DB41T 2736-2024政务云平台安全服务规范.docx

ICS35.020CCSL70

41

河南省地方标准

DB41/T2736—2024

政务云平台安全服务规范

2024-08-26发布2024-11-25实施

河南省市场监督管理局发布

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4团队和人员 1

5安全服务要求 2

6评价与改进 4

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由河南省行政审批和政务信息管理局提出。

本文件由河南省大数据标准化技术委员会（HN/TC26）归口。

本文件起草单位：河南省政务大数据中心、安阳市政务大数据中心。

本文件主要起草人：左宁、李程、马靳鲜、宋潇潇、杜都、胡方、冯文静、王智辉、王亦军、郭帅、王和平、赵婉伊、任文光、司梦实、任远。

政务云平台安全服务规范

1范围

本文件规定了政务云平台安全服务的团队和人员、安全服务要求、评价与改进等要求。本文件适用于云服务提供方、信息安全服务提供方的政务云平台的安全服务。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2022信息安全技术术语

GB/T34080.3—2021信息安全技术基于云计算的电子政务公共平台安全规范第3部分：服务安全

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。3.1

政务云平台

运用云计算及云计算服务，为政务信息系统提供基础设施、支撑软件、应用系统、信息资源、运行保障和信息安全等综合服务的平台。

3.2

云服务提供方

云计算服务的提供方。3.3

信息安全服务提供方

按照服务协议，通过专业的信息安全人员提供信息安全服务的组织。3.4

信息安全服务需求方

获取外部信息安全服务，以满足信息安全需求，实现自身业务目标的组织。3.5

信息安全服务

面向信息安全服务需求方的各类信息安全需求，由云服务提供方和信息安全服务提供方按照服务协议所执行的一个信息安全过程或任务。

4团队和人员

4.1团队

安全服务团队由云服务提供方及信息安全服务提供方组成（以下简称“提供方”）。安全服务团队应符合GB/T34080.3—2021标准规定的基本型安全服务能力，安全服务团队应建立健全安全服务的工作机制。

4.2人员

安全服务团队负责人应具备信息安全服务管理经验；安全服务人员应熟悉安全服务知识，具有信息安全服务经验，具备信息安全服务能力。

5安全服务要求

5.1安全技术服务

5.1.1资产监测

提供方应探测暴露在外的IT设备、端口以及应用服务等资产，并梳理分析形成资产清单，及时发现并处置风险资产和安全威胁。

5.1.2漏洞扫描

提供方应对政务云平台进行常态化漏洞扫描，发现服务器、网络设备、云主机、数据库、中间件等软硬件存在的漏洞。

5.1.3渗透测试

提供方应通过端口扫描、远程溢出、脚本渗透等方式模拟安全攻击，发现政务云平台及政务信息系统的潜在安全风险。

5.1.4基线检查与加固

提供方应对政务云平台的安全配置进行安全基线检查，对发现的不符合项进行安全加固，消除安全隐患。

5.1.5身份验证和访问控制

提供方应制定明确的身份验证、强制密码策略，引入多因素身份验证机制，根据最小权限原则，为政务云平台内用户制定特定访问权限，并定期审查与更新访问控制列表，监控和审计访问活动。

5.1.6安全检测

提供方应具备对网络安全威胁、应用安全威胁、数据安全威胁等行为进行主动发现、分析和提出防护建议的能力。

5.1.7策略优化

提供方应结合信息安全服务需求方（以下简称“需求方”）实际安全需求，对现有安全策略进行分析，通过访问控制、安全防护、行为审计等方式开展策略优化工作。

5.2安全运维服务

5.2.1安全运维体系

提供方应从运维能力建设、人员、过程、技术、资源等方面制定安全运维体系，保障政务云平台安全运行。

5.2.2安全预警

提供方应及时同步专业组织、安全机构等发布的漏洞信息、威胁信息、病毒信息、重大事件等安全预警信息，为需求方提供相应的