说明:收录25万 73个行业的国家标准 支持批量下载
文库搜索
切换导航
文件分类
频道
联系我们
问题反馈
文件分类
联系我们
问题反馈
批量下载
ICS35.080 CCSL77 2201 长春市地方标准 DB2201/T71—2024 政务应用系统开发安全规范 Securityspecificationforgovernmentapplicationsystemdevelopment 2024-12-30发布 2025-02-07实施 长春市市场监督管理局 发布 DB2201/T71—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由长春市政务服务和数字化建设管理局提出并归口。 本文件起草单位:杭州安恒信息技术股份有限公司、长春市标准研究院(长春市WTO/TBT咨询中心)。 本文件起草人:刘竞雄、柳羽辉、邓贺、戚志军、李聪、冷皓、李凌岳。 DB2201/T71—2024 3政务应用系统开发安全规范 1范围 本文件规定了政务应用系统开发过程中需求分析、设计、开发、测试、部署及运维各阶段的安全要 求。 本文件适用于政务应用系统开发过程。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T25069信息安全技术术语 GB/T36626信息安全技术信息系统安全运维管理指南 GB/T39412信息安全技术代码安全审计规范 GB/T39837信息技术远程运维技术参考模型 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 政务应用系统governmentapplicationsystem 在非涉密业务环境下,用于实现政务部门工作或履行其职能的应用软件及其运行的软环境和承载业 务直接关联的数据。 需求分析阶段requirementanalysisphase 收集和理解用户需求,确保最终软件产品能够完全满足用户需求的过程。 代码安全审计codesecurityaudit 对代码进行安全分析,以发现代码安全缺陷或违反代码安全规范的动作。 [来源:GB/T39412-2020,3.1.1] 4需求分析阶段 系统安全 应包括但不限于以下内容: a)安全需求分析:确定系统的安全需求,包括身份验证、授权、数据保护、审计跟踪等方面的 需求; DB2201/T71—2024 4b)敏感信息识别:确定系统的敏感信息,如个人身份信息、财务数据等,并明确其在系统中的 流动和处理方式; c)安全性能要求:确定系统在安全性能方面的要求,包括认证和授权的响应速度以及数据加密 解密的效率; d)合规性要求:确定系统在合规性方面的要求,包括法律法规、标准、业务规范等要求。 数据保护与访问控制 应包括但不限于以下内容: a)数据保护要求:确定系统对数据的加密、传输、存储和销毁等方面的保护要求,包括加密算 法、密钥管理、数据备份和灾难恢复等措施; b)访问控制要求:确定系统对不同用户角色的访问控制策略,包括用户身份验证、权限分配和 访问控制规则等。 监控与审计 应确定系统需要记录和审计的安全事件和操作,包括登录记录、权限变更记录、数据访问记录等。 安全保障与培训 应确定系统用户和管理人员需要接受的安全培训内容和频率。 应急响应与事件处理 系统应具备应对安全事件的能力,包括但不限于开展应急演练、实施事件响应、制定规划与流程、 进行漏洞修复,及事件恢复等。 外部合作与供应商管理 应确定与外部供应商合作时对其安全性的要求,包括安全评估、合同条款、监督和审查等。 安全测试与验证 应确定渗透测试、代码审查、安全漏洞扫描等安全测试与验证的范围和内容。 5设计阶段 环境安全要求 应对以下方面进行确认: a)应用系统服务器操作系统安全定期更新补丁、强化身份验证; b)应用系统数据访问权限的控制、对敏感数据进行加密存储、定期备份; c)应用系统网络通信安全。 身份识别和认证 应包括用户账号管理、会话管理、权限管理等内容,在用户身份验证和会话管理过程中使用安全的 传输协议。 访问控制和授权
DB2201-T 71-2024 政务应用系统开发安全规范 长春市
文档预览
中文文档
5 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共5页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 人生无常 于
2025-01-24 21:19:55
上传分享
举报
下载
原文档
(377.3 KB)
分享
友情链接
GB-T 33448-2016 数字城市地理信息公共平台 运行服务质量规范.pdf
GM-T 0035.4-2014 射频识别系统密码应用技术要求 第4部分:电子标签与读写器通信密码应用技术要求.pdf
T-GDCKCJH 058—2022 汽车域控制器(DCU)自动化测试线通用要求.pdf
GB-T 42368-2023 高温高压条件下可燃气体 蒸气 爆炸极限测定方法.pdf
GB-T 20721-2022 自动导引车 通用技术条件.pdf
GB-T 33319-2016 塑料 聚乙烯 PE 透气膜专用料.pdf
GB-T 21720-2022 农贸市场管理技术规范.pdf
GB-T 33134-2023 信息安全技术 公共域名服务系统安全要求.pdf
GB 10395.2-2010 农林机械 安全 第2部分:自卸挂车.pdf
NB-T 10165-2019 矿用本质安全型电动球阀.pdf
T-CSAE 237—2021 重型汽车实际行驶污染物排放测试技术规范.pdf
华商国际 数字化建筑设计研究中心-冷链物流园区规划、建设及运营的数字化发展趋势.pdf
GB-T 35101-2017 信息安全技术 智能卡读写机具安全技术要求(EAL4增强).pdf
XF 95-2015 灭火器维修.pdf
GB-T 41871-2022 信息安全技术 汽车数据处理安全要素.pdf
GB-T 42467.2-2023 中医临床名词术语 第2部分:外科学.pdf
专利 一种检测用温控一体机.PDF
GB50156-2021 2-汽车加油加气加氢站技术标准 GB 50156-2021.pdf
DB12-T 1220-2023 固定资产投资项目节能后评价规范 天津市.pdf
GB-T 28448-2019 信息安全技术 网络安全等级保护测评要求.pdf
交流群
-->
1
/
3
5
评价文档
赞助2元 点击下载(377.3 KB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。