说明:收录25万 73个行业的国家标准 支持批量下载
文库搜索
切换导航
文件分类
频道
联系我们
问题反馈
文件分类
联系我们
问题反馈
批量下载
ICS35.080 CCSL77 2201 长春市地方标准 DB2201/T71—2024 政务应用系统开发安全规范 Securityspecificationforgovernmentapplicationsystemdevelopment 2024-12-30发布 2025-02-07实施 长春市市场监督管理局 发布 DB2201/T71—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由长春市政务服务和数字化建设管理局提出并归口。 本文件起草单位:杭州安恒信息技术股份有限公司、长春市标准研究院(长春市WTO/TBT咨询中心)。 本文件起草人:刘竞雄、柳羽辉、邓贺、戚志军、李聪、冷皓、李凌岳。 DB2201/T71—2024 3政务应用系统开发安全规范 1范围 本文件规定了政务应用系统开发过程中需求分析、设计、开发、测试、部署及运维各阶段的安全要 求。 本文件适用于政务应用系统开发过程。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T25069信息安全技术术语 GB/T36626信息安全技术信息系统安全运维管理指南 GB/T39412信息安全技术代码安全审计规范 GB/T39837信息技术远程运维技术参考模型 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 政务应用系统governmentapplicationsystem 在非涉密业务环境下,用于实现政务部门工作或履行其职能的应用软件及其运行的软环境和承载业 务直接关联的数据。 需求分析阶段requirementanalysisphase 收集和理解用户需求,确保最终软件产品能够完全满足用户需求的过程。 代码安全审计codesecurityaudit 对代码进行安全分析,以发现代码安全缺陷或违反代码安全规范的动作。 [来源:GB/T39412-2020,3.1.1] 4需求分析阶段 系统安全 应包括但不限于以下内容: a)安全需求分析:确定系统的安全需求,包括身份验证、授权、数据保护、审计跟踪等方面的 需求; DB2201/T71—2024 4b)敏感信息识别:确定系统的敏感信息,如个人身份信息、财务数据等,并明确其在系统中的 流动和处理方式; c)安全性能要求:确定系统在安全性能方面的要求,包括认证和授权的响应速度以及数据加密 解密的效率; d)合规性要求:确定系统在合规性方面的要求,包括法律法规、标准、业务规范等要求。 数据保护与访问控制 应包括但不限于以下内容: a)数据保护要求:确定系统对数据的加密、传输、存储和销毁等方面的保护要求,包括加密算 法、密钥管理、数据备份和灾难恢复等措施; b)访问控制要求:确定系统对不同用户角色的访问控制策略,包括用户身份验证、权限分配和 访问控制规则等。 监控与审计 应确定系统需要记录和审计的安全事件和操作,包括登录记录、权限变更记录、数据访问记录等。 安全保障与培训 应确定系统用户和管理人员需要接受的安全培训内容和频率。 应急响应与事件处理 系统应具备应对安全事件的能力,包括但不限于开展应急演练、实施事件响应、制定规划与流程、 进行漏洞修复,及事件恢复等。 外部合作与供应商管理 应确定与外部供应商合作时对其安全性的要求,包括安全评估、合同条款、监督和审查等。 安全测试与验证 应确定渗透测试、代码审查、安全漏洞扫描等安全测试与验证的范围和内容。 5设计阶段 环境安全要求 应对以下方面进行确认: a)应用系统服务器操作系统安全定期更新补丁、强化身份验证; b)应用系统数据访问权限的控制、对敏感数据进行加密存储、定期备份; c)应用系统网络通信安全。 身份识别和认证 应包括用户账号管理、会话管理、权限管理等内容,在用户身份验证和会话管理过程中使用安全的 传输协议。 访问控制和授权
DB2201-T 71-2024 政务应用系统开发安全规范 长春市
文档预览
中文文档
5 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共5页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 人生无常 于
2025-01-24 21:19:55
上传分享
举报
下载
原文档
(377.3 KB)
分享
友情链接
GB-T 37934-2019 信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求.pdf
教育部机关及直属事业单位教育数据管理办法.pdf
GB-T 24158-2018 电动摩托车和电动轻便摩托车通用技术条件.pdf
GB-T 34306-2017 干旱灾害等级.pdf
硅创社2024002-AIGC2023~2024书单截止1月 2024.pdf
GB-T 9473-2017 读写作业台灯性能要求.pdf
T-CIECCPA 001—2021 工业节能监察平台系统技术规范.pdf
GB-T 41514-2022 钢结构货架使用安全与评估规范.pdf
GB-T 22080-XXXX ISO IEC 27001 2022 信息安全技术 信息安全管理体系 要求.pdf
DB34-T 1692-2016 能源计量示范单位评价要求 安徽省.pdf
个人数据合规审计 指南.pdf
DB65-T 4536.7—2022 电子政务外网建设规范第7部分:政务云安全要求 新疆维吾尔自治区.pdf
奇安信 2019.8 大中型政企机构网络安全建设发展趋势研究报告.pdf
GB-T 14331-2017 自动卷簧机 精度.pdf
云原生安全白皮书中文版第二版.pdf
GB-T 32905-2016 信息安全技术 SM3密码杂凑算法.pdf
个人信息保护与数据合规法律汇编V3.0-垦丁王捷律师团队-KINDING-202212.pdf
DB34-T 3075-2017 基层政务用户接入电子政务外网技术规范 安徽省.pdf
DB22-T 1060-2019 梅花鹿饲养常用表格规范 吉林省.pdf
绿盟 安全隔离与信息交换系统 SIES 产品白皮书.pdf
交流群
-->
1
/
3
5
评价文档
赞助2元 点击下载(377.3 KB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。