2023数字政府网络和数据安全能力评估白皮书

数字政府网络和数据安全能力评估白皮书（2023）数字政府网络安全产业联盟2023年12月 指导单位：广东省政务服务数据管理局组织单位：数字政府网络安全产业联盟编写单位：工业和信息化部电子第五研究所、广州赛宝认证中心服务有限公司、数字广东网络建设有限公司、华为技术有限公司、深信服科技股份有限公司、奇安信网神信息技术（北京）股份有限公司、公安部第三研究所、广州绿盟网络安全技术有限公司、亚信安全科技股份有限公司、安天科技集团股份有限公司、广州竞远安全技术股份有限公司、杭州安恒信息技术股份有限公司、广东省网络安全应急响应中心（网络安全110）、永信至诚科技集团股份有限公司、广东省信息安全测评中心指导组：杨鹏飞、魏文涛、罗奇伟、郭勇编写组：李尧、高智伟、刘丕群、张浏骅、钟世敏、陈伟洪、林晓明、刘启超、贺高戈、黄其森、苏哲恒、程小磊、欧校志、吴海明、胡济民、黄振毅、陈周伟、甄茁。 I前言数字政府作为数字中国、数字经济的重要基础，已成为提升国家治理能力现代化的重要战略举措和推进服务型政府建设的有力抓手。当前，“一网通办”“跨省通办”、政务“秒批”“秒办”、身份证“网证”、“城市大脑”等试点示范措施，有力促进了政府和社会治理的高效化、精准化和智能化。但不容忽视的是，数字政府系统作为超级数据平台，面临巨大的安全威胁和风险，如黑客对政府网站的攻击、金融数据被不法分子窃取、个人敏感信息大规模泄露等。可以说，数字政府建设已经成为建设网络强国战略的重要组成部分，而网络和数据安全则是数字政府建设中的底线。2022年6月国务院印发了《关于加强数字政府建设的指导意见》，将“构建数字政府全方位安全保障体系”作为第二位重要任务来部署，并提出了“强化安全管理责任、落实安全制度要求、提升安全保障能力和提高自主可控水平”四方面具体要求。各个省份在加速数字政府建设的同时也强调了数字安全的重要性。比如，《广东省数字政府改革建设2023年工作要点》强调“完善网络数据安全考核评价体系，推动将数字政府网络数据安全考核纳入党委（党组）网络安全工作责任制考核；组织开展数字政府网络安全指数评估，常态化开展网络安全培训、安全审计、安全测评、漏洞排查、供应链安全管控和安全检查”。江苏省发布的《江苏省数字政府建设2023年工作要点》指出，“要建立数字政府安全评 II估、责任落实和重大事件处置机制；定期开展网络安全和密码应用检查，拓展网络安全态势感知监测范围，切实提升大规模网络安全事件、网络泄密事件预警和应急处置能力”。因此，为了更好地保障数字政府的安全稳定运行，亟需对数字政府网络和数据安全进行全面评估，这将有助于全面了解数字政府的安全状况，发现和消除安全隐患，提高数字政府的安全防护能力，确保数字政府的正常运行和公民的信息安全，护航数字经济发展。在此背景下，我们组织编写了《数字政府网络和数据安全能力评估白皮书》，以期为我国数字政府网络和数据安全能力评估提供理论依据和实践参考。本白皮书分为以下几个部分：第一部分为数字政府网络和数据安全总体情况，主要介绍数字政府网络安全的背景、内涵和发展态势；第二部分为数字政府网络和数据安全能力评估模型，主要介绍国内外主流的网络安全能力评估的基本原理、方法和技术；第三部分为数字政府网络和数据安全能力评估实践，主要介绍不同省、市、厅（局）在数字政府网络和数据安全能力评估的评估背景、评估实施步骤和评估成效；第四部分为数字政府网络和数据安全能力评估存在的问题，主要介绍数字政府网络和数据安全能力评估的不足之处；第五部分为趋势及建议，主要总结数字政府网络和数据安全的趋势，提出评估改进和完善的建议。在本次白皮书的编制过程中，我们得到了广东省委网信办、广东省公安厅、广东省通信管理局等相关部门的大力支 III持，以及众多专家学者的积极参与。在此表示衷心的感谢！同时，我们也欢迎社会各界对本白皮书提出宝贵意见和建议，共同推动我国数字政府网络和数据安全能力评估工作的深入开展。最后，祝愿我国数字政府网络和数据安全能力评估工作取得新的更好的成效，为构建网络强国、实现中华民族伟大复兴的中国梦助力！ I目录前言............................................................................................................................I一、数字政府网络和数据安全总体情况...................................................................1（一）国家高度重视数字政府网络安全工作....................................................1（二）数字政府网络和数据安全基本内涵........................................................2（三）数字政府网络和数据安全风险态势........................................................4（四）数字政府网络和数据安全能力评估的重要性........................................9二、数字政府网络和数据安全能力评估模型.........................................................10（一）国外数字政府网络和数据安全能力评估模型......................................101.美国NIST信息安全能力评估指南..........................................................102.欧盟国家网络安全能力评估框架............................................................143.英国网络安全风险评估模型....................................................................15（二）国内数字政府网络和数据安全能力评估模型......................................171.广东省数字政府网络安全指数指标体系................................................172.浙江省电子政务外网安全评估指标体系................................................193.山东省智慧城市网络安全评估模型........................................................204.贵州省城市网络安全评估模型................................................................215.苏州市数字政府城市网络安全评价指标体系........................................23三、数字政府网络和数据安全能力评估实践.........................................................24（一）国外数字政府网络和数据安全能力评估实践......................................241.欧盟国家网络安全能力评估实践............................................................242.英国网络安全风险评估实践....................................................................25（二）国内数字政府网络和数据安全能力评估实践......................................261.广东省数字政府网络安全指数评估实践................................................262.浙江省电子政务外网安全能力评估实践................................................313.其他省份评估实践....................................................................................34四、数字政府网络和数据安全能力评估存在的问题.............................................36五、数字政府网络和数据安全趋势及评估建议.....................................................39 1一、数字政府网络和数据安全总体情况（一）国家高度重视数字政府网络安全工作习近平总书记在党的二十大报告中深刻指出，国家安全是民族复兴的根基，社会稳定是国家强盛的前提，强调必须坚定不移贯彻总体国家安全观，把维护国家安全贯穿于党和国家工作各方面全过程，确保国家安全和社会稳定。总书记以马克思主义政治家强烈的忧患意识和历史担当，提出“没有网络安全就没有国家安全；过不了互联网这一关，就过不了长期执政这一关”，将网络安全提高到前所未有的地位和高度。2022年，国务院印发《关于加强数字政府建设的指导意见》，提出加强数字政府建设是适应新一轮科技革命和产业变革趋势、引领驱动数字经济发展和数字社会建设、营造良好数字生态、加快数字化发展的必然要求，是建设网络强国、数字中国的基础性和先导性工程，是创新政府治理理念和方式、形成数字治理新格局、推进国家治理体系和治理能力现代化的重要举措。近几年，数字政府建设践行以人民为中心的发展思想，借助信息化技术，在政务服务一网通办、省域治理一网统管、政府运行一网协同、政务数据一网共享等方面取得了显著的成绩，极大提升了政府效率和公共服务水平，进而促进社会和谐稳定、社会经济发展和人民幸福生活，形成了整体联动的数字化治理新格局。但是，随着数字政府建设的深入，数字政府成为政府服务的主要形式之一，同时，各地数字政府承载的政府数据价值也越来越高，保障数字政府网络和数据 2安全的可用性、保密性、完整性至关重要，网络和数据安全成为数字政府建设的生命线。我国以总体国家安全观为指导，不断完善网络和数据安全法制体系，坚决维护网络安全、数据安全和公民个人信息安全。2017年6月1日，《中华人民共和国网络安全法》正式施行，这是我国网络安全领域的首部基础性、框架性、综合性法律。之后，相继颁布《中华人民共和国密码法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《中华人民共和国个人信息保护法》等法律法规，出台《云计算服务安全评估办法》《网络安全审查办法》等政策文件，发布了《网络数据安全管理条例（征求意见稿）》并将之列为国务院2023年度立法工作计划。特别是，2023年，中共中央、国务院印发《数字中国建设整体布局规划》，提出强化数字中国关键能力，“筑牢可信可控的数字安全屏障。切实维护网络安全，完善网络安全法律法规和政策体系。增强数据安全保障能力，建立数据分类分级保护基础制度，健全网络数据监测预警和应急处置工作体系”，为数字政府网络和数据安全工作指明了方向。（二）数字政府网络和数据安全基本内涵中国政府整体经历了“政府信息化—电子政务—数字政府”三个阶段。“政府信息化”阶段是以政府为中心，以提高行政效率为目标，数据作为一种资料，不对外公开，处于“保密状态”；“电子政务”阶段，政府逐渐把信息技术作为改进组织内部效率的工具，“块”状的各级政府开始建设 3政府门户网站，推出政务微博，及时回应公众网络参与需求，积极改进政府服务质量，数据作为一种工具，在《政府信息公开条例》的规范和要求下，逐渐开