意见汇总及处理意见.docVIP

意　见　汇　总　处　理　表 （征求意见稿） 编写单位： 解放军信息工程大学 标准名称： 《基于互联网电子政务信息安全指南》 2015年1月15日 填写 序号 提出人 章节 问题/修改建议 处理意见 江南天安 前言 范围，“本指导性技术文件适用于地市级（含以下）政府单位”，建议改为“本指导性技术文件适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构”。 采纳，已更改。已改为本指导性技术文件适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构， 江南天安 总则 5.4 系统识别，作为实施指南应明确这一阶段应做什么，是识别系统功能？还是安全需求？建议明确一些？ 采纳，已更改。是识别系统功能。 江南天安 总则 6.1 安全体系，图2 基于互联网电子政务信息安全体系，与其下面描述内容不符合，如：安全支撑平台层和安全保障对象层的描述与图中均不一致； 采纳，已更改。对6.1节和图2进行了修改。 刘蓓 前言 前言中，与电子政务外网对接的含义不清晰。 采纳，已更改。本指导性技术文件主要适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构， 刘蓓 总则 第5章 模型中的内容与后面的内容关联不紧密，指导性不强。建设者关注实施，其他方面未必需要详细描述。 采纳，已更改。 刘蓓 总则 “实施框架”可以改为“实施架构”。实施关键技术，可改为关键环节。 采纳，已更改。在总则第8节修改。 刘蓓 第4部分 安全分析，建议改为“终端安全防护的脆弱点” 采纳，已更改。 长城网际/闵京华 全文 标准中文标题段之间的分隔符为全角空格。 采纳，已更改。 长城网际/闵京华 全文 国家标准号和发布年之间的连接符为全角“—”。 将国家标准号和发布年之间的连接符改为全角“—” 长城网际/闵京华 正文标题 添加标准类别标题“信息安全技术” 将“基于互联网电子政务信息安全实施指南”改为“信息安全技术　基于互联网电子政务信息安全实施指南” 长城网际/闵京华 25.4.2 国家标准《信息安全技术　云计算服务安全指南》已发布，标准号为GB/T 31167-2014。 采纳，已更改。 长城网际/闵京华 3.2,3.6,3.7, 3.8 纠正英文翻译。 采纳，已更改。 长城网际/闵京华 5.1 「“识别（Identify）—设计（Design）—实施（Do）—评估（Evaluate）—安全策略（Policy）”的实施过程」提法不够严谨，“安全策略（Policy）”与其它四个过程阶段不同，它不是一个过程阶段。 采纳，已更改。将过程改为IDDEP模型。 长城网际/闵京华 5.1 基于互联网电子政务信息安全实施模型（IDDEP）实施模型如何反映出持续改进？ 采纳，已更改。加上与安全策略的作用，达到持续改进的目标。 长城网际/闵京华 5.1图1 图应与正文保持严格一致。例如： 1）图中只有政务系统识别，没有政务信息识别； 2）图中是“安全电子政务网络平台”，正文是“安全政务网络平台”。 采纳，已更改。将图中政务系统识别，改为系统与信息的识别；将图中是“安全电子政务网络平台”，改为了“安全政务网络平台”，保持了一致性。 长城网际/闵京华 5.5.2 保持统一的表达风格。将“安全体系设计”改为“设计安全体系” 采纳，已更改。已将“安全体系设计”改为“设计安全体系”。 长城网际/闵京华 5.4 不应仅停留在系统的识别，下一步安全设计的前提是识别出安全需求或要求，包括合规要求识别和风险评估。 采纳，已更改。系统识别的目标就是安全需求的识别，在描述中已修改，并体现。 长城网际/闵京华 6.7 6.8 “安全服务”和“安全管理”的概念和关系在文本中尚未表述清楚。 采纳，已更改。二者的目标与对象不同，已增加二者区别的描述。 北京市政务信息安全应急处置中心/陈钊 全体 用语不规范，很多地方描述的不是标准要求，偏向于技术报告，例如“总则：8体系实施架构”、“总则 ：9体系实施关键技术”、“总则 ：9体系实施关键技术”、“总则：10体系的风险评估”、“接入控制与安全交换：7 信息安全交换”、“身份认证与授权管理技术规范：6统一身份认证技术规范”。 采纳，已更改。 北京市政务信息安全应急处置中心/陈钊 总则：8.3.2无线终端移动安全 未提及移动设备本身的安全性要求。 采纳，已补充相关要求。 北京市政务信息安全应急处置中心/陈钊 身份认证与授权管理技术规范：7.4.5 策略表示方式 XML格式语言描述只为示例，其中部分内容适宜作为规范要求。 采纳，