说明:收录25万 73个行业的国家标准 支持批量下载
文库搜索
切换导航
文件分类
频道
联系我们
问题反馈
文件分类
联系我们
问题反馈
批量下载
ICS35.080 CCSL77 2201 长春市地方标准 DB2201/T71—2024 政务应用系统开发安全规范 Securityspecificationforgovernmentapplicationsystemdevelopment 2024-12-30发布 2025-02-07实施 长春市市场监督管理局 发布 DB2201/T71—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由长春市政务服务和数字化建设管理局提出并归口。 本文件起草单位:杭州安恒信息技术股份有限公司、长春市标准研究院(长春市WTO/TBT咨询中心)。 本文件起草人:刘竞雄、柳羽辉、邓贺、戚志军、李聪、冷皓、李凌岳。 DB2201/T71—2024 3政务应用系统开发安全规范 1范围 本文件规定了政务应用系统开发过程中需求分析、设计、开发、测试、部署及运维各阶段的安全要 求。 本文件适用于政务应用系统开发过程。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T25069信息安全技术术语 GB/T36626信息安全技术信息系统安全运维管理指南 GB/T39412信息安全技术代码安全审计规范 GB/T39837信息技术远程运维技术参考模型 3术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 政务应用系统governmentapplicationsystem 在非涉密业务环境下,用于实现政务部门工作或履行其职能的应用软件及其运行的软环境和承载业 务直接关联的数据。 需求分析阶段requirementanalysisphase 收集和理解用户需求,确保最终软件产品能够完全满足用户需求的过程。 代码安全审计codesecurityaudit 对代码进行安全分析,以发现代码安全缺陷或违反代码安全规范的动作。 [来源:GB/T39412-2020,3.1.1] 4需求分析阶段 系统安全 应包括但不限于以下内容: a)安全需求分析:确定系统的安全需求,包括身份验证、授权、数据保护、审计跟踪等方面的 需求; DB2201/T71—2024 4b)敏感信息识别:确定系统的敏感信息,如个人身份信息、财务数据等,并明确其在系统中的 流动和处理方式; c)安全性能要求:确定系统在安全性能方面的要求,包括认证和授权的响应速度以及数据加密 解密的效率; d)合规性要求:确定系统在合规性方面的要求,包括法律法规、标准、业务规范等要求。 数据保护与访问控制 应包括但不限于以下内容: a)数据保护要求:确定系统对数据的加密、传输、存储和销毁等方面的保护要求,包括加密算 法、密钥管理、数据备份和灾难恢复等措施; b)访问控制要求:确定系统对不同用户角色的访问控制策略,包括用户身份验证、权限分配和 访问控制规则等。 监控与审计 应确定系统需要记录和审计的安全事件和操作,包括登录记录、权限变更记录、数据访问记录等。 安全保障与培训 应确定系统用户和管理人员需要接受的安全培训内容和频率。 应急响应与事件处理 系统应具备应对安全事件的能力,包括但不限于开展应急演练、实施事件响应、制定规划与流程、 进行漏洞修复,及事件恢复等。 外部合作与供应商管理 应确定与外部供应商合作时对其安全性的要求,包括安全评估、合同条款、监督和审查等。 安全测试与验证 应确定渗透测试、代码审查、安全漏洞扫描等安全测试与验证的范围和内容。 5设计阶段 环境安全要求 应对以下方面进行确认: a)应用系统服务器操作系统安全定期更新补丁、强化身份验证; b)应用系统数据访问权限的控制、对敏感数据进行加密存储、定期备份; c)应用系统网络通信安全。 身份识别和认证 应包括用户账号管理、会话管理、权限管理等内容,在用户身份验证和会话管理过程中使用安全的 传输协议。 访问控制和授权
DB2201-T 71-2024 政务应用系统开发安全规范 长春市
文档预览
中文文档
5 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
赞助2元下载(无需注册)
温馨提示:本文档共5页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助2元下载
本文档由 人生无常 于
2025-01-24 21:19:55
上传分享
举报
下载
原文档
(377.3 KB)
分享
友情链接
GB-Z 41358-2022 土壤健康综合表征的生物测试方法.pdf
GB-T 20096-2021 轮滑鞋.pdf
GB-T 40060-2021 液氢贮存和运输技术要求.pdf
T-CECS G:D60-02—2023 公路超高性能混凝土 UHPC 桥梁技术规程.pdf
面向AI大模型的智算中心网络演进白皮书-2023 -中国移动.pdf
T-FJLY 001—2022 自然教育基地质量评定.pdf
GB-T 17568-2019 γ辐照装置设计建造和使用规范.pdf
YD-T 3907.3-2021 基于BB84协议的量子密钥分发(QKD)用关键器件和模块 第3部分:量子随机数发生器(QRNG).pdf
GB-T 32907-2016 信息安全技术 SM4分组密码算法.pdf
GB-T 20984-2007 信息安全技术 信息安全风险评估规范.pdf
GB-T 11066.1-2008 金化学分析方法 金量的测定 火试金法.pdf
BSIMM 软件安全构建成熟度模型 .pdf
GB-T 18916.10-2021 取水定额 第10部分:化学制药产品.pdf
2021-交通银行-隐私计算金融应用蓝皮书.pdf
GB-T 38289-2019 城市燃气设施运行安全信息分类与基本要求.pdf
GB-T 36478.4-2019物联网信息交换和共享第4部分:数据接口.pdf
GB-T 41852-2022 半导体器件 微机电器件 MEMS结构黏结强度的弯曲和剪切试验方法.pdf
GB-T 30303-2013 工业用甲胺和甲胺水溶液试验方法.pdf
重点网络安全:“3保1评”(分保、等保、关保、密评).pptx
JR-T 0083-2013 人身保险伤残评定标准及代码.pdf
交流群
-->
1
/
3
5
评价文档
赞助2元 点击下载(377.3 KB)
回到顶部
×
微信扫码支付
2
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。