 第三方人员 账号权限管控、资源访问控制及操作行为监管 的落实情况。 供应链安全管理 5.7 5.7.1 供应链安全管理是指 电子政务外网建设 、运维单位 在信息化项目的 咨询、设计、集成、运维、 测评、改进等各环节 中，对供应商及采购的产品或服务的安全管理。 5.7.2 供应链安全管理指标主要评价： a) 供应链风险评估开展情况； b) 采购的产品和服务是否符合国家相关安全规定； c) 供应商安全职责是否明 确； d) 供应商服务安全监控和审计机制建立及执行情况。 6 安全建设指标 合规履行指标 6.1 6.1.1 合规履行是指电子政务外网 自身以及 承载的重要信息系统 ，在等级保护 、 密码应用安全性评估、 信息安全风险评估和关键信息基础设施保护等 合规要求的履行情况。 6.1.2 合规履行指标主要评价： a) 等级保护定级备案 、测评及整改 情况； b) 密码应用方案 制定、密码应用 安全性评估 及整改情况 ； c) 信息安全风险评估开展、测评及整改情况； d) 关键信息基础设施 是否落实 《关键信息基础设施保护条例》 。 网络边界安全指标 6.2 DB34/T 5302—2025 4 6.2.1 网络边界安全是指电子政务外网 与外部网络的隔离与可控交互 。 6.2.2 网络边界安全指标主要评价： a) 网络分区 、分域、分级保护情况； b) 网络边界防护、访问控制、安全接入、安全隔离、违规外联监测等建设情况； c) 网络安全流量监测和审计的建设情况； d) 政务外网公用区与互联网逻辑隔离情况； e) 政务外网终端与互联网逻辑隔离情况 。 终端安全 指标 6.3 6.3.1 终端安全是指 接入电子政务外网 的办公终端、运维终端和移动终端 的安全。 6.3.2 终端安全指标主要评价： a) 终端安全防护软件安装率和安装后的使用率（平均用户在线人数）； b) 终端“一机两用”安全管控能力建设情况； c) 移动终端 安全管控能力建设情况 。 密码基础设施 指标 6.4 6.4.1 密码基础设施 是指为电子政务外网 自身以及 承载的信息系统 提供密码服务 的设施。 6.4.2 密码基础设施 指标主要评价： a) 密码基础设施设计及建设 方案的编制情况 ； b) 密码基础设施（包含密码机、签名验签服务器、数字证书 、密码服务平台 、密码安全监测 等） 建设情况 ； c) 密码安全监测机制落实情况 。 云安全建设 指标 6.5 6.5.1 云安全建设是指承载电子政务外网信息系统的云平台安全 建设情况 ，包括云平台自身安全和云 上租户安全。 6.5.2 云安全建设指标主要评价： a) 云平台安全管理制度建设 及落实情况； b) 云平台安全能力建