DB3205-T 1129-2024 法人服務(wù)總?cè)肟谶\行管理規(guī)范_第1頁
DB3205-T 1129-2024 法人服務(wù)總?cè)肟谶\行管理規(guī)范_第2頁
DB3205-T 1129-2024 法人服務(wù)總?cè)肟谶\行管理規(guī)范_第3頁
DB3205-T 1129-2024 法人服務(wù)總?cè)肟谶\行管理規(guī)范_第4頁
DB3205-T 1129-2024 法人服務(wù)總?cè)肟谶\行管理規(guī)范_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

CCSA10蘇州市DB32052024-08-09發(fā)布蘇州市市場監(jiān)督管理局發(fā)布DB3205/T1129—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4總體要求 4.1職責清晰 4.2流程規(guī)范 4.3標準統(tǒng)一 4.4運行安全 5運行管理框架 5.1運行管理參與主體 5.2運行管理總體框架 6接入管理 6.1接入范圍 6.2接入流程 6.3對接方式 6.4服務(wù)監(jiān)控 7運營管理 7.1用戶管理 7.2服務(wù)管理 8安全管理 8.1基本要求 8.2運營單位 8.3服務(wù)提供單位 9監(jiān)督與評價 9.1監(jiān)督管理 9.2服務(wù)評價 附錄A(規(guī)范性)接入服務(wù)上線發(fā)布備案表格式 8參考文獻 DB3205/T1129—2024本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由蘇州市數(shù)據(jù)局提出并歸口。本文件起草單位:蘇州市信息中心、蘇州市大數(shù)據(jù)集團有限公司。本文件主要起草人:過岱彥、吳俊軍、袁振東、陸靜波、方亮、沈志崗、侯冠旭、楊卿、孫詩帆、管浩霖。DB3205/T1129—2024法人服務(wù)總?cè)肟谶\行管理規(guī)范本文件規(guī)定了法人服務(wù)總?cè)肟谶\行管理的總體要求、運行管理框架、接入管理、運營管理、安全管理和監(jiān)督與評價的要求。本文件適用于蘇州市服務(wù)法人及非法人組織相關(guān)事項服務(wù)接入法人服務(wù)總?cè)肟诘倪\行管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用文件而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅所注日期的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求GB/T28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南C0115-2018國家政務(wù)服務(wù)平臺安全接入檢測要求C0116-2018國家政務(wù)服務(wù)平臺網(wǎng)絡(luò)安全保障要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1法人服務(wù)總?cè)肟赟uzhoulegalpersonservicemainentrance蘇州市人民政府正式發(fā)布的以法人及非法人組織為服務(wù)對象,以“蘇商通”為載體,提供相關(guān)行政權(quán)力事項和公共服務(wù)事項等服務(wù)的總?cè)肟凇?.2法人legalperson具有民事權(quán)利能力和民事行為能力,依法獨立享有民事權(quán)利和承擔民事義務(wù)的組織。[來源:民法典,第五十七條]3.3管理單位managementunit法人服務(wù)總?cè)肟诘闹鞴軉挝?,擁有法人服?wù)總?cè)肟诘墓芾頇?quán)、使用權(quán),統(tǒng)一管理法人服務(wù)總?cè)肟诘倪\行管理工作。3.4運營單位operationunit法人服務(wù)總?cè)肟诘娜粘_\營機構(gòu),為管理單位和服務(wù)提供單位、用戶提供相關(guān)技術(shù)支持服務(wù)。2DB3205/T1129—20243.5服務(wù)提供單位serviceprovider依法通過法人服務(wù)總?cè)肟谔峁┬姓?quán)力事項、公共服務(wù)事項等服務(wù)入口的機構(gòu)。3.6用戶user法人服務(wù)總?cè)肟诘氖褂脝挝?、機構(gòu)或個人。4總體要求4.1職責清晰明確劃分法人服務(wù)總?cè)肟谶\行管理過程中各參與主體的職責邊界,管理單位負責統(tǒng)籌法人服務(wù)總?cè)肟诘倪\行管理工作,運營單位負責法人服務(wù)總?cè)肟诘倪\營管理及維護,服務(wù)提供單位負責接入服務(wù)的運營管理及維護,用戶負責使用服務(wù)與評價。4.2流程規(guī)范運營單位應(yīng)按照管理單位要求對法人服務(wù)總?cè)肟诘慕尤敕?wù)制定統(tǒng)一接入流程,服務(wù)提供單位應(yīng)按照流程規(guī)范發(fā)起服務(wù)接入申請,執(zhí)行服務(wù)上架工作。4.3標準統(tǒng)一運營單位應(yīng)按照管理單位要求對法人服務(wù)總?cè)肟谥贫ńy(tǒng)一的運行、維護、管理標準,應(yīng)從技術(shù)上制定服務(wù)運行質(zhì)量標準,切實保障運行穩(wěn)定。4.4運行安全運營單位、服務(wù)提供單位應(yīng)嚴格按照國家網(wǎng)絡(luò)安全法律法規(guī)要求,落實網(wǎng)絡(luò)安全等級保護制度、網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報制度和個人信息保護制度,提升防病毒、防攻擊、防篡改、防癱瘓能力,保障運行安全。5運行管理框架5.1運行管理參與主體法人服務(wù)總?cè)肟诘倪\行管理主體應(yīng)包含管理單位、運營單位、服務(wù)提供單位和用戶,職責劃分如下:a)管理單位:對法人服務(wù)總?cè)肟诘恼w運行管理情況進行監(jiān)督管理;b)運營單位:為法人服務(wù)總?cè)肟诘倪\行管理提供相關(guān)技術(shù)支持及運營服務(wù);c)服務(wù)提供單位:為接入法人服務(wù)總?cè)肟诘姆?wù)提供相關(guān)技術(shù)支持服務(wù);d)用戶:使用服務(wù)及評價。5.2運行管理總體框架法人服務(wù)總?cè)肟谶\行管理框架如圖1所示。DB3205/T1129—2024圖1運行管理框架圖6接入管理6.1接入范圍法人服務(wù)總?cè)肟诘慕尤敕秶鷳?yīng)包括:a)縱向?qū)咏K省政務(wù)服務(wù)網(wǎng)、蘇州市各縣級市(區(qū))依法依規(guī)向法人提供的服務(wù)事項;b)橫向接入蘇州市各委辦局依法依規(guī)向法人提供的服務(wù)事項;c)其他社會組織、行業(yè)協(xié)會等向法人提供的,經(jīng)管理單位審核批準的服務(wù)事項。6.2接入流程6.2.1接入流程圖接入流程圖見圖2。4DB3205/T1129—2024圖2接入流程圖6.2.2接入申請服務(wù)提供單位梳理服務(wù)場景,應(yīng)根據(jù)梳理情況,按附錄A填寫《接入服務(wù)上線發(fā)布備案表》。5DB3205/T1129—20246.2.3接入審核服務(wù)提供單位將備案表提交至管理單位,管理單位應(yīng)對服務(wù)接入申請進行審核,并回復(fù)審核結(jié)果。6.2.4環(huán)境準備審核通過后,運營單位應(yīng)為服務(wù)提供單位分配法人服務(wù)總?cè)肟诠芾碣~號,用于入駐服務(wù)接口訪問,并將平臺地址、賬號密碼、接入指南以及相關(guān)幫助文檔回復(fù)至服務(wù)提供單位,通知相關(guān)單位進行接入準6.2.5接入聯(lián)調(diào)運營單位應(yīng)按照規(guī)范性文檔,在法人服務(wù)總?cè)肟诮尤氲谌椒?wù),服務(wù)提供單位應(yīng)配合對接入的服務(wù)進行雙方聯(lián)調(diào)。6.2.6上線發(fā)布運營單位應(yīng)按照上線發(fā)布規(guī)則,完成聯(lián)調(diào)測試成功服務(wù)的上線發(fā)布。6.3對接方式6.3.1服務(wù)提供單位應(yīng)通過移動互聯(lián)網(wǎng)端或互聯(lián)網(wǎng)端將服務(wù)接入法人服務(wù)總?cè)肟凇?.3.2服務(wù)提供單位在接入法人服務(wù)總?cè)肟跁r,應(yīng)符合如下要求:a)調(diào)用服務(wù)接口時,采取加密措施;b)服務(wù)接口支持HTTPS協(xié)議方式或SDK方式;c)提供服務(wù)請求成功、失敗等各種情況的接口返回代碼。6.4服務(wù)監(jiān)控運營單位應(yīng)對接入服務(wù)的兼容性、可用性、安全性等進行統(tǒng)一監(jiān)控管理,定期在用戶體驗、接口穩(wěn)定、數(shù)據(jù)安全等方面對服務(wù)進行巡檢,應(yīng)符合如下要求:a)監(jiān)測信息可用性;b)檢查服務(wù)穩(wěn)定性;c)監(jiān)測分析訪問數(shù)據(jù);d)制定可行的故障應(yīng)急預(yù)案。7運營管理7.1用戶管理7.1.1用戶注冊法人服務(wù)總?cè)肟趹?yīng)對注冊用戶進行分級管理,根據(jù)認證信息劃分用戶級別:a)L3等級的用戶:經(jīng)實名認證并關(guān)聯(lián)名下企業(yè),具備法人用戶權(quán)限的賬戶;b)L2等級的用戶:經(jīng)過實名認證的自然人賬戶;c)L1等級的用戶:未經(jīng)過實名認證的匿名賬戶。7.1.2用戶授權(quán)法人服務(wù)總?cè)肟趹?yīng)向注冊用戶提供法人、管理員、辦事人三種不同角色,法人對管理員、辦事人進6DB3205/T1129—2024行管理授權(quán),管理員對辦事人進行管理授權(quán)。7.1.3用戶體系對接運營單位應(yīng)制定用戶身份認證體系對接說明,協(xié)助接入服務(wù)與法人服務(wù)總?cè)肟谶M行用戶身份認證體系對接:a)自建用戶體系的服務(wù),應(yīng)與法人服務(wù)總?cè)肟诘挠脩羯矸菡J證體系對接互認;b)使用江蘇省政務(wù)服務(wù)網(wǎng)或者國家電子營業(yè)執(zhí)照用戶體系的服務(wù),應(yīng)與法人服務(wù)總?cè)肟诘挠脩羯矸菡J證體系對接聯(lián)調(diào)。7.2服務(wù)管理7.2.1服務(wù)上線服務(wù)提供單位應(yīng)向管理單位提出服務(wù)上線申請,由運營單位協(xié)助實施接入,按管理單位規(guī)定測試合格并經(jīng)管理單位審核批準后,發(fā)布服務(wù)上線公告,予以安排上線。7.2.2服務(wù)暫停因系統(tǒng)故障或維護等原因?qū)е路?wù)臨時不可使用的,服務(wù)提供單位應(yīng)提前向管理單位提出暫停申請及計劃恢復(fù)上線時間。經(jīng)管理單位確認后,將應(yīng)用臨時下線,必要時應(yīng)發(fā)布停用公告。7.2.3服務(wù)恢復(fù)暫停的應(yīng)用具備恢復(fù)條件后,服務(wù)提供單位應(yīng)告知管理單位予以恢復(fù)上線,若所暫停事項涉及事項開發(fā)改造,恢復(fù)上線前應(yīng)重新進行事項同源核對及錄入。按管理單位規(guī)定測試合格并經(jīng)管理單位審核批準后,運營單位方可協(xié)助重新接入平臺,發(fā)布服務(wù)恢復(fù)公告,安排服務(wù)恢復(fù)。7.2.4服務(wù)下線服務(wù)提供單位如有應(yīng)用需要下線,應(yīng)提前十個工作日報備至管理單位,經(jīng)管理單位確認后,發(fā)布相應(yīng)下線公告,予以安排下線。7.3日常運維7.3.1運行監(jiān)控運營單位應(yīng)落實日常運行監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件、違法犯罪活動的管理和技術(shù)措施,并按照規(guī)定留存六個月以上相關(guān)日志。每季度應(yīng)開展日志分析審計,及時發(fā)現(xiàn)用戶異常操作行為。7.3.2風險評估運營單位應(yīng)及時識別網(wǎng)絡(luò)安全漏洞和風險隱患。每季度開展漏洞掃描、滲透測試和平臺管理員賬號權(quán)限復(fù)核,每年度及重點時期開展風險評估,及時整改發(fā)現(xiàn)的安全問題及隱患,并將風險評估結(jié)果向管理單位備案。7.3.3風險處置當發(fā)生安全事件時,運營單位應(yīng)按安全保障方案實施處置,并在兩小時內(nèi)通知管理單位,不可遲報、漏報、瞞報、謊報。報告安全事件時,應(yīng)列明事件發(fā)生時間、初步判定的影響范圍和危害、已采取的應(yīng)急處置措施和整改措施。7DB3205/T1129—20248安全管理8.1基本要求8.1.1運營單位和服務(wù)提供單位應(yīng)制定詳細的安全技術(shù)規(guī)范,覆蓋物理安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全和應(yīng)用安全等方面。內(nèi)容應(yīng)符合GB/T22239-2019、GB/T28448-2019、GB/T28449-2018、C0115-2018、C0116-2018的要求。8.1.2網(wǎng)絡(luò)安全等級保護應(yīng)不低于GB/T22239-2019中第三級安全要求。8.2運營單位運營單位應(yīng)組織編制安全保障方案,并報管理單位審定。運營單位應(yīng)組建專業(yè)專職的安全運營保障團隊,從安全防護與預(yù)警、安全監(jiān)控與分析、事件響應(yīng)及處置等方面提供安全保障。8.3服務(wù)提供單位服務(wù)提供單位應(yīng)負責接入應(yīng)用服務(wù)自身安全性,應(yīng)滿足以下要求:a)應(yīng)按照網(wǎng)絡(luò)安全等級保護要求,采取必要的安全技術(shù)和管理措施保障應(yīng)用的安全性;b)應(yīng)用服務(wù)在接入法人服務(wù)總?cè)肟谇昂秃罄m(xù)的迭代更新時,應(yīng)對接入的應(yīng)用以及承載應(yīng)用系統(tǒng)和數(shù)據(jù)的服務(wù)器采用漏洞掃描、滲透測試等技術(shù)進行安全評估,并根據(jù)安全評估結(jié)果進行加固,確保無高中風險漏洞后方可在法人服務(wù)總?cè)肟谏暇€,并應(yīng)將應(yīng)用服務(wù)安全評估報告向運營單位備案;c)如涉及第三方服務(wù)商,服務(wù)提供單位應(yīng)與第三方服務(wù)商簽署保密承諾責任書,對第三方人員的賬號權(quán)限進行安全管理,對第三方人員的操作進行記錄審計。9監(jiān)督與評價9.1監(jiān)督管理管理單位應(yīng)指導(dǎo)運營單位設(shè)立意見反饋與投訴渠道,收集法人等服務(wù)對象意見,接受社會監(jiān)督,接受同級單位及上級主管部門的業(yè)務(wù)指導(dǎo)和工作評價。9.2服務(wù)評價運營單位應(yīng)對法人服務(wù)總?cè)肟诮尤氲姆?wù)制定相應(yīng)的考核評價標準。8DB3205/T1129—2024(規(guī)范性)接入服務(wù)上線發(fā)布備案表格式接入服務(wù)上線發(fā)布備案表格式見表A.1。表A.1接入服務(wù)上線發(fā)布備案表類別具體內(nèi)容服務(wù)名稱服務(wù)類型□政務(wù)服務(wù)□公共服務(wù)□市場服務(wù)□其它服務(wù)類型業(yè)務(wù)權(quán)限□業(yè)務(wù)查看□業(yè)務(wù)辦理□關(guān)鍵業(yè)務(wù)服務(wù)說明覆蓋區(qū)域□已經(jīng)覆蓋10個縣級市(區(qū))□上線時覆蓋的縣級市(區(qū))有,其他縣級市(區(qū))完成覆蓋的時間進度是注:“縣級市(區(qū))服務(wù)”模塊只需填寫所在縣級市(區(qū)):接入方式支持并發(fā)數(shù)正式地址操作手冊DB3205/T1129—2024表A.1接入服務(wù)上線發(fā)布備案表(續(xù))類別具體內(nèi)容計劃發(fā)布時間業(yè)務(wù)流程圖網(wǎng)絡(luò)安全保障方案開發(fā)單位功能描述和特色亮點常見問答知識庫審核意見簽字

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論