国家标准计划《信息安全技术 政府门户网站系统安全技术指南》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 北京信息安全测评中心 、中电数据服务有限公司 、首都之窗运营管理中心等 。

政府网站是了解民生、解决百姓问题及宣传大政方针的最广阔、最便捷的平台。

作为政府治理和公共服务的重要工具，政府网站正在努力向提供个性化服务、开放式架构、大数据支撑、多渠道拓展等方向发展，不断提升政府服务能力，推进政府治理体系和治理能力现代化。

但作为一种新技术、新模式和新理念，云计算、大数据技术下的政府网站应用在规划、 建设、实施、运维、管理等环节的风险隐患正在发生改变，亟需与之相匹配的规范加以引导和约束。

开展该标准的修订工作，完善技术措施、丰富安全管理保障要求，以有效应对政府网站入云等新型运营模式，以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势，切实保障政府网站系统安全运行，着力解决当前政府网站类安全标准内容交叉、技术滞后等问题。

范围：本标准对GB/T 31506-2015《信息安全技术 政府门户网站系统安全技术指南》进行修订，规定了政府网站系统的安全技术和安全管理控制措施。 主要技术内容：1.结构调整：拟将原标准中基本级技术措施和增强级技术内容合并，以加粗方式体现级差内容，新增加“安全管理措施”章节。另外，拟调整原标准中“安全技术措施”的结构，并且修改具体技术措施相关要求。原标准中技术措施包括运行支撑、物理安全、边界安全、服务器安全、管理终端安全、web应用安全、域名安全、内容发布及数据安全、攻击防范、安全监控与应急响应，修订后的技术措施内容包括运行支撑、基础设施安全、通用软件安全、应用安全、管理终端安全、数据安全、域名安全和移动安全。2.内容调整：拟调整原标准中“运行支撑”章节的内容为部署安全、性能保障，以及新增集中安全管理方面的恶意代码防范、补丁管理、安全审计方面的内容；调整原标准中物理安全、边界安全、服务器安全内容为机房、网络、边界、设备安全；调整原标准中数据库安全、中间件安全内容为开源软件组件安全方面的相关内容；根据现有国家政策和标准对域名备案、变更、监测、评估等方面的要求，修改原标准中域名安全部门的内容。3.新增内容：拟在原标准Web应用安全内容的基础上，新增密钥使用、网站交互逻辑、网站接口使用等内容；在原标准管理终端安全内容的基础上，新增云计算平台管理等内容；在原标准数据安全内容的基础上，新增网站标识使用、个人信息安全保护等内容；新增移动安全方面的内容。4.附录调整：拟删除原附录A高级安全技术措施，调整后的附录内容为政府网站系统典型构成。