全国首个规范数字化项目网络安全审查工作的地市级标准发布！审查细则涉6个密码必须项要求

　　2024年6月3日，南昌市市场监督管理局批准发布《数字化项目网络安全审查规范》（DB3601/11—2024，以下简称：《审查规范》）。该规范是国内规范数字化项目网络安全审查工作的首个地市级标准，将于2024年9月1日正式实施。

点击查看

　　审查主要内容

　　《审查规范》从6个方向设置9条审查指标26个审查内容。将数字化项目（非涉密）规划设计阶段的网络安全工作要求进行全面总结，在内容点上主要涵盖安全规划设计、等级保护定级、安全需求分析、安全防护设计、数据安全设计、预算和产品选型、安全管理制度、国产化要求和供应链安全，从多角度、多维度保障数字化项目在设计阶段的安全“健康”。在指标必要性上按照要求的重要程度分为必须项和建议项，保证了审查过程中的可操作性。在流程上按照建设单位自查、网信部门初审、安全专家审查逐条对照审查内容严格审查，最终形成审查结论函复建设单位，进一步提高了审查流程的规范性。

　　审查细则涉6个密码必须项要求

　　《审查规范》中列明了审查细则，涉6个密码必须项要求：

　　必须项一：在审查方向4“安全防护设计”中的“通信网络安全”方面，应采用密码技术保证通信过程中数据完整性和保密性。

　　必须项二、三、四：在审查方向4“安全防护设计”中单独设置“密码应用安全”，包括以下3个密码必须项要求。

　　· 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护。（等级保护定级为三级及以上要求）。

　　· 根据商用密码应用需求，制定商用密码应用方案，规划商用密码安全保障。（等级保护定级为三级及以上要求）。

　　· 自行或者委托商用密码检测机构开展商用密码应用安全性评估。（等级保护定级为三级及以上要求）。

　　必须项五、六：在审查方向6、7“预算和产品选型”中规定2个密码必须项要求。

　　· 项目设计方案中选用的密码产品应提出采购要求，要求后期采购的密码产品需具备国家密码管理局颁发的密码证书。

　　· 新建设项目（系统）的网络安全（含软硬件安全设备、安全运维、安全维保、渗透测试、风险评估、等级保护测评、商用密码应用安全性评估等）预算不低于项目总预算的5%。