国家标准《信息安全技术 政府网站系统安全指南》(征求意见稿)修订编制说明 一、工作简况
1、任务来源
《WG5工作组第 2 次会议(2018)工作组会议纪要》指出,为有效应对政府网站入云等新型运营模式,以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势,切实保障政府网站系统安全运行,建议着力完善当前政府网站类安全标准。
经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究修订GB/T 31506-2015《政府门户网站安全技术指南》国家标准。根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》(信安秘字[2019]050七个人2011号),该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由北京信息安全测评中心负责主办。
2、起草单位
在接到标准的任务后,北京信息安全测评中心立即与相关机构、厂商进行沟通,并得到了政府网站运营机构、高校、业内知名厂商及测评机构的积极参与和反馈。经筛选,最后确定由中电数据服务有限公司、首都之窗运营管理中心、中电长城网际系统应用有限公司、黑龙江省测评中心、北京市城乡经济信息中心、杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、桂林电子科技大学、北京神州绿盟信息安全科技股份有限公司、新华三技术有限公司、深圳开源互联网安全技术有限公司、武汉网安教育科技有限公司、国家应用软件产品质量检测检验中心、北京数字认证股份有限公司、湖北省标准化与质量研究院、国家工业信息安全发展研究中心、北京北信源软件股份有限公司、江苏省信息安全测评中心、陕西省信息化工程研究院、国家计算机网络应急技术处理协调中心、江远盛邦(北京)网络安全科技有限公司、恒安嘉新(北京)科技股份公司、山谷网安科技股份有限公司、北京知道创宇信息技术股份有限公司和陕西省网络与信息安全测评中心等单位共同参与编制。
3、主要工作过程
(一)标准制定的主要工作过程如下:
1)工作启动
2018年10月,北京信息安全测评中心联合政府网站运营单位、业内知名安全服务厂商、科研机构及测评机构等组建标准编制组,编制组成员具有丰富的标准编制经验、政务领域网络安全研究经验、信息系统安全控制研究等经验。
编制组内部制定编制工作计划,并明确了例会工作制,以便及时沟通交流工作情况。
2)基础调研
2018年11月-12月,编制组研究分析了我国政府网站方面的相关政策和标准文件,包括《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔2017〕47号)《关于加强党政机关网站安全管理的通知》(中网办发〔2014〕1号)《国务院办公厅关于加强政府网站域名管理的通知》(国办函〔2018〕55号)《政府网站集约化试点工作方案》(国办函〔2018〕71号)《深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案》(国办函〔2018〕45号)以及《云计算服务安全评估办法》《国家网络安全事件应急预案》《信息安全技术 云计算服务安全指南》《信息安全技术 云计算服务安全能力要求》《信息安全技术 个人信息安全规范》《信息安全技术 网络安全等级保护基本要求》等。
在此基础上,编制组分析了国内外政府网站发展现状、安全保护情况以及存在的问题,提出了标准修订思路,以及政府网站安全控制要求,形成标准修订研究报告(见附件1)。
edcnhs3)初步明确修订方向
2018年12月30日,在北京组织召开专家研讨会,会上,专家基于前期研究成果,提出修改意见,明确增加安全管理的内容,且提出应结合政府网站逐步向移动端扩展的应用趋势,增加移动安全方面的适应性内容。
会后编制组根据专家意见形成标准修订框架。
4)确定标准适用范围
2019年1-3月,编制组针对标准修订框架,经过多次内部讨论和研究后,按照组内分工,开展具体的编制工作,形成标准草案第1稿。
2019年4月10日,在北京组织召开专家意见会,会上,专家肯定了标准分级、增加安全管理、移动安全等方面的内容,并针对数据安全方面提出了修改意见,建议突出个人信息保护等方面的内容。会后编制组开会讨论,根据专家意见修改标准草案第1稿的内容。
2019年4月,北京信息安全测评中心代表编制组,在宁波标准会议周上进行了项目申报情况的汇报,并针对WG1组专家提出的标准适用范围等问题进行了书面说明(见附件2),明确了该标准服务对象为政府网站。标准最终顺利通过全国信息安全标准化技术委员会WG5组会议讨论,获得全国信息安全标准化技术委员会立项。
2019年5-9月,标准编制组继续研究讨论,根据标准周上专家及参会企业意见对标准草案进行进一步修订,重新梳理了技术内容和管理内容的组织架构,形成标准草案第2稿。
2019年10月11日,WG5工作组召开的《信息安全技术 智能门锁安全技术 要求和测试评价方法》等 17 项国家标准研讨会上进行汇报,与会专家认为标准内容中“应”的表述过多,建议根据指南类标准的编写要求进行调整。会后编制组根据专家意见继续修改标准草案第2稿的相关内容
5)扩充编制组,调整标准结构
2019年10月,按照《全国信息安全标准化技术委员会标准参与单位管理办法(暂行)》要求,公开征集参编单位,扩充编制力量。
2019年10月17日,编制组在北京组织召开项目启动会。会上,WG5工作组领导、全国信安标委秘书处、业内专家等提出按照《网络安全等级保护基本要求》等国家标准,梳理文本组织架构,落地和细化《网络安全法》、等级保护相关国家要求,突出政府网站的特点,落实主管部门的要求等。
会后,编制组根据WG5及专家意见,重新调整了标准内容的组织结构,形成标准草案第3稿。
6)标准申请更名
刷镀工艺2019年10月27日,北京信息安全测评中心代表编制组,在重庆标准会议周上就标准草案编制情况进行了汇报,提出将标准名称拟变更为《信息安全技术 政府网站系统安全指南》。2019年12月17日,WG5工作组在北京召开了专家会,与会专家和WG5工作组经过讨论后建议依据GB/T 1.1的要求,充分考虑与《网络安全等级保护基本要求》等国家标准的对应关系等,明确本标准作为“指南”类标准继续修订其内容。
2019年12月,编制组根据专家意见,经过多次讨论,从“适应我国政府网站发展应用的趋
势”、“落实我国政府网站政策要求,解决实际工作需求”、“符合标准化工作规定,满足国家相关法规要求”等方面,提出了将标准名称变更为《信息安全技术 政府网站系统安全指南》的书面申请(见附件3)。
7)草案修改
根据2019年重庆会议周期间WG5工作组内专家意见,编制组结合2019年10月通过的《中华人民共和国密码法》等国家法规要求,进一步完善标准内容,形成了标准草案第4稿。
2020孑孓年5月8日,WG5工作组召开了国家标准专家审查会,与会专家提出了增加抗拒绝服务攻击等方面的内容。会后编制组根据专家意见及时补充修改了标准草案中相关内容。
2020年5月13日,按照WG5工作组统一安排,北京信息安全测评中心主持召开了《政府网站系统安全指南》(修订)线上研讨会,讨论时长约3个小时,共有包括等艾特塞克、东软、卫士通、德勤、中国联通、启明星辰、中国药学会、北京市文旅局等27家单位的31位代表参会。会上从政府信息化部门人员短缺、网站集约化改革安全需求不明确等工作中面临的实际困难出发进行了充分的讨论,针对产品和服务采购优先级、人员角及权限的明
确区分,国密算法的支持、容器等新兴云计算应用等内容的修改,共形成17条修改意见,其中2条因涉及具体产品和服务品牌采购所以未采纳,3条需要进一步研究并继续征求政府信息化部门意见后再进行修改,12条采纳并已根据意见修改了标准内容。
2tafe学院020年vgaga5月15日,北京信息安全测评中心代表编制组,在通过华为云会议召开的标准会议周上就标准草案更名后的编制情况进行了汇报,标准顺利通过WG5组工作组全体会议的讨论和审议,编制组根据会上意见进行修改完善,形成了征求意见稿。
二、标准编制原则和确定主要内容的论据及解决的主要问题
1、编制目的
近年来,随着“互联网+”的迅速发展,人们的生活方式发生了巨大改变,我国政府及时转变传统的政务服务观念,大力推广“互联网+政务服务”模式,政府网站建设立足以人为本,为民办事,及时动态地向公众展示政府信息,随时接受公众的咨询和监督,同时加大对新型技术平台的投入,依托政府资源优势,实现了多渠道政务信息公开和办公服务。根据《国务院办公厅关于印发政府网站发展指引的通知》(国办发〔2017〕47号)精神,政府网站
作为政府信息公开的主渠道和“互联网 + 政务”的重要实践载体,其提供的政务服务模式主要有两种类型:一是依托省级政府门户网站的在线办事栏目向公众提供各种行政事项服务。二是构建政府政务服务网或“一站式”办事大厅和省、市、县(区)多级联动的公共服务网上平台。
