DB43/T 2313-2025 政务信息化项目网络安全审查规范

　　ICS 13.200 CCS A 90

　　DB43

　　湖 南 省 地 方 标 准

　　DB43/T 2313—2025代替DB43/rT2313—2022

　　政务信息化项目网络安全审查规范

　　2025 - 12 - 15 发布 2026 - 03 - 15 实施

　　湖南省市场监督管理局 发 布

　　DB43/T 2313 2025

　　目 次

　　I

　　前 言

　　本文件按照GB/T 1. 1 2020 《标准化工作导则 第1部分: 标准化文件的结构和起草规则》 的规定起草。

　　请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别专利的责任。

　　本文件代替DB43/T2313 2022 《政务信息化项目网络安全审查规范》, 与DB43/T 2313 2022相比,主要变化如下:

　　规范性引用文件和具体要求新增了近年来新发布的主要技术标准 (见第2章、 6. 2, 2022版的第2章、 7. 2);

　　删除了部分术语的定义 (见3. 1, 2022版的3. 1);

　　修改并新增了部分术语的定义 (见3. 2、 3. 3、 3. 4、 3. 5、 3.6、 3. 7、 3. 8、 3. 10 、3. 11 、3. 12 , 2022版3. 3、 3. 4、 3. 5、 3. 6、 3. 7、 3. 8、 3. 10);

　　删除了审查方式章节 (见2022版的第4章);

　　删除了5. 1.2 5. 1. 4方案编制内容的要求条款,新增了附录A网络安全设计方案模板进行了替代

　　(见4. 1、附录A , 2022版的5. 1);

　　专业审查新增了可委托网络安全专业机构进行评审 (见5. 3, 2022版的6. 3);

　　删除了审查方式的要求 (见2022版的6. 3.3);

　　修改了系统承载数据类型和数据出境相关描述 (见6. 1. 1. 5 、6. 1. 1. 6, 见2022版的7. 1. 1.5); 新增了APP开发运营项目类型判定条款 (见6. 1. 1. 7);

　　删除了商用密码应用相关的审查内容, 包括产品采购要求、项目经费预算和具体审查内容 (见

　　6. 1.3 、 6. 1. 4 6. 2, 2022版的7. 1.3 、 7. 1. 4 、 7. 2);

　　项目预算增加了个人信息保护合规审计费用预算 (见6. 1. 4);

　　附录表B.2至表B.5进行了合并,并新增了个人信息安全保护措施、关键信息基础设施安全保护措施、 多域IPV6单栈网络总体技术要求、 人工智能生成合成内容标识等自查内容 (见附录C , 2022版的附录B);

　　删除了附录C审查结果的判别 (见2022版的附录C)。

　　本文件由湖南省网络安全标准化技术委员会提出并归口。

　　本文件起草单位: 中共湖南省委网络安全和信息化委员会办公室、 中共长沙市委网络安全和信息化委员会办公室、 中共娄底市委网络安全和信息化委员会办公室、 国家计算机网络应急技术处理协调中心湖南分中心、 湖南省金盾信息安全等级保护评估中心有限公司。

　　本文件主要起草人: 刘学、 郭天保、 李浩、周海毅、 刘艳军、 张钰、 王春华、 方木、 查国峰、 李雪飞、王卫光、 刘尚群、 易伟、 肖名山、 康金钟、 胡国良、 肖刚、 张勇、 邓庭波、罗晓燕、 王丰、 熊璐、彭晓涛、 龚捷、杨新宇。

　　本标准所代替标准的历次版本发布情况为:

　　DB43/T 2313 2022 。

　　政务信息化项目网络安全审查规范

　　1 范围

　　本文件规定了政务信息化项目 网络安全审查的审查前合规性自查、 审查流程、 审查内容、审查结果等要求。

　　本文件适用于政务信息化项目 的项目规划、 立项、设计、 建设、 验收、 运行阶段的网络安全审查,其他信息化项目 网络安全审查可参照执行。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件; 不注日期的引用文件, 其最新版本 (包括所有的修改单)适用于本文件。

　　GB/T 22239 信息安全技术 网络安全等级保护基本要求

　　GB/T 22240 信息安全技术 网络安全等级保护定级指南

　　GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求

　　GB/T 35273 信息安全技术 个人信息安全规范

　　GB/T 37964 信息安全技术 个人信息去标识化指南

　　GB/T 37988 信息安全技术 数据安全能力成熟度模型

　　GB/T 39204 信息安全技术 关键信息基础设施安全保护要求

　　GB/T 39477 信息安全技术 政务信息共享 数据安全技术要求

　　GB/T 40692 政务信息系统定义和范围

　　GB/T 41391 信息安全技术 移动互联网应用程序 (APP) 收集个人信息基本要求

　　GB/T 41479 信息安全技术 网络数据处理安全要求

　　GB/T 41819 信息安全技术 人脸识别数据安全要求

　　GB/T 43435 信息安全技术 移动互联网应用程序 (APP) 软件开发工具包 (SDK) 安全要求GB/T 43697 数据安全技术 数据分类分级规则

　　GB/T 44598 多域IPV6单栈网络总体技术要求

　　GB/T 45396 数据安全技术 政务数据处理安全要求

　　GB 45438 网络安全技术 人工智能生成合成内容标识方法

　　DB43/T 2845 重要信息系统具体范围和识别规则

　　DA/T 28 建设项目档案管理规范

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　政务信息化项目 government affairs information ize projects

　　由财政性资金投资建设、与社会企业联合建设、购买服务或需要财政性资金运行维护的信息化项目(含新建、 扩建和改造升级信息化项目 )。

　　3. 2

　　项目设计文件 project design documents

　　在信息化项目建设过程中编制的前置审查方案、 可行性研究报告、 初步设计方案、 投资概算、深化设计方案等。

　　3. 3

　　网络安全设计方案 network security design scheme

　　项目设计文件中针对网络安全设计的子方案,包含网络安全等级保护建设方案、数据安全保护建设方案、 个人信息保护建设方案、 IPV6建设方案、 网络安全管理方案等。

　　3.4

　　关键信息基础设施 critical information infrastructure

　　公共通信和信息服务、 能源、 交通、 水利、 金融、 公共服务、 电子政务、 国防科技工业等重要行业和领域, 以及其他一旦遭到破坏、 丧失功能或者数据泄露, 可能严重危害国家安全、 国计民生、 公共利益的重要网络设施、 信息系统等。

　　[来源: GB/T 39204 2022 , 3. 11 3. 5

　　重要信息系统 important information system

　　公共通信和信息服务、 电子政务、 市政、 金融、 能源、 交通、 水利、 医疗卫生、 教育、 广电、 工业生产、 互联网等重要行业和领域中,满足承载重要数据、承载重要业务、 承载一定量级个人信息、等级保护级别三级及以上条件之一, 且未列入关键信息基础设施的信息系统。

　　[来源 DB43/T 2845 2023 , 3. 7] 3. 6

　　重要数据 key data

　　特定领域、 特定群体、 特定区域或达到一定精度和规模的, 一旦被泄露或篡改、 损毁, 可能直接危害国家安全、 经济运行、 社会稳定、 公共健康和安全的数据。

　　注: 仅影响组织自身或公民个体的数据一般不作为重要数据。

　　[来源 GB/T 43697 2024 , 3. 2] 3. 7

　　核心数据 core data

　　对领域、 群体、 区域具有较高覆盖度或达到较高精度、 较大规模、 一定深度的, 一旦被非法使用或共享, 可能直接影响政治安全的重要数据。

　　注: 核心数据主要包括关系国家安全重点领域的数据, 关系国民经济命脉、 重要民生、 重大公共利益的数据, 经国家有关部门评估确定的其他数据。

　　[来源: GB/T 43697 2024 , 3. 3] 3. 8

　　网络安全投入 network security investment

　　项目建设及运行过程中投入的安全咨询服务、 安全运维服务、 安全技术服务、 安全集成服务、等保测评服务、 安全评估服务、 安全软硬件产品、 教育培训等相关费用。

　　建设单位 constructing units

　　对项目实施进行组织管理, 并在项目建设过程中负总责的组织。 [来源 DA/T 28 2018 , 3. 4]

　　2

　　3. 10

　　网络安全专业机构 network security professional organizations

　　指具备独立法人资格, 拥有固定团队, 持有国家网络安全主管部门认可的网络安全设计、评估、 测评或服务资质 (如网络安全等级保护测评资质、 网络安全设计与集成服务资质), 能依据国家网络安全法律法规、 国家标准及行业规范开展政务信息化项目网络安全方案审查的机构。

　　3. 1 1

　　审查部门 review department

　　负责组织网络安全审查工作的各级网信部门。

　　3. 12

　　移动互联网应用程序 mobile internet application

　　运行在移动智能终端上的应用程序。

　　注: 包括移动智能终端预置、 下载安装的应用程序和小程序、 快应用等, 简称APP 。

　　[来源 GB/T 41391 2022 , 3. 1, 有修改]

　　4 审查前合规性自查

　　3

　　5. 4 出具审查结果

　　审查部门依据专家组意见或网络安全专业机构审查意见进行综合判定, 出具审查结果。

　　6 审查内容

　　6. 1 基本要求

　　6. 1. 1 项目类型和网络安全等级保护级别判定

　　6. 1. 1. 1 应依据B. 2准确判定项目类型及涉及的内容。

　　6. 1. 1. 2 应准确判定系统是否为关键信息基础设施。

　　6. 1. 1. 3 应依据GB/T 22240及行业有关规定准确判定系统网络安全等级保护级别。

　　6. 1. 1. 4 应依据DB43/T 2845准确判定系统是否为重要信息系统。

　　6. 1. 1.5 应准确判定系统是否采用云计算、 大数据、移动互联、物联网、 工业控制、 人工智能等新技术。

　　6. 1. 1.6 应依据GB/T 43697准确判定系统中是否承载核心数据、 重要数据、 个人信息。

　　6. 1. 1. 7 应判定系统是否涉及数据出境, 是否涉及需要与境外接收方订立个人信息出境标准合同或通过个人信息保护认证的情形, 是否涉及符合申报数据出境安全评估的情况。

　　6. 1. 1.8 应准确判定系统是否涉及APP开发运营。

　　6. 1.2 安全技术标准及安全管理体系

　　6. 1.2. 1 应依据项目类型和系统的安全保护等级, 选择适宜的、 最新的安全建设参考标准。

　　6. 1.2. 2 应规划建设完善的安全管理体系, 包括但不限于安全管理制度、 安全管理机构、 安全管理人员、 安全建设管理及安全运维管理内容。

　　6. 1. 3 产品与服务采购

　　6. 1. 3. 1 采购网络关键设备和网络安全专用产品 目录中的设备产品时, 应采购通过国家检测认证的设备和产品。

　　6. 1.3. 2 网络安全服务的采购应符合国家的有关规定。

　　6. 1. 4 项目网络安全投入经费预 (概) 算

　　6. 1. 4. 1 建设单位应依据系统建设规模、 系统安全需求、系统数量合理制定安全建设、 网络安全检测、网络安全等级保护测评等费用预 (概) 算。

　　6. 1.4. 2 建设单位根据项目情况列支以下预 (概) 算, 具体如下:

　　a) 涉及核心数据和重要数据处理的系统应制定重要数据安全风险评估费用预 (概) 算;

　　b) 重要信息系统宜制定系统上线安全检测和安全措施有效性验证费用预 (概) 算;

　　C) 涉及个人信息处理的系统宜制定个人信息保护影响评估费用预 (概) 算;

　　d) 符合申报数据出境安全评估情形的系统宜制定数据出境安全评估费用预 (概) 算;

　　e ) 涉及APP开发运营的系统宜制定APP安全检测费用预 (概) 算。

　　6. 1. 4.3 系统运行阶段宜合理制定以下费用预 (概) 算:

　　a) 依据系统规模制定数据分类分级、风险评估、 安全加固、 网络安全培训、应急演练、 安全运维、安全治理以及新技术新业务等系统保障费用预 (概) 算;

　　b) 处理超过1000万人个人信息的个人信息处理者, 宜制定个人信息保护合规审计费用预 (概) 算。

　　6. 1. 4. 4 网络安全投入应按照国家相关法规标准执行,网络安全投入占信息化投入比例不宜低于10%。

　　6. 2 具体要求

　　6. 2. 1 关键信息基础设施应符合GB/T 39204以及国家规定的相关要求。

　　6. 2.2 网络安全技术措施应符合GB/T 22239 、GB/T 25070以及国家规定的相关要求。

　　6. 2.3 数据安全保护措施应符合GB/T 37988 、GB/T 39477 、GB/T 41479 、GB/T 41819 、GB/T 43697以及国家规定的相关要求。

　　6. 2. 4 政务数据处理安全保护措施应符合GB/T 45396以及国家规定的相关要求。

　　6. 2.5 个人信息安全保护措施应符合GB/T 35273 、GB/T 37964 、GB/T 41391以及国家规定的相关要求。 6. 2.6 人脸识别数据安全保护措施应符合GB/T 41819以及国家规定的相关要求。

　　6. 2. 7 APP安全措施应符合GB/T 43435以及国家规定的相关要求。

　　6. 2.8 IPV6安全措施应符合GB/T 44598以及国家规定的相关要求。

　　6. 2.9 生成合成服务提供者和内容传播服务提供者开展人工智能生成合成内容标识活动应符合GB 45438以及国家规定的相关要求。

　　6. 2. 10 新技术领域网络安全技术措施应符合国家规定的相关要求。

　　7 审查结果

　　审查结果分 "通过"、 "暂缓通过"和 "不通过" 三种情况:

　　审查结果为 "通过" 时, 项目可按网络安全设计方案进行建设。

　　审查结果为 "暂缓通过" 时, 项目建设方参考审查意见修改网络安全设计方案, 复审通过后可按网络安全设计方案进行建设。

　　审查结果为 "不通过" 时, 项目建设方应组织重新修改安全审查材料, 再次进行专业审查。

　　附 录 A

　　(资料性)

　　网络安全设计方案模板

　　A. 1 项目概况

　　A. 1. 1 项目网络安全组织架构

　　阐述建设单位网络安全组织架构, 系统的网络安全责任单位等。

　　A. 1. 2 项目类型及系统类型

　　阐述项目类型及系统类型, 应明确是新建项目还是改造项目、扩建项目 ,建设系统是否属于关键信息基础设施、 重要信息系统, 系统的网络安全等级保护级别。

　　阐述系统是否采用云计算、 大数据、 移动互联、 物联网、 工业控制、 人工智能等新技术。

　　阐述系统中是否承载核心数据、 重要数据、 个人信息。

　　阐述系统是否涉及数据跨组织流动, 是否涉及核心数据和重要数据、 个人信息出境情况等。

　　阐述系统是否涉及APP开发运营等。

　　A. 1. 3 业务和资产情况

　　阐述系统业务和资产情况, 应包含但不限于系统覆盖主要业务情况介绍, 明确软硬件资产情况及来源 (如软硬件资产均自建/硬件资产由政务云/托管方提供, 软件资产自建)、 建成后数据资产情况等。

　　A. 1. 4 网络安全建设目标

　　阐述项目建设拟解决的关键问题与实现的总体目标,若项目分阶段实施,应先描述项目需要解决的关键问题与总体目标, 再分阶段描述各阶段的建设目标。

　　A. 1.5 网络安全建设内容

　　阐述项目建设的内容, 建设内容的描述应包含但不限于明确网络安全建设内容 (网络安全等级保护安全建设、 数据保护安全建设、 个人信息保护安全建设和IPV6建设等)、 安全设备或技术服务来源 ( 自采/购买相应服务/政务云提供/其他方式)等。

　　A. 2 参考依据

　　A. 2. 1 法律法规

　　阐述安全建设参考的依据, 应包含但不限于网络安全方面的相关法律、行政法规、地方性法规、 政策文件等文件名称。

　　A. 2.2 技术标准

　　阐述安全建设参考的依据, 应包含但不限于网络安全方面的相关国家标准、 行业标准、 地方标准、团体标准、 企业标准和其他标准规范等文件名称。

　　A. 3 项目建设现状

　　A. 3. 1 系统基本情况

　　阐述系统的基本情况, 应包含但不限于信息系统名称、业务概述、 用户范围、涉及的核心数据和重要数据、 现有网络安全防护能力情况和系统部署位置等。

　　A. 3. 2 现有网络安全拓扑结构

　　阐述系统现有网络安全拓扑结构及边界情况。

　　A. 3. 3 系统功能和系统架构情况

　　阐述系统功能模块和系统架构情况, 应包含但不限于系统主要功能情况介绍、 系统总体架构介绍、业务流程介绍、 数据存储及备份、应用接口情况等。

　　A. 4 安全总体方案设计

　　A. 4. 1 风险分析

　　阐述项目可能面临的主要安全风险及应对策略。

　　A.4.2 项目总体安全需求

　　简述项目总体安全需求,可包含网络安全等级保护建设需求、数据保护安全建设需求、个人信息保护安全建设需求和IPV6建设需求等。

　　A. 4. 3 项目总体原则

　　阐述项 目总体原则。

　　A. 4. 4 总体设计架构

　　阐述项目总体安全设计架构, 可包含但不限于总体网络安全逻辑架构和IPV6架构等。

　　A. 5 网络安全等级保护建设方案

　　A.5. 1 系统定级

　　阐述信息系统的定级情况,应包含但不限于信息系统的等级 (网络安全等级保护二级/三级/四级)、明确定级方式 ( 自主定级/主管单位指导定级/行业发文/专家评审)并附上相关证明文件 (信息系统安全等级保护备案证明、 行业定级指导文件、 信息系统定级专家评审意见表等)、 明确系统部署方式 (本地部署/云部署/混合部署/其他部署方式)等。

　　A. 5.2 网络安全等级保护需求分析

　　A.5. 2. 1 合规安全需求分析

　　阐述合规方面的安全建设需求, 应包含但不限于技术层面安全需求和管理层面安全需求。

　　A. 5.2. 2 业务保障安全需求分析

　　阐述为保障业务自身安全在网络安全等级保护建设方面的需求分析,应根据信息系统的特性结合建

　　设单位的需求进行综合分析。

　　A. 5.3 网络安全等级保护解决方案

　　阐述信息系统网络安全技术层面的安全解决方案,应包含但不限于安全物理环境设计、安全通信网络设计、 安全区域边界设计、 安全计算环境设计、 安全管理中心设计等。

　　A.6 数据安全保护建设方案

　　A. 6. 1 数据分类分级

　　阐述承载的数据情况, 承载的核心数据和重要数据情况。 包括承载何种数据和数据量等。

　　阐述数据分类分级情况, 应包含但不限于数据分类情况、 数据分级情况等。

　　A. 6.2 系统及数据库间的业务与数据流向说明

　　A. 6. 2. 1 用户、 系统及数据库访问关系图

　　阐述用户、 系统及数据库之间的访问关系, 应包含但不限于用户类型、 系统名称、 数据库名称等。用户、 系统及数据库之间的访问关系, 建议用简单的图表或表格进行表述。

　　A. 6.2. 2 数据流向说明图

　　阐述数据的流向, 可包含但不限于数据采集、 数据传输、 数据存储、 数据处理、 数据交换、 数据销毁等关键生命周期中的流转过程, 建议用简单的图表或表格进行表述。

　　A. 6.3 数据安全保护需求分析

　　A. 6. 3. 1 合规安全需求分析

　　阐述合规方面的数据安全保护建设需求, 应包含但不限于技术层面安全需求和管理层面安全需求。

　　A. 6.3. 2 业务保障安全需求分析

　　阐述为保障业务自身安全在数据安全保护建设方面的需求分析,应根据信息系统的特性结合建设单位的需求进行综合分析。

　　A. 6. 4 数据安全保护解决方案

　　A. 6. 4. 1 数据采集安全设计

　　阐述数据采集方面的安全设计, 应包含但不限于数据采集过程中使用的技术措施、 管理措施等。

　　A. 6.4. 2 数据传输安全设计

　　阐述数据传输方面的安全设计, 应包含但不限于数据传输过程中使用的技术措施、 管理措施等。

　　A. 6. 4. 3 数据存储安全设计

　　阐述数据存储方面的安全设计, 应包含但不限于数据存储过程中使用的技术措施、 管理措施等。

　　A. 6. 4. 4 数据处理安全设计

　　阐述数据处理方面的安全设计, 应包含但不限于数据处理过程中使用的技术措施、 管理措施等。

　　A. 6. 4.5 数据交换安全设计

　　阐述数据交换方面的安全设计, 应包含但不限于数据交换过程中使用的技术措施、 管理措施等。

　　A. 6. 4. 6 数据销毁安全设计

　　阐述数据销毁方面的安全设计, 应包含但不限于数据销毁过程中使用的技术措施、 管理措施等。

　　A. 6. 4. 7 数据迁移安全设计

　　阐述数据迁移方面的安全设计, 应包含但不限于数据迁移过程中使用的技术措施、 管理措施等。

　　A. 6. 4.8 数据发布/公开安全设计

　　阐述数据发布/公开方面的安全设计,应包含但不限于数据发布/公开过程中使用的技术措施、管理措施等。

　　A. 6.4.9 数据备份/灾备安全设计

　　阐述数据备份/灾备方面的安全设计,应包含但不限于数据备份/灾备过程中使用的技术措施、 管理措施等。

　　A. 6.5 数据出境及安全保护

　　阐述数据出境及安全保护的情况,应包含但不限于数据出境的 目的、方式、 数据范围、境外接收方处理数据的用途、 方式、 数据在境外保存地点、 期限、 数据保护采用的技术措施、 管理措施等。

　　A.7 个人信息保护建设方案

　　A. 7. 1 承载个人信息情况

　　阐述承载的个人信息情况, 承载的敏感个人信息情况。 承载何种个人信息, 个人信息的数量等。

　　A. 7.2 个人信息保护需求分析

　　A. 7.2. 1 合规安全需求分析

　　阐述合规方面的个人信息保护建设需求, 应包含但不限于技术层面安全需求和管理层面安全需求。

　　A. 7.2. 2 业务保障安全需求分析

　　阐述为保障业务自身安全在个人信息保护建设方面的需求分析,应根据信息系统的特性结合建设单位的需求进行综合分析。

　　A. 7. 3 个人信息保护解决方案

　　A. 7. 3. 1 个人信息采集安全设计

　　阐述个人信息采集方面的安全设计,应包含但不限于个人信息采集过程中使用的技术措施、管理措施等。

　　A. 7. 3.2 个人信息传输安全设计

　　阐述个人信息传输方面的安全设计,应包含但不限于个人信息传输过程中使用的技术措施、管理措

　　9

　　施等。

　　A. 7. 3. 3 个人信息存储安全设计

　　阐述个人信息存储方面的安全设计,应包含但不限于个人信息存储过程中使用的技术措施、管理措施等。

　　A. 7. 3.4 个人信息处理安全设计

　　阐述个人信息处理方面的安全设计,应包含但不限于个人信息处理过程中使用的技术措施、管理措施等。

　　A. 7. 3.5 个人信息交换安全设计

　　阐述个人信息交换方面的安全设计,应包含但不限于个人信息交换过程中使用的技术措施、管理措施等。

　　A. 7. 3.6 个人信息销毁安全设计

　　阐述个人信息销毁方面的安全设计,应包含但不限于个人信息销毁过程中使用的技术措施、管理措施等。

　　A. 7. 3. 7 个人信息迁移安全设计

　　阐述个人信息迁移方面的安全设计,应包含但不限于个人信息迁移过程中使用的技术措施、管理措施等。

　　A. 7. 3.8 个人信息发布/公开安全设计

　　阐述个人信息发布/公开方面的安全设计,应包含但不限于个人信息发布/公开过程中使用的技术措施、管理措施等。

　　A. 7. 3.9 个人信息备份/灾备安全设计

　　阐述个人信息备份/灾备方面的安全设计,应包含但不限于个人信息备份/灾备过程中使用的技术措施、 管理措施等。

　　A. 7. 4 个人信息出境及安全保护

　　阐述个人信息出境及安全保护的情况,应包含但不限于个人信息出境的目的、方式、个人信息范围、境外接收方处理个人信息的用途、方式、 个人信息在境外保存地点、 期限、 个人信息保护采用的技术措施、 管理措施等。

　　A. 8 IPV6建设方案

　　A.8. 1 IPV6需求分析

　　阐述IPV6建设的安全建设需求, 可包含但不限于网络基础设施方面、应用基础设施方面和管理制度方面的建设需求等。

　　A. 8. 2 IPV6安全解决方案

　　阐述IPV6安全建设的相关情况, 应包含但不限于技术措施、 管理措施等。

　　10

　　A. 8.3 IPV6部署应用情况

　　阐述IPV6部署应用的情况, 可包含但不限于系统是否支持IPV6部署应用、 系统建设类型等。

　　A.9 网络安全管理方案

　　A. 9. 1 安全管理制度设计

　　阐述信息系统网络安全管理层面的解决方案, 应包含但不限于安全策略、 安全制度等。

　　A. 9. 2 安全管理机构设计

　　阐述信息系统网络安全管理层面的解决方案, 应包含但不限于岗位设置、 人员配备等。

　　A. 9. 3 安全管理人员设计

　　阐述信息系统网络安全管理层面的解决方案, 应包含但不限于人员录用、 人员离岗等。

　　A. 9.4 安全建设管理设计

　　阐述信息系统网络安全管理层面的解决方案, 应包含但不限于产品采购和使用等。

　　A. 9.5 安全运维管理设计

　　阐述信息系统网络安全管理层面的解决方案, 应包含但不限于网络和系统安全管理等。

　　A. 9.6 应急预案

　　阐述项目应急预案, 应包含但不限于组织机构与职责、 风险分析、风险应对措施、 应急处置、保障措施等。

　　A. 10 安全设计整体拓扑及设备清单

　　A. 10. 1 总体网络安全拓扑结构

　　阐述系统规划后所在网络的网络安全拓扑结构情况, 应包含但不限于详细的网络安全拓扑图、 网络边界划分情况、 安全区域划分和各个区域的功能描述等。

　　A. 10. 2 总体软硬件设备选型清单

　　阐述信息系统总体网络安全建设所需要的主要软硬件设备选型清单, 应包含但不限于硬件产品清单、 软件产品清单、 服务清单, 并说明软硬件/服务来源 ( 自采/利旧/政务云提供等)。

　　A. 10.3 云资源需求清单

　　阐述信息系统建设需要政务云/托管方提供的主要软硬件设备选型清单, 应包含但不限于硬件产品清单、 软件产品清单、 服务清单。

　　A. 11 项目预 (概) 算

　　A. 11. 1 项目总预 (概)算

　　阐述信息系统建设项目总预 (概)算情况。

　　A. 11. 2 网络安全预 (概) 算及占比

　　阐述信息系统网络安全建设预 (概)算情况,应包含但不限于网络安全预 (概)算、网络安全预 (概)算所占比例。

　　A. 12 其他

　　阐述其他需要在方案中明确的内容。

　　说明: 不涉及个人信息的无需编制个人信息保护建设方案。

　　附 录 B

　　(资料性)

　　网络安全审查表

　　网络安全审查工作需要各建设单位提交的申请表材料包括: 《网络安全审查申请表》 和 《网络安全审查自查表》。具体表格形式及内容如下所示:

　　B. 1 网络安全审查申请表模板

　　表B. 1 网络安全审查申请表

　　申请人应根据项目实际情况进行表格填写,项目涉及多个系统的, 每个系统应单独填写自查表。 根据项目实际情况选择自查内容 (如系统不涉及个人信息采集、处理则无需填写"个人信息安全保护措施"部分内容)。

　　表B. 2 网络安全审查自查表

　　DB43/T 2313 2025

　　表B. 2 网络安全审查自查表 (续)

　　DB43/T 2313 2025

　　表B. 2 网络安全审查自查表 (续)

　　表B. 2 网络安全审查自查表 (续)

　　表B. 2 网络安全审查自查表 (续)

　　表B. 2 网络安全审查自查表 (续)

　　表B. 2 网络安全审查自查表 (续)

　　22

　　表B. 2 网络安全审查自查表 (续)

　　23

　　表B. 2 网络安全审查自查表 (续)

　　表B. 2 网络安全审查自查表 (续)

　　附 录 C (资料性)流程图

　　网络安全审查工作流程可参照图1进行操作。

　　图1 网络安全审查工作流程

　　参 考 文 献

　　[1] GB/T 43698 2024 网络安全技术 软件供应链安全要求

　　[2] 中华人民共和国网络安全法[中华人民共和国主席令 (第53 号) ].

　　[3] 中华人民共和国数据安全法[中华人民共和国主席令 (第84号) ].

　　[4] 中华人民共和国个人信息保护法[中华人民共和国主席令 (第91号) ].

　　[5] 网络安全审查办法[国家互联网信息办公室 中华人民共和国国家发展和改革委员会 中华人民共和国工业和信息化部 中华人民共和国公安部 中华人民共和国国家安全部 中华人民共和国财政部中华人民共和国商务部 中国人民银行 国家市场监督管理总局 国家广播电视总局 中国证券监督管理委员会 国家保密局 国家密码管理局令 (第8号) ].

　　[6] 关键信息基础设施安全保护条例[中华人民共和国国务院令 (第745号) ].

　　[7] 网络数据安全管理条例[中华人民共和国国务院令 (第790号) ].

　　[8] 数据出境安全评估办法[国家互联网信息办公室令 (第11号) ].

　　[9] 个人信息出境标准合同办法[国家互联网信息办公室令 (第13号) ].

　　[10] 促进和规范数据跨境流动规定[国家互联网信息办公室令 (第16号) ].

　　[11] 个人信息保护合规审计管理办法[国家互联网信息办公室令 (第18号) ].

　　[12] 生成式人工智能服务管理暂行办法[国家互联网信息办公室 中华人民共和国国家发展和改革委员会 中华人民共和国教育部 中华人民共和国科学技术部 中华人民共和国工业和信息化部 中华人民共和国公安部 国家广播电视总局令 (第15号) ].

　　[13] 互联网信息服务深度合成管理规定[国家互联网信息办公室 中华人民共和国工业和信息化部 中华人民共和国公安部令 (第12号) ].

　　[14] 湖南省网络安全和信息化条例[湖南省第十三届人民代表大会常务委员会公告 (第81号) ].

　　[15] 湖南省党政系统信息化工作领导小组关于印发《湖南省省直单位政务信息系统项目前置审查管理办法 (试行)》 的通知 (湘党政信发 (2019) 1 号) ·

　　[16] 湖南省人民政府办公厅关于印发 《湖南省省直单位政务信息系统项目建设管理办法》的通知(湘政办发 (2020) 34号) ·

　　[17] 关于进一步落实政务信息化项目网络安全审查工作的通知 (湘网办发 (2022) 9号) ·

　　[18] 湖南省发展和改革委员会关于印发《湖南省省直单位政务信息系统项目概算编制与评审工作指南 (试行)》 的通知 (湘发改高技 (2022) 1056号) ·

　　[19] 关于加强政务信息化项目网络安全审查和网络安全费用编制工作的通知 (湘网办发 (2023) 7号) ·

　　[20] 中共湖南省委网信办关于印发 《政务信息系统网络安全评估实施指南 (试行)》 的通知 (湘网办发 (2024) 19号) ·

　　[21]湖南省发展和改革委员会关于进一步做好省直单位政务信息化项目全生命周期管理有关工作的通知 (湘发改高技 (2025) 239号) ·