DB3205-T 1129-2024 法人服務總入口運行管理規(guī)范

CCSA10蘇州市DB32052024-08-09發(fā)布蘇州市市場監(jiān)督管理局發(fā)布DB3205/T1129—2024前言 2規(guī)范性引用文件 3術語和定義 4總體要求 4.1職責清晰 4.2流程規(guī)范 4.3標準統(tǒng)一 4.4運行安全 5運行管理框架 5.1運行管理參與主體 5.2運行管理總體框架 6接入管理 6.1接入范圍 6.2接入流程 6.3對接方式 6.4服務監(jiān)控 7運營管理 7.1用戶管理 7.2服務管理 8安全管理 8.1基本要求 8.2運營單位 8.3服務提供單位 9監(jiān)督與評價 9.1監(jiān)督管理 9.2服務評價 附錄A（規(guī)范性）接入服務上線發(fā)布備案表格式 8參考文獻 DB3205/T1129—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由蘇州市數(shù)據(jù)局提出并歸口。本文件起草單位：蘇州市信息中心、蘇州市大數(shù)據(jù)集團有限公司。本文件主要起草人：過岱彥、吳俊軍、袁振東、陸靜波、方亮、沈志崗、侯冠旭、楊卿、孫詩帆、管浩霖。DB3205/T1129—2024法人服務總入口運行管理規(guī)范本文件規(guī)定了法人服務總入口運行管理的總體要求、運行管理框架、接入管理、運營管理、安全管理和監(jiān)督與評價的要求。本文件適用于蘇州市服務法人及非法人組織相關事項服務接入法人服務總入口的運行管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用文件而構成本文件必不可少的條款。其中，注日期的引用文件，僅所注日期的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/T28448-2019信息安全技術網(wǎng)絡安全等級保護測評要求GB/T28449-2018信息安全技術網(wǎng)絡安全等級保護測評過程指南C0115-2018國家政務服務平臺安全接入檢測要求C0116-2018國家政務服務平臺網(wǎng)絡安全保障要求3術語和定義下列術語和定義適用于本文件。3.1法人服務總入口Suzhoulegalpersonservicemainentrance蘇州市人民政府正式發(fā)布的以法人及非法人組織為服務對象，以“蘇商通”為載體，提供相關行政權力事項和公共服務事項等服務的總入口。3.2法人legalperson具有民事權利能力和民事行為能力，依法獨立享有民事權利和承擔民事義務的組織。[來源：民法典，第五十七條]3.3管理單位managementunit法人服務總入口的主管單位，擁有法人服務總入口的管理權、使用權，統(tǒng)一管理法人服務總入口的運行管理工作。3.4運營單位operationunit法人服務總入口的日常運營機構，為管理單位和服務提供單位、用戶提供相關技術支持服務。2DB3205/T1129—20243.5服務提供單位serviceprovider依法通過法人服務總入口提供行政權力事項、公共服務事項等服務入口的機構。3.6用戶user法人服務總入口的使用單位、機構或個人。4總體要求4.1職責清晰明確劃分法人服務總入口運行管理過程中各參與主體的職責邊界，管理單位負責統(tǒng)籌法人服務總入口的運行管理工作，運營單位負責法人服務總入口的運營管理及維護，服務提供單位負責接入服務的運營管理及維護，用戶負責使用服務與評價。4.2流程規(guī)范運營單位應按照管理單位要求對法人服務總入口的接入服務制定統(tǒng)一接入流程，服務提供單位應按照流程規(guī)范發(fā)起服務接入申請，執(zhí)行服務上架工作。4.3標準統(tǒng)一運營單位應按照管理單位要求對法人服務總入口制定統(tǒng)一的運行、維護、管理標準，應從技術上制定服務運行質量標準，切實保障運行穩(wěn)定。4.4運行安全運營單位、服務提供單位應嚴格按照國家網(wǎng)絡安全法律法規(guī)要求，落實網(wǎng)絡安全等級保護制度、網(wǎng)絡安全監(jiān)測預警通報制度和個人信息保護制度，提升防病毒、防攻擊、防篡改、防癱瘓能力，保障運行安全。5運行管理框架5.1運行管理參與主體法人服務總入口的運行管理主體應包含管理單位、運營單位、服務提供單位和用戶，職責劃分如下：a）管理單位：對法人服務總入口的整體運行管理情況進行監(jiān)督管理；b）運營單位：為法人服務總入口的運行管理提供相關技術支持及運營服務；c）服務提供單位：為接入法人服務總入口的服務提供相關技術支持服務；d）用戶：使用服務及評價。5.2運行管理總體框架法人服務總入口運行管理框架如圖1所示。DB3205/T1129—2024圖1運行管理框架圖6接入管理6.1接入范圍法人服務總入口的接入范圍應包括：a）縱向對接江蘇省政務服務網(wǎng)、蘇州市各縣級市(區(qū))依法依規(guī)向法人提供的服務事項；b）橫向接入蘇州市各委辦局依法依規(guī)向法人提供的服務事項；c）其他社會組織、行業(yè)協(xié)會等向法人提供的，經(jīng)管理單位審核批準的服務事項。6.2接入流程6.2.1接入流程圖接入流程圖見圖2。4DB3205/T1129—2024圖2接入流程圖6.2.2接入申請服務提供單位梳理服務場景，應根據(jù)梳理情況，按附錄A填寫《接入服務上線發(fā)布備案表》。5DB3205/T1129—20246.2.3接入審核服務提供單位將備案表提交至管理單位，管理單位應對服務接入申請進行審核，并回復審核結果。6.2.4環(huán)境準備審核通過后，運營單位應為服務提供單位分配法人服務總入口管理賬號，用于入駐服務接口訪問，并將平臺地址、賬號密碼、接入指南以及相關幫助文檔回復至服務提供單位，通知相關單位進行接入準6.2.5接入聯(lián)調運營單位應按照規(guī)范性文檔，在法人服務總入口接入第三方服務，服務提供單位應配合對接入的服務進行雙方聯(lián)調。6.2.6上線發(fā)布運營單位應按照上線發(fā)布規(guī)則，完成聯(lián)調測試成功服務的上線發(fā)布。6.3對接方式6.3.1服務提供單位應通過移動互聯(lián)網(wǎng)端或互聯(lián)網(wǎng)端將服務接入法人服務總入口。6.3.2服務提供單位在接入法人服務總入口時，應符合如下要求：a）調用服務接口時，采取加密措施；b）服務接口支持HTTPS協(xié)議方式或SDK方式；c）提供服務請求成功、失敗等各種情況的接口返回代碼。6.4服務監(jiān)控運營單位應對接入服務的兼容性、可用性、安全性等進行統(tǒng)一監(jiān)控管理，定期在用戶體驗、接口穩(wěn)定、數(shù)據(jù)安全等方面對服務進行巡檢，應符合如下要求：a）監(jiān)測信息可用性；b）檢查服務穩(wěn)定性；c）監(jiān)測分析訪問數(shù)據(jù)；d）制定可行的故障應急預案。7運營管理7.1用戶管理7.1.1用戶注冊法人服務總入口應對注冊用戶進行分級管理，根據(jù)認證信息劃分用戶級別：a）L3等級的用戶：經(jīng)實名認證并關聯(lián)名下企業(yè)，具備法人用戶權限的賬戶；b）L2等級的用戶：經(jīng)過實名認證的自然人賬戶；c）L1等級的用戶：未經(jīng)過實名認證的匿名賬戶。7.1.2用戶授權法人服務總入口應向注冊用戶提供法人、管理員、辦事人三種不同角色，法人對管理員、辦事人進6DB3205/T1129—2024行管理授權，管理員對辦事人進行管理授權。7.1.3用戶體系對接運營單位應制定用戶身份認證體系對接說明，協(xié)助接入服務與法人服務總入口進行用戶身份認證體系對接：a）自建用戶體系的服務，應與法人服務總入口的用戶身份認證體系對接互認；b）使用江蘇省政務服務網(wǎng)或者國家電子營業(yè)執(zhí)照用戶體系的服務，應與法人服務總入口的用戶身份認證體系對接聯(lián)調。7.2服務管理7.2.1服務上線服務提供單位應向管理單位提出服務上線申請，由運營單位協(xié)助實施接入，按管理單位規(guī)定測試合格并經(jīng)管理單位審核批準后，發(fā)布服務上線公告，予以安排上線。7.2.2服務暫停因系統(tǒng)故障或維護等原因導致服務臨時不可使用的，服務提供單位應提前向管理單位提出暫停申請及計劃恢復上線時間。經(jīng)管理單位確認后，將應用臨時下線，必要時應發(fā)布停用公告。7.2.3服務恢復暫停的應用具備恢復條件后，服務提供單位應告知管理單位予以恢復上線，若所暫停事項涉及事項開發(fā)改造，恢復上線前應重新進行事項同源核對及錄入。按管理單位規(guī)定測試合格并經(jīng)管理單位審核批準后，運營單位方可協(xié)助重新接入平臺，發(fā)布服務恢復公告，安排服務恢復。7.2.4服務下線服務提供單位如有應用需要下線，應提前十個工作日報備至管理單位，經(jīng)管理單位確認后，發(fā)布相應下線公告，予以安排下線。7.3日常運維7.3.1運行監(jiān)控運營單位應落實日常運行監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件、違法犯罪活動的管理和技術措施，并按照規(guī)定留存六個月以上相關日志。每季度應開展日志分析審計，及時發(fā)現(xiàn)用戶異常操作行為。7.3.2風險評估運營單位應及時識別網(wǎng)絡安全漏洞和風險隱患。每季度開展漏洞掃描、滲透測試和平臺管理員賬號權限復核，每年度及重點時期開展風險評估，及時整改發(fā)現(xiàn)的安全問題及隱患，并將風險評估結果向管理單位備案。7.3.3風險處置當發(fā)生安全事件時，運營單位應按安全保障方案實施處置，并在兩小時內(nèi)通知管理單位，不可遲報、漏報、瞞報、謊報。報告安全事件時，應列明事件發(fā)生時間、初步判定的影響范圍和危害、已采取的應急處置措施和整改措施。7DB3205/T1129—20248安全管理8.1基本要求8.1.1運營單位和服務提供單位應制定詳細的安全技術規(guī)范，覆蓋物理安全、網(wǎng)絡安全、主機安全、數(shù)據(jù)安全和應用安全等方面。內(nèi)容應符合GB/T22239-2019、GB/T28448-2019、GB/T28449-2018、C0115-2018、C0116-2018的要求。8.1.2網(wǎng)絡安全等級保護應不低于GB/T22239-2019中第三級安全要求。8.2運營單位運營單位應組織編制安全保障方案，并報管理單位審定。運營單位應組建專業(yè)專職的安全運營保障團隊，從安全防護與預警、安全監(jiān)控與分析、事件響應及處置等方面提供安全保障。8.3服務提供單位服務提供單位應負責接入應用服務自身安全性，應滿足以下要求：a）應按照網(wǎng)絡安全等級保護要求，采取必要的安全技術和管理措施保障應用的安全性；b）應用服務在接入法人服務總入口前和后續(xù)的迭代更新時，應對接入的應用以及承載應用系統(tǒng)和數(shù)據(jù)的服務器采用漏洞掃描、滲透測試等技術進行安全評估，并根據(jù)安全評估結果進行加固，確保無高中風險漏洞后方可在法人服務總入口上線，并應將應用服務安全評估報告向運營單位備案；c）如涉及第三方服務商，服務提供單位應與第三方服務商簽署保密承諾責任書，對第三方人員的賬號權限進行安全管理，對第三方人員的操作進行記錄審計。9監(jiān)督與評價9.1監(jiān)督管理管理單位應指導運營單位設立意見反饋與投訴渠道，收集法人等服務對象意見，接受社會監(jiān)督，接受同級單位及上級主管部門的業(yè)務指導和工作評價。9.2服務評價運營單位應對法人服務總入口接入的服務制定相應的考核評價標準。8DB3205/T1129—2024（規(guī)范性）接入服務上線發(fā)布備案表格式接入服務上線發(fā)布備案表格式見表A.1。表A.1接入服務上線發(fā)布備案表類別具體內(nèi)容服務名稱服務類型□政務服務□公共服務□市場服務□其它服務類型業(yè)務權限□業(yè)務查看□業(yè)務辦理□關鍵業(yè)務服務說明覆蓋區(qū)域□已經(jīng)覆蓋10個縣級市（區(qū)）□上線時覆蓋的縣級市（區(qū)）有，其他縣級市（區(qū)）完成覆蓋的時間進度是注：“縣級市（區(qū)）服務”模塊只需填寫所在縣級市（區(qū)）：接入方式支持并發(fā)數(shù)正式地址操作手冊DB3205/T1129—2024表A.1接入服務上線發(fā)布備案表（續(xù)）類別具體內(nèi)容計劃發(fā)布時間業(yè)務流程圖網(wǎng)絡安全保障方案開發(fā)單位功能描述和特色亮點常見問答知識庫審核意見簽字