DB3205-T 1129-2024 法人服務(wù)總?cè)肟谶\行管理規(guī)范

CCSA10蘇州市DB32052024-08-09發(fā)布蘇州市市場監(jiān)督管理局發(fā)布DB3205/T1129—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4總體要求 4.1職責清晰 4.2流程規(guī)范 4.3標準統(tǒng)一 4.4運行安全 5運行管理框架 5.1運行管理參與主體 5.2運行管理總體框架 6接入管理 6.1接入范圍 6.2接入流程 6.3對接方式 6.4服務(wù)監(jiān)控 7運營管理 7.1用戶管理 7.2服務(wù)管理 8安全管理 8.1基本要求 8.2運營單位 8.3服務(wù)提供單位 9監(jiān)督與評價 9.1監(jiān)督管理 9.2服務(wù)評價 附錄A（規(guī)范性）接入服務(wù)上線發(fā)布備案表格式 8參考文獻 DB3205/T1129—2024本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由蘇州市數(shù)據(jù)局提出并歸口。本文件起草單位：蘇州市信息中心、蘇州市大數(shù)據(jù)集團有限公司。本文件主要起草人：過岱彥、吳俊軍、袁振東、陸靜波、方亮、沈志崗、侯冠旭、楊卿、孫詩帆、管浩霖。DB3205/T1129—2024法人服務(wù)總?cè)肟谶\行管理規(guī)范本文件規(guī)定了法人服務(wù)總?cè)肟谶\行管理的總體要求、運行管理框架、接入管理、運營管理、安全管理和監(jiān)督與評價的要求。本文件適用于蘇州市服務(wù)法人及非法人組織相關(guān)事項服務(wù)接入法人服務(wù)總?cè)肟诘倪\行管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用文件而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅所注日期的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求GB/T28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南C0115-2018國家政務(wù)服務(wù)平臺安全接入檢測要求C0116-2018國家政務(wù)服務(wù)平臺網(wǎng)絡(luò)安全保障要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1法人服務(wù)總?cè)肟赟uzhoulegalpersonservicemainentrance蘇州市人民政府正式發(fā)布的以法人及非法人組織為服務(wù)對象，以“蘇商通”為載體，提供相關(guān)行政權(quán)力事項和公共服務(wù)事項等服務(wù)的總?cè)肟凇?.2法人legalperson具有民事權(quán)利能力和民事行為能力，依法獨立享有民事權(quán)利和承擔民事義務(wù)的組織。[來源：民法典，第五十七條]3.3管理單位managementunit法人服務(wù)總?cè)肟诘闹鞴軉挝?，擁有法人服?wù)總?cè)肟诘墓芾頇?quán)、使用權(quán)，統(tǒng)一管理法人服務(wù)總?cè)肟诘倪\行管理工作。3.4運營單位operationunit法人服務(wù)總?cè)肟诘娜粘＿\營機構(gòu)，為管理單位和服務(wù)提供單位、用戶提供相關(guān)技術(shù)支持服務(wù)。2DB3205/T1129—20243.5服務(wù)提供單位serviceprovider依法通過法人服務(wù)總?cè)肟谔峁┬姓?quán)力事項、公共服務(wù)事項等服務(wù)入口的機構(gòu)。3.6用戶user法人服務(wù)總?cè)肟诘氖褂脝挝?、機構(gòu)或個人。4總體要求4.1職責清晰明確劃分法人服務(wù)總?cè)肟谶\行管理過程中各參與主體的職責邊界，管理單位負責統(tǒng)籌法人服務(wù)總?cè)肟诘倪\行管理工作，運營單位負責法人服務(wù)總?cè)肟诘倪\營管理及維護，服務(wù)提供單位負責接入服務(wù)的運營管理及維護，用戶負責使用服務(wù)與評價。4.2流程規(guī)范運營單位應(yīng)按照管理單位要求對法人服務(wù)總?cè)肟诘慕尤敕?wù)制定統(tǒng)一接入流程，服務(wù)提供單位應(yīng)按照流程規(guī)范發(fā)起服務(wù)接入申請，執(zhí)行服務(wù)上架工作。4.3標準統(tǒng)一運營單位應(yīng)按照管理單位要求對法人服務(wù)總?cè)肟谥贫ńy(tǒng)一的運行、維護、管理標準，應(yīng)從技術(shù)上制定服務(wù)運行質(zhì)量標準，切實保障運行穩(wěn)定。4.4運行安全運營單位、服務(wù)提供單位應(yīng)嚴格按照國家網(wǎng)絡(luò)安全法律法規(guī)要求，落實網(wǎng)絡(luò)安全等級保護制度、網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報制度和個人信息保護制度，提升防病毒、防攻擊、防篡改、防癱瘓能力，保障運行安全。5運行管理框架5.1運行管理參與主體法人服務(wù)總?cè)肟诘倪\行管理主體應(yīng)包含管理單位、運營單位、服務(wù)提供單位和用戶，職責劃分如下：a）管理單位：對法人服務(wù)總?cè)肟诘恼w運行管理情況進行監(jiān)督管理；b）運營單位：為法人服務(wù)總?cè)肟诘倪\行管理提供相關(guān)技術(shù)支持及運營服務(wù)；c）服務(wù)提供單位：為接入法人服務(wù)總?cè)肟诘姆?wù)提供相關(guān)技術(shù)支持服務(wù)；d）用戶：使用服務(wù)及評價。5.2運行管理總體框架法人服務(wù)總?cè)肟谶\行管理框架如圖1所示。DB3205/T1129—2024圖1運行管理框架圖6接入管理6.1接入范圍法人服務(wù)總?cè)肟诘慕尤敕秶鷳?yīng)包括：a）縱向?qū)咏K省政務(wù)服務(wù)網(wǎng)、蘇州市各縣級市(區(qū))依法依規(guī)向法人提供的服務(wù)事項；b）橫向接入蘇州市各委辦局依法依規(guī)向法人提供的服務(wù)事項；c）其他社會組織、行業(yè)協(xié)會等向法人提供的，經(jīng)管理單位審核批準的服務(wù)事項。6.2接入流程6.2.1接入流程圖接入流程圖見圖2。4DB3205/T1129—2024圖2接入流程圖6.2.2接入申請服務(wù)提供單位梳理服務(wù)場景，應(yīng)根據(jù)梳理情況，按附錄A填寫《接入服務(wù)上線發(fā)布備案表》。5DB3205/T1129—20246.2.3接入審核服務(wù)提供單位將備案表提交至管理單位，管理單位應(yīng)對服務(wù)接入申請進行審核，并回復(fù)審核結(jié)果。6.2.4環(huán)境準備審核通過后，運營單位應(yīng)為服務(wù)提供單位分配法人服務(wù)總?cè)肟诠芾碣~號，用于入駐服務(wù)接口訪問，并將平臺地址、賬號密碼、接入指南以及相關(guān)幫助文檔回復(fù)至服務(wù)提供單位，通知相關(guān)單位進行接入準6.2.5接入聯(lián)調(diào)運營單位應(yīng)按照規(guī)范性文檔，在法人服務(wù)總?cè)肟诮尤氲谌椒?wù)，服務(wù)提供單位應(yīng)配合對接入的服務(wù)進行雙方聯(lián)調(diào)。6.2.6上線發(fā)布運營單位應(yīng)按照上線發(fā)布規(guī)則，完成聯(lián)調(diào)測試成功服務(wù)的上線發(fā)布。6.3對接方式6.3.1服務(wù)提供單位應(yīng)通過移動互聯(lián)網(wǎng)端或互聯(lián)網(wǎng)端將服務(wù)接入法人服務(wù)總?cè)肟凇?.3.2服務(wù)提供單位在接入法人服務(wù)總?cè)肟跁r，應(yīng)符合如下要求：a）調(diào)用服務(wù)接口時，采取加密措施；b）服務(wù)接口支持HTTPS協(xié)議方式或SDK方式；c）提供服務(wù)請求成功、失敗等各種情況的接口返回代碼。6.4服務(wù)監(jiān)控運營單位應(yīng)對接入服務(wù)的兼容性、可用性、安全性等進行統(tǒng)一監(jiān)控管理，定期在用戶體驗、接口穩(wěn)定、數(shù)據(jù)安全等方面對服務(wù)進行巡檢，應(yīng)符合如下要求：a）監(jiān)測信息可用性；b）檢查服務(wù)穩(wěn)定性；c）監(jiān)測分析訪問數(shù)據(jù)；d）制定可行的故障應(yīng)急預(yù)案。7運營管理7.1用戶管理7.1.1用戶注冊法人服務(wù)總?cè)肟趹?yīng)對注冊用戶進行分級管理，根據(jù)認證信息劃分用戶級別：a）L3等級的用戶：經(jīng)實名認證并關(guān)聯(lián)名下企業(yè)，具備法人用戶權(quán)限的賬戶；b）L2等級的用戶：經(jīng)過實名認證的自然人賬戶；c）L1等級的用戶：未經(jīng)過實名認證的匿名賬戶。7.1.2用戶授權(quán)法人服務(wù)總?cè)肟趹?yīng)向注冊用戶提供法人、管理員、辦事人三種不同角色，法人對管理員、辦事人進6DB3205/T1129—2024行管理授權(quán)，管理員對辦事人進行管理授權(quán)。7.1.3用戶體系對接運營單位應(yīng)制定用戶身份認證體系對接說明，協(xié)助接入服務(wù)與法人服務(wù)總?cè)肟谶M行用戶身份認證體系對接：a）自建用戶體系的服務(wù)，應(yīng)與法人服務(wù)總?cè)肟诘挠脩羯矸菡J證體系對接互認；b）使用江蘇省政務(wù)服務(wù)網(wǎng)或者國家電子營業(yè)執(zhí)照用戶體系的服務(wù)，應(yīng)與法人服務(wù)總?cè)肟诘挠脩羯矸菡J證體系對接聯(lián)調(diào)。7.2服務(wù)管理7.2.1服務(wù)上線服務(wù)提供單位應(yīng)向管理單位提出服務(wù)上線申請，由運營單位協(xié)助實施接入，按管理單位規(guī)定測試合格并經(jīng)管理單位審核批準后，發(fā)布服務(wù)上線公告，予以安排上線。7.2.2服務(wù)暫停因系統(tǒng)故障或維護等原因?qū)е路?wù)臨時不可使用的，服務(wù)提供單位應(yīng)提前向管理單位提出暫停申請及計劃恢復(fù)上線時間。經(jīng)管理單位確認后，將應(yīng)用臨時下線，必要時應(yīng)發(fā)布停用公告。7.2.3服務(wù)恢復(fù)暫停的應(yīng)用具備恢復(fù)條件后，服務(wù)提供單位應(yīng)告知管理單位予以恢復(fù)上線，若所暫停事項涉及事項開發(fā)改造，恢復(fù)上線前應(yīng)重新進行事項同源核對及錄入。按管理單位規(guī)定測試合格并經(jīng)管理單位審核批準后，運營單位方可協(xié)助重新接入平臺，發(fā)布服務(wù)恢復(fù)公告，安排服務(wù)恢復(fù)。7.2.4服務(wù)下線服務(wù)提供單位如有應(yīng)用需要下線，應(yīng)提前十個工作日報備至管理單位，經(jīng)管理單位確認后，發(fā)布相應(yīng)下線公告，予以安排下線。7.3日常運維7.3.1運行監(jiān)控運營單位應(yīng)落實日常運行監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件、違法犯罪活動的管理和技術(shù)措施，并按照規(guī)定留存六個月以上相關(guān)日志。每季度應(yīng)開展日志分析審計，及時發(fā)現(xiàn)用戶異常操作行為。7.3.2風險評估運營單位應(yīng)及時識別網(wǎng)絡(luò)安全漏洞和風險隱患。每季度開展漏洞掃描、滲透測試和平臺管理員賬號權(quán)限復(fù)核，每年度及重點時期開展風險評估，及時整改發(fā)現(xiàn)的安全問題及隱患，并將風險評估結(jié)果向管理單位備案。7.3.3風險處置當發(fā)生安全事件時，運營單位應(yīng)按安全保障方案實施處置，并在兩小時內(nèi)通知管理單位，不可遲報、漏報、瞞報、謊報。報告安全事件時，應(yīng)列明事件發(fā)生時間、初步判定的影響范圍和危害、已采取的應(yīng)急處置措施和整改措施。7DB3205/T1129—20248安全管理8.1基本要求8.1.1運營單位和服務(wù)提供單位應(yīng)制定詳細的安全技術(shù)規(guī)范，覆蓋物理安全、網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全和應(yīng)用安全等方面。內(nèi)容應(yīng)符合GB/T22239-2019、GB/T28448-2019、GB/T28449-2018、C0115-2018、C0116-2018的要求。8.1.2網(wǎng)絡(luò)安全等級保護應(yīng)不低于GB/T22239-2019中第三級安全要求。8.2運營單位運營單位應(yīng)組織編制安全保障方案，并報管理單位審定。運營單位應(yīng)組建專業(yè)專職的安全運營保障團隊，從安全防護與預(yù)警、安全監(jiān)控與分析、事件響應(yīng)及處置等方面提供安全保障。8.3服務(wù)提供單位服務(wù)提供單位應(yīng)負責接入應(yīng)用服務(wù)自身安全性，應(yīng)滿足以下要求：a）應(yīng)按照網(wǎng)絡(luò)安全等級保護要求，采取必要的安全技術(shù)和管理措施保障應(yīng)用的安全性；b）應(yīng)用服務(wù)在接入法人服務(wù)總?cè)肟谇昂秃罄m(xù)的迭代更新時，應(yīng)對接入的應(yīng)用以及承載應(yīng)用系統(tǒng)和數(shù)據(jù)的服務(wù)器采用漏洞掃描、滲透測試等技術(shù)進行安全評估，并根據(jù)安全評估結(jié)果進行加固，確保無高中風險漏洞后方可在法人服務(wù)總?cè)肟谏暇€，并應(yīng)將應(yīng)用服務(wù)安全評估報告向運營單位備案；c）如涉及第三方服務(wù)商，服務(wù)提供單位應(yīng)與第三方服務(wù)商簽署保密承諾責任書，對第三方人員的賬號權(quán)限進行安全管理，對第三方人員的操作進行記錄審計。9監(jiān)督與評價9.1監(jiān)督管理管理單位應(yīng)指導(dǎo)運營單位設(shè)立意見反饋與投訴渠道，收集法人等服務(wù)對象意見，接受社會監(jiān)督，接受同級單位及上級主管部門的業(yè)務(wù)指導(dǎo)和工作評價。9.2服務(wù)評價運營單位應(yīng)對法人服務(wù)總?cè)肟诮尤氲姆?wù)制定相應(yīng)的考核評價標準。8DB3205/T1129—2024（規(guī)范性）接入服務(wù)上線發(fā)布備案表格式接入服務(wù)上線發(fā)布備案表格式見表A.1。表A.1接入服務(wù)上線發(fā)布備案表類別具體內(nèi)容服務(wù)名稱服務(wù)類型□政務(wù)服務(wù)□公共服務(wù)□市場服務(wù)□其它服務(wù)類型業(yè)務(wù)權(quán)限□業(yè)務(wù)查看□業(yè)務(wù)辦理□關(guān)鍵業(yè)務(wù)服務(wù)說明覆蓋區(qū)域□已經(jīng)覆蓋10個縣級市（區(qū)）□上線時覆蓋的縣級市（區(qū)）有，其他縣級市（區(qū)）完成覆蓋的時間進度是注：“縣級市（區(qū)）服務(wù)”模塊只需填寫所在縣級市（區(qū)）：接入方式支持并發(fā)數(shù)正式地址操作手冊DB3205/T1129—2024表A.1接入服務(wù)上線發(fā)布備案表（續(xù)）類別具體內(nèi)容計劃發(fā)布時間業(yè)務(wù)流程圖網(wǎng)絡(luò)安全保障方案開發(fā)單位功能描述和特色亮點常見問答知識庫審核意見簽字