近日，省行政审批政务信息管理局印发《非涉密政务信息系统开发安全管理指南》（以下简称《指南》），现将有关内容解读如下：

　　一、出台背景

　　近年来，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规相继实施，对网络和数据安全提出一系列要求。随着数字政府建设深入推进，政务信息系统作为政府履职和公共服务的重要支撑，其安全性直接关系到政府运行、公民隐私保护乃至国家安全。在政务信息系统互联互通持续推进、数据汇聚程度持续提升的背景下，亟须从源头强化安全管控，将安全要求嵌入系统开发全生命周期，为数字政府建设提供坚实的安全保障。依照国家相关政策法规和技术标准，省行政审批政务信息管理局结合工作实际，在深入调研、多次研讨、征求意见的基础上，研究起草了《指南》，为政务信息系统项目开发安全管理提供指引。

　　二、主要内容

　　《指南》共6章29条，包括总则、规划设计阶段、开发阶段、测试阶段、上线阶段和附则。第一章总则，明确制定目的、适用范围、各方安全责任及系统开发阶段划分。第二章规划设计阶段，明确需要落实的网络安全等级保护、密码应用、数据防护、身份管控、日志管理和环境部署等安全要求。第三章开发阶段，明确承建单位组建安全团队、制定安全编码规范，并对开发环境、代码管理、第三方组件、测试数据和人员权限管理提出要求。第四章测试阶段，明确系统上线前需要组织第三方机构开展安全测试、网络安全等级测评、商用密码应用安全性评估等工作，通过漏洞全生命周期管理机制消除安全隐患。第五章上线阶段，明确版本管理、安全管控、访问管控要求。第六章附则，明确解释主体和生效时间。

　　三、主要特点

　　一是聚焦开发环节，将法律法规和技术标准要求转化为具体操作规范。《指南》将国家层面关于网络安全、数据安全、密码应用及政务信息化管理的原则性制度与数字政府安全实践相结合，明确规划设计阶段、开发阶段、测试阶段、上线阶段的安全工作和技术标准，增强安全防护措施的实操性与可落地性。

　　二是明确主体职责，构建多方协同的责任体系。《指南》按照“谁建设谁负责、谁参与谁负责”的原则，细化建设单位、设计单位、承建单位三类核心主体的开发安全管理职责，构建协同高效的政务信息系统开发安全责任体系。

　　三是覆盖全生命周期，建立过程管控机制。《指南》明确了同步规划、同步设计、同步建设、同步验收、同步使用的原则，将安全管控贯穿于系统开发全过程，防止安全防护滞后于系统开发的问题，从源头提升政务信息系统的安全基线与合规水平。