GB/T 31506-2022 信息安全技术 政务网站系统安全指南.pdf

GB/T 31506-2022 信息安全技术 政务网站系统安全指南.pdf
仅供个人学习
反馈
标准编号:
文件类型:.pdf
资源大小:12.6 M
标准类别:国家标准
资源ID:72487
免费资源

标准规范下载简介

GB/T 31506-2022 信息安全技术 政务网站系统安全指南.pdf简介:

GB/T 31506-2022,全称《信息安全技术 政务网站系统安全指南》,是中国国家标准中的一项信息安全技术规范。该标准主要针对政务网站系统,提供了一套全面的安全管理框架和实施指南,目的是为了保障政务网站的信息安全,防止数据泄露、篡改、丢失,以及确保网站的正常运行和服务质量。

该标准涵盖了政务网站系统安全的多个方面,包括但不限于:安全策略和管理体系、网络与基础设施安全、应用安全、数据安全、访问控制、安全运维、应急响应、安全审计和教育与培训等。它规定了政务网站系统应遵循的最佳实践,帮助企业或机构建立一套科学、系统的信息安全保障措施,以满足法律法规要求,提高网站的安全防护能力。

简而言之,GB/T 31506-2022是为政务网站设计和运行提供安全防护的指导规范,旨在保障政府信息系统的稳定运行,提升公众对政务网站的信任度,同时也是政府信息化建设中不可或缺的一部分。

GB/T 31506-2022 信息安全技术 政务网站系统安全指南.pdf部分内容预览:

GB/T31506—2022

c)利用新技术新应用制作、发布信! 息的,按照国家有关规定开展安全评估; d)对已发布信息的撤销进 散销的及时性和安全性。

政务网站系统的变更管理措施包括: a)建立变更的申报和审批控制程序,明确过程控制方法和人员职责; b)明确变更需求GB/T 4171-2008 耐候结构钢,变更前制定变更方案,变更方案经过审批后方可实施,记录变更实施过程; C)建立中止变更和变更恢复程序,依据程序控制所有的变更,必要时对恢复过程进行演练。

政务网站系统的评估检查安全管理措施包括: a 根据国家等级保护管理规定,政务网站系统开通前、运行期间,以及当应用系统、运行环境等发 生重大变更后,均根据网站系统的备案级别,开展等级保护测评工作; 在网站系统运行过程中,定期开展常规网络安全检查,检查内容包括系统日常运行、系统漏洞 和数据备份情况等,根据政务网站系统安全保障需求,适时开展全面安全检查,检查内容包括 现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;安 全检查实施前,设计安全检查记录表,实施后汇总安全检查数据,形成安全检查报告,并将安全 检查结果告知相关方; 定期或在应用系统或运行环境等发生重大变更(例如,新增栏目或功能,发现新的威胁和漏洞 等)时进行安全风险评估,记录评估结果,形成评估报告,并将评估结果告知相关方,根据安全 风险评估结果,有针对性地对政务网站系统等实施整改,降低安全风险; d)引入第三方机构等方式开展安全服务认证和评估工作,对网站系统服务安全进行评价。

政务网站系统采用密码技术保障安全时,密码安全管理措施包括: ) 采用密码技术解决机密性、完整性、真实性、不可否认性需求的,应遵循国家密码管理相关规定 和标准,其中附录C的基本级安全措施遵循GB/T39786一2021第二级密码应用要求,增强级 安全措施遵循GB/T39786一2021第三级密码应用要求; b) 系统中采购的密码产品或密码服务应通过国家密码管理局核准或通过密码检测认证; ? 系统规划阶段,对系统面临的安全风险和风险控制需求进行分析,明确密码应用需求,编制密 码应用方案,井对方案进行评审; d) 系统建设阶段,按照通过评审的密码应用方案建设密码保障系统,涉及密码应用方案调整优化 的,对调整后的方案再次评审确认; e) 系统投入运行前,委托商用密码应用安全性评估机构开展商用密码应用安全性评估,系统通过 评估后方可正式运行; D 在运行期间定期开展商用密码应用安全性评估

政务网站系统的退出安全管理措施包括: a) 网站系统确需下线时,制定退出协议,明确下线过程中的各角色职责分工,做好应用的注销和 数据留存工作,确保不影响云计算平台、其他应用等正常运行,例如制定下线移交清单,要求外 包服务提供商按时返还应用数据、运行数据信息(包括历史数据和归档数据等),对数据存储介 质、备份介质等进行彻底清理等; b 与外包服务提供商等相关方签订保密协议,明确系统退出后客相关方的保密义务和安全责任 C) 网站系统退出云计算平台时,按照GB/T38249一2019的9.3中规定的有关措施实施防护; d) 系统迁移过程中,按照GB/T31168规定的有关要求实施防护

GB/T315062022

(资料性) 政务网站系统基本结构 政务网站系统采用分层设计思想,从顶层访问到底层环境将网站系统划分四个层次,分别是用户访 问层、应用功能层、信息资源层和基础设施层,其基本结构如图A.1所示

政务网站系统采用分层设计思 竟将网站系统划分四个层次,分别是用

图A.1政务网站系统基本结构

b)应用功能层 应用功能层包括前台应用功能和后台支撑系统。前台应用功能是基于网站开发的应用功能,主要 包括政务公开、在线办事、交流互动、数据开放等;后台支撑系统是为网站应用系统提供产品支持和应用 支撑,包括提供的内容管理及发布系统、运维监测系统、数据交换系统等。 c)·信息资源层 信息资源层主要是针对网站应用的需要,对底层的数据资源进行统一管理。数据库按照应用建设, 主要包括政务公开库、办事服务库、内容发布库和基础库等。 d)基础设施层 IT基础设施主要包括物理机房、网络系统、安全系统、服务器、存储系统,以及配套的操作系统、软 件、数据库等。

GB/T315062022

政务网站系统可依据其行政级别、访问量、注册用户数、业务重要度和个人敏感信息等选择相 级别的安全措施《城市污水再生利用 景观环境用水水质 GB/T18921-2002》,见表B.1。其中,满足任意一条级别选择指标要求的政务网站系统,均宜选择 安全措施集。

表B.1政务网站系统安全措施级别选择方法

GB/T31506—2022

政务网站系统编码安全措施见表D.1

DB31/T 1093-2018标准下载D.1政务网站系统编码安全措施表

政务网站系统编码安全指

mationSystemsandOrganizations,2011

©版权声明
相关文章