标准规范下载简介
DB34/T 3682-2020 智慧城市 政务信息资源安全管理规范.pdfICS35.240.99
DB 34/T 36822
Q/CR 469-2015 高速铁路CRTS I 型板式无砟轨道用水泥乳化沥青砂浆安徽省市场监督管理局 发布
市政务信息资源安全管理规
本标准规定了政务信息资源安全管理的角色 与职责、通用要求、数据生命周期安全。 本标准适用于集中的政务信 安全管理
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T35274信息安全技术大数据服务安全能力要求
GB/T35274界定的以及下列术语和定义适用于本文件。 3.1 政务部门governmentdepartmentandpublicinstitution 政府部门及法律法规授权具有行政职能的事业单位和社会组织。 3.2 政务信息资源governmentinformationresource 政务部门在履行职责过程中制作或获取的,以一定形式记录、保存的文件、资料、图表和数据等各 类信息资源,包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务 信息系统形成的信息资源等。
政务信息资源共享governmentinformationresourcesharing 通过数据服务对集中管理的政务信息资源进行使用。
政务信息资源安全管理过程应建立与其活动相适应的管理体系,明确各活动过程中的角色与联 ,有效降低活动过程中存在的安全风险
4.2管理者角色与职责
DB34/T36822020
管理者角色与职责包括但不限于: 负责统筹、协调、指导和监督本单位政务信息资源管理工作; 制定并定期评审、修订、监督和检查政务信息资源管理制度和技术规范; 建立政务信息资源安全保障体系,保障本单位政务信息资源安全以及各有关单位的数据共享需 求和行业应用需求。
4.3提供者角色与职责
4.4使用者角色与职责
使用者角色与职责包括但不限于: 依规、按需申请政务信息资源: 在授权范围内对共享的政务信息资源进行使用; 按照法律法规以及与政务信息资源提供者的约定等要求,保障政务信息资源安全。
操作安全包括但不限于: 应制定数据生命周期各阶段政务信息资源操作的记录规范和监管要求,对操作进行记录、监管 和审计; 应及时更新系统、网络、设备的维护、安装、备份等过程的操作手册,确保操作的平稳和规范。
5.2.1访问权限管理
访问权限管理包括但不限于: 应按最小授权原则分配用户权限;V 应制定整体的政务信息资源权限管理制度,对访问者身份及访问权限提出明确的管理要求。明 确用户访问权限的授予、变更、撤销等流程,确保所有的资源使用经过授权和审批; 应制定政务信息资源安全访问控制策略,建立授权控制机制,定期评审用户和访问权限的设置。 及时调整人员变化所涉及的账号权限的赋权、更改和回收等; 应对政务信息资源访问用户进行身份鉴别和鉴权,防止未授权的访问操作风险
账号管理包括但不限于: 应建立用户账号管理制度,对账号的申请、审批、设立、注销等流程进行管控; 账号仅限本人使用。用户应对自已的账号及口令严格保密,并定期修改口令。
5. 2. 3访问控制审计
DB35/T 1855-2019 剩余电流动作保护器检测规程应对政务信息资源访问操作进行记录和审计
5.3数据服务供应商安全
数据服务供应商安全包括但不限于: 应建立数据服务供应商安全管理制度,明确数据服务供应商的安全责任和义务; 数据服务供应商及人员应签订保密协议,协议应明确政务信息资源的使用目的、供应方式、保 密约定等。数据服务供应商的工作人员应进行安全培训; 应建立数据服务供应商监督审核机制,对其行为进行记录,并对其行为合规性进行审核与监督。
终端安全包括但不限于: 一应制定政务信息资源终端安全管理制度,明确终端上的政务信息资源安全管理要求; 应建立整体的终端安全控制措施,对终端上的资源进行风险监控,保障终端上的政务信息资源 安全。
DB33/T 2341-2021 干硬性水泥混凝土预制砌块抗压强度试验规程.pdf5.5.1安全风险评估
应建立政务信息资源安全风险评估机制,结合监督检查政务信息资源安全责任落实的情况,周 织开展政务信息资源安全风险评估,发布安全风险评估报告。根据风险评估报告制定并落实安全指 现对资源安全风险的持续可控