DB3205-T 1129-2024 法人服务总入口运行管理规范

CCSA10苏州市DB32052024-08-09发布苏州市市场监督管理局发布DB3205/T1129—2024前言 2规范性引用文件 3术语和定义 4总体要求 4.1职责清晰 4.2流程规范 4.3标准统一 4.4运行安全 5运行管理框架 5.1运行管理参与主体 5.2运行管理总体框架 6接入管理 6.1接入范围 6.2接入流程 6.3对接方式 6.4服务监控 7运营管理 7.1用户管理 7.2服务管理 8安全管理 8.1基本要求 8.2运营单位 8.3服务提供单位 9监督与评价 9.1监督管理 9.2服务评价 附录A（规范性）接入服务上线发布备案表格式 8参考文献 DB3205/T1129—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由苏州市数据局提出并归口。本文件起草单位：苏州市信息中心、苏州市大数据集团有限公司。本文件主要起草人：过岱彦、吴俊军、袁振东、陆静波、方亮、沈志岗、侯冠旭、杨卿、孙诗帆、管浩霖。DB3205/T1129—2024法人服务总入口运行管理规范本文件规定了法人服务总入口运行管理的总体要求、运行管理框架、接入管理、运营管理、安全管理和监督与评价的要求。本文件适用于苏州市服务法人及非法人组织相关事项服务接入法人服务总入口的运行管理。2规范性引用文件下列文件中的内容通过文中的规范性引用文件而构成本文件必不可少的条款。其中，注日期的引用文件，仅所注日期的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T28449-2018信息安全技术网络安全等级保护测评过程指南C0115-2018国家政务服务平台安全接入检测要求C0116-2018国家政务服务平台网络安全保障要求3术语和定义下列术语和定义适用于本文件。3.1法人服务总入口Suzhoulegalpersonservicemainentrance苏州市人民政府正式发布的以法人及非法人组织为服务对象，以“苏商通”为载体，提供相关行政权力事项和公共服务事项等服务的总入口。3.2法人legalperson具有民事权利能力和民事行为能力，依法独立享有民事权利和承担民事义务的组织。[来源：民法典，第五十七条]3.3管理单位managementunit法人服务总入口的主管单位，拥有法人服务总入口的管理权、使用权，统一管理法人服务总入口的运行管理工作。3.4运营单位operationunit法人服务总入口的日常运营机构，为管理单位和服务提供单位、用户提供相关技术支持服务。2DB3205/T1129—20243.5服务提供单位serviceprovider依法通过法人服务总入口提供行政权力事项、公共服务事项等服务入口的机构。3.6用户user法人服务总入口的使用单位、机构或个人。4总体要求4.1职责清晰明确划分法人服务总入口运行管理过程中各参与主体的职责边界，管理单位负责统筹法人服务总入口的运行管理工作，运营单位负责法人服务总入口的运营管理及维护，服务提供单位负责接入服务的运营管理及维护，用户负责使用服务与评价。4.2流程规范运营单位应按照管理单位要求对法人服务总入口的接入服务制定统一接入流程，服务提供单位应按照流程规范发起服务接入申请，执行服务上架工作。4.3标准统一运营单位应按照管理单位要求对法人服务总入口制定统一的运行、维护、管理标准，应从技术上制定服务运行质量标准，切实保障运行稳定。4.4运行安全运营单位、服务提供单位应严格按照国家网络安全法律法规要求，落实网络安全等级保护制度、网络安全监测预警通报制度和个人信息保护制度，提升防病毒、防攻击、防篡改、防瘫痪能力，保障运行安全。5运行管理框架5.1运行管理参与主体法人服务总入口的运行管理主体应包含管理单位、运营单位、服务提供单位和用户，职责划分如下：a）管理单位：对法人服务总入口的整体运行管理情况进行监督管理；b）运营单位：为法人服务总入口的运行管理提供相关技术支持及运营服务；c）服务提供单位：为接入法人服务总入口的服务提供相关技术支持服务；d）用户：使用服务及评价。5.2运行管理总体框架法人服务总入口运行管理框架如图1所示。DB3205/T1129—2024图1运行管理框架图6接入管理6.1接入范围法人服务总入口的接入范围应包括：a）纵向对接江苏省政务服务网、苏州市各县级市(区)依法依规向法人提供的服务事项；b）横向接入苏州市各委办局依法依规向法人提供的服务事项；c）其他社会组织、行业协会等向法人提供的，经管理单位审核批准的服务事项。6.2接入流程6.2.1接入流程图接入流程图见图2。4DB3205/T1129—2024图2接入流程图6.2.2接入申请服务提供单位梳理服务场景，应根据梳理情况，按附录A填写《接入服务上线发布备案表》。5DB3205/T1129—20246.2.3接入审核服务提供单位将备案表提交至管理单位，管理单位应对服务接入申请进行审核，并回复审核结果。6.2.4环境准备审核通过后，运营单位应为服务提供单位分配法人服务总入口管理账号，用于入驻服务接口访问，并将平台地址、账号密码、接入指南以及相关帮助文档回复至服务提供单位，通知相关单位进行接入准6.2.5接入联调运营单位应按照规范性文档，在法人服务总入口接入第三方服务，服务提供单位应配合对接入的服务进行双方联调。6.2.6上线发布运营单位应按照上线发布规则，完成联调测试成功服务的上线发布。6.3对接方式6.3.1服务提供单位应通过移动互联网端或互联网端将服务接入法人服务总入口。6.3.2服务提供单位在接入法人服务总入口时，应符合如下要求：a）调用服务接口时，采取加密措施；b）服务接口支持HTTPS协议方式或SDK方式；c）提供服务请求成功、失败等各种情况的接口返回代码。6.4服务监控运营单位应对接入服务的兼容性、可用性、安全性等进行统一监控管理，定期在用户体验、接口稳定、数据安全等方面对服务进行巡检，应符合如下要求：a）监测信息可用性；b）检查服务稳定性；c）监测分析访问数据；d）制定可行的故障应急预案。7运营管理7.1用户管理7.1.1用户注册法人服务总入口应对注册用户进行分级管理，根据认证信息划分用户级别：a）L3等级的用户：经实名认证并关联名下企业，具备法人用户权限的账户；b）L2等级的用户：经过实名认证的自然人账户；c）L1等级的用户：未经过实名认证的匿名账户。7.1.2用户授权法人服务总入口应向注册用户提供法人、管理员、办事人三种不同角色，法人对管理员、办事人进6DB3205/T1129—2024行管理授权，管理员对办事人进行管理授权。7.1.3用户体系对接运营单位应制定用户身份认证体系对接说明，协助接入服务与法人服务总入口进行用户身份认证体系对接：a）自建用户体系的服务，应与法人服务总入口的用户身份认证体系对接互认；b）使用江苏省政务服务网或者国家电子营业执照用户体系的服务，应与法人服务总入口的用户身份认证体系对接联调。7.2服务管理7.2.1服务上线服务提供单位应向管理单位提出服务上线申请，由运营单位协助实施接入，按管理单位规定测试合格并经管理单位审核批准后，发布服务上线公告，予以安排上线。7.2.2服务暂停因系统故障或维护等原因导致服务临时不可使用的，服务提供单位应提前向管理单位提出暂停申请及计划恢复上线时间。经管理单位确认后，将应用临时下线，必要时应发布停用公告。7.2.3服务恢复暂停的应用具备恢复条件后，服务提供单位应告知管理单位予以恢复上线，若所暂停事项涉及事项开发改造，恢复上线前应重新进行事项同源核对及录入。按管理单位规定测试合格并经管理单位审核批准后，运营单位方可协助重新接入平台，发布服务恢复公告，安排服务恢复。7.2.4服务下线服务提供单位如有应用需要下线，应提前十个工作日报备至管理单位，经管理单位确认后，发布相应下线公告，予以安排下线。7.3日常运维7.3.1运行监控运营单位应落实日常运行监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施，并按照规定留存六个月以上相关日志。每季度应开展日志分析审计，及时发现用户异常操作行为。7.3.2风险评估运营单位应及时识别网络安全漏洞和风险隐患。每季度开展漏洞扫描、渗透测试和平台管理员账号权限复核，每年度及重点时期开展风险评估，及时整改发现的安全问题及隐患，并将风险评估结果向管理单位备案。7.3.3风险处置当发生安全事件时，运营单位应按安全保障方案实施处置，并在两小时内通知管理单位，不可迟报、漏报、瞒报、谎报。报告安全事件时，应列明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和整改措施。7DB3205/T1129—20248安全管理8.1基本要求8.1.1运营单位和服务提供单位应制定详细的安全技术规范，覆盖物理安全、网络安全、主机安全、数据安全和应用安全等方面。内容应符合GB/T22239-2019、GB/T28448-2019、GB/T28449-2018、C0115-2018、C0116-2018的要求。8.1.2网络安全等级保护应不低于GB/T22239-2019中第三级安全要求。8.2运营单位运营单位应组织编制安全保障方案，并报管理单位审定。运营单位应组建专业专职的安全运营保障团队，从安全防护与预警、安全监控与分析、事件响应及处置等方面提供安全保障。8.3服务提供单位服务提供单位应负责接入应用服务自身安全性，应满足以下要求：a）应按照网络安全等级保护要求，采取必要的安全技术和管理措施保障应用的安全性；b）应用服务在接入法人服务总入口前和后续的迭代更新时，应对接入的应用以及承载应用系统和数据的服务器采用漏洞扫描、渗透测试等技术进行安全评估，并根据安全评估结果进行加固，确保无高中风险漏洞后方可在法人服务总入口上线，并应将应用服务安全评估报告向运营单位备案；c）如涉及第三方服务商，服务提供单位应与第三方服务商签署保密承诺责任书，对第三方人员的账号权限进行安全管理，对第三方人员的操作进行记录审计。9监督与评价9.1监督管理管理单位应指导运营单位设立意见反馈与投诉渠道，收集法人等服务对象意见，接受社会监督，接受同级单位及上级主管部门的业务指导和工作评价。9.2服务评价运营单位应对法人服务总入口接入的服务制定相应的考核评价标准。8DB3205/T1129—2024（规范性）接入服务上线发布备案表格式接入服务上线发布备案表格式见表A.1。表A.1接入服务上线发布备案表类别具体内容服务名称服务类型□政务服务□公共服务□市场服务□其它服务类型业务权限□业务查看□业务办理□关键业务服务说明覆盖区域□已经覆盖10个县级市（区）□上线时覆盖的县级市（区）有，其他县级市（区）完成覆盖的时间进度是注：“县级市（区）服务”模块只需填写所在县级市（区）：接入方式支持并发数正式地址操作手册DB3205/T1129—2024表A.1接入服务上线发布备案表（续）类别具体内容计划发布时间业务流程图网络安全保障方案开发单位功能描述和特色亮点常见问答知识库审核意见签字