DB34_T 3682-2020智慧城市 政务信息资源安全管理规范.docxVIP

ICS 35.240.99 L 80 DB34 安 徽 省 地 方 标 准 DB 34/T 3682—2020 智慧城市 政务信息资源安全管理规范 文稿版次选择Smart city-Government information resource Security management specifications 文稿版次选择 2020 - 08 - 03 发布 2020 - 09 - 03 实施 安徽省市场监督管理局 发 布 DB34/T 3682—2020 前 言 本标准按照 GB/T 1.1-2009 给出的规则起草。本标准由芜湖市数据资源管理局提出。 本标准由安徽省信息技术标准化技术委员会归口。 I DB34/T 3682—2020 智慧城市 政务信息资源安全管理规范 范围 本标准规定了政务信息资源安全管理的角色与职责、通用要求、数据生命周期安全。本标准适用于集中的政务信息资源全生命周期的安全管理。 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 35274 信息安全技术 大数据服务安全能力要求 术语和定义 GB/T 35274 界定的以及下列术语和定义适用于本文件。 政务部门 government department and public institution 政府部门及法律法规授权具有行政职能的事业单位和社会组织。 3.2 政务信息资源 government information resource 政务部门在履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类信息资源，包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的信息资源等。 3.3 政务信息资源共享 government information resource sharing 通过数据服务对集中管理的政务信息资源进行使用。 角色与职责 概述 政务信息资源安全管理过程应建立与其活动相适应的管理体系，明确各活动过程中的角色与职责划分，有效降低活动过程中存在的安全风险。 管理者角色与职责 1 DB34/T 3682—2020 管理者角色与职责包括但不限于： ——负责统筹、协调、指导和监督本单位政务信息资源管理工作； ——制定并定期评审、修订、监督和检查政务信息资源管理制度和技术规范； ——建立政务信息资源安全保障体系，保障本单位政务信息资源安全以及各有关单位的数据共享需求和行业应用需求。 提供者角色与职责 提供者角色与职责包括但不限于： ——为使用者提供本单位政务信息资源； ——采取安全技术手段和管理措施，保障政务信息资源安全； ——配合相关部门开展政务信息资源安全检查和事件调查。 使用者角色与职责 使用者角色与职责包括但不限于： ——依规、按需申请政务信息资源； ——在授权范围内对共享的政务信息资源进行使用； ——按照法律法规以及与政务信息资源提供者的约定等要求，保障政务信息资源安全。 通用要求 操作安全 操作安全包括但不限于： ——应制定数据生命周期各阶段政务信息资源操作的记录规范和监管要求，对操作进行记录、监管和审计； ——应及时更新系统、网络、设备的维护、安装、备份等过程的操作手册，确保操作的平稳和规范。 访问控制安全 访问权限管理 访问权限管理包括但不限于： ——应按最小授权原则分配用户权限； ——应制定整体的政务信息资源权限管理制度，对访问者身份及访问权限提出明确的管理要求。明确用户访问权限的授予、变更、撤销等流程，确保所有的资源使用经过授权和审批； ——应制定政务信息资源安全访问控制策略，建立授权控制机制，定期评审用户和访问权限的设置。及时调整人员变化所涉及的账号权限的赋权、更改和回收等； ——应对政务信息资源访问用户进行身份鉴别和鉴权，防止未授权的访问操作风险。 账号管理 账号管理包括但不限于： ——应建立用户账号管理制度，对账号的申请、审批、设立、注销等流程进行管控； ——账号仅限本人使用。用户应对自己的账号及口令严格保密，并定期修改口令。 访问控制审计 2 DB34/T 3682—2020 应对政务信息资源访问操作进行记录和审计。 数据服务供应商安全 数据服务供应商安全包括但不限于： ——应建立数据服务供应商安全管理制度，明确数据服务供应商的安全责任和义务； ——数据服务供应商及人员应签订保密协议，协议应明确政务信息资源的使用目的、供应方式、保密约定等。数据服务供应商的工作人员应进行安全培训； ——应建立数据服务供应商监督审核机制，对其行为进行记录，并对其行为合规性进行审核与监督。 终端安全 终端安全包括但不限于： ——应制定政务信