DB21/T 3661-2022 信息化项目全过程网络安全服务规范

ICS91.120.25

CCSL70

21

辽宁省地方标准

DB21/T3661—2022

信息化项目全过程网络安全服务规范

Cybersecurityservicespecificationforthewholeprocessofinformatization

2022-11-30发布2022-12-30实施

辽宁省市场监督管理局发布

DB21/T3661—2022

目次

前言.................................................................................II

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4基本要求............................................................................2

5服务组织模式及人员职责..............................................................2

5.1组织模式........................................................................2

5.2人员职责........................................................................3

6规划设计阶段网络安全服务内容........................................................4

6.1网络安全投资决策咨询............................................................4

6.2网络安全规划编制................................................................5

6.3网络安全建设方案编制............................................................5

6.4商用密码应用规划编制............................................................5

6.5商用密码应用解决方案编制........................................................5

7招标采购阶段网络安全服务内容........................................................5

8部署实施阶段网络安全服务内容........................................................6

8.1网络安全监理....................................................................6

8.2网络安全项目管理................................................................6

8.3网络安全集成（或建设）..........................................................6

9验收评估阶段网络安全服务内容........................................................6

9.1信息安全风险评估................................................................6

9.2网络安全等级保护测评............................................................6

9.3商用密码应用安全性评估..........................................................6

9.4软件安全性测试..................................................................7

9.5源代码安全审计..................................................................7

9.6渗透测试........................................................................7

10运行维护阶段网络安全服务内容.......................................................8

10.1信息安全风险评估...............................................................8

10.2网络安全等级保护测评...........................................................8

10.3商用密码应用安全性评估.........................................................8

10.4软件安全性测试.................................................................8

10.5网络安全运维...................................................................9

10.6网络安全应急保障...............................................................9

10.7信息安全管理体系建设..........................................................10

10.8网络安全培训..................................................................10

I

DB21/T3661—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由辽宁省工业和信息化厅提出并归口。

本文件起草单位：北方实验室（沈阳）股份有限公司、沈阳德西企业管理服务有限公司、辽宁省检

验检测认证中心。

本文件主要起草人：张健楠、韩晓娜、袁洪朋、李海涛、丁琳、张鏖、朱江、刘强、刘文志、李琳、

肖宇鹏、高殿悦、丁显东、魏凤娇、蔡雨、吴晓峰、马超、梁爽、邱学思、叶松、韩燕妮。

本文件发布实施后，任何单位和个人如有问题和意见建议，均可以通过来电和来函等方式进行反馈，

我们将及时答复并认真处理，根据实际情况依法进行评估及复审。

归口管理部门通讯地址：辽宁省工业和信息化厅（沈阳市皇姑区北陵大街45-2号），联系电话：

024-86893258。

文件起草单位通讯地址：北方实验室（沈阳）股份有限公司（沈阳市浑南新区三义街6-1号21层），

联系电话：024-83785841/83785849。

II

DB21/T3661—2022

信息化项目全过程网络安全服务规范

1范围

本文件规定了信息化项目全过程网络安全服务的术语和定义、基本要求、服务组织模式及人员职责，

规划设计、招标采购、部署实施、验收评估、运行维护各阶段网络安全服务的要求。

本文件适用于辽宁省内信息化项目全过程网络安全服务的实施。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T18336.2信息技术安全技术信息技术安全评估准则第2部分:安全功能组件

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T25070信息安全技术网络安全等级保护安全设计技术要求

GB/T28448信息安全技术网络安全等级保护测评要求

GB/T39786信息安全技术信息系统密码应用基本要求

ISO/IEC27001信息技术安全技术信息安全管理体系要求

3术语和定义

GB/T18336.2、GB/T22239、GB/T25069、GB/T25070、GB/T28448、GB/T39786和ISO/IEC27001

界定的以及下列术语和定义适用于本文件。

3.1

信息化项目全过程thewholeprocessofinformatizationproject

完整的信息化项目管理流程，包括规划设计、招标采购、部署实施、验收评估和运行维护和共五个

阶段。

3.2

网络安全服务cybersecurityservice

面向组织或个人的各类网络安全保障需求,由服务提供方按照服务协议所执行的一个网络安全过程

或任务。

3.3

网络安全设计cybersecuritydesign

针对信息系统的安全保障需求，设计总体安全策略，形成安全架构、技术体系和管理体系。

3.4

网络安全投资决策咨询cybersecurityinvestmentdecisionconsultation

1

DB21/T3661—2022

在项目前期研究阶段，通过对投资项目的技术、产品、市场、工艺技术及设备、财务效益、内外部

发展环境等方面的分析和评价，分析计算投资项目在项目计算期产生的预期现金流确定其投资价值以及

相关的风险有多大，进而做出投资决策。

3.5

信息安全管理体系informationsecuritymanagementsystem

在整体或特定范围内建立信息安全目标和策略，以及完成这些目标和策略所用方法的总集。

3.6

网络安全监理cybersecuritysupervision

具有相关资质的监理单位受网络安全工程建设单位的委托，依据国家有关法律法规、标准规范和监

理合同，对信息系统项目实施的监督管理。

3.7

信息安全风险评估Informationsecurityriskassessment

从风险管理角度，对信息系统及由其处理、传输和存储的信息的