DB3601/T 11-2024 数字化项目网络安全审查规范

ICS35.240

CCSA90

DB36DB36010/T11—12024

南昌市地方标准

DB3601/11—2024

数字化项目网络安全审查规范

Cybersecurityreviewspecificationofdigitalprojects

2024-06-03发布2024-09-01实施

南昌市市场监督管理局发布

DB3601/T11—2024

目次

前言...................................................................................Ⅱ

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4审查方式.............................................................................2

5审查流程.............................................................................2

6审查内容.............................................................................3

7审查结果.............................................................................3

附录A（规范性）数字化项目网络安全审查流程图....................................4

附录B（规范性）数字化项目网络安全审查细则......................................5

附录C（规范性）数字化项目网络安全审查结果判别说明.............................10

参考文献..............................................................................11

I

DB3601/T11—2024

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由南昌市互联网信息办公室提出并归口。

本文件起草单位：南昌市互联网信息办公室、江西安极信息技术有限公司。

本文件主要起草人：周凡、宋徽青、张伦芳、肖慧、武永伟、周围、刘煜、潘伟琦、何琪、黄瑞。

II

DB3601/T11—2024

数字化项目网络安全审查规范

1范围

本文件规定了数字化项目（非涉密）网络安全审查的审查方式、审查流程、审查内容、审查结果。

本文件适用于数字化项目（非涉密）规划设计阶段的网络安全审查，其他信息化项目网络安全审查

可参照执行。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T22240信息安全技术网络安全等级保护定级指南

GB/T25070信息安全技术网络安全等级保护安全设计技术要求

GB/T35273信息安全技术个人信息安全规范

GB/T39477信息安全技术政务信息共享数据安全技术要求

GB/T39786信息安全技术信息系统密码应用基本要求

GB/T40692政务信息系统定义和范围

DA/T28建设项目档案管理规范

3术语和定义

下列术语和定义适用于本文件。

3.1

数字化项目Digitalprojects

全市各级行政机关以及法律法规授权的具有管理公共事务职能的组织等使用财政性资金建设、运维

的数字化项目，主要包括：电子政务网络平台、重点业务数字化系统、数据资源库、信息安全基础设施、

电子政务基础设施（政务云、数据中心等）、数字政府标准化体系以及相关支撑体系等符合《政务信息

系统定义和范围》（GB/T40692）规定的非涉密项目。

[来源：江西省数字化项目建设管理办法，1,2,有修改]

3.2

项目设计方案Projectdesignscheme

1

DB3601/T11—2024

在项目建设过程中编制的可行性研究报告、初步设计方案、深化设计方案、投资概算或项目建议书

等。

3.3

安全设计方案Securitydesignscheme

项目设计方案中包含的网络安全体系总体设计方案、商用密码应用方案、数据安全保护方案等子方

案。

3.4

关键信息基础设施Criticalinformationinfrastructure

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业

和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共

利益的重要网络设施、信息系统等。

[来源：关键信息基础设施安全保护条例，1,2]

3.5

网络安全投入Cybersecurityinvestment

项目建设及运行过程中投入的安全咨询服务、安全运维服务、安全技术服务、安全集成服务、等保

测评服务、商用密码安全性评估服务、安全软件、安全设备及其他硬件等相关费用。

3.6

建设单位Constructingunits

对项目实施进行组织管理，并在项目建设过程中负总责的部门。

[来源：DA/T28]

3.7

审查部门Reviewdepartment

负责组织网络安全审查工作的部门。

4审查方式

建设单位应向审查部门提交审查材料，审查部门开展审查工作并出具审查意见。

5审查流程

5.1总体流程

应参照数字化项目网络安全审查流程执行（数字化项目网络安全审查流程图见附录A）。

5.2审查申报

2

DB3601/T11—2024

建设单位应提交项目设计方案等书面审查材料。

5.3审查受理

审查部门收到审查材料后应受理审查并通知建设单位。

5.4开展审查工作

5.4.1审查工作分为初步审查和专家审查，初步审查为审查部门就申报材料进行初步审查，给出初步

审查意见；专家审查为审查部门聘请专家进行审查，要求建设单位配合审查工作。

5.4.2专家审查工作应由不低于三名专家组成的专家组负责，设置一名专家组组长。流程主要分为三

步，一是建设单位陈述申报建设项目安全设计方案等相关情况，二是专家组针对审查疑问进行提问，三

是专家组讨论并形成专家意见和建议。

5.5问题整改

审查部门给出书面的审查结果后，建设单位应针对审查结果中的相应条款进行必要的安全整改工作

并书面报送审查部门。

5.6审查意见

审查部门应出具审查意见并反馈给建设单位。

6审查内容

应参照数字化项目网络安全审查细则执行（数字化项目网络安全审查细则见附录B）。

7审查结果

审查结果应分“通过”和“不通过”两种情况：

——审查结果为“通过”时，项目可按项目设计方案进行建设；

——审查结果为“不通过”时，建设单位应对提交的项目设计方案进行修改并重新提交审查。

应参照数字化项目网络安全审查结果判别说明确定审查结果（参见附录C）。

3

DB3601/T11—2024

A

附录A

（规范性）

数字化项目网络安全审查流程图

图A.1规定了数字化项目网络安全审查流程。

图A.1数字化项目网络安全审查流程

4

DB3601/T11—2024

附录B

（规范性）

数字化项目网络安全审查细则

表B.1规定了数字化项目网络安全审查细则。

表B.1数字化项目网络安全审查细则（续表）

序审查审查内

审查指标审查内容审查方法

号方向容要求

网络安全目标、保项目设计方案中应明确网络安全目标、保护对象，保护设查阅项目设

建议项

护对象等设计的合计思路，针对设计给出合理依据。计方案及相

1理性，包括是否列关材料，是否

项目设计方案中应明确建设项目（系统）是否列为关键信

为关键信息基础设具备审查要必须项

施。息基础设施。求的内容

查阅项目设

项目设计方案中应给出建设项目（系统）的保护等级，给

保护对象的网络安计方案及相

出等级确定的依据，依据必须严格按照《GBT22240信息

2全保护等级自定级关材料，是否必须项

安全技术网络安全等级保护定级指南》要求，部分行业可

情况及确定理由。具备审查要

安全结合行业定级要求综合评定。

求的内容

规划

网络安全现状及风查阅项目设

设计项目设计方案中应明确阐述当前安全现状、现状应从多个

险分析。根据安全计方案及相

角度进行阐述，包括但不仅限于：物理环境、通信网络、

保护等级的要求对关材料，是否

区域边界、业务应用、商用密码应用、计算环境、安全