ICS35.240.99

L80

DB34

安徽省地方標(biāo)準(zhǔn)

DB34/T3682—2020

智慧城市政務(wù)信息資源安全管理規(guī)范

Smartcity-GovernmentinformationresourceSecuritymanagementspecifications

文稿版次選擇

2020-08-03發(fā)布2020-09-03實施

安徽省市場監(jiān)督管理局發(fā)布

DB34/T3682—2020

前言

本標(biāo)準(zhǔn)按照GB/T1.1-2009給出的規(guī)則起草。

本標(biāo)準(zhǔn)由蕪湖市數(shù)據(jù)資源管理局提出。

本標(biāo)準(zhǔn)由安徽省信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會歸口。

本標(biāo)準(zhǔn)起草單位：安徽云圖信息技術(shù)有限公司、蕪湖市信息資源管理中心、蕪湖市標(biāo)準(zhǔn)化研究院、

蕪湖市數(shù)據(jù)資源管理局、蕪湖市市場監(jiān)督管理局。

本標(biāo)準(zhǔn)主要起草人：關(guān)中華、項宇欣、鄭美惠、黃皓峰、魯雅婷、王雨晨、李雪梅、黃麗娟、方堅、

許宇振。

I

DB34/T3682—2020

智慧城市政務(wù)信息資源安全管理規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了政務(wù)信息資源安全管理的角色與職責(zé)、通用要求、數(shù)據(jù)生命周期安全。

本標(biāo)準(zhǔn)適用于集中的政務(wù)信息資源全生命周期的安全管理。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T35274信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求

3術(shù)語和定義

GB/T35274界定的以及下列術(shù)語和定義適用于本文件。

3.1

政務(wù)部門governmentdepartmentandpublicinstitution

政府部門及法律法規(guī)授權(quán)具有行政職能的事業(yè)單位和社會組織。

3.2

政務(wù)信息資源governmentinformationresource

政務(wù)部門在履行職責(zé)過程中制作或獲取的，以一定形式記錄、保存的文件、資料、圖表和數(shù)據(jù)等各

類信息資源，包括政務(wù)部門直接或通過第三方依法采集的、依法授權(quán)管理的和因履行職責(zé)需要依托政務(wù)

信息系統(tǒng)形成的信息資源等。

3.3

政務(wù)信息資源共享governmentinformationresourcesharing

通過數(shù)據(jù)服務(wù)對集中管理的政務(wù)信息資源進行使用。

4角色與職責(zé)

4.1概述

政務(wù)信息資源安全管理過程應(yīng)建立與其活動相適應(yīng)的管理體系，明確各活動過程中的角色與職責(zé)劃

分，有效降低活動過程中存在的安全風(fēng)險。

4.2管理者角色與職責(zé)

1

DB34/T3682—2020

管理者角色與職責(zé)包括但不限于：

——負責(zé)統(tǒng)籌、協(xié)調(diào)、指導(dǎo)和監(jiān)督本單位政務(wù)信息資源管理工作；

——制定并定期評審、修訂、監(jiān)督和檢查政務(wù)信息資源管理制度和技術(shù)規(guī)范；

——建立政務(wù)信息資源安全保障體系，保障本單位政務(wù)信息資源安全以及各有關(guān)單位的數(shù)據(jù)共享需

求和行業(yè)應(yīng)用需求。

4.3提供者角色與職責(zé)

提供者角色與職責(zé)包括但不限于：

——為使用者提供本單位政務(wù)信息資源；

——采取安全技術(shù)手段和管理措施，保障政務(wù)信息資源安全；

——配合相關(guān)部門開展政務(wù)信息資源安全檢查和事件調(diào)查。

4.4使用者角色與職責(zé)

使用者角色與職責(zé)包括但不限于：

——依規(guī)、按需申請政務(wù)信息資源；

——在授權(quán)范圍內(nèi)對共享的政務(wù)信息資源進行使用；

——按照法律法規(guī)以及與政務(wù)信息資源提供者的約定等要求，保障政務(wù)信息資源安全。

5通用要求

5.1操作安全

操作安全包括但不限于：

——應(yīng)制定數(shù)據(jù)生命周期各階段政務(wù)信息資源操作的記錄規(guī)范和監(jiān)管要求，對操作進行記錄、監(jiān)管

和審計；

——應(yīng)及時更新系統(tǒng)、網(wǎng)絡(luò)、設(shè)備的維護、安裝、備份等過程的操作手冊，確保操作的平穩(wěn)和規(guī)范。

5.2訪問控制安全

5.2.1訪問權(quán)限管理

訪問權(quán)限管理包括但不限于：

——應(yīng)按最小授權(quán)原則分配用戶權(quán)限；

——應(yīng)制定整體的政務(wù)信息資源權(quán)限管理制度，對訪問者身份及訪問權(quán)限提出明確的管理要求。明

確用戶訪問權(quán)限的授予、變更、撤銷等流程，確保所有的資源使用經(jīng)過授權(quán)和審批；

——應(yīng)制定政務(wù)信息資源安全訪問控制策略，建立授權(quán)控制機制，定期評審用戶和訪問權(quán)限的設(shè)置。

及時調(diào)整人員變化所涉及的賬號權(quán)限的賦權(quán)、更改和回收等；

——應(yīng)對政務(wù)信息資源訪問用戶進行身份鑒別和鑒權(quán)，防止未授權(quán)的訪問操作風(fēng)險。

5.2.2賬號管理

賬號管理包括但不限于：

——應(yīng)建立用戶賬號管理制度，對賬號的申請、審批、設(shè)立、注銷等流程進行管控；

——賬號僅限本人使用。用戶應(yīng)對自己的賬號及口令嚴(yán)格保密，并定期修改口令。

5.2.3訪問控制審計

2

DB34/T3682—2020

應(yīng)對政務(wù)信息資源訪問操作進行記錄和審計。

5.3數(shù)據(jù)服務(wù)供應(yīng)商安全

數(shù)據(jù)服務(wù)供應(yīng)商安全包括但不限于：

——應(yīng)建立數(shù)據(jù)服務(wù)供應(yīng)商安全管理制度，明確數(shù)據(jù)服務(wù)供應(yīng)商的安全責(zé)任和義務(wù)；

——數(shù)據(jù)服務(wù)供應(yīng)商及人員應(yīng)簽訂保密協(xié)議，協(xié)議應(yīng)明確政務(wù)信息資源的使用目的、供應(yīng)方式、保

密約定等。數(shù)據(jù)服務(wù)供應(yīng)商的工作人員應(yīng)進行安全培訓(xùn)；

——應(yīng)建立數(shù)據(jù)服務(wù)供應(yīng)商監(jiān)督審核機制，對其行為進行記錄，并對其行為合規(guī)性進行審核與監(jiān)督。

5.4終端安全

終端安全包括但不限于：

——應(yīng)制定政務(wù)信息資源終端安全管理制度，明確終端上的政務(wù)信息資源安全管理要求；

——應(yīng)建立整體的終端安全控制措施，對終端上的資源進行風(fēng)險監(jiān)控，保障終端上的政務(wù)信息資源

安全。

5.5運營安全

5.5.1安全風(fēng)險評估

應(yīng)建立政務(wù)信息資源安全風(fēng)險評估機制，結(jié)合監(jiān)督檢查政務(wù)信息資源安全責(zé)任落實的情況，周期性

組織開展政務(wù)信息資源安全風(fēng)險評估，發(fā)布安全風(fēng)險評估報告。根據(jù)風(fēng)險評估報告制定并落實安全措施，

實現(xiàn)對資源安全風(fēng)險的持續(xù)可控。

5.5.2應(yīng)急處置

應(yīng)急處置包括但不限于：

——應(yīng)建立政務(wù)信息資源安全事件應(yīng)急管理制度，明確應(yīng)急工作管理機構(gòu)和職責(zé)；

——應(yīng)制定政務(wù)信息資源安全事件應(yīng)急預(yù)案，定期開展應(yīng)急演練，以達到在安全事件發(fā)生時能夠快

速響應(yīng)和處理；

——政務(wù)信息資源安全事件發(fā)生后，應(yīng)立即啟動應(yīng)急預(yù)案，并向主管部門報告。

5.5.3專項檢查

專項檢查包括但不限于：

——應(yīng)建立政務(wù)信息資源安全管理監(jiān)督機制，明確主要活動實施部門的安全管理責(zé)任，定期檢視安

全管理機制的有效性，提出問題和改進建議，并督促整改；

——應(yīng)建立安全事件處置規(guī)范檢查機制，對安全事件處置情況進行審查，包括查閱事件處置報告、

問詢事件處置干系人等，評估事件處置的真實性和合規(guī)性。加強對政務(wù)信息資源應(yīng)急處置規(guī)范

監(jiān)管。

6數(shù)據(jù)生命周期安全

6.1環(huán)節(jié)

數(shù)據(jù)生命周期安全管理包括采集、傳輸、存儲、處理、共享、銷毀等環(huán)節(jié)。

6.2采集

3

DB34/T3682—2020

采集安全包括但不限于：

——采集自然人、法人信息及相關(guān)政務(wù)信息資源，應(yīng)遵循合法、正當(dāng)、必要的原則；

——應(yīng)建立政務(wù)信息資源采集安全合規(guī)管理規(guī)范，明確采集政務(wù)信息資源的目的、用途、方式、范

圍、采集源、采集渠道等內(nèi)容；

——應(yīng)建立政務(wù)信息資源采集過程中的安全控制方案，如數(shù)據(jù)源管理、數(shù)據(jù)校驗等保證數(shù)據(jù)源真實

有效，數(shù)據(jù)脫敏、數(shù)據(jù)加密、鏈路加密等防止數(shù)據(jù)被竊取、篡改等安全措施，保障采集政務(wù)信

息資源的安全；

——應(yīng)建立政務(wù)信息資源采集記錄，并定期審計。

6.3傳輸

傳輸安全包括但不限于：

——在政務(wù)信息資源傳輸?shù)倪^程中，宜進行數(shù)據(jù)加密傳輸；

——凡是涉及到國家重要信息、企業(yè)機密信息和個人隱私信息的數(shù)據(jù)傳輸場景，應(yīng)進行加密傳輸；

——明確數(shù)據(jù)加密傳輸?shù)臉I(yè)務(wù)場景及加密傳輸要求。評估數(shù)據(jù)傳輸安全風(fēng)險，制定相應(yīng)的數(shù)據(jù)傳輸

安全策略和審批流程。當(dāng)數(shù)據(jù)傳輸安全策略調(diào)整時，應(yīng)對保護措施進行及時變更和審核監(jiān)控。

6.4存儲

6.4.1存儲位置

政務(wù)信息資源應(yīng)當(dāng)在中華人民共和國境內(nèi)存儲。

6.4.2備份與恢復(fù)

應(yīng)建立重要系統(tǒng)和核心數(shù)據(jù)的容災(zāi)備份機制，明確業(yè)務(wù)、系統(tǒng)和數(shù)據(jù)的恢復(fù)目標(biāo)以及相應(yīng)的恢復(fù)預(yù)

案，保證關(guān)鍵業(yè)務(wù)的連續(xù)性；宜做到同城雙中心加異地災(zāi)備中心的容災(zāi)備份。

6.4.3加密存儲

應(yīng)制定政務(wù)信息資源的加密存儲要求，明確加密存儲的數(shù)據(jù)類別。

6.4.4存儲介質(zhì)

存儲介質(zhì)安全包括但不限于：

——應(yīng)制定存儲介質(zhì)安全管理規(guī)范，明確存儲介質(zhì)分類、使用場景、安全管理要求等。按照規(guī)范對

存儲介質(zhì)進行安全管理和維護；

——應(yīng)制定介質(zhì)的管理流程，包括介質(zhì)領(lǐng)用、介質(zhì)安全檢查、介質(zhì)維修、介質(zhì)數(shù)據(jù)銷毀和介質(zhì)報廢

等，并對過程進行審批和記錄。

6.5處理

處理安全包括但不限于：

——應(yīng)制定政務(wù)信息資源處理操作規(guī)范和實施指南，明確數(shù)據(jù)的來源、授權(quán)使用范圍和保護要求；

——應(yīng)在實際業(yè)務(wù)需求以及授權(quán)使用范圍內(nèi)對政務(wù)信息資源進行使用和分析；

——應(yīng)明確政務(wù)信息資源脫敏處理的應(yīng)用場景、處理方法及審計要求，對脫敏過程進行記錄；

——應(yīng)建立政務(wù)信息資源處理結(jié)果輸出及使用的安全審查和授權(quán)流程；

——應(yīng)對各類政務(wù)信息資源處理操作進行嚴(yán)格、詳細的記錄，形成完整的處理記錄。

6.6共享

4

DB34/T3682—2020

6.6.1原則

應(yīng)遵循按需共享、最小授權(quán)的原則。

6.6.2過程控制

控制過程包括但不限于：

——應(yīng)對共享的申請、審核、授權(quán)、登記、變更、注銷等過程進行控制；

——在共享前，應(yīng)對政務(wù)信息資源使用者的安全防護能力進行評估；

——政務(wù)信息資源提供者應(yīng)與使用者簽訂相關(guān)協(xié)議，協(xié)議的內(nèi)容包括但不限于：共享方式、共享內(nèi)

容、使用期限、使用范圍以及雙方的權(quán)利、義務(wù)和責(zé)任；

——應(yīng)制定政務(wù)信息資源共享的保護措施，包括但不限于數(shù)據(jù)加密、安全通道等，保護資源共享過

程中的敏感信息；

——應(yīng)建立政務(wù)信息資源共享過程監(jiān)控和審計機制，明確過程記錄要求，對數(shù)據(jù)使用范圍定期審計。

6.6.3