目前指导政务系统安全建设的主要标准规范及法规要求有:
1)等级保护国家标准GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》 [9] 中对信息系统、云计算系统等的安全保护等级及相关措施提出了明确要求,当前国内所有的政务平台及系统均至少需要满足三级标准的建设要求。
2)国家电子政务外网标准GW 0013—2017《政务云安全要求》中对政务云的安全技术和管理方面提出了具体的要求,该标准可以作为等级保护标准的有力补充,并根据政务云业务场景的独特安全需求给出了更有针对性的措施。
3)政务系统作为国家关键信息基础设施之一,必须满足《关键信息基础设施安全保护条例》 [18] 的相关要求。《关键信息基础设施安全保护条例》已于2021年4月27日国务院第133次常务会议通过,并于2021年7月30日经中华人民共和国国务院令第745号公布,自2021年9月1日起施行。
4)国家网信办等部门在2021年12月发布的新版《网络安全审查办法》,明确提出对关键信息基础设施运营者采购网络产品及服务,影响或可能影响国家安全的,应当进行网络安全审查,同时明确网络安全审查内容涵盖了数据安全。
在各个政府部门单独建设及维护各自政务系统的时候,现有安全建设标准基本能够满足政务平台及系统的安全防护需求,但随着政务信息共享相关业务快速推进,传统基于等级保护为主的政务系统安全防护措施已经无法满足政务信息共享场景下的政务数据安全防护要求。比如在政务数据汇集和共享环节,政务数据在不同的政府部门之间流转,而等级保护标准等只考虑了一个组织内的安全要求,无法指导跨组织的安全保障。因此针对政务信息共享场景推出更有针对性的安全标准及相关要求非常有必要。目前,在全国信息安全标准化技术委员会(简称“信安标委”)及国家信息中心等单位支持下,国家标准GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》 [10] 已于2021年6月1日实施。