标准规范下载简介
DB34/T 3682-2020 智慧城市 政务信息资源安全管理规范.pdf简介:
DB34/T 3682-2020《智慧城市 政务信息资源安全管理规范》是一份由中国地方标准(DB34)制定的行业技术标准。这份标准主要针对智慧城市环境下政务信息资源的安全管理,旨在提供一套详细的指导原则和操作规范,以确保政务数据的安全、可靠和有效运行。它涵盖了信息安全策略的制定、信息资产的保护、访问控制、安全审计、应急预案等方面,目的是提升智慧城市政务信息安全水平,防范信息安全风险,保障公民个人信息和政府信息安全。对于参与智慧城市建设的相关部门和机构来说,这是一个重要的参考标准,帮助他们确保在数字化政务过程中符合安全合规的要求。
DB34/T 3682-2020 智慧城市 政务信息资源安全管理规范.pdf部分内容预览:
安徽省市场监督管理局 发布
市政务信息资源安全管理规
《混凝土和钢筋混凝土排水管 GB/T 11836-2009》本标准规定了政务信息资源安全管理的角色 与职责、通用要求、数据生命周期安全。 本标准适用于集中的政务信 安全管理
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T35274信息安全技术大数据服务安全能力要求
GB/T35274界定的以及下列术语和定义适用于本文件。 3.1 政务部门governmentdepartmentandpublicinstitution 政府部门及法律法规授权具有行政职能的事业单位和社会组织。 3.2 政务信息资源governmentinformationresource 政务部门在履行职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各 类信息资源,包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务 信息系统形成的信息资源等。
政务信息资源共享governmentinformationresourcesharing 通过数据服务对集中管理的政务信息资源进行使用。
政务信息资源安全管理过程应建立与其活动相适应的管理体系,明确各活动过程中的角色与联 ,有效降低活动过程中存在的安全风险
4.2管理者角色与职责
DB34/T36822020
管理者角色与职责包括但不限于: 负责统筹、协调、指导和监督本单位政务信息资源管理工作; 制定并定期评审、修订、监督和检查政务信息资源管理制度和技术规范; 建立政务信息资源安全保障体系,保障本单位政务信息资源安全以及各有关单位的数据共享需 求和行业应用需求。
4.3提供者角色与职责
4.4使用者角色与职责
使用者角色与职责包括但不限于: 依规、按需申请政务信息资源: 在授权范围内对共享的政务信息资源进行使用; 按照法律法规以及与政务信息资源提供者的约定等要求,保障政务信息资源安全。
操作安全包括但不限于: 应制定数据生命周期各阶段政务信息资源操作的记录规范和监管要求,对操作进行记录、监管 和审计; 应及时更新系统、网络、设备的维护、安装、备份等过程的操作手册,确保操作的平稳和规范。
5.2.1访问权限管理
访问权限管理包括但不限于: 应按最小授权原则分配用户权限;V 应制定整体的政务信息资源权限管理制度,对访问者身份及访问权限提出明确的管理要求。明 确用户访问权限的授予、变更、撤销等流程,确保所有的资源使用经过授权和审批; 应制定政务信息资源安全访问控制策略,建立授权控制机制,定期评审用户和访问权限的设置。 及时调整人员变化所涉及的账号权限的赋权、更改和回收等; 应对政务信息资源访问用户进行身份鉴别和鉴权,防止未授权的访问操作风险
账号管理包括但不限于: 应建立用户账号管理制度,对账号的申请、审批、设立、注销等流程进行管控; 账号仅限本人使用。用户应对自已的账号及口令严格保密,并定期修改口令。
5. 2. 3访问控制审计
应对政务信息资源访问操作进行记录和审计
5.3数据服务供应商安全
数据服务供应商安全包括但不限于: 应建立数据服务供应商安全管理制度,明确数据服务供应商的安全责任和义务; 数据服务供应商及人员应签订保密协议,协议应明确政务信息资源的使用目的、供应方式、保 密约定等。数据服务供应商的工作人员应进行安全培训; 应建立数据服务供应商监督审核机制,对其行为进行记录,并对其行为合规性进行审核与监督。
终端安全包括但不限于: 一应制定政务信息资源终端安全管理制度,明确终端上的政务信息资源安全管理要求; 应建立整体的终端安全控制措施,对终端上的资源进行风险监控,保障终端上的政务信息资源 安全。
5.5.1安全风险评估
应建立政务信息资源安全风险评估机制,结合监督检查政务信息资源安全责任落实的情况,周 织开展政务信息资源安全风险评估,发布安全风险评估报告。根据风险评估报告制定并落实安全指 现对资源安全风险的持续可控
据生命周期安全管理包括采集、传输、存储、处理、共享、销毁等环
DB34/T36822020
采集安全包括但不限于: 采集自然人、法人信息及相关政务信息资源,应遵循合法、正当、必要的原则; 应建立政务信息资源采集安全合规管理规范,明确采集政务信息资源的目的、用途、方式、范 围、采集源、采集渠道等内容; 应建立政务信息资源采集过程中的安全控制方案,如数据源管理、数据校验等保证数据源真实 有效,数据脱敏、数据加密、链路加密等防止数据被窃取、篡改等安全措施,保障采集政务信 息资源的安全; 应建立政务信息资源采集记录,并定期审计。
传输安全包括但不限于: 在政务信息资源传输的过程中,宜进行数据加密传输: 凡是涉及到国家重要信息、企业机密信息和个人隐私信息的数据传输场景,应进行加密传输; 明确数据加密传输的业务场景及加密传输要求。评估数据传输安全风险,制定相应的数据传输 安全策略和审批流程。当数据传输安全策略调整时,应对保护措施进行及时变更和审核监控。
6. 4. 1存储位置
政务信息资源应当在中华人民共和国境内存储
应建立重要系统和核心数据的容灾备份机制,明确业务、系统和数据的恢复目标以及相应的恢复预 案,保证关键业务的连续性:宜做到同城双中心加异地灾备中心的容灾备份
应制定政务信息资源的加密存储要求,明确加密存储的数据类别。
存储介质安全包括但不限于: 应制定存储介质安全管理规范SY∕T 4097-1995滩海斜坡式砂石人工岛结构设计与施工技术规范,明确存储介质分类、使用场景、安全管理要求等。按照规范对 存储介质进行安全管理和维护; 应制定介质的管理流程,包括介质领用、介质安全检查、介质维修、介质数据销毁和介质报废 等,并对过程进行审批和记录
处理安全包括但不限于: 应制定政务信息资源处理操作规范和实施指南,明确数据的来源、授权使用范围和保护要求; 应在实际业务需求以及授权使用范围内对政务信息资源进行使用和分析;人 应明确政务信息资源脱敏处理的应用场景、处理方法及审计要求,对脱敏过程进行记录; 应建立政务信息资源处理结果输出及使用的安全审查和授权流程; 应对各类政务信息资源处理操作进行严格、详细的记录,形成完整的处理记录。
应遵循按需共享、最小授权的原则。
6. 6. 2 过程控制
控制过程包括但不限于: 应对共享的申请、审核、授权、登记、变更、注销等过程进行控制; 在共享前,应对政务信息资源使用者的安全防护能力进行评估: 政务信息资源提供者应与使用者签订相关协议,协议的内容包括但不限于:共享方式、共享内 容、使用期限、使用范围以及双方的权利、义务和责任; 应制定政务信息资源共享的保护措施,包括但不限于数据加密、安全通道等,保护资源共享过 程中的敏感信息; 应建立政务信息资源共享过程监控和审计机制,明确过程记录要求,对数据使用范围定期审计。
接口安全包括但不限于: 应制定政务信息资源服务接口安全规范、策略和控制措施。明确政务信息资源接口调用的目的、 用途、范围等内容,对接口调用方的行为进行合法性和正当性约束; 应对政务信息资源接口调用进行记录,并定期审计接口调用情况,
应建立政务信息资源销毁机制,明确资源销毁方式和要求,并对资源销毁审批和销毁过程进行记录 和监督。
DB34/T36822020
DB510100∕T 207-2016 大弯矩方形钢筋混凝土电杆[1]中华人民共和国网络安全法 2]关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释(法释(2017)10号) 3]政务信息资源共享管理暂行办法(国发(2016)51号) 4】安徽省计算机信息系统安全保护办法(安徽省人民政府令第175号修订) 5】安徽省政务信息资源共享管理暂行办法(皖政办(2017)17号)