1、2022广东省数字政府网络安全指数评估报告广东省“数字政府”改革建设工作领导小组办公室2023 年 1 月组织单位:广东省“数字政府”改革建设工作领导小组办公室编写单位:工业和信息化部电子第五研究所、深信服科技股份有限公司、奇安信科技集团股份有限公司、数字广东网络建设有限公司、广东省网络安全应急响应中心(网络安全 110)、三六零数字安全科技集团有限公司、安天科技集团股份有限公司、公安部第三研究所、广州赛宝认证中心服务有限公司参编人员:(按姓氏笔画排序)叶滨、刘丕群、刘启超、李尧、李炜、杨鹏飞、吴寒、沈玉龙、张报明、张浏骅、罗奇伟、金楠、钟世敏、洪延青、贺高戈、耿光刚、高尚省、高智伟、郭勇、唐
2、玉鑫、常晓宇、曾磊、董博、詹林献、雷刚前 言I前言加强数字政府建设是引领和驱动数字经济发展的重要动力,是加快数字社会建设步伐的必然要求,是建设网络强国、数字中国的基础性和先导性工程,是推进国家治理体系和治理能力现代化的重要举措。习近平总书记在党的二十大报告中深刻指出,国家安全是民族复兴的根基,社会稳定是国家强盛的前提,强调必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿于党和国家工作各方面全过程,确保国家安全和社会稳定。总书记以马克思主义政治家强烈的忧患意识和历史担当,提出“没有网络安全就没有国家安全;过不了互联网这一关,就过不了长期执政这一关”。习近平总书记关于网络安全的系列重要论述,高屋
3、建瓴、博大精深,为新时代做好数字政府网络安全工作指明了前进方向、提供了根本遵循。近年,广东省在全国率先启动数字政府改革建设,不断提升数据治理、运营能力和公共数据开发应用水平,优化全省政务信息化体制机制。省级政府一体化政务服务能力在连续三年取得全国第一名的基础上,持续保持全国领先水平,稳居前列。一是以粤省事、粤商通、粤政易为代表的“粤系列”政务服务平台社会和经济成效显著,其中粤省事累计注册实名用户数超过 1.8 亿,粤商通注册用户超过 1341 万,粤前 言II政易注册用户超过 253 万;二是首创首席数据官制度,强化跨部门、跨层级、跨领域统筹协同机制,并在 6 个省直部门以及 10 个地市先行
4、先试;三是首创数据流通交易全周期服务,并在南沙成立广州数据交易所;四是率先推出全国首批数据经纪人名单,以电力、金融领域龙头企业为实验田,探索数据要素流通新模式。随着数字政府改革建设不断深入,数据流通交易规模快速增长,安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全威胁日益凸显,有组织、有目的的网络攻击形势愈加明显,为网络安全防护工作带来更多挑战,数字政府面临的网络安全形势愈加严峻复杂。为贯彻落实党的二十大报告中关于“坚持以新安全格局保障新发展格局”的战略部署,落实国务院关于加强数字政府建设的指导意见中提出“构建数字政府全方位安全保障体系”的有关要求,广东省“数字政府”改革建设工作领导小组办公室
5、牵头组织,工业和信息化部电子第五研究所具体负责,深信服、奇安信、数字广东、广东省网络安全应急响应中心、三六零、安天、公安部三所、赛宝认证等单位共同参与,开展了 2022 年度广东省数字政府网络安全指数评估工作。本报告是广东省“数字政府”改革建设工作领导小组办公室组织编写的第 3 部反映广东省数字政府网络安全体系建设状况的研究报告。报告以调查评估数据为基础,梳理分析当前广东省各地市数字政府网络安全的安全现状、存在问题前 言III和工作亮点,推动、指引各地市持续加强网络安全体系建设,推动全省数字政府网络安全工作迈上新台阶、实现新跃升。本次评估工作得到了广东省委网信办、广东省公安厅、广东省通信管理局
6、的大力支持。在此,衷心感谢各地市政务服务数据管理局、各地市直部门对评估工作的参与和支持,感谢三六零集团、安天集团提供省域网络安全大数据,感谢暨南大学、北京理工大学、西安电子科技大学、国家计算机网络应急技术处理协调中心广东分中心、北京永信至诚科技股份有限公司等单位专家对本报告的帮助以及提出的宝贵意见。目 录IV目目录录前前言言.I第一章第一章 评估概况评估概况.1一、评估背景.1二、评估对象.2三、评估原则.2四、评估过程.3(一)建立指标体系.4(二)实施指数评估.5五、数据采集.6(一)数据采集对象.6(二)数据采集周期.7第二章第二章 评估结果评估结果.8一、总体情况.8(一)总体指数排名
7、.8(二)能力水平分布.10(三)总体指数分析.11二、工作成效和存在问题.12(一)工作成效.12(二)存在问题.14第三章第三章 安全管理指数安全管理指数.17一、总体分析.17二、分指数分析.20(一)安全战略规划.20(二)安全标准规范.21(三)安全管理组织.23(四)人员安全管理.25(五)安全投入.27(六)供应链安全管理.28第四章第四章 安全建设指数安全建设指数.31一、总体分析.31二、分指数分析.33目 录V(一)网络安全等级保护.33(二)关键信息基础设施保护.35(三)数据安全保护.36(四)个人信息保护.38(五)密码应用.39(六)安全服务支撑体系.41第五章第五
8、章 安全运营指数安全运营指数.43一、总体分析.43二、分指数分析.46(一)信息资产管理.46(二)日常安全运维.47(三)安全监测.49(四)应急处置.50(五)安全检查.52(六)安全审计.53(七)业务连续性保障.55(八)安全协同.56第六章第六章 安全效果指数安全效果指数.59一、总体分析.59二、分指数分析.61(一)网络环境安全.61(二)安全漏洞.63(三)安全事件.64(四)专项工作.66第七章第七章 思路与建议思路与建议.69一、工作思路.69二、工作建议.70(一)抓“自身建设”,完善数字政府安全保障体系.71(二)抓“重点环节”,赋能数字政府建设发展动力.71(三)抓
9、“融合优化”,提高数字政府运营保障水平.72(四)抓“综合防控”,提升数字政府整体防护效果.73附录:数字政府网络安全能力成熟度定义附录:数字政府网络安全能力成熟度定义.74目 录VI图目录图目录图 1-1 广东省数字政府网络安全指数评估模型.4图 2-1 广东省各地市数字政府网络安全指数排名.10图 2-2 数字政府网络安全指数一级指标对比.12图 3-1 安全管理二级指标指数平均值分析.17图 3-2 广东省数字政府安全管理指数排名.19图 3-3 广东省数字政府安全战略规划指数排名.20图 3-4 广东省数字政府安全政策规范指数排名.22图 3-5 广东省数字政府安全管理组织指数排名.2
10、4图 3-6 广东省数字政府安全人员安全管理指数排名.26图 3-7 广东省数字政府安全投入指数排名.28图 3-8 广东省数字政府供应链安全管理指数排名.29图 4-1 安全建设二级指标指数平均值分析.31图 4-2 广东省数字政府安全建设指数排名.32图 4-3 广东省数字政府网络安全等级保护指数排名.34图 4-4 广东省数字政府关键信息基础设施保护指数排名.35图 4-5 广东省数字政府数据安全保护指数排名.37图 4-6 广东省数字政府个人信息保护指数排名.38图 4-7 广东省数字政府密码应用指数排名.40图 4-8 广东省数字政府安全服务支撑体系指数排名.41图 5-1 安全运营
11、二级指标指数平均值分析.43图 5-2 广东省数字政府安全运营指数排名.44图 5-3 广东省数字政府信息资产管理指数排名.46图 5-4 广东省数字政府日常安全运维指数排名.48图 5-5 广东省数字政府安全监测指数排名.49图 5-6 广东省数字政府应急处置指数排名.51图 5-7 广东省数字政府安全检查指数排名.53图 5-8 广东省数字政府安全审计指数排名.54图 5-9 广东省数字政府业务连续性保障指数排名.55图 5-10 广东省数字政府安全协同指数排名.57图 6-1 安全效果二级指标指数平均值分析.59目 录VII图 6-2 广东省数字政府安全效果指数排名.60图 6-3 广东
12、省数字政府网络环境安全指数排名.62图 6-4 广东省数字政府安全漏洞指数排名.63图 6-5 广东省数字政府安全事件指数排名.65图 6-6 广东省数字政府专项工作结果指数排名.66目 录VIII表目录表 1-1 广东省 21 个地级市名称.2表 1-2 数字政府网络安全评估数据采集的地市市直部门名称.6表 2-1 广东省地市数字政府网络安全指数.8表 2-2 广东省地市数字政府网络安全能力分布.11第一章 评估概况1第一章 评估概况一、评估背景当今世界正经历百年未有之大变局,国际国内复杂严峻形势与当前新型冠状病毒感染防控工作交织叠加,网络安全风险正在向其他传统安全和非传统安全风险渗透、传递
13、、转化和叠加,网络安全已成为总体国家安全观不可或缺的组成部分。党的二十大报告指出,要“以新安全格局保障新发展格局”“完善重点领域安全保障体系和重要专项协调指挥体系”。国务院印发的关于加强数字政府建设的指导意见指出,要“全面强化数字政府安全管理责任,落实安全管理制度,加快关键核心技术攻关,加强关键信息基础设施安全保障,强化安全防护技术应用,切实筑牢数字政府建设安全防线”。中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要指出,要“加强网络安全风险评估和审查,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”。为贯彻落实党中央、国务院关于网络安全的相关要求,省“数字
14、政府”改革建设工作领导小组办公室根据数字政府网络安全指数指标体系(以下简称“指标体系”),组织开展了 2022 年度数字政府网络安全指数评估工作。第一章 评估概况2二、评估对象广东省 21 个地级市(以下简称“各地市”,如表 1-1所示)。表1-1 广东省21个地级市名称1广州12中山2深圳13江门3珠海14阳江4汕头15湛江5佛山16茂名6韶关17肇庆7河源18清远8梅州19潮州9惠州20揭阳10汕尾21云浮11东莞三、评估原则(一(一)科学导向科学导向。本次评估按照国务院关于加强数字政府建设的指导意见提出的“强化安全管理责任、落实安全制度要求、提升安全保障能力、提高自主可控水平”有关要求,
15、通过建立建全指标体系全面评价各地市数字政府网络安全水平,引导、鼓励各地市持续加强网络安全体系建设,推动全省数字政府网络安全工作迈上新台阶、实现新跃升。(二(二)数据客观数据客观。本次评估依托数字政府建设运营单位掌握的数字政府安全运营数据、网络安全监管部门掌握的数第一章 评估概况3字政府安全监管数据、安全调研数据、网络安全厂商及互联网公司掌握的省域网络安全大数据、“粤盾-2022”数字政府实战攻防演练结果数据等,采用定量与定性相结合的分析方法,对全省各地市数字政府网络安全管理、安全建设、安全运营、安全效果等四个方面进行评价,客观科学地反映我省各地市数字政府网络安全整体防护水平。(三(三)注重实效
16、注重实效。本次评估从提升数字政府网络安全防护能力的目标出发,注重数字政府网络安全管理、建设、运营的实际成效,帮助各地市全面掌握当前数字政府安全现状,发现存在的问题,找到解决的方案,形成“执行-评估-反馈-改进”的闭环管理模式。(四(四)能力评价能力评价。本次评估对各地市数字政府网络安全总体能力进行成熟度分级,成熟度从高至低依次为优化级(S)、完善级(A)、稳健级(B)、受控级(C)、启动级(D)等五个级别。各能力成熟度等级定义见附录。四、评估过程2022 年 3 月,广东省“数字政府”改革建设工作领导小组办公室牵头成立评估工作组,制定了 2022 年安全指数评估工作方案。为实现数字政府网络安全
17、指数评估工作整体的规范化和标准化。4 月,广东省政务服务数据管理局联合研究院所、高校、安全厂商等 11 家单位共同编制广东省数字政府网络安全指数评估实施指南,帮助评估对象了解广东省数字政府网络安全指数的评估方法和流程,为广东省各地市开展本地化安全指数评估提供参考。7 月至 11 月,评估第一章 评估概况4工作组采集、处理、分析评估数据,形成安全指数评估结果。(一)建立指标体系本年度广东省数字政府网络安全指数评估工作在参照广东省数字政府网络安全指数指标体系标准的基础上,重点围绕安全管理、安全建设、安全运营、安全效果 4 个方面,建立面向 21 个地市的评估指标体系,引导各地市有重点地提升数字政府
18、网络安全防护能力。2022 年度广东省数字政府网络安全指数指标体系共包含 4 项一级指标,24 项二级指标,103 项评估要点,与 2021年保持一致。图1-1 广东省数字政府网络安全指数评估模型安全管理指标安全管理指标用于评价地区数字政府网络安全管理措施是否充分、适宜,主要包含安全战略规划、安全标准规范、安全管理组织、人员安全管理、安全投入以及供应链安全管理 6 个方面。主要从安全规划和管理制度的制定及落实着手,通过强化安全意识,明确安全责任,加大安全投入,使各地市各部门有规可循,从而强化管理、形成闭环。安全建设指标安全建设指标用于评价地区数字政府网络安全技术措第一章 评估概况5施是否完备,
19、包含网络安全等级保护、关键信息基础设施保护、数据安全保护、个人信息保护、密码应用以及安全服务支撑体系 6 个方面。主要从注重定级备案和等级测评、重点保护关键信息基础设施和数据安全方面着手,通过聚焦法律法规热点,抓合规、促落实,建立既强调全面又突出重点的技术防护体系。安全运营指标安全运营指标用于评价数字政府网络安全保障体系在运行过程中的风险识别、安全监测及应急处置等能力,包含信息资产管理、日常安全运维、安全监测、应急处置、安全检查、安全审计、业务连续性保障、安全协同 8 个方面。重点通过摸清资产底数,及时发现风险隐患,采取相应的处置措施,形成联防联控的强大合力,确保数字政府网络安全防护体系稳定运
20、行。安全效果指标安全效果指标用于评价地区数字政府网络安全保障体系的实际运行效果,包含网络环境安全、安全漏洞、安全事件及专项工作 4 个方面。侧重从结果的角度进行评价,通过安全大数据、安全运营监管数据以及攻防实战演练,反映数字政府安全管理、安全建设及安全运营等方面工作实施效果。(二)实施指数评估2022 年 7 月至 11 月,评估工作组对全省 21 个地市数字政府网络安全管理、建设、运营、效果等方面进行了调研,采集了 21 个地市涉及人员、机构、制度、经费、系统以及安全运行维护、省域网络安全大数据、安全应急与通报、“粤盾-2022”数字政府实战攻防演练结果等相关数据约6.8万项。第一章 评估概
21、况610 月下旬开始,依据评估指标和评估模型,对采集数据进行了全方位分析,形成了安全指数评估结果。五、数据采集(一)数据采集对象本报告的数据采集对象涵盖全省 21 个地市的市直部门,如表 1-2 所示,涉及各地市政务云平台、大数据中心、政府官网及重要政务应用等。数据来源主要为:(1)数字政府安全运营数据;(2)网络安全监管部门监管数据;(3)安全调研数据;(4)省域网络安全大数据;(5)“粤盾-2022”广东省数字政府网络安全攻防演练结果。表1-2 数字政府网络安全评估数据采集的地市市直部门名称市政府办公厅(室)市财政局市交通运输局市国有资产管理委员会市发展和改革委(局)市人力资源和社会保障局
22、市水务局市市场监督管理局市教育局市自然资源局市农业农村局市统计局市科技创新局市生态环境局市商务局市金融工作局市工业和信息化局市医疗保障局市文化广电旅游体育局市信访局市交通运输局市城市管理和综合执法局市卫生健康局市林业和园林局第一章 评估概况7市公安局市政务服务数据管理局市退役军人事务局市民政局市审计局市应急管理局市司法局市住房和城乡建设局市宗教事务局(二)数据采集周期本次评估所采集的数据覆盖周期为:2021 年 11 月至2022 年 10 月。第二章 评估结果8第二章 评估结果一、总体情况(一)总体指数排名2022 年广东省数字政府网络安全指数为百分制。其中,安全管理、安全建设、安全运营、安
23、全效果 4 个一级指标分别占 25%、20%、25%、30%。各地市一级指标指数、总体指数及总体排名如表 2-1 所示。表2-1 广东省地市数字政府网络安全指数得分及排名地市名称地市名称安全管理安全管理指数指数安全建设安全建设指数指数安全运营安全运营指数指数安全效果安全效果指数指数总体指数总体指数总体排名总体排名广州75.7466.7882.0784.9578.292深圳90.4386.3287.1678.8085.301珠海67.5462.6969.4988.3273.296汕头65.1443.0664.6766.3360.9611佛山64.9772.0577.6184.9075.535韶关
24、59.0535.2854.5558.6353.0418湛江59.6635.7354.9280.7860.0212肇庆74.5256.2580.1271.8871.479江门70.6052.5469.9888.6772.257茂名52.3936.8759.5759.3153.1617第二章 评估结果9惠州78.2864.3865.7192.5876.653梅州64.2955.8960.6150.1857.4615汕尾61.0452.1157.1258.4757.5114河源56.7641.3657.7969.0557.6313阳江48.1729.3960.8253.6349.2121清远50.9
25、848.0150.2253.7151.0120东莞78.1162.5481.3078.1075.794中山63.4363.0279.9478.5672.028潮州59.0140.5953.9853.7252.4819揭阳50.4147.1956.6156.9453.2816云浮58.2443.5167.3971.8361.6610广东省各地市数字政府网络安全总体指数排名如图 2-1所示。全省平均值为 64.19,9 个地市超过平均值,占比 42.86%。其中,深圳市深圳市以总体指数得分 85.30 居全省榜首,广州市、广州市、惠州市惠州市、东莞市东莞市、佛山市佛山市分列第 2 至 5 名,总体
26、指数得分分别为 78.29、76.65、75.79、75.53,各地安全指数均有一定提升。惠州市惠州市网络安全指数首次进入前三,惠州市委、市政府领导多次指示批示,强调做好数字政府网络安全工作;分管市领导多次带队检查网络安全工作,现场指导攻防演练活动;同时,惠州在“粤盾-2022”攻防演练表现出色,取得第一名的好成绩。湛江市湛江市和揭阳市揭阳市相比 2021 年进步较大,其中,湛江市从第 19 名进步至第 12 名,揭阳市从第 21 名进步至第 16 名。2022 年,湛江和揭阳重视数字政府网络安全工作,分管市领导多次主持召开安全指数评估专题调度会,网络安第二章 评估结果10全工作取得了较好成效
27、,在“粤盾-2022”攻防演练中排名明显提升。图2-1 广东省各地市数字政府网络安全指数排名(二)能力水平分布从安全指数评估结果来看,仍未有地市能够达到优化级优化级(S)的水平。总体指数处于完善级完善级(A)的有深圳市深圳市,占比为 4.76%。深圳市数字政府已形成良好的制度、人员、技术等集成应用,并能够通过定性和定量测量跟踪管控措施的实施效果,持续完善管控措施,初步实现综合防御。总体指数处于稳健级稳健级(B)的有广州、惠州、东莞、佛山广州、惠州、东莞、佛山 4 个地市,占比为 19.05%。这 4 个地市数字政府已形成符合实际的制度规范及配套技术支撑,且组织内外部有较好的协作,初步实现主动防
28、御。总体指数处于受控级受控级(C)的有珠海、江门、珠海、江门、中山、肇庆、云浮、汕头、湛江中山、肇庆、云浮、汕头、湛江 7 个地市,占比为 33.33%。这 7 个地市数字政府已建立了基本的制度规范及配套技术措施,但落地执行还不到位,安全效果不稳定。总体指数处于第二章 评估结果11启动级启动级(D)的有河源、汕尾、梅州、揭阳、茂名、韶关、河源、汕尾、梅州、揭阳、茂名、韶关、潮州潮州、清远清远、阳江阳江 9 个地市,占比为 42.86%。这 9 个地市数字政府尚处于管理制度、技术措施和运营体系的初步构建阶段,没有形成稳定的能力。惠州惠州、东莞东莞、佛山佛山 3 个地市由受控级(C)升至为稳健级(
29、B),云浮云浮、湛江湛江 2 个地市由启动级(D)升至为受控级(C)。表2-2 广东省地市数字政府网络安全能力分布优化级优化级(S)完善级完善级(A)稳健级稳健级(B)受控级受控级(C)启动级启动级(D)深圳广州惠州东莞佛山珠海江门中山肇庆云浮汕头湛江河源汕尾梅州揭阳茂名韶关潮州清远阳江(三)总体指数分析2021 年与 2022 年的数字政府网络安全指数一级指标对比情况如图 2-2 所示,2022 年全省数字政府网络安全指数 4个一级指标均有所提升:一是安全管理指数小幅增加安全管理指数小幅增加,各地市在安全指数工作开展过程中相继出台或制定相应的规划或制度,管理制度相对而言越来越完善,但在供应链
30、安全管理方面还有较大提升空间。二是安全安全建设指数建设指数进步明显进步明显,虽第二章 评估结果12然仍为四项一级指标中得分最低的一项,但各地市在 2022年纷纷开展数据安全保护探索工作,加大信息系统等级保护备案和测评工作力度,取得了较好的效果。三是安全运营指安全运营指数表现良好数表现良好,大部分地市加强日常安全运维,监测预警和应急处置机制更加完善,但资产清单还不够清晰,安全审计与业务连续性保障仍需持续改进。四是安全效果指数稳步提升,安全效果指数稳步提升,各地市纷纷开展本地区攻防演练活动,并且在“粤盾-2022”攻防演练中,大部分地市整体防御水平与往年相比明显提升。图2-2 数字政府网络安全指数
31、一级指标对比二、工作成效和存在问题(一)工作成效随着政府数字化、智能化的快速发展,网络安全已成为事关国家安全和国家发展的重大战略问题。在网络安全指数评估工作稳步推进的三年中,以网络安全筑牢数字政府改革发展的根基已成为普遍共识。各地市加快开展数字政府网络安全防护体系建设,同时积极探索数字政府网络安全工作的第二章 评估结果13新思路和新机制,数字政府网络安全取得了良好的发展成效。一是管理机制日益完善一是管理机制日益完善,安全意识明显提升安全意识明显提升。各地纷纷制定数字政府网络安全相关的战略规划和管理制度,大部分市直部门建立网络安全领导小组,拥有专职的网络安全管理人员。目前,12 个地市发布了电子
32、政务外网网络安全管理办法,部分地市编制了安全指数工作方案或成立安全指数提升工作领导小组,通过指数的引领作用有重点的开展数字政府网络安全工作。此外,2022 年各地市参加数字政府网络安全线上培训人数由 9767 增加至 18927(增涨了 93.79%),通过考试的人数由 8078 增加至 18631(增涨了 130.64%),人员安全意识得到明显提升。二是安全建设逐步强化二是安全建设逐步强化,等保工作加快推进等保工作加快推进。各地市积极开展等级保护、数据安全等相关工作,有条件的地市探索开展重要信息系统保护、个人信息保护和密码应用等工作。尤其在网络安全等级保护方面,市直部门的等保定级备案率较 2
33、021 年翻了一番,等保测评比例也有小幅增长。目前已有 15 个地市探索开展数据分类分级工作,14 个地市探索制定重要数据具体目录,对下一步开展数据安全保护工作奠定了良好的基础。三是运营能力持续优化三是运营能力持续优化,风险防范能力加强风险防范能力加强。全省各地市持续加强日常安全运维,及时与省平台共享相关运行运维数据,并持续优化网络安全技术体系,部分地市建立了安全监控、事件研判分析、威胁应急处置等安全监测治理闭环管理机制,多部门联合开展网络安全攻防演练、教育培训、安第二章 评估结果14全宣传等活动,进一步坚实了网络安全“人防”“技防”双防线。四是攻防演练效果良好四是攻防演练效果良好,安全漏洞修
34、复及时安全漏洞修复及时。“粤盾-2022”攻防演练中,发现并通报了 284 个网络安全隐患,比 2021年、2020 年分别减少了 71.1%、28.3%,弱口令、一令通行、已知历史漏洞未修复等低级错误发生率大幅减少。有的地市分管市领导专门到地市演练指挥部坐镇指挥;有的地市网信、公安、政数等部门联合行动,集中开展分析研判、监测预警和应急处置工作,与往年相比大部分地市整体防御水平提升明显,体现了广东省数字政府网络安全保障水平的不断提高。(二)存在问题数字政府网络安全经过近两年强化和提升,虽然取得了一定的效果和成绩,但是整体网络安全工作仍然存在一些问题,需继续加强能力提升。一是安全管理制度还不够落
35、地落细落实一是安全管理制度还不够落地落细落实。随着各地市对网络安全的重视程度不断提高,数字政府网络安全规划及管理制度不断完善,目前大部分地市均制定了数字政府网络安全规划及配套管理办法,但责任不到位、制度未落实仍然是目前亟需改善的现状,安全防护措施层面距离制度规范中提到的安全要求和防护级别仍有较大的差距。如不到 30%的市直部门开展安全考核工作,仅有 22.82%市直部门与供应商人员签订保密协议,大部分地市对供应链安全管理的认识还不足,未能有效开展供应链风险评估和定期对供应商服务进行安全监控和审计。第二章 评估结果15二是数据安全建设仍需要加强统筹推进二是数据安全建设仍需要加强统筹推进。数字政府
36、的数据资产类型呈多样化,数据载体分布广、数据源众多,这些都给数据识别和分类分级造成困难。目前,已有部分地市探索开展数据分类分级工作,但数据分类分级的科学性和有效性尚未得到实践验证,使得数据安全保护对象不明确,数据安全保护要求不清晰,进而影响数据安全风险评估的有效开展。因此,数据分类分级是数据安全建设工作的当务之急,应加快推动自上而下的数据分类分级安全保护制度建设,结合各地市重要数据特点和安全保护需求,抓住关键风险点对数据进行准确识别。三是资产底数梳理还不够全面准确清晰三是资产底数梳理还不够全面准确清晰。随着广东数字政府迈入 2.0 阶段,数字政府网络空间资产呈指数级增长态势,特别是云上云下资产
37、复杂交织、类型众多。目前,虽然已有不少地市市直部门梳理并建立了信息资产清单,但部分地市市直部门,仍存在资产清单管理不到位、责任归属不明,资产防护强度和范围均存在疏漏的问题。“自身家底”还有待进一步梳理摸清,资产底数准确性、资产清单完整性有待进一步完善,资产漏洞风险排查手段和能力有待持续提升。如在“粤盾-2022”攻防演练中,有近 1/3 的重点靶标存在临时替换靶标、更换所属单位或 IP 地址、无法访问等问题。四是综合防护水平仍需要巩固完善提升四是综合防护水平仍需要巩固完善提升。总体而言,大部分地市的综合防护和纵深防御能力应用还不够深入。只有少数地区已建设配套密码应用支撑能力并开展商用密码应用安
38、全性评估、明确个人信息保护职责并建设相应保障措施。第二章 评估结果16部分地市虽有一定的应对网络威胁的能力,但对区域划分、边界隔离、终端防护、监测预警等技术防护手段的综合应用不充分,对网络战级别的实战能力仍显著不足,面对 APT、零日漏洞的发现能力弱,整体联防联控、网络对抗反制能力和极限生存能力仍处于初级阶段。第三章 安全管理指数17第三章 安全管理指数一、总体分析如图 3-1 所示,在安全管理的二级指标中,安全战略规划指数的平均值为 78.29,10 个地市超过平均值,占比 47.62%;安全标准规范指数平均值为 65.77,11 个地市超过平均值,占比 52.38%;安全管理组织指数的平均
39、值为 63.52,10 个地市超过平均值,占比 47.62%;人员安全管理指数的平均值为57.12,9 个地市超过平均值,占比 42.86%;安全投入指数的平均值为 70.18,11 个地市超过平均值,占比 52.38%;供应链安全管理指数的平均值为 48.45,8 个地市超过平均值,占比 38.10%。图3-1 安全管理二级指标指数平均值分析第三章 安全管理指数18与 2021 年相比,全省数字政府网络安全管理工作取得进一步成效,主要表现在:一是一是编制数字政府网络安全战略规划的地市由 18 个增加至 21 个;二是二是编制数字政府网络安全管理办法的地市由 13 个增加至 18 个;三是三是
40、地市政务服务数据管理部门组织开展的安全意识、技能教育和培训的次数由 31 次增加至 57 次;四是四是参加省政务服务数据管理局组织的网络安全意识、管理、技能培训的人次由9767增加至18927,通过考试的人次由 8078 增加至 18631,考试合格率由 82.71%增加至 98.44%;五是五是明确供应商安全职责的市直部门数量占比由 36.17%增加至 57.88%。如图 3-2 所示,全省 21 个地市安全管理指数的平均值为64.23,10 个地市超过平均值。其中,网络安全管理指数处于完善级(完善级(A)的有深圳市,占比为 4.76%;网络安全管理指数处于稳健级(稳健级(B)的有惠州、东莞
41、、广州 3 个地市,占比 14.29%;网络安全管理指数处于受控级(受控级(C)的有肇庆、江门、珠海、汕头、佛山、梅州、中山、汕尾 8 个地市,占比 38.10%;网络安全管理指数处于启动级(启动级(D)的为其余 9个地市,占比 42.86%。第三章 安全管理指数19图3-2 广东省数字政府安全管理指数排名分析发现,深圳深圳等表现良好的地市制定了地区数字政府网络安全总体规划、指引或规范等,统筹开展本地区的网络安全工作。同时,大部分市直部门建立了较为完善的网络安全管理制度,成立了网络安全领导小组,注重提升安全意识,强化人员安全管理,加大了安全投入。表现不太理想的地市网络安全管理工作仍有差距。一是
42、一是顶层设计依旧不完善,仍有 10 个地市未编制网络安全规划的具体实施方案,未印发地市级政务外网网络安全指引;二二是是安全管理责任落实不到位,11 个地市超过 70%的市直部门未成立数据安全领导小组,11 个地市超过 50%的市直部门未制定网络安全工作责任制实施细则,4 个地市近 70%的市直部门没有专职安全管理人员;三是三是人员安全管理依旧不足,13 个地市超过 70%的市直部门未开展人员考核及奖惩工作,18 个地市超过 60%的市直部门未落实与供应商人员签订保密协议,9 个地市超过 60%的市直部门未对供应商人员开展安全教育培训;四是四是供应链安全管理水平较低,仍有 15 个第三章 安全管
43、理指数20地市超过 70%的市直部门未开展供应链网络安全风险评估,9 个地市超过 50%的市直部门未明确供应商安全职责,13 个地市超过 70%的市直部门未开展供应商监控和评价。二、分指数分析(一)安全战略规划安全战略规划指数主要评价网络安全战略方针、战略目标的明确程度和网络安全规划制定及实施情况。2022 年重点关注是否制定网络安全总体规划以及配套的实施方案。如图 3-3 所示,全省 21 个地市安全战略规划指数平均值为 78.29,10 个地市超过平均值。其中,珠海、湛江、肇庆、惠州、梅州、阳江、东莞、潮州、深圳、江门 10 个地市明确了本地区数字政府网络安全的总体目标,编制了网络安全规划
44、文件,部分制定了网络安全规划配套的实施方案,表现良好;揭阳、广州、汕头、韶关、汕尾、河源、中山 7 个地市表现中等;其余地市表现不太理想。图3-3 广东省数字政府安全战略规划指数排名第三章 安全管理指数21各地市良好实践主要表现在:一是深圳、珠海、湛江深圳、珠海、湛江、肇庆肇庆、江门江门、惠州惠州、梅州梅州、阳江阳江、东莞东莞、潮州潮州编制了地市数字政府网络安全规划、行动计划、工作方案等,明确了网络安全总体目标和工作任务。二是珠海、湛江、肇庆、惠州珠海、湛江、肇庆、惠州、梅州梅州、阳江阳江、东莞东莞制定了网络安全规划配套的实施方案,明确了数字政府网络安全各项工作的阶段任务、分工及时间节点等,确
45、保网络安全各项工作有序推进和顺利实施。各地市可参考以下建议开展安全战略规划与实施工作:一是一是根据地区数字政府网络安全现状,明确网络安全战略目标,制定并发布网络安全战略或规划,并为规划实施提供必要的资源保障;二是二是跟踪检查网络安全战略落实情况,对实施情况进行评估,同时对网络安全现状与战略目标进行对比,根据存在的差距对工作任务进行优先级排序,并提供必要的资源和资金保障,推动战略有效落地实施;三是三是进一步梳理地区数字政府建设和网络安全现状,根据数字政府改革建设和网络安全体系建设等方面的需求,定期进行网络安全规划的修订。(二)安全标准规范安全标准规范指数主要评价地区数字政府网络安全指引及标准规范
46、制定情况,部门数字政府网络安全管理制度制定情况。2022年重点关注是否发布地区数字政府网络安全标准规范,以及市直部门是否建立并发布体系化的网络安全管理制度。如图3-4所示,全省21个地市安全标准规范指数的平均值第三章 安全管理指数22为65.77,11个地市超过平均值。其中,深圳、汕头、惠州、珠海、肇庆5个地市发布了地区级数字政府网络安全行业指引或标准规范,并且地市政务服务数据管理部门指导、督促各市直部门建立了较完善的网络安全管理制度,表现良好;中山、东莞、广州、韶关、河源、云浮、江门、茂名、潮州、梅州、湛江11个地市表现中等;其余地市表现不太理想。图3-4 广东省数字政府安全标准规范指数排名
47、各地市良好实践主要表现在:一是深圳深圳参考广东省数字政府网络安全指数指标体系,融合供应链安全、数据安全和涉疫系统安全等,编制了深圳市党政机关网络安全指数指标,为全市各单位提供网络安全建设指导。二是珠海珠海发布了数字政府网络安全防护指南,指导各部门高效精准地开展网络安全工作。各地市可参考以下建议开展标准规范制定工作:一是一是充分落实国家、广东省网络安全相关法律法规、标准规范等,制定地市级网络安全指引或标准规范,完善地区网络安全管理机制;二是二是各部门依照网络安全相关法律法规、标准规范第三章 安全管理指数23要求,结合网络安全管理现状,建立由安全策略、管理规范、操作手册、记录表单等构成的数字政府四
48、级安全管理制度体系;三是三是严格落实各项管理制度要求,依照要求开展网络安全各项工作,同时,通过定期的风险评估、监督检查、安全审计等,检查各项制度实施情况,确保安全工作合规开展。(三)安全管理组织安全管理组织指数主要评价网络安全管理组织的健全性,数据安全负责人和管理机构明确程度,数字政府相关参与方网络安全工作责任的明晰程度,部门内部业务处(科)室与安全管理处(科)室的安全职责分工的明晰程度,网络安全管理人员配备情况,网络安全管理人员职责分工明确程度以及网络安全专家队伍和智库机构的建设情况等方面。2022 年重点关注地区是否明确数字政府相关参与方网络安全工作责任,市直部门是否明确相关部门与人员的安
49、全责任与分工。如图 3-5 所示,全省 21 个地市安全管理组织指数的平均值为 63.52,10 个地市超过平均值。其中,深圳、肇庆、惠州 3 个地市明确了数字政府相关参与方的网络安全工作责任,地区大部分市直部门成立了网络安全领导小组,明确了相关部门以及安全管理人员的职责,表现良好;广州、东莞、茂名、江门、汕头、云浮、河源、佛山、清远 9 个地市表现中等;其余地市表现不太理想。第三章 安全管理指数24图3-5 广东省数字政府安全管理组织指数排名各地市良好实践主要表现在:一是广州、深圳、汕头广州、深圳、汕头、湛江湛江、肇庆肇庆、江门江门、茂名茂名、惠州惠州、梅州梅州、河源河源、东莞东莞、中山中山
50、、潮州潮州均通过印发地市级电子政务外网网络安全相关文件,明确了数字政府相关参与方的网络安全工作职责。二是深圳深圳超过 90%的市直部门成立了网络安全领导小组,拥有专职安全管理人员。三是梅州梅州组建了数字政府网络信息安全专家库,聘任领域专家学者、领军人才等,为信息安全工作提供决策咨询和技术支撑。各地市可参考以下建议开展安全管理组织建设工作:一一是是各地应将数字政府相关参与方的网络安全责任及分工文件化、制度化,确保政务外网、政务大数据中心及政务云相关参与方责任边界清晰;二是二是各部门通过建立网络安全、数据安全领导小组,建立权责明确且内部沟通顺畅的网络安全管理组织,确保网络安全各项工作顺利开展;三是