DB34-T 3682-2020 智慧城市 政务信息资源安全管理规范-高清现行

ICS35.240.99L80

DB34安 徽 省 地 方 标 准DB34/T3682—2020智慧城市政务信息资源安全管理规范文稿版次选择Smartcity-GovernmentinformationresourceSecuritymanagementspecifications文稿版次选择20202020080320200903安徽省市场监督管理局发布DB34/T3682—2020前言本标准按照GB/T1.1-2009给出的规则起草。本标准由芜湖市数据资源管理局提出。本标准由安徽省信息技术标准化技术委员会归口。本标准起草单位：安徽云图信息技术有限公司、芜湖市信息资源管理中心、芜湖市标准化研究院、芜湖市数据资源管理局、芜湖市市场监督管理局。许宇振。IIDB34/T3682DB34/T3682—2020DB34/T3682DB34/T3682—2020智慧城市政务信息资源安全管理规范范围本标准规定了政务信息资源安全管理的角色与职责、通用要求、数据生命周期安全。本标准适用于集中的政务信息资源全生命周期的安全管理。规范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T35274信息安全技术大数据服务安全能力要求术语和定义GB/T35274界定的以及下列术语和定义适用于本文件。3.13.1政务部门governmentdepartmentandpublicinstitution政府部门及法律法规授权具有行政职能的事业单位和社会组织。3.2政务信息资源governmentinformationresource信息系统形成的信息资源等。3.3政务信息资源共享governmentinformationresourcesharing通过数据服务对集中管理的政务信息资源进行使用。4角色与职责概述分，有效降低活动过程中存在的安全风险。管理者角色与职责1管理者角色与职责包括但不限于：——负责统筹、协调、指导和监督本单位政务信息资源管理工作；——制定并定期评审、修订、监督和检查政务信息资源管理制度和技术规范；求和行业应用需求。提供者角色与职责提供者角色与职责包括但不限于：——为使用者提供本单位政务信息资源；——采取安全技术手段和管理措施，保障政务信息资源安全；——配合相关部门开展政务信息资源安全检查和事件调查。使用者角色与职责使用者角色与职责包括但不限于：——依规、按需申请政务信息资源；——在授权范围内对共享的政务信息资源进行使用；——按照法律法规以及与政务信息资源提供者的约定等要求，保障政务信息资源安全。通用要求操作安全操作安全包括但不限于：和审计；——应及时更新系统、网络、设备的维护、安装、备份等过程的操作手册，确保操作的平稳和规范。访问控制安全访问权限管理访问权限管理包括但不限于：——应按最小授权原则分配用户权限；确用户访问权限的授予、变更、撤销等流程，确保所有的资源使用经过授权和审批；及时调整人员变化所涉及的账号权限的赋权、更改和回收等；——应对政务信息资源访问用户进行身份鉴别和鉴权，防止未授权的访问操作风险。账号管理账号管理包括但不限于：——应建立用户账号管理制度，对账号的申请、审批、设立、注销等流程进行管控；——账号仅限本人使用。用户应对自己的账号及口令严格保密，并定期修改口令。访问控制审计2应对政务信息资源访问操作进行记录和审计。数据服务供应商安全数据服务供应商安全包括但不限于：——应建立数据服务供应商安全管理制度，明确数据服务供应商的安全责任和义务；密约定等。数据服务供应商的工作人员应进行安全培训；——应建立数据服务供应商监督审核机制，对其行为进行记录，并对其行为合规性进行审核与监督。终端安全终端安全包括但不限于：——应制定政务信息资源终端安全管理制度，明确终端上的政务信息资源安全管理要求；安全。运营安全安全风险评估实现对资源安全风险的持续可控。应急处置应急处置应急处置包括但不限于：——应建立政务信息资源安全事件应急管理制度，明确应急工作管理机构和职责；速响应和处理；——政务信息资源安全事件发生后，应立即启动应急预案，并向主管部门报告。专项检查专项检查包括但不限于：全管理机制的有效性，提出问题和改进建议，并督促整改；——应建立安全事件处置规范检查机制，对安全事件处置情况进行审查，包括查阅事件处置报告、监管。6数据生命周期安全环节数据生命周期安全管理包括采集、传输、存储、处理、共享、销毁等环节。采集3采集安全包括但不限于：——采集自然人、法人信息及相关政务信息资源，应遵循合法、正当、必要的原则；围、采集源、采集渠道等内容；息资源的安全；——应建立政务信息资源采集记录，并定期审计。传输传输安全包括但不限于：——在政务信息资源传输的过程中，宜进行数据加密传输；——凡是涉及到国家重要信息、企业机密信息和个人隐私信息的数据传输场景，应进行加密传输；存储存储位置政务信息资源应当在中华人民共和国境内存储。备份与恢复案，保证关键业务的连续性；宜做到同城双中心加异地灾备中心的容灾备份。加密存储应制定政务信息资源的加密存储要求，明确加密存储的数据类别。存储介质存储介质安全包括但不限于：存储介质进行安全管理和维护；等，并对过程进行审批和记录。处理处理安全包括但不限于：——应制定政务信息资源处理操作规范和实施指南，明确数据的来源、授权使用范围和保护要求；——应在实际业务需求以及授权使用范围内对政务信息资源进行使用和分析；——应明确政务信息资源脱敏处理的应用场景、处理方法及审计要求，对脱敏过程进行记录；——应建立政务信息资源处理结果输出及使用的安全审查和授权流程；——应对各类政务信息资源处理操作进行严格、详细的记录，形成完整的处理记录。共享4原则应遵循按需共享、最小授权的原则。过程控制控制过程包括但不限于：——应对共享的申请、审核、授权、登记、变更、注销等过程进行控制；——在共享前，应对政务信息资源使用者的安全防护能力进行评估；容、使用期限、使用范围以及双方的权利、义务和责任；程中的敏感信息；——应建立政务信息资源共享过程监控和审计机制，明确过程记录要求，对数据使用范围定期审计。接口接口安全包括但不限于：用途、范围等内容，对接口调用方的行为进行合法性和正当性约束；——应对政务信息资源接口调用进行记录，并定期审计接口调用情况。销毁和监督。5参考文献/