DB44∕T 2679-2025 数字政府网络安全指数指标体系

ICS35.240.99

CCSL69

44

广东省地方标准

DB44/T2679—2025

数字政府网络安全指数指标体系

Indicatorsystemofdigitalgovernmentcybersecurityindex

2025-06-11发布2025-09-11实施

广东省市场监督管理局发布

DB44/T2679—2025

目次

前言.................................................................................II

引言................................................................................III

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................1

5指标体系框架.......................................................................2

6指标要求...........................................................................2

参考文献..............................................................................7

I

DB44/T2679—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由广东省政务服务和数据管理局提出并组织实施。

本文件由广东省数字政府标准化技术委员会（GD/TC140）归口。

本文件起草单位：广东省政务服务和数据管理局、工业和信息化部电子第五研究所、公安部第三研

究所、国家计算机网络应急技术处理协调中心广东分中心、西安电子科技大学、暨南大学、广州大学、

广东省标准化研究院、广州赛宝认证中心服务有限公司、深信服科技股份有限公司、深圳市腾讯计算机

系统有限公司、华为技术有限公司、奇安信科技集团股份有限公司、数字广东网络建设有限公司、安天

科技集团股份有限公司、北京永信至诚科技股份有限公司、北京安华金和科技有限公司、北京微步在线

科技有限公司、广州竞远安全技术股份有限公司。

本文件主要起草人：熊雄、魏文涛、高尚省、罗奇伟、郭勇、董伟敏、李尧、翁健、田志宏、肖新

光、张报明、高智伟、刘丕群、张浏骅、杨凯、陈伟洪、钟世敏、吴海建、曾磊、刘启超、汤志明、张

展、贺高戈、赖骞、林晓明、李炜、王威、卢江泽、廖结莹、吴寒、张涛、赵瑞、王鹏群、李树群。

II

DB44/T2679—2025

引言

本文件依据国家对数字政府网络安全保障工作的相关要求，结合广东数字政府改革建设实际需求，

分别从安全管理、安全技术、安全运营、安全效果四个维度，建立数字政府网络安全指数指标体系，指

引、推动各地各部门加强数字政府网络安全防护体系建设，提升全省数字政府网络安全整体保障水平。

III

DB44/T2679—2025

数字政府网络安全指数指标体系

1范围

本文件规定了数字政府网络安全指数指标基本要求，用于指导广东省政务部门网络安全保障体系

建设。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T36637—2018信息安全技术ICT供应链安全风险管理指南

GB/T38645—2020信息安全技术网络安全事件应急演练指南

GB/T43698—2024网络安全技术软件供应链安全要求

3术语和定义

GB/T43698—2024界定的以及下列术语和定义适用于本文件。

政务部门governmentdepartment

指参与广东数字政府改革建设的相关部门。

网络安全基础库cybersecuritydatabase

网络安全基础信息数据及实现其输入、编辑、查询、统计、分析、输出、更新等管理、维护功能的

软件和支撑环境的总称。其中，网络安全基础信息数据至少应包括终端、主机、基础网络、云平台、信

息系统（含网站、移动APP等）、数据、API服务等资产的基本情况、关联关系及安全合规管理情况。

单位接入网departmentaccessnetwork

政务外网接入单位自行建设和管理的内部局域网络或业务专网，与政务外网安全对接。

软件物料清单softwarebillofmaterials

描述软件产品的组成成分、内外部依赖关系、来源信息以及潜在的安全风险信息的清单。

4缩略语

下列缩略语适用于本文件。

API：应用编程接口（ApplicationProgrammingInterface）

APP：移动互联网应用程序（MobileInternetApplication）

DDoS：分布式拒绝服务攻击（DistributedDenial-of-ServiceAttack）

1

DB44/T2679—2025

ICT：信息与通信技术（InformationandCommunicationTechnology）

5指标体系框架

数字政府网络安全指数指标体系包括一级指标和二级指标。一级指标基于数字政府网络安全框架

体系进行设计，二级指标按照业务要素维度对一级指标进行分解。一级指标包括安全管理指标、安全技

术指标、安全运营指标、安全效果指标。其中，安全管理指标包含战略规划、管理制度、管理组织、人

员管理、供应链管理等安全管理能力方面的二级指标；安全技术指标包括终端安全、网络安全、云平台

安全、应用安全、数据安全、安全平台等安全技术能力方面的二级指标；安全运营指标包含运行维护、

监测预警、应急响应等安全措施运行能力方面的二级指标；安全效果指标包含检查评估、安全合规、负

面影响、创新成果等安全保障效果方面的二级指标。

数字政府网络安全指数指标体系框架如下图所示。

图1数字政府网络安全指数指标体系框架

6指标要求

安全管理指标

6.1.1战略规划

战略规划指标关注地区和部门网络安全工作规划制定情况。指标基本要求包括：

a)地区应制定网络安全中长期（三年及以上）建设规划，明确总体目标、整体架构、管理机制、

运营机制、重点工作等内容，制定配套的实施方案，定期跟踪检查规划落实情况；

b)地区应制定网络安全年度工作计划，明确工作要点、目标及分工安排，推动网络安全中长期建

设规划有序落实；

c)部门应将网络安全工作纳入年度工作计划。

2

DB44/T2679—2025

6.1.2管理制度

管理制度指标关注地区和部门网络安全管理制度、政策文件制定情况。指标基本要求包括：

a)地区应按照国家、省网络安全相关法律法规、政策文件要求，制定配套的管理办法、实施细则、

指引指南，并结合实际持续修订优化；

b)部门应制定部门内部风险管理、漏洞管理、人员安全、应急处置、供应链安全等网络安全制度。

6.1.3管理组织

管理组织指标关注地区和部门负责网络安全相关工作的机构建设情况及其人员配备情况。指标基

本要求包括：

a)地区应明确网络安全工作职责分工，建立网络安全工作协调机制和指挥调度机制；

b)地区宜组建网络安全专家队伍、智库机构，充分发挥专家智库决策参谋和智力支撑作用；

c)部门应成立网络安全工作（含数据安全及个人信息保护工作）领导小组，并定期组织召开领导

小组会议，研究解决网络安全工作中存在的重大问题；

d)部门应明确网络安全工作统筹科（处）室及其职责，指定网络安全联络人员；

e)部门应明确各信息系统的网络安全责任人，确保部门在编人员专人负责操作系统、数据库、机

房等最高管理员权限。

6.1.4人员管理

人员管理指标关注地区和部门内部人员的培训教育、权限管理等情况。指标基本要求包括：

a)地区和部门应积极参加主管（监管）部门组织的网络安全意识、安全技能培训教育，定期组织

开展本地区本部门网络安全意识、技能培训教育；

b)部门应建立严格的信息系统账号管理和授权访问机制，及时停用离职、离岗人员账号和权限。

6.1.5供应链管理

供应链管理指标关注部门对供应商、采购的产品或服务的安全管理情况。指标基本要求包括：

a)部门应按照《信息安全技术ICT供应链安全风险管理指南》（GB/T36637—2018）要求开展

ICT供应链安全风险评估，形成风险清单并制定处置计划；

b)部门应建立ICT供应链中断风险防范应对机制，采用安全可靠软硬件产品，做好源代码、配置

文件、技术文档、操作说明等重要材料归档管理工作；

c)部门应通过软件物料清单识别应用系统的软件组件组成情况，记录软件组件的供应商、版本、

依赖关系等信息，识别潜在安全漏洞；

d)部门应在采购合同（合作协议）中明确供应商安全责任条款，定期开展供应商安全绩效评估；

e)部门应开展供应商项目服务人员（包括能接触到核心代码、生产数据，拥有管理权限等的人员）

安全背景审查、安全培训教育，并与其签订保密协议。

安全技术指标

6.2.1终端安全

终端安全指标关注接入地区政务外网的终端安全防护能力建设情况。指标基本要求包括：

a)部门计算机终端应具备安全防护能力，包括恶意代码防护、网络攻击防护、补丁管理、安全沙

箱等；

b)部门智能终端应具备安全防护能力，包括恶意代码防护、安全沙箱等；

c)部门物联终端应具备安全防护能力，包括访问控制、固件更新等。

3

DB44/T2679—2025

6.2.2网络安全

网络安全指标关注地区政务外网的安全防护能力建设情况。指标基本要求包括：

a)地区政务外网应具备广域网安全防护能力，包括访问控制、流量监测等；

b)地区政务外网应具备城域网安全防护能力，包括准入认证、访问控制、流量监测等；

c)地区政务外网应具备互联网出入口安全防护能力，包括访问控制、入侵防御、抗流量型DDoS

攻击、流量监测、恶意代码防护等；

d)地区政务外网应具备运维专区安全防护能力，包括安全隔离、准入认证、访问控制、入侵防御、

传输加密、漏洞扫描、运维审计等。

6.2.3云平台安全

云平台安全指标关注地区政务云平台的安全保护能力建设情况。指标基本要求包括：

a)地区政务云应划分政务外网区、互联网区、运维管理区等区域，部署各区域之间安全隔离和访

问控制措施，具备分区安全管理能力；

b)地区政务云应具备边界安全防护能力，包括访问控制、入侵防御、恶意代码防护、高级持续性

威胁防护等；

c)地区政务云应具备云内部安全防护能力，包括租户隔离、访问控制、流量监测、安全服务链等；

d)地区政务云应具备主机安全防护能力，包括入侵检测、漏洞扫描、弱口令发现、基线检查、恶

意代码防护等；

e)地区政务云平台应具备运维环境安全管控能力，包括准入认证、访问控制、传输加密、特权账

号管理、漏洞扫描、运维审计等；

f)地区政务云管理平台应具备安全防护能力，包括准入认证、访问控制、权限分离、日志采集分

析等。

6.2.4应用安全

应用安全指标关注政务信息系统的安全能力建设情况。指标基本要求包括：

a)部门信息系统应选用安全可控的开发环境和工具，开发测试环境与生产环境应进行分离；

b)部门信息系统应对软件物料清单的软件组件进行安全性测试，防止带有已知安全漏洞和隐蔽

后门的组件进入供应链；

c)部门信息系统应开展代码审查，并通过混淆、加密等技术保护核心代码；

d)部门信息系统应具备操作权限管控功能，支持对用户权限进行最小化配置；

e)部门信息系统应具备完备的日志功能，能够及时识别异常操作。

6.2.5数据安全

数据安全指标关注数据保护能力建设情况。指标基本要求包括：

a)部门信息系统应强化数据采集安全技术应用，包括数据源鉴别、数据分类分级等；

b)部门信息系统应强化数据存储安全技术应用，包括存储加密、访问控制、数据泄露监测、数据

备份及恢复等；

c)部门信息系统应强化数据传输安全技术应用，包括身份鉴别、传输加密、完整性校验等；

d)部门信息系统应强化数据处理安全技术应用，包括身份鉴别、访问控制、数据脱敏、数据泄漏

监测、日志采集分析等；

e)部门信息系统应强化数据销毁安全技术应用，包括数据擦除、物理销毁等。

6.2.6安全平台

4

DB44/T2679—2025

安全平台指标关注地区网络安全公共支撑能力集约化建设情况。指标基本要求包括：

a)地区应集约建设政务外网终端安全管控能力，包括基线检查、准入认证、网络隔离、终端隔离、

违规外联管控等；

b)地区应集约建设信息系统网络安全防护能力，包括web应用防护、API风险监测、抗DDoS攻

击、漏洞扫描等；

c)地区应集约建设信息系统内容安全管控能力，包括敏感内容检测、篡改监测等；

d)地区应集约建设商用密码应用支撑能力，包括密钥管理、加解密、签名验签、时间戳等；

e)地区应集约建设日志采集分析能力，包括日志采集、存储、分析、可视化、审计、告警等；

f)地区应集约建设网络安全基础库，内容涵盖终端、主机、基础网络、云平台、信息系统（含网

站、移动APP等）、数据、API服务等要素的基本情况、关联关系及安全合规管理情况，并结

合业务和重要性对资产进行分类分级；

g)地区应集约建设网络安全态势感知能力，并实现跨层级业务对接，包括威胁检测、威胁预警、

事件通报、响应处置等。

安全运营指标

6.3.1运行维护

运行维护指标关注地区和部门网络安全运行维护工作开展情况。指标基本要求包括：

a)地区应建立网络安全基础库运行机制，确保基础库信息资产信息完整性和准确性；

b)地区应明确网络安全运行维护工作流程和要求，包括资产安全管理、安全基线管理、安全策略

管理、配置管理等；

c)地区和部门应加强网络安全设备及平台运行状态监测，及时更新软件、特征库、漏洞库，确保

设备及平台运行状态良好，重要网络安全设备应做好冗余配置；

d)地区和部门应定期通过风险评估、漏洞扫描、渗透测试、攻防对抗等方式，发现信息系统网络

安全脆弱性，检验安全防护措施有效性；

e)地区和部门应加强漏洞闭环管理工作，包括漏洞发现和评估、漏洞报告和跟踪、漏洞处置和验

证等；

f)部门宜对网络安全等级保护三级及以上信息系统开展网络安全审计，审计内容包括物理安全、

主机安全、网络安全、应用安全、数据安全、人员安全等。

6.3.2监测预警

监测预警指标关注地区网络安全监测、情报分析研判等工作开展情况。指标基本要求包括：

a)地区应建立终端、政务外网、政务云、信息系统7×24小时网络安全监测机制，常态化开展信

息系统暴露面监测、网站内容安全监测；

b)地区应加强网络安全信息通报预警能力建设，及时收集、汇总、分析各方网络安全情报，开展

网络安全威胁分析和态势研判，及时通报预警；

c)地区宜利用人工智能辅助安全运营、安全分析研判，加强威胁分析、攻击检测、决策指挥等能

力建设。

6.3.3应急响应

应急响应指标关注地区和部门网络安全应急演练、事件处置等工作开展情况。指标基本要求包括：

a)地区和部门应制定终端、政务外网、政务云、信息系统网络安全事件应急预案，明确事件定级、

职责分工、监测预警、应急处置、总结评估、保障措施等相关要求；

5

DB44/T2679—2025

b)地区和部门应按照《信息安全技术网络安全事件应急演练指南》（GB/T38645—2020）要求，

通过桌面推演、模拟演练、实战演练等方式开展网络安全应急演练；

c)地区应建立网络安全事件应急处置技术支撑队伍，做好网络安全事件应急处置设备、工具等资

源的储备；

d)地区和部门应开展重大节假日、重要活动时期网络安全保障工作；

e)地区和部门应及时全面向主管（监管）部门报告本地区（本部门）网络安全事件发现及处置情

况。

安全效果指标

6.4.1检查评估

检查评估指标关注地区和部门网络安全能力评价、安全检查等相关活动的情况。本项指标重点关注：

a)地区和部门在省级主管（监管）部门组织的网络安全能力评估工作中的表现；

b)地区和部门在省级主管（监管）部门组织的网络安全检查工作中的表现，以及问题整改的及时

性和有效性；

c)地区和部门落实国家或省部署的网络安全专项工作的情况。

6.4.2安全合规

安全合规管理指标关注地区和部门落实网络安全相关法律法规要求的情况。本项指标重点关注：

a)地区和部门信息系统完成网络安全等级保护定级、备案的比例，信息系统按要求通过等级保护

测评的比例，政务外网、政务云、门户网站、邮件系统等重要信息系统及自建互联网出口的单

位接入网通过网络安全等级保护三级测评的比例；

b)地区和部门面向社会服务的信息系统、关键信息基础设施、网络安全等级保护三级及以上信息

系统通过密码应用安全性评估的比例；

c)地区使用的政务云服务通过云计算服务安全评估的情况；

d)部门按要求识别、申报重要数据的情况；按要求开展数据安全风险评估的情况；向境外提供数

据前按要求申报数据出境安全评估的情况。

6.4.3负面影响

负面影响指标关注地区和部门因网络安全事件产生不良影响的情况。本项指标重点关注：

a)地区和部门因网络安全事件导致重要电子政务服务中断，影响公众工作、生活，造成重大经济

损失，或者造成严重不良社会影响的情况；

b)地区和部门发生大量个人信息或者政务数据泄露的情况；

c)地区和部门因党政机关门户网站、电子政务服务系统被攻击篡改，导致违法有害信息大面积扩

散的情况；

d)地区和部门因网络安全事件受到上级主管（监管）部门通报的情况。

6.4.4创新成果

创新成果指标关注地区和部门在网络安全试点示范、标准制定、零日漏洞发现等工作中的表现。本

项指标重点关注：

a)地区和部门获得国家、省网络安全相关试点示范项目的情况；

b)地区和部门参与制定国家、行业、地方等网络安全标准的情况；

c)地区和部门发现并及时向主管（监管）部门报告零日安全漏洞的情况。

6

DB44/T2679—2025

参考文献

[1]GB/T20986—2023信息安全技术网络安全事件分类分级指南

[2]GB/T22239—2019信息安全技术网络安全等级保护基本要求

[3]GB/T25069—2022信息安全技术术语

[4]GB/T25647—2010电子政务术语

[5]GB/T28448—2019信息安全技术网络安全等级保护测评要求

[6]GB/T29246—2023信息安全技术信息安全管理体系概述和词汇

[7]GB/T31495—2015信息安全技术信息安全保障指标体系及评价方法（所有部分）

[8]GB/T35274—2023数据安全技术大数据服务安全能力要求

[9]GB/T37988—2019信息安全技术数据安全能力成熟度模型

[10]GB/T39786—2021信息安全技术信息系统密码应用基本要求

[11]中华人民共和国网络安全法（中华人民共和国主席令第53号）

[12]中华人民共和国数据安全法（中华人民共和国主席令第84号）

[13]中华人民共和国个人信息保护法（中华人民共和国主席令第91号）

[14]《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令第147号）

7

DB44/T2679—2025