2023广东省数字政府网络安全指数评估报告.docx

前言I第一章评估概况1一、评估背景1二、评估对象2三、评估原则2四、评估过程3（一）建立指标体系3（二）实施指数评估4五、数据采集4()又寸4(二)数据采集周期5第二章评估结果6一、总体情况6()/口、日¾xI*白5*6（二）总体指数分析8二、工作成效和存在问题10（一）工作成效10（二）存在问题12第三章安全管理指数14一、总体分析14二、分指数分析16（一）安全战略规划16（二）安全标准规范17（三）安全管理组织18（四）人员安全管理20（五）安全投入21（六）供应链安全管理22第四章安全建设指数25一、总体分析25二、分指数分析27（一）网络安全等级保护27（二）关键信息基础设施保护28（三）数据安全保护29（四）个人信息保护30（五）密码应用31（六）安全服务支撑体系32第五章安全运营指数34一、总体分析34二、分指数分析37（一）信息资产管理37（二）日常安全运维38（三）安全监测39（四）应急处置41（五）安全检查42（六）安全审计43（七）业务连续性保障44（八）安全协同45第六章安全效果指数47一、总体分析47二、分指数分析50（一）网络环境安全50（二）安全漏洞51（三）安全事件51（四）专项工作52第七章工作建议54一、做到“三个强化”，完善数字政府安全管理体系54二、聚焦“三个重点”，提升数字政府安全防护能力55三、围绕“三个目标”，提高数字政府安全运营水平56四、提升“三个能力”，确保数字政府安全工作取得实效57附录1：近4年广东省数字政府网络安全能力等级分布58附录2:近4年广东省各地市数字政府网络安全能力等级59附录3:数字政府网络安全能力成熟度定义60图目录图1广东省数字政府网络安全指数评估模型4图21数字政府网络安全指数一级指标平均值分析8图2.2数字政府网络安全指数一级指标对比9图3.1安全管理二级指标指数平均值分析14图4-1安全建设二级指标指数平均值分析25图5-1安全运营二级指标指数平均值分析34图6.1安全效果二级指标指数平均值分析47表目录表11广东省21个地市名称2表12数字政府网络安全评估数据采集的地市市直部门名称5表2-1广东省地市数字政府网络安全能力分布（按行政区划排序）7表31广东省数字政府安全管理指数能力分布15表4-1广东省数字政府安全建设指数能力分布26表5广东省数字政府安全运营指数能力分布36表6/广东省数字政府安全效果指数能力分布48第一章评估概况一、评估背景随着数字化、网络化、智能化在更广范围、更深层次上推进，网络安全形势愈发严峻复杂，网络安全的“压舱石”和基础保障作用日益凸显。党的二十大报告提出构建全域联动、立体高效的国家安全防护体系，以新安全格局保障新发展格局，为推进网络安全能力建设提供根本遵循。2023年，“十四五”规划有序实施推进，全国统一大市场加快建设，数字经济进入发展的换挡提速期，网络安全法制体系更加完善，社会各方对网络安全的重视和投入持续扩大。中共中央、国务院印发的数字中国建设整体布局规划指出要“统筹发展和安全”“强化数字技术创新体系和数字安全屏障'两大能力'”。中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要中指出要“加强网络安全风险评估和审查，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力”。为贯彻落实党中央、国务院关于网络安全的重大决策部署，省“数字政府''改革建设工作领导小组办公室组织开展了2023年度数字政府网络安全指数评估工作。二、评估对象广东省21个地市（以下简称“各地市”,如表1-1所示）。表IT广东省21个地市名称1广州12中山2深圳13江门3珠海14阳江4汕头15湛江5佛山16茂名6部关17肇庆7河源18清远8梅州19潮州9惠州20揭阳10汕尾21云浮11东莞三、评估原则（一）聚焦工作核心。数字政府网络安全指数评估的指标体系和评估方法始终保持相对稳定，但每年评估指标会根据国家、省网络安全工作最新要求和重点，进行优化调整，以反映数字政府网络安全年度工作重点和发展方向。随着数字政府集约化、一体化建设的持续深入，安全指数评估的对象更加聚焦于地市政务服务和数据管理部门及地市政务云平台，确保地区数字政府网络安全工作有目标、有侧重开展。（二）深挖数据价值。本次评估依托数字政府建设运营单位掌握的数字政府安全运营数据、网络安全监管部门掌握的数字政府安全监管数据、安全调研数据、网络安全厂商及互联网公司掌握的省域网络安全大数据、“粤盾2023”数字政府实战攻防演练结果数据等，采用定量与定性相结合的分析方法，用数据说话，运用客观真实的数据反映我省各地区数字政府网络安全整体防护水平。（三）深化结果应用。本次评估以提升数字政府网络安全整体防护能力为目标，全面客观地反映各地区数字政府网络安全防护水平，为迭代建设网络安全防护体系提供支撑。强化评估结果运用，针对各地区存在的突出问题，分地区“一对一”编制安全指数分析报告，提出相应的改进建议，推动将指数评估切实转化为提升各地区安全防护能力的重要抓手。四、评估过程（一）建立指标体系2023年3月，广东省“数字政府”改革建设工作领导小组办公室牵头成立评估工作组，制定了2023年安全指数评估工作方案。4月至7月组织工信部电子五所、知名网络安全厂商、互联网公司和科研机构等16家单位，结合2020至2022年安全指数评估实践经验，在广东省数字政府网络安全指数指标体系标准的基础上，从指标设定、评价方法、取数方式等方面进行优化，围绕安全管理、安全建设、安全运营以及安全效果四个方面，形成了2023年广东省数字政府网络安全指数指标体系。2023年度数字政府网络安全指数指标体系共包含4项一级指标，24项二级指标，82项评估要点。安全数安全和克伊同商职费.安全建设安全惠略安m方th战略日标.安全规划近准现於指谛理机构.职 引据闻.世理壶分工、协调 刎度机制、专京队实豫等修等保测WJt要俏g蜃础.设的清单除评他个人信息保护,方个人信息安全AFP 金济估.安金和护精值褥药庖用保障 做力、密码应 用安金性伴估+ 皿 IHv池.产业的问安全运营：系绸。子.网Soe建设对或旧监测,tft 报分析.欺滴 必群.tt<w 金.主机安金同缩安全环境 虚国格湎.修险效果涮同欲球.漏制律附蕊H录，技术事件数量冷阪工作跛防演城安宝依C安全协同Wf4½im-.市计机式，市数据警份.数，工在配食，计执行握钛亚件报告.监测通测试图IT广东省数字政府网络安全指数评估模型（二）实施指数评估2023年3月至11月，评估工作组采集了全省21个地市数字政府网络安全管理、建设、运营、效果等方面的数据，包括21个地市涉及人员、机构、制度、经费、系统以及安全运行维护、省域网络安全大数据、安全应急与通报、“粤盾-2023”数字政府网络安全实战攻防演练结果等相关数据约6.8万项。11月上旬开始，依据评估指标和评估模型，对采集数据进行分析，形成安全指数评估结果，编制指数评估报告。五、数据采集（一）数据采集对象如表1-2所示，本报告的数据采集对象涵盖全省21个地市的所有市直部门，涉及各地市政务云平台、大数据中心、政府官网及重要政务应用等系统。数据来源主要为：(1)数字政府安全运营数据；(2)网络安全监管部门监管数据；(3)网络安全调研数据；(4)省域网络安全大数据；(5)“粤盾-2023”广东省数字政府网络安全实战攻防演练结果。«1-2数【字政府网络安全评估数据采集的地市市直L部门名称市政府办公厅(室)市财政局市交通运输局市国有资产管理委员会市发展和改革委(局)市人力资源和社会保障后市水务局市市场监督管理局市教育局市自然资源局市农业农村局市统计局市科技创新局市生态环境局市商务局市金融工作局市工业和信息化局市医疗保障局市文化广电旅游体育局市信访局市交通运输局市城市管理和综合执法后市卫生健康局市林业和园林局市公安局市政务服务和数据管理局市退役军人事务后-市民政局市审计局市应急管理局市司法局市住房和城乡建设局市宗教事务局(二)数据采集周期本次评估所采集的数据覆盖周期为：2022年11月至2023年10月o第二章评估结果一、总体情况(一)总体指数情况2023年广东省数字政府网络安全指数为73.63,较2022年(64.19)提高了14.71%,各地市数字政府网络安全指数能力分布如表2-1所示。从安全指数评估结果来看，仍未有地市能够达到优化级(三)的水平。深圳、中山2个地市数字政府已形成良好的制度、人员、技术等协同效应，并能够通过定性和定量测量跟踪管控措施的实施效果，持续完善管控措施，初步实现综合防御，总体指数处于完善级（八）。广州、珠海、佛山、江门、茂名、惠州、东莞7个地市数字政府已形成符合实际的制度规范及配套技术支撑，且组织内外部有较好的协作，初步实现主动防御，总体指数处于稳健级(B)。汕头、韶关、湛江、肇庆、梅州、汕尾、河源、阳江、潮州、揭阳、云浮”个地市数字政府已建立了基本的制度规范及配套技术措施，但落地执行还不到位，安全效果不稳定，总体指数处于受控级(C)。清远数字政府尚处于管理制度、技术措施和运营体系的初步构建阶段，没有形成稳定的能力，总体指数处于启动级(D)。表2T广东省地市数字政府网络安全能力分布(按行政区划排序)优化级(三)完善级（八）稳健级(B)受控级(c)启动级(D)深圳广州汕头清远中山珠海韶关佛山湛江江门肇庆茂名梅州惠州汕尾东莞河源阳江潮州揭阳云浮超过一半地市数字政府网络安全能力等级得到了提升。中山由受控级(C)升至为完善级（八）,珠海、江门由受控级(C)升至为稳健级(B),茂名由启动级(D)升至为稳健级(B),韶关、梅州、汕尾、河源、阳江、潮州、揭阳7个地市由启动级(D)升至为受控级(C)o中山市和茂名市2个地市的数字政府网络安全能力相比2022年提升了2个等级，提升较为明显。其中，中山市开展为期四个月的“香山铸盾-2023”中山市网络与数据安全培训活动以及针对供应链的网络安全培训，并推行、聘用供应链企业首席网络安全官；印发中山市政务大数据中心数据资源分类分级指南，对全市73个单位的数据资源进行了分类分级，部署“数据分类分级与风险合规系统”对数据进行分级防控；统一全市政务外网互联网出口，利用零信任技术加强全市100多个单位近3万台终端的准入管控。茂名市梳理全市信息资产，全面清理影子资产、僵尸资产，整理供应商清单；完成“一网统管”平台与政务外网感知平台的对接，并利用粤政易平台将网络事件推送给安全负责人，实现网络安全事件的闭环处置；举办“茂盾-2023”攻防演练，并与佛山市联合举办“飞鸿杯”攻防演练，及时清除安全隐患。“粤盾-2023”攻防演练期间加强值班值守、情报共享和联防联控，成绩进步较大。（二）总体指数分析如图21所示，数字政府网络安全指数一级指标安全管理的平均值为77.59,安全建设的平均值为64.08,安全运营的平均值为78.79,安全效果的平均值为72.41。图2-1数字政府网络安全指数一级指标平均值分析2023年数字政府网络安全指数一级指标与2022年对比如图2-2所示，2023年全省数字政府网络安全指数4个一级指标中安全管理、安全建设、安全运营指数均有明显提升，安全效果指数保持良好态势。977fEE14>图2-2数字政府网络安全指数一级指标对比一是安全管理指数较2022年增长20.80%。其中，安全管理组织、人员安全管理、安全投入3项二级指标提升较明显，安全战略规划、安全标准规范2项二级指标稳步提升，供应链安全管理指标有待进一步提升。二是安全建设指数较2022年增长22.83%。其中，安全服务支撑体系指标提升较明显，网络安全等级保护、密码应用2项二级指标稳步向好，数据安全保护、个人信息保护、关键信息基础设施保护3项二级指标虽然较2022年有所提升，但仍有待加强。三是安全运营指数较2022年增长18.89%。其中，信息资产管理、安全监测、安全检查、安全审计4项二级指标提升非常明显，日常安全运维、业务连续性保障2项二级指标提升较大，应急处置指标小幅增长，安全协同指标保持较高水平。四是安全效果指数较2022年增长2.80%。其中，专项工作（攻防演练）指标提升较大，网络环境安全、安全漏洞、安全事件3项二级指标与2022年基本持平，保持较高水平。二、工作成效和存在问题（一）工作成效网络安全是总体国家安全观的重要组成部分，是数字时代国家安全的战略基石，以网络安全筑牢数字政府改革建设根基已成为普遍共识。在稳步推进数字政府网络安全指数评估工作的4年中，各地积极探索数字政府网络安全工作新思路，加快建设完善网络安全防护体系，取得了良好的工作成效。一是以统筹协调为主线，安全管理机制更完善。全省21个地市均建立了党政机关（事业单位）网络安全工作协调机制，组织编制数字政府网络安全标准规范和指引指南，统筹开展本地区数字政府网络安全工作。肇庆、梅州、阳江等地市在政务信息化项目管理办法或立项审批细则中明确了新建政务信息化项目网络安全经费投入占比不低于5%的要求,与2022年相比，茂名、湛江、汕尾、韶关、云浮、清远等地市的绝大部分市直部门成立了网络安全领导小组，建立了网络安全规章制度，网络安全管理组织较为完整，工作职责较为明确。二是以购买服务为支撑，技术防护体系更健全。绝大多数地市政务服务和数据管理部门建立了较为完整的网络安全服务支撑体系，利用各类专业安全资源和技术支撑队伍，开展网络安全等级保护、数据安全和个人信息保护工作，加快建设数字政府安全技术防护体系。中山、佛山等地市通过购买专业服务模式，为市直部门提供密码应用支撑、等级保护测评、安全测试等服务；广州、惠州、珠海、汕头等地市探索建立网络安全协会（联盟）、培训教育基地，初步形成网络安全企业、科研机构、专家等社会力量积极参与数字政府网络安全工作的格局。三是以一体化运营为重点，应急处置机制更高效。目前全省21个地市数字政府网络安全运营平台已完成与省平台对接，省、市两级安全运营团队协调开展安全监测、威胁情报分析工作。2023年，省数字政府安全运营平台高效处置了100多起主机感染木马病毒的事件，有效提升了数字政府整体安全性。深圳、佛山、中山、江门、河源等大部分地市政务云系统开展了网络安全监测、威胁情报分析、欺骗性防御、网站防篡改监测、数据安全风险监测等工作，能够及时发现并处置安全隐患。四是以实战演练为抓手，主动防御能力明显提升。全省21个地市均组织开展各种形式的网络安全实战攻防演练活动，以练促建、以练促改、以练促管、以练强能，切实提高了本地区数字政府安全防护和应急处置能力。“粤盾-2023”数字政府网络安全实战攻防演练发现，各地网络安全意识明显提高、安全管理能力有效改善、主动防御能力大幅加强。其中，东莞、深圳、茂名、潮州、揭阳等地市较2022年进步较大，不仅能借助各种安全防护系统对攻击行为进行防御,还能主动分析攻击手法和入侵路径，对攻击目标进行反制，应急处置和主动防御能力提升较大。（二）存在问题数字政府网络安全防护体系经过近几年持续建设，整体网络安全防护水平明显提升。但随着数字基础设施建设进一步加速、数据流通持续加快、数字政府的网络外延不断扩大，数字政府网络安全工作仍然存在一些问题，网络安全防护体系需要进一步完善。一是供应链安全仍需加强管理。部分地市对供应链安全管理的认识还不足，全省21个地市仍有33.98%的市直部门未通过合同或协议明确供应商安全职责，有52.91%的市直部门未与供应商人员签订保密协议。通过安全检查、攻防演练等发现，开发运维人员被社工钓鱼，访问凭证硬编码到程序代码、配置文件中，源代码明文存储在互联网上，重要账号口令明文存储在个人电脑中等问题仍不同程度存在，这些问题都暴露出加强供应链安全管理刻不容缓。二是数据安全保护需要落细落实。目前，部分地市制定了政务数据分类分级规则，初步建设了数据加密、脱敏、访问控制等技术能力，通过技术手段开展数据分类分级保护工作，并定期开展重要政务信息系统数据安全风险评估。但是，全省仍有11个地市政务云不具备数据分类分级技术能力，8个地市政务云未建设数据访问控制措施，9个地市政务云未开展数据安全风险评估，数据保护要求还有待进一步落实。三是业务连续性保障需要统筹推进。部分地市非常重视数字政府持续运营服务，通过加强容灾备份体系建设，提升政务云备份服务能力，降低数据丢失风险。目前，全省21个地市18.33%的市直部门明确数据备份策略并定期执行数据备份工作，44.11%的市直部门定期对重要数据进行备份。但是，仍有37.56%的市直部门既未明确数据备份策略,又未对重要数据进行备份，55.14%的市直部门未开展备份数据有效性测试。极端情况下，难以确保核心系统服务不中断、重要数据不丢失。四是区域安全均衡发展需要巩固提升。经过近几年的发展，一些先进地市数字政府已具有较高网络安全防护水平，但仍有部分地市在信息化建设中没有按照“三同步”原则，落实网络安全等级保护、数据安全保护、密码应用、日常安全运维、应急处置等重点工作。“粤盾-2023”攻防演练结果显示，各地市安全防护水平参差不齐，防护能力较低的地区（部门）容易被黑客利用，成为攻击其他地区（部门）的跳板，引发短板效应。第三章安全管理指数一、总体分析如图3-1所示，在安全管理的二级指标中，安全战略规划指标的平均值为86.38,安全标准规范指标的平均值为73.81,安全管理组织指标的平均值为80.60,人员安全管理指标的平均值为89.31,安全投入指标的平均值为80.53,供应链安全管理指标的平均值为61.18。图3-1安全管理二级指标指数平均值分析与2022年相比，全省数字政府网络安全管理工作取得新成效，主要表现在：一是编制数字政府网络和数据安全管理要求、标准、规范的地市由13个增加至21个；二是编制数字政府网络和数据安全指引指南的地市由5个增加至15个；三是成立网络安全领导小组的市直部门数量占比由74.15%增加至90.76%;四是参加省政务服务和数据管理局组织的网络安全意识、管理、技能培训的人次由18927人增加至49380人。如表3-1所示，全省21个地市数字政府网络安全管理指数处于完善级（八）的有深圳、中山2个地市，占比为9.52%;网络安全管理指数处于稳健级(B)的有广州、珠海、汕头、佛山、韶关、湛江、肇庆、江门、茂名、惠州、梅州、阳江、东莞、揭阳14个地市，占比66.67%;网络安全管理指数处于受控级(C)的有汕尾、河源、清远、潮州、云浮5个地市，占比23.81%。表3T广东省数字政府安全管理指数能力分布优化级(三)完善级（八）稳健级(B)受控级(C)启动级(D)深圳广州汕尾中山珠海河源汕头清远佛山潮州韶关云浮湛江肇庆江门茂名惠州梅州阳江东莞揭阳分析发现，深圳、中山等表现良好的地市制定了地区数字政府网络安全总体规划、标准规范和指引指南等，大部分市直部门建立了较为完善的网络安全管理制度，成立了网络安全领导小组，明确了部门和人员的职责分工，注重提升人员安全意识，强化供应链安全管理。表现不太理想的地市网络安全管理工作仍有差距。一是网络安全中长期规划落地实施不足，仍有8个地市未编制网络安全中长期规划的具体实施方案；二是安全管理责任落实不到位，5个地市未印发电子政务外网网络安全管理办法并明确数字政府各相关参与方职责分工，8个地市超过50%的市直部门未明确部门内部业务科室（处）室与安全管理科（处）室的职责分工；三是供应链安全管理工作开展不够，7个地市超过30%的市直部门未明确供应商安全职责，10个地市超过40%的市直部门未落实与供应商人员签订保密协议。二、分指数分析（一）安全战略规划安全战略规划指标主要评价网络安全战略方针、战略目标的明确程度和网络安全规划制定及实施情况。2023年重点关注是否制定网络安全总体规划以及配套的实施方案。安全战略规划指标表现良好的地市有广州、深圳、茂名、惠州、东莞、中山、云浮。以上地市均制定了地市级数字政府网络和数据安全中长期规划，并配套了实施方案。安全战略规划方面的良好实践主要表现在：一是广州、佛山、韶关、江门、茂名、阳江、中山、揭阳、云浮等10个地市2023年制定了地市数字政府网络安全中长期（3-5年）规划，明确了网络安全总体目标、架构和工作任务，并确定了各方面保障措施。二是广州、韶关、茂名、阳江、中山、云浮等8个地市制定了网络安全中长期规划配套的实施方案,明确了数字政府网络安全各项工作的阶段任务、责任分工及时间节点等，确保网络安全各项工作有序推进和顺利实施。各地市可参考以下建议开展安全战略规划与实施工作：一是根据地区数字政府网络安全现状，结合国家及省市相关工作部署和要求，明确网络安全战略目标，制定并发布网络安全战略或规划，明确规划实施路径并提供必要的资源保障;二是建立网络安全战略规划实施跟踪检查机制，跟踪检查网络安全战略落实情况，根据存在的差距对工作任务进行优先级排序并及时纠偏，提供必要的资源和资金保障，推动战略有效落地实施；三是定期梳理地区数字政府改革建设和网络安全现状，根据地区实际情况，及时修订更新网络安全战略规划。（二）安全标准规范安全标准规范指标数主要评价地区数字政府网络安全标准规范、指引指南制定情况，部门数字政府网络安全管理制度制定情况。2023年重点关注是否发布地区数字政府网络安全标准规范、指引指南，以及市直部门是否建立并发布体系化的网络安全管理制度。安全标准规范指标表现良好的地市有深圳、佛山、阳江、东莞、中山。以上地市制定了体系化的数字政府网络和数据安全要求、标准、规范和指引指南，且大部分市直部门建立了比较完善的网络和数据安全管理制度体系。安全标准规范方面的良好实践主要表现在：一是佛山针对政务数据安全管理工作，印发了佛山市政务数据全流程安全管理策略佛山市政务数据安全运营管理实施要求佛山市政务数据安全评估指南重要数据的出境安全管理指南等17份政务标准化指导性技术文件。二是中山为规范全市数字政府网络和数据安全相关活动，印发了中山市电子政务外网安全审计及监控制度中山市电子政务外网数据安全管理办法中山市公共数据安全管理规范中山市公共数据个人信息保护规范等近20份标准规范和指引指南文件。各地市可参考以下建议开展标准规范制定工作：一是配合国家、省各主管部门网络安全保障工作需要，从提升安全管理能力和水平出发，研究制定相应的安全管理标准规范或指引指南；二是指导督促各部门依照网络安全相关法律法规、标准规范要求，结合网络安全管理现状，建立由安全策略、管理规范、操作手册、记录表单等构成的四级网络安全管理制度体系；三是严格落实各项管理制度要求，依照要求开展网络安全各项工作，定期开展风险评估、监督检查、安全审计等，检查各项制度落实情况，确保安全工作合法合规开展。（三）安全管理组织安全管理组织指标主要评价网络安全管理组织的健全性，数据安全负责人和管理机构明确程度，数字政府相关参与方网络安全工作责任的明晰程度，部门内部业务处（科）室与安全管理处（科）室的安全职责分工的明晰程度，网络安全管理人员配备情况，网络安全管理人员职责分工明确程度以及网络安全专家队伍和智库机构的建设情况等方面。2023年重点关注地区是否明确数字政府相关参与方网络安全工作责任，市直部门是否明确相关科（处）室与人员的安全责任与分工。安全管理组织指标表现良好的地市有汕头、佛山、韶关、江门、茂名。以上地市通过印发电子政务外网网络安全管理办法，明确了数字政府各相关参与方的职责分工，建立并运行了网络和数据安全工作协调机制，组建了网络安全专家队伍，且大部分市直部门成立了网络和数据安全领导小组，明确了内部业务科（处）室与安全管理科（处）室的职责分工。安全管理组织方面的良好实践主要表现在：一是佛山、韶关、肇庆、江门、中山、云浮等建立了地市网络和数据安全工作协调机制，并定期向省政务服务和数据管理局报送机制运作报告，另外，以上地市均有超过90%的市直部门成立了网络和数据安全领导小组。二是珠海、汕头、茂名等新组建了数字政府网络安全专家队伍，充分发挥网络安全领域专家学者、行业人才的智力支撑作用，推进数字政府网络和数据安全建设工作。各地市可参考以下建议开展安全管理组织建设工作：一是各部门应建立架构清晰、权责明确的网络和数据安全领导小组，并根据实际情况及时调整更新网络和数据安全领导小组；二是参照省级数字政府网络安全工作责任要求，明确党委党组领导班子和各部门的网络安全工作责任，贯彻落实党委（党组）网络安全工作责任制实施细则；三是邀请在数字政府、网络安全领域具有一定影响力的专家、学者、技术人才等，组建数字政府网络安全专家委员会，通过前沿课题研究、战略谋划、决策咨询、人才培育等，对数字政府网络和数据安全工作提供智库支撑。（四）人员安全管理人员安全管理指标主要评价安全意识、安全技能教育、培训和宣传工作开展情况，安全考核与奖惩工作开展情况，供应商人员的背景调查、保密协议签订、安全培训教育等安全管理情况。2023年重点关注参加省政务服务和数据管理局组织的网络安全培训的学习及效果评价情况，地市政务服务和数据管理部门组织开展的安全教育和培训情况。人员安全管理指标表现良好的地市有广州、深圳、珠海、汕头、佛山、江门、中山、揭阳。以上地市政务服务和数据管理部门积极组织各市直部门参加省政务服务和数据管理局组织的安全意识和技能培训，并组织开展了多次本地市的网络安全教育培训。人员安全管理的良好实践主要表现在：一是积极参加2023年全省数字政府网络安全意识及技能线上培训，广州、深圳、梅州、汕尾、河源等17个地市Io0%完成了省政务服务和数据管理局明确的人数要求。特别是深圳政务服务和数据管理局组织有力，各市直部门和人员培训参与度高、覆盖面广，全市超过23000人参加培训，超过15000人通过了考试。二是积极组织开展本地化安全教育培训，深圳、佛山、惠州、东莞、中山、揭阳等16个地市围绕“粤盾”攻防演练、数据安全、应急处置、供应链安全管理等专项工作组织开展了3次及以上全市范围的安全教育培训；三是惠州组织各单位公务人员以及供应商人员开展安全技能培训I,68人通过考试获得了国家认证的网络信息安全管理员职业技能等级证书。各地市可参考以下建议开展人员安全管理工作：一是完善人员安全教育和培训制度，充分利用数字政府课堂、省党政机关（事业单位）网络安全教育培训平台等积极开展线上线下网络安全教育和宣传活动；二是进一步明确网络安全人员安全工作考核的原则、内容、方法、程序等，加强考核结果应用，夯实不同岗位人员安全责任；三是建立完善的网络安全人才发现、选拔、使用机制，组织关键岗位人员参加网络安全职业资格考试、职称评审或技能鉴定，不断提高业务水平；四是建立关键岗位人员安全审计机制，定期对关键岗位人员敏感操作进行审计；五是加强离职、离岗人员的权限管理，及时撤销离职、离岗人员的访问权限。（五）安全投入安全投入指标主要评价数字政府新建信息化项目的网络安全预算情况，以及安全日常运维、教育培训、安全防护加固、风险评估、升级运维、应急处置等网络安全保障工作经费落实情况。2023年重点关注新建政务信息化项目网络安全建设投资占比。安全投入指标表现良好的地市有珠海、肇庆、惠州、梅州、阳江。以上地市印发了地市级政务信息化项目管理办法，明确了安全预算要求，且新建政务信息化项目网络安全建设投资占比达到了5%以上。安全投入方面的良好实践主要表现在：一是肇庆、梅州、阳江在地市级政务信息化项目管理办法或立项审批细则中明确了新建政务信息化项目网络安全经费投入占比不低于5%的要求；二是中山由市政务服务和数据管理局统筹安排网络安全总体预算，包括第三方软件测试、等级保护测评、密码应用方案编制、密码应用安全性评估等项目。各地市可参考以下建议开展安全投入工作：一是优化地市级政务信息化项目管理办法，明确规定政务信息化项目的安全预算要求；二是切实加大数字政府网络安全建设资金支持力度，落实国家、省关于网络安全建设经费的要求，确保网络安全投入占信息化投入的比例不少于5%的最低要求；三是加大对安全日常运维、教育培训、防护加固、风险评估、漏洞检测和应急处置等服务资金保障。（六）供应链安全管理供应链安全管理指标主要评价供应链风险评估开展情况，采购的产品和服务是否符合国家相关安全规定，供应商安全职责是否明确，供应商服务安全监控和审计机制建立及执行情况，供应商的安全评价机制建立及执行情况。2023年重点关注供应商安全职责明确情况、供应商人员保密协议签订情况。供应链安全管理指标表现良好的地市有深圳、汕头、江门、中山、揭阳。以上地市大部分市直部门明确了供应商安全职责，且与供应商人员签订了保密协议。供应链安全管理方面的良好实践主要表现在：一是深圳指导南山区开展供应链管理试点，利用自动化手段梳理供应链企业、产品、服务、资产、人员、合同等底账信息，对各环节信息进行分析，并与信息资产、业务进行关联，排查供应链安全风险；二是中山联合市委网信办、市科协等，组织开展政务领域供应链安全专项培训，印发中山市政务领域供应链推行企业首席网络安全官实施方案(试行)，推动首批1()家政务领域供应链企业设立企业首席网络安全官，召开首席网络安全官联席会议，并组织首席安全官与科研机构和行业企业座谈交流，提升供应链企业安全意识和安全管理水平。各地市可参考以下建议开展供应链安全管理工作：一是组织专题研究市级政务信息化项目供应链安全管理工作，制定地区数字政府政务信息化项目供应链安全工作指引指南，明确供应商准入、跟踪管理、监督检查、评估认证等方面的要求；二是加强服务供应商合同条款的约束，通过合同或协议明确服务供应商应承担的网络安全相关责任；三是建立供应商人员管理机制，确保与供应商服务人员签订保密协议，明确供应商人员安全职责，定期对供应商人员开展网络安全教育与意识培训；四是建立健全供应商安全评价机制，通过安全监督检查、审查审计等多种手段加强供应链安全管理,定期对供应商信息化服务安全进行监控和审计。第四章安全建设指数一、总体分析如图4-1所示，在安全建设的二级指标中，网络安全等级保护指标的平均值为70.87,关键信息基础设施保护指标的平均值为50.45,数据安全保护指标的平均值为63.24,个人信息保护指标的平均值为46.60,密码应用指标的平均值为58.56,安全服务支撑体系指标的平均值为85.26。图4-1安全建设二级指标指数平均值分析与2022年相比，全省数字政府网络安全建设工作进一步加快，主要表现在：一是政务信息系统等级保护定级备案率由2022年的60.16%增加至64.69%,等保三级及以上系统的年度测评率由2022年的55.22%增加至71.95%;二是全省21个地市均探索制定政务数据分类分级指引指南，探索开展数据分类分级保护工作；三是开展个人信息安全影响评估的市直单位数量占比由4.73%增加至24.92%;四是全省21个地市均探索建设政务信息系统密码应用支撑能力。如表4-1所示，全省21个地市数字政府网络安全建设指数处于稳健级(B)的有深圳、中山2个地市，占比9.52%;网络安全建设指数处于受控级(C)的有广州、珠海、佛山、韶关、茂名、惠州、梅州、汕尾、东莞、潮州、云浮11个地市，占比52.38%;其余8个地市的网络安全建设指数处于启动级(D),占比38.10%。表4-1广东省数字政府安全建设指数能力分布分析发现，深圳、中山等表现相对较好的地市等级保护定级备案率和定期测评率较高，建设了密码资源池，并加快推进密码应用工作。探索开展数据分类分级防护，建立了配套的数据分类分级技术工具。建设了比较完整的数据加密、脱敏、访问控制等技术措施，建立较为完整的技术服务支撑体系。表现不太理想的地市安全建设工作有待进一步加强。一是网络安全等级保护工作仍需进一步推进，5个地市政务信息系统的定级备案率低于50%,12个地市等保三级及以上系统的年度测评率低于50%;二是数据保护工作有待进一步开展，11个地市未建设数据分类分级技术工具，7个地市政务云不具备完整的数据访问控制技术措施；三是个人信息保护仍需进一步加强，15个地市超过70%的市直部门未开展个人信息安全影响评估；四是政务信息系统密码应用支撑能力仍需进一步加强，15个地市等保三级及以上系统通过密码应用安全性评估率低于20%。二、分指数分析（一）网络安全等级保护网络安全等级保护指标主要评价政务信息系统等级保护定级备案情况、等级保护测评及整改情况、政务信息系统上线前安全测评以及政务外网分区防御、内部逻辑隔离、互联网出口安全管控等安全技术要求落实情况。2023年重点关注政务信息系统定级备案及定期测评情况。网络安全等级保护指标表现良好的地市有深圳、珠海、佛山、中山、潮州。以上地市政务信息系统的定级备案率和等保三级及以上系统的年度测评率均比较高。网络安全等级保护方面的良好实践主要表现在：一是潮州政务服务和数据管理局联合市委网信办、市公安局组织开展政务信息系统专项清查，并印发通知，要求未落实等级保护的要求限期整改，明确不符合等保安全要求的系统原则上关停下线，对落实工作不到位的，给予通报批评并追究责任。二是佛山、中山通过采购统一等级保护测评服务等，统筹开展全市网络安全等级保护工作，督促市直单位落实信息系统等级保护要求。各地市可参考以下建议持续深化网络安全等级保护工作：一是扩大等级保护工作覆盖面，按照国家、省相关法规标准要求，加强政务信息系统定级备案，确保定级备案的准确性和及时性，积极落实相关安全技术防护措施；二是探索通过购买统一测评服务方式，持续推进等保二级