ICS 91.120.25 CCS L70 21 辽宁省 地方标准 DB21/T 3661—2022 信息化项目全过程网络安全服务规范 Cyber security ser vice specification for the whole process of informatization 2022 - 11 - 30发布 2022 - 12 - 30实施 辽宁省市场监督管理局 发布 DB21/T 3661 —2022 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ................ 1 2 规范性引用文件 ................................ ................................ ...... 1 3 术语和定义 ................................ ................................ .......... 1 4 基本要求 ................................ ................................ ............ 2 5 服务组织模式及人员职责 ................................ .............................. 2 组织模式 ................................ ................................ ........ 2 5.1 人员职责 ................................ ................................ ........ 3 5.2 6 规划设计阶段网络安全服务内容 ................................ ........................ 4 网络安全投资决策咨询 ................................ ............................ 4 6.1 网络安全规划编制 ................................ ................................ 5 6.2 网络安全建设方案编制 ................................ ............................ 5 6.3 商用密码应用规划编制 ................................ ............................ 5 6.4 商用密码应用解决方案编制 ................................ ........................ 5 6.5 7 招标采购阶段网络安全服务内容 ................................ ........................ 5 8 部署实施阶段网络安全 服务内容 ................................ ........................ 6 网络安全监理 ................................ ................................ .... 6 8.1 网络安全项目管理 ................................ ................................ 6 8.2 网络安全集成（或建设） ................................ .......................... 6 8.3 9 验收评估阶段网络安全服务 内容 ................................ ........................ 6 信息安全风险评估 ................................ ................................ 6 9.1 网络安全等级保护测评 ................................ ............................ 6 9.2 商用密码应用安全性评估 ................................ .......................... 6 9.3 软件安全性测试 ................................ ................................ .. 7 9.4 源代码安全审计 ................................ ................................ .. 7 9.5 渗透测试 ................................ ................................ ........ 7 9.6 10 运行维护阶段网络安全服务内容 ................................ ....................... 8 信息安全风险评 估 ................................ ............................... 8 10.1 网络安全等级保护测评 ................................ ........................... 8 10.2 商用密码应用安全性评估 ................................ ......................... 8 10.3 软件安全性测试 ................................ ................................ . 8 10.4 网络安全运维 ................................ ................................ ... 9 10.5 网络安全应急保障 ................................ ............................... 9 10.6 信息安全管理体系建设 ................................ .......................... 10 10.7 网络安全培训 ................................ ................................ .. 10 10.8 DB21/T 3661 —2022 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由辽宁省工业和信息化厅提出并归口。 本文件起草单位：北方实验室（沈阳）股份有限公司、沈阳德西企业管理服务有限公司、 辽宁省检 验检测认证中心 。 本文件主要起草人：张健楠、韩晓娜、袁洪朋、李海涛、丁琳、张鏖、朱江、刘强、刘文志、李琳、 肖宇鹏、高殿悦、丁显东、魏凤娇、蔡雨、吴晓峰、马超、梁爽、邱学思、叶松 、韩燕妮。 本文件发布实施后， 任何单位和个人如有问题和意见建议， 均可以通过来电和来函等方式进行反馈， 我们将及时答复并认真处理，根据实际情况依法进行评估及复审。 归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街 45-2号），联系电话： 024-86893258 。 文件起草单位通讯地址：北方实验室（沈阳）股份有限公司（沈阳市浑南新区三义街 6-1号21层）， 联系电话： 024-83785841 / 83785849 。 DB21/T 3661 —2022 1 信息化项目全过程网络安全服务规范 1 范围 本文件规定了信息化项目全过程网络安全服务的术语和定义、 基本要求、 服务组织模式及人员职责， 规划设计、招标采购、部署实施、验收评估、运行维护各阶段网络安全服务的要求。 本文件适用于辽宁省内信息化项目全过程网络安全服务的实施。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新