DB12T 996-2020 共享经济灵活就业人员管理与服务平台基本安全要求

DB12BasicsecurityrequirementsofmanagementandserviceplatformoftheGigWorker天津市市场监督管理委员会发布I本标准起草单位：云账户（天津）共享经济信息咨询有限1共享经济灵活就业人员管理与服务平台基本安全要求本标准规定了共享经济灵活就业人员管理与服务机构在开展各项活动及软件平台开发过程中的安全基本要求，包括系统安全、应用安全、数据安全、管理GB/T22080信息技术安全技术信服务（LBS）等技术手段有效地将需求方和供给方进行最优匹配，对数量庞大的需求方和供给方进行撮合，通过撮合交易达到供需双方收益最大化，具备法人资格的共享经济行业平台型公司。共享经济灵活就业人员管理与服务机构（简称：“管理与服务机构”）managementandservice2以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然注：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、过个人信息或其他信息加工处理后形成的信息，例如，用户画像注：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦4缩略语HIDS：主机入侵检测系统（Host-basedIntrusionDCA：证书授权中心（CertificateAuthoSDL：安全开发生命周期（SecurityPII：个人可识别信息（PersonalIdentiKMS：密钥管理系统（KeyManagementSyste应符合GB/T22239-2019中8应符合GB/T22239-2019中835.4主机要求c)应部署HIDS，对主机的异常操作行为进行安5.5系统可用性要求d)在激活系统、系统投入生产前，删除系a)服务机构应支持与灵活就业人员在线签署具4a)签约服务：应进行姓名、身份证号、银行卡号、手机号四要c)批量结算到银行卡服务：应进行姓名、身份证号、银行卡应保证所服务的灵活就业人员、共享经济平台和管理与服务机构本身的数据个人信息和个人敏感信息分级应按照GB/T35273-2020中附录A和附录B执行。客户、业务、经营管理、监管数据分级宜参考JR/T0197-2020中附录A执行，应根据管理与服务机构的实际情况，对敏感数据进一步分级。敏感数据的分级宜以下列内容a)一级敏感数据包括个人敏感信息(如银行账户、手机号、身份证号)、系统级配置信息(如数据库b)二级敏感数据包括脱敏的订单和用户数据c)三级敏感数据包括统计类数据，如5管理与服务机构管理人员访问灵活就业人员信息应符合GB/T22239-2019中8.1.4.2和8.1.4.3的相据统计分析、数据可视化等。根据管理与服务机构为灵活就业人员提供共享经济综合服务时的实际情注：明示同意是指个人信息主体通过书面声明或主动做出肯定性动作，对“发送”等。注：桌面虚拟化环境指将操作系统桌面安装、运营环境，操作和显示环境操作系统桌面。客户端只传输鼠标键盘动作和接受显示画面，实现数据终端本地不存储任何用户数据，本地终端对应的硬件接口可被禁用，如USB、CD-ROM等外设接口。外发网络数c)提供异地实时备份功能，并具有相应的d)对运行关键业务的服务器采用集群结构，有主备机制应符合GB/T37973-2019中86保障工作。信息安全团队中技术人员应具备信息安全相关工应符合GB/T22239-2019中8.1.10要求。在使用云计算环境时，应符合GB/T22239-2019中8.2.6、和安装。对于通用软件和组件，统一制定安全配置策略口统一使用堡垒机作为唯一入口，堡垒机应具备审计功能，便于事后追踪。核心系统对外应a)安全漏洞的生命周期和漏洞管理应符合GB/T30276-202)代码审核应确保代码的开发符合安4)代码审查结果在发布前应已经由管理人员审核警，应及时进行安全预警和补丁升级，预防潜应确保所有病毒查杀机制病毒库保持为最新，执行定期扫描，生成检查7流程、应急组织及职责以及事前事后培训等，事件分类分级宜参考GB/Z包括但不限于