说明:收录25万 73个行业的国家标准 支持批量下载
文库搜索
切换导航
文件分类
频道
联系我们
问题反馈
文件分类
联系我们
问题反馈
批量下载
ICS35.080 CCSL77 2201 长春市地方标准 DB2201/T71—2024 政务应用系统开发安全规范 Securityspecificationforgovernmentapplicationsystemdevelopment 2024-12-30发布 2025-02-07实施 长春市市场监督管理局 发布 DB2201/T71—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由长春市政务服务和数字化建设管理局提出并归口。 本文件起草单位:杭州安恒信息技术股份有限公司、长春市标准研究院(长春市WTO/TBT咨询中心)。 本文件起草人:刘竞雄、柳羽辉、邓贺、戚志军、李聪、冷皓、李凌岳。 DB2201/T71—2024 3政务应用系统开发安全规范 1范围 本文件规定了政务应用系统开发过程中需求分析、设计、开发、测试、部署及运维各阶段的安全要 求。 本文件适用于政务应用系统开发过程。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T25069信息安全技术术语 GB/T36626信息安全技术信息系统安全运维管理指南 GB/T39412信息安全技术代码安全审计规范 GB/T39837信息技术远程运维技术参考模型 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 政务应用系统governmentapplicationsystem 在非涉密业务环境下,用于实现政务部门工作或履行其职能的应用软件及其运行的软环境和承载业 务直接关联的数据。 需求分析阶段requirementanalysisphase 收集和理解用户需求,确保最终软件产品能够完全满足用户需求的过程。 代码安全审计codesecurityaudit 对代码进行安全分析,以发现代码安全缺陷或违反代码安全规范的动作。 [来源:GB/T39412-2020,3.1.1] 4需求分析阶段 系统安全 应包括但不限于以下内容: a)安全需求分析:确定系统的安全需求,包括身份验证、授权、数据保护、审计跟踪等方面的 需求; DB2201/T71—2024 4b)敏感信息识别:确定系统的敏感信息,如个人身份信息、财务数据等,并明确其在系统中的 流动和处理方式; c)安全性能要求:确定系统在安全性能方面的要求,包括认证和授权的响应速度以及数据加密 解密的效率; d)合规性要求:确定系统在合规性方面的要求,包括法律法规、标准、业务规范等要求。 数据保护与访问控制 应包括但不限于以下内容: a)数据保护要求:确定系统对数据的加密、传输、存储和销毁等方面的保护要求,包括加密算 法、密钥管理、数据备份和灾难恢复等措施; b)访问控制要求:确定系统对不同用户角色的访问控制策略,包括用户身份验证、权限分配和 访问控制规则等。 监控与审计 应确定系统需要记录和审计的安全事件和操作,包括登录记录、权限变更记录、数据访问记录等。 安全保障与培训 应确定系统用户和管理人员需要接受的安全培训内容和频率。 应急响应与事件处理 系统应具备应对安全事件的能力,包括但不限于开展应急演练、实施事件响应、制定规划与流程、 进行漏洞修复,及事件恢复等。 外部合作与供应商管理 应确定与外部供应商合作时对其安全性的要求,包括安全评估、合同条款、监督和审查等。 安全测试与验证 应确定渗透测试、代码审查、安全漏洞扫描等安全测试与验证的范围和内容。 5设计阶段 环境安全要求 应对以下方面进行确认: a)应用系统服务器操作系统安全定期更新补丁、强化身份验证; b)应用系统数据访问权限的控制、对敏感数据进行加密存储、定期备份; c)应用系统网络通信安全。 身份识别和认证 应包括用户账号管理、会话管理、权限管理等内容,在用户身份验证和会话管理过程中使用安全的 传输协议。 访问控制和授权
DB2201-T 71-2024 政务应用系统开发安全规范 长春市
文档预览
中文文档
5 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共5页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 人生无常 于
2025-01-24 21:19:55
上传分享
举报
下载
原文档
(377.3 KB)
分享
友情链接
CH-T 4024-2019 《城市政务电子地图更新技术规范》.pdf
GB-T 12143-2008 饮料通用分析方法.pdf
ISO17799-2005 信息安全管理实施指南 中文.pdf
GB-T 20169-2015 离子型稀土矿混合稀土氧化物.pdf
GB-T 18916.61-2022 取水定额 第61部分:赖氨酸盐.pdf
信息安全技术 网络安全等级保护基本要求 第1部分: 安全通用要求 标准征求意见稿.pdf
GB-T 36621-2018 智慧城市 信息技术运营指南.pdf
DB14-T 2013-2020 水质 甲醇的测定 变色酸分光光度法 山西省.pdf
T-CSTM 00411—2021 化学试剂 苯甲醇.pdf
GB-T 29246-2017 信息安全管理体系 概述与词汇.pdf
GB-T 39775-2021 能源管理绩效评价导则.pdf
GB-T 18771.2-2015 烟草术语 第2部分:烟草制品与烟草加工.pdf
公安部 网络安全等级保护条例 征求意见稿 .pdf
T-CADERM 6007—2023 心肺转流系统用空氧混合器.pdf
GB 10395.2-2010 农林机械 安全 第2部分:自卸挂车.pdf
DB37-T 3444-2018 学生资助服务规范 山东省.pdf
LD-T 08-2022 人力资源社会保障灾备中心建设和运维管理规范.pdf
杨泉 数据管理能力成熟度评估模型 DCMM标准解读 2022.pdf
T-CSPSTC 103—2022 氢气管道工程设计规范.pdf
YD-T 3763.3-2021 研发运营一体化(DevOps)能力成熟度模型 第3部分:持续交付.pdf
交流群
-->
1
/
3
5
评价文档
赞助2元 点击下载(377.3 KB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。