《电子政务系统安全成熟度评估规范（征

ICS CCS 32 江苏省地方标准 DB 32/T XXXX-XXXX 电子政务系统安全成熟度评估规范 Electrical government system security maturity assessment specifications （送审稿） 在提交反馈意见时，请将您知道的专利连同支持性文件一并附上。 XXXX-XX-XX发布 XXXX-XX-XX实施 江苏省市场监督管理局 发 布 DB32/T XXXX—2024 目 次 前 言3 1 范围4 2 规范性引用文件4 3 术语和定义4 4 评估原则5 5 评估方式5 6 评估指标6 6.1指标框架6 6.2指标项6 7 指标描述11 7.1攻击识别与预警能力指标11 7.2安全预防与加固能力指标13 7.3事件检测能力指标17 7.4事件响应能力指标19 7.5反制能力指标21 7.6关联分析能力指标22 7.7安全运营能力23 8 评估流程25 9 相关角色25 10 成熟度评估25 10.1评估条款及分值25 10.2评估模型35 10.3评估结果36 附录A37 参考文献40 前 言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由江苏省政务服务管理办公室提出并归口。 本文件起草单位：江苏省产品质量监督检验研究院、江苏海事职业技术学院、国家税务总局江苏省税务局信息中心、南京市城市数字治理中心、南京市水务信息中心、南京市国土资源信息中心、苏州市中级人民法院、苏州市信息中心、北京长亭科技有限公司、江苏天竞云合数据技术有限公司、江苏全博信息科技有限公司、江苏网擎信息技术有限公司、徐州云天网络安全技术有限公司、江苏翔晟信息技术股份有限公司共同起草本文件 主要起草人：武斌、张莉、汪涛、朱惠林、袁瑞红、潘云鹏、崔蓓、张祺、徐丕丞、崔歆卓、曾昌虎、闫栋、魏乘央、袁其其、金磊、陈金龙、戴宪宇、任远。 电子政务系统安全成熟度评估规范 1 范围 本文件给出了江苏省电子政务系统安全成熟度指标体系框架、指标描述、评价方法和成熟度等级判定方法。 本文件适用于对江苏省电子政务系统安全成熟度进行评估，也可作为江苏省电子政务系统安全能力建设时的依据。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069—2022 信息安全技术 术语 3 术语和定义 GB/T 25069—2022界定的以下术语和定义适用于本文件。 3.1 评估 assessment 对于某一产品、系统或服务，对照某一标准，采用响应的评估方法，以建立合规性并确定其所做是否得到确保的验证。 [来源：GB/T 25069-2022，3.446] 3.2 攻击诱捕 attack trapping 攻击诱捕是一种安全技术，用于欺骗攻击者并诱导其攻击虚拟系统或网络，以便监视和分析攻击行为，从而提高系统的安全性和防御能力。 3.3 漏洞 vulnerability 计算机信息系统在需求、设计、实现、配置、运行等过程中，有意或无意产生的缺陷。这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中，一旦被恶意主体所利用，就会对就会对计算机信息系统的安全造成损害，从而影响计算机信息系统的正常运行。 3.4 威胁 threat 可能对系统或组织造成危害的不期望事件的潜在因素。 [GB/T 25069-2022，3.628 ] 3.5 保密性 confidentiality 信息对未授权的个人、实体或过程不可用或不泄漏的性质。 [GB/T 25069-2022,3.41] 3.6 完整性 integrity 准确和完备的性质。 [GB/T 25069-2022，3.612 ] 3.7 可用性 availability 可由经授权实体按需访问和使用的性质。 [来源：GB/T 25069-2022，3.345] 3.8 电子政务系统 electrical government system 基于互联网技术的面向政府机关内部和其他政府机构的信息服务和信息处理系统。 3.9 安全成熟度 security maturity 组织在攻击识别与预警、安全预防与加固、事件检测、事件响应、反制、关联分析、安全运营等方面对电子政务系统的安全保障能力。 4 评估原则 根据电子政务系统安全成熟度评估规范开展评估时，应该遵循以下原则： a) 可靠性（Reliability）：指评估结果的准确性和稳定性。评估过程中所使用的工具和方法应该是可靠和一致的，以确保结果具有可信度； b) 有效性（Validity）：指评估结果是否能够真实反映所要衡量的事物或现象。评估过程应该基于科学的理论和方法，并且应该能够准确地捕捉到所要评估的对象的特征和属性； c) 客观性（Objectivity）：指评估过程应该是客观的，不受主观因素的影响。评估者应该尽可能避免自己的偏见和偏好对评估结果的影响，而应该采用客观的标准和方法来进行评估； d) 可重复性（Repeatability）：指相同的评估过程应该能够产生相同的评估结果。评估结果应该是可重复的，以便其他研究者可以验证和复制这些结果； e) 标准化（Standardization）：指评估过程应该是标准化的，以便在不同的时间和地点进行比较。评估结果应该基于相同的标准和方法进行量化和测量，以便进行比较和分析； 5 评估方式 根据电子政务系统安全成熟度评估规范开展评估时，评估方式如下： a） 调研访谈：根据电子政务系统安全成熟度各项指标，对评估对象的相关人员开展访谈工作，对每个部分进行深入了解，准确评价相关指标的真实情况。 b） 技术验证：通过人工结合工具的方式上机核查评估对象相关指标的满足情况。 6 评估指标 6.1 指标框架 电子政务系统安全成熟度指标框架包括一级指标、二级指标、评价内容三个层级。指标框架结构见图 1。 图 1 指标框架结构 6.2 指标项 电子政务系统安全成熟度评估规范分别由攻击识别与预警能力、安全预防与加固能力、事件检测能力、事件响应能力、反制能力、关联分析能力、安全运营能力等7个一级指标，漏洞预警能力、漏洞评估能力、漏洞修复能力、账户管理能力、安全配置管理能力、入侵检测能力、未知威胁发现能力、入侵防护能力、攻击