GB/Z 24294.1-2018《信息安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》

GB/Z 24294.1-2018《信息安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》基本信息

标准号：GB/Z 24294.1-2018

中文名称：《信息安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》

发布日期：2018-03-15    

实施日期：2018-10-01

发布部门：中华人民共和国国家质量监督检验检疫总局  中国国家标准化管理委员会    

提出单位：全国信息安全标准化技术委员会(SAC/TC 260)    

归口单位：全国信息安全标准化技术委员会(SAC/TC 260)    

起草单位：解放军信息工程大学、中国电子技术标准化研究院、北京天融信科技有限公司、郑州信大捷安信息技术股份有限公司

起草人：陈性元、杜学绘、孙奕、曹利峰、张东巍、任志宇、夏春涛、何骏、景鸿理、上官晓丽    

中国标准分类号：L80数据加密

国际标准分类号：35.040字符集和信息编码

GB/Z 24294.1-2018《信息安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》介绍

中华人民共和国国家质量监督检验检疫总局与中国国家标准化管理委员会联合发布了GB/Z 24294.1-2018《信息安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》（以下简称“本标准”）。

一、适用范围

本标准适用于所有基于互联网的电子政务系统，包括但不限于政府网站、在线服务平台、电子数据交换系统等。

二、安全策略

1、基本原则

本标准强调了电子政务信息安全的基本原则，包括合法性、完整性、可用性、保密性和真实性。这些原则要求电子政务系统在设计和实施过程中，必须确保信息的合法使用、防止信息被非法篡改、保障信息的持续可用、保护信息不被未授权访问和确保信息的真实性。

2、风险评估

本标准要求电子政务系统在实施前进行风险评估，识别可能面临的安全威胁和漏洞，并据此制定相应的安全策略和措施。风险评估应包括资产识别、威胁分析、脆弱性分析和风险评价等步骤。

三、安全管理

1、组织结构

本标准规定了电子政务信息安全管理的组织结构，包括设立专门的信息安全管理机构、明确各级管理人员的职责和权限等。这有助于确保电子政务信息安全管理工作的有序进行。

2、人员培训

本标准强调了人员在电子政务信息安全管理中的重要性，要求对相关人员进行定期的安全培训和考核，提高他们的安全意识和技能。

3、安全审计

本标准要求定期进行安全审计，评估电子政务系统的安全性能和风险控制措施的有效性，及时发现并纠正安全问题。

四、技术措施

1、物理安全

本标准规定了电子政务系统在物理层面的安全措施，包括数据中心的物理防护、设备的安全存储和使用等。

2、网络安全

本标准要求电子政务系统采取有效的网络安全措施，如防火墙、入侵检测系统、安全协议等，以防止网络攻击和数据泄露。

3、应用安全

本标准强调了电子政务系统在应用层面的安全，包括软件的安全开发、数据的安全存储和传输、用户身份的验证和授权等。

4、数据安全

本标准规定了电子政务系统在数据层面的安全措施，包括数据的分类、加密、备份和恢复等，以保护数据的完整性和保密性。

GB/Z 24294.1-2018《信息安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则》为电子政务信息安全提供了全面的指导和规范。通过遵循本标准，电子政务系统可以有效地提高信息安全水平，保障政府信息资源的安全和可靠。