Die chinesische Provinz Henan veröffentlicht Sicherheitsleitfaden für die Entwicklung von Regierungsinformationssystemen_Weltnachrichten

Die chinesische Provinz Henan veröffentlicht Sicherheitsleitfaden für die Entwicklung von Regierungsinformationssystemen

2026-05-07 15:25

Merken

de.wedoany.com-Bericht: Die Behörde für administrative Genehmigung und Regierungsinformationsmanagement der Provinz Henan hat am 3. April 2026 offiziell den „Leitfaden zum Sicherheitsmanagement bei der Entwicklung nicht-geheimer Regierungsinformationssysteme" herausgegeben und am 6. Mai eine politische Interpretation dazu veröffentlicht. Der Leitfaden umfasst 6 Kapitel mit 29 Artikeln und bettet Sicherheitskontrollen in den gesamten Prozess der Planung, des Designs, der Entwicklung, des Testens und der Inbetriebnahme nicht-geheimer Regierungsinformationssysteme ein, wodurch ein Sicherheitsmanagementsystem aufgebaut wird, das den gesamten Lebenszyklus der Systementwicklung abdeckt.

Die Einführung des Leitfadens ist eine direkte Reaktion auf die stetig steigenden Sicherheitsrisiken der digitalen Verwaltung. Mit der fortschreitenden Vernetzung von Regierungsinformationssystemen und der zunehmenden Datenaggregation bedroht ein Sicherheitsverlust dieser Systeme unmittelbar den Regierungsbetrieb, die Privatsphäre der Bürger und sogar die nationale Sicherheit. Auf der Grundlage eingehender Untersuchungen und mehrerer Diskussionsrunden hat die Provinz Henan die grundsätzlichen Regelungen auf nationaler Ebene zu Cybersicherheit, Datensicherheit und kryptografischen Anwendungen in operable und umsetzbare konkrete Spezifikationen umgewandelt und damit den lange unterschätzten Risikoeintrittspunkt fehlender Sicherheitskontrollen in der Entwicklungsphase geschlossen.

Das Kernprinzip des Leitfadens fordert „synchrone Planung, synchrones Design, synchronen Aufbau, synchrone Abnahme und synchrone Nutzung". Dies bedeutet, dass der Sicherheitsschutz parallel zur Systementwicklung vorangetrieben werden muss und nicht erst nach der Inbetriebnahme des Systems nachgeholt werden darf. Der Leitfaden verbietet ausdrücklich den „fehlerhaften Betrieb" von Regierungsinformationssystemen, die keine Sicherheitsprüfung durchlaufen haben oder die Sicherheitsanforderungen nicht erfüllen. Systeme, die Dienstgeheimnisse betreffen, müssen zudem die entsprechenden Vorschriften zur Geheimhaltungsverwaltung einhalten.

Der Aufbau eines Verantwortungssystems ist ein weiterer Kernaspekt. Der Leitfaden konkretisiert nach dem Grundsatz „Wer baut, ist verantwortlich; wer beteiligt ist, ist verantwortlich" die Sicherheitsmanagementpflichten der drei Hauptakteure – Bauherr, Planer und Auftragnehmer – und schafft ein synergetisches und effizientes Sicherheitsverantwortungssystem für die Entwicklung von Regierungsinformationssystemen. Der Bauherr trägt die Hauptverantwortung für die Netz- und Datensicherheit des Regierungsinformationssystems, während Planer und Auftragnehmer jeweils ihre eigenen Sicherheitsverantwortlichkeiten tragen.

Die Sicherheitsanforderungen in der Planungs- und Entwurfsphase wurden im Leitfaden systematisch detailliert. Der Bauherr muss die Sicherheitsaufsicht über die Entwicklung koordinieren und mehrere Abteilungen wie Kryptografie, Geheimschutz, Cyberspace-Verwaltung und öffentliche Sicherheit abstimmen, um sicherzustellen, dass Anforderungen wie der Geheimschutz, die Kryptografie und die Datensicherheit synchron umgesetzt werden. In Bezug auf den Schutz der Cybersicherheitsstufen muss das Schutzniveau gemäß den entsprechenden Einstufungsrichtlinien bestimmt, Schutzmaßnahmen entsprechend den grundlegenden Anforderungen geplant und registriert werden. Bei der Kryptografieanwendung müssen klare Compliance-Schutzanforderungen gestellt werden, und das Konzept für die kommerzielle Kryptografieanwendung muss eine Sicherheitsbewertung bestehen, bevor es als Bauunterlage dienen kann.

Datenschutz, Identitätsmanagement und Protokollverwaltung bilden die drei Verteidigungslinien der täglichen Sicherheitsgovernance. Der Leitfaden fordert die Klassifizierung und Einstufung von Daten sowie den Aufbau eines Sicherheitssystems, das den gesamten Datenlebenszyklus abdeckt. Beim Identitätsmanagement ist die Verwendung echter Produktivdaten oder schwacher Passwörter in Entwicklungs- und Testumgebungen verboten. Bei der Protokollverwaltung muss das System über die Fähigkeit zur automatischen Protokollerfassung verfügen, die alle Benutzeraktionen und Systembetriebszustände abdeckt, wobei die Protokolle mindestens sechs Monate aufzubewahren sind.

Die Sicherheitsmaßnahmen in der Test- und Inbetriebnahmephase werden ebenfalls einzeln festgelegt. Vor der Inbetriebnahme muss eine externe Organisation mit Sicherheitstests beauftragt werden, um Anwendungssicherheitsmängel, Software-Lieferkettenrisiken und unsichere Konfigurationen zu erkennen. Gleichzeitig sind die Sicherheitsbewertung der kommerziellen Kryptografieanwendung und die Prüfung des Cybersicherheitsstufenschutzes abzuschließen. Kritische Infrastrukturen müssen zudem eine Sicherheitsprüfung und -bewertung durchlaufen. Bei der Inbetriebnahme sind die Berechtigungen des Bereitstellungspersonals zu kontrollieren und die Versionen strikt zu verwalten, um sicherzustellen, dass die Bereitstellungsumgebung mit der tatsächlichen Betriebsumgebung übereinstimmt und unbefugte Änderungen verhindert werden.

Aus Sicht der politischen Entwicklung wurde der Leitfaden Ende November 2025 zur öffentlichen Kommentierung freigegeben und nach fast fünfmonatiger Überarbeitung und Verbesserung offiziell veröffentlicht. Dies zeigt, dass die Provinz Henan im Bereich der Sicherheitsgovernance von Regierungsinformationssystemen von der makroökonomischen Anleitung in die Phase der detaillierten operativen Spezifikationen übergegangen ist. Der Leitfaden bildet abstrakte Bestimmungen aus übergeordneten Gesetzen und Vorschriften wie dem Cybersicherheitsgesetz der Volksrepublik China, dem Datensicherheitsgesetz der Volksrepublik China, dem Gesetz zum Schutz personenbezogener Daten der Volksrepublik China, der Verordnung zum Schutz der Sicherheit kritischer Informationsinfrastrukturen und den Verwaltungsvorschriften zur Sicherheit von Internet-Regierungsanwendungen einzeln auf konkrete Sicherheitsprüfpunkte und Verantwortungszuweisungen ab. Dies senkt die Hürde für die Sicherheitskonformität der Entwickler vor Ort und bietet gleichzeitig externen Sicherheitsprüf- und Bewertungsstellen eine vergleichbare Bewertungsgrundlage.

Die Veröffentlichung des Leitfadens fällt in eine Zeit, in der der Aufbau der digitalen Verwaltung in China in eine Phase der tiefgreifenden Integration eintritt. Die IT-Systeme auf Kreis- und Stadtebene werden beschleunigt auf die Cloud-Plattformen der Provinzebene migriert, und der Umfang von API-Aufrufen und Datenaustausch zwischen den Systemen nimmt stetig zu, wodurch sich die Sicherheitsrisikofläche rapide ausweitet. Die Provinz Henan hat als erste mit einem normativen Dokument auf Provinzebene eine durchgängige institutionelle Regelung für die Entwicklungssicherheit von Regierungsinformationssystemen getroffen und damit die lange bestehenden strukturellen Defizite im Bereich der Sicherheit von Regierungsinformationssystemen behoben, bei denen „der Bau über die Sicherheit gestellt wurde" und „der Betrieb über die Entwicklung gestellt wurde".

Dieser Artikel wurde von Wedoany übersetzt und bearbeitet. Bei jeglicher Zitierung oder Nutzung durch künstliche Intelligenz (KI) ist die Quellenangabe „Wedoany“ zwingend vorgeschrieben. Sollten Urheberrechtsverletzungen oder andere Probleme vorliegen, bitten wir Sie, uns unverzüglich zu benachrichtigen. Wir werden den entsprechenden Inhalt umgehend anpassen oder löschen.