智慧城市 政务信息资源安全管理规范.pdf

该【智慧城市 政务信息资源安全管理规范 】是由【青山代下】上传分享，文档一共【5】页，该文档可以免费在线阅读，需要了解更多关于【智慧城市 政务信息资源安全管理规范 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。:..智慧城市政务信息资源安全管理规范1范围本标准规定了政务信息资源安全管理的角色与职责、通用要求、数据生命周期安全。本标准适用于拥有政务信息资源的政务部门。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T35274-2017信息安全技术大数据服务安全能力要求3术语和定义GB/T35274-2017和国发〔2016〕51号界定的以及下列术语和定义适用于本文件。。[国发〔2016〕51号],以一定形式记录、保存的文件、资料、图表和数据等各类信息资源,包括政务部门直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的信息资源等。[国发〔2016〕51号],并通过数据服务或数据交换技术对这些资源进行使用。,经过数据采集、数据传输、数据存储、数据处理(包括计算、分析、可视化等)、数据交换,直至数据销毁等各种生存形态的演变过程。[GB/T35274-]、数据传输、数据存储、数据处理(包括计算、分析、可视化等)、数据交换、数据销毁等数据生存形态演变的一种网络信息服务。1:..[GB/T35274-],通过一定的方法和规则进行数据遮蔽或数据变形,以达到信息保护目的的处理行为。(包含软件、硬件)或服务的提供者。,明确各活动过程中的角色与职责划分,有效降低活动过程中存在的安全风险。)负责统筹、协调、指导和监督本单位政务信息资源管理工作;b)制定并定期评审、修订、监督和检查政务信息资源管理制度和技术规范;c)建立政务信息资源安全保障体系,保障本单位政务信息资源安全以及各有关单位的数据共享需求和行业应用需求。)为使用者提供本单位政务信息资源;b)采取安全技术手段和管理措施,保障政务信息资源安全;c)配合相关部门开展政务信息资源安全检查和事件调查。)依规、按需申请政务信息资源;b)在授权范围内对共享的政务信息资源进行使用;c)按照法律法规以及与政务信息资源提供者的约定等要求,保障政务信息资源安全。)应制定数据生命周期各阶段政务信息资源操作的记录规范和监管要求,按照要求对操作进行记录、监管和定期审计,实现资源操作全链路的可追溯。b)应及时更新系统、网络、设备的操作、维护、安装、备份等过程的文件化手册,确保操作的稳定和规范。)按最小授权原则分配用户权限。2:..b)制定整体的政务信息资源权限管理制度,对访问者身份及访问权限提出明确的管理要求。明确用户访问权限的授予、变更、撤销等流程,确保所有的资源使用经过授权和审批。c)应制定政务信息资源安全访问控制策略,建立授权控制机制,定期评审用户和访问权限的设置。及时调整人员变化所涉及的账号权限的赋权、更改和回收等。d)应对政务信息资源访问用户进行身份鉴别和鉴权,防止未授权的访问操作风险。)应建立用户账号管理制度,对账号的申请、审批、设立、注销等流程进行管控。e)禁止用户账号共享,账号仅限本人使用。普通用户不能在一个系统上拥有多个账号,系统管理员不能在一个系统上拥有多个相同角色的账号。用户必须对自己的账号及口令严格保密,并定期修改口令。,便于追溯和审计。)应建立供应商安全管理制度,明确政务信息资源安全目标、原则和范围及供应商的安全责任和义务。b)使用政务信息资源的供应商及人员应经过安全培训并签订保密协议,协议应明确政务信息资源的使用目的、供应方式、保密约定等。c)应建立供应商监督审核机制,对其行为进行记录,并对其行为合规性进行审核与监督。)应制定政务信息资源终端安全管理制度,明确终端上的政务信息资源防泄漏管理要求。b)应建立整体的终端安全控制措施,对终端上的资源进行风险监控,保障终端上的政务信息资源安全。,结合监督检查政务信息资源安全责任落实的情况,周期性组织开展政务信息资源安全风险评估,发布安全风险评估报告。根据风险评估报告制定并落实安全措施,实现对资源安全风险的持续可控。)应建立政务信息资源安全事件应急管理制度,明确应急工作管理机构和职责。b)应制定政务信息资源安全事件应急预案,定期开展应急演练,以达到在安全事件发生时能够快速响应和处理。c)政务信息资源安全事件发生后,应立即启动应急预案,并向主管部门报告。)应建立政务信息资源安全管理监督机制,明确主要活动实施部门的安全管理责任,定期检视安全管理机制的有效性,提出问题和改进建议,并督促整改。b)应建立安全事件处置规范检查机制,对安全事件处置情况进行审查,包括查阅事件处置报告、问询事件处置干系人等,评估事件处置的真实性和合规性。加强对政务信息资源应急处置规范监管。3:..6数据生命周期安全数据生命周期安全是政务信息资源安全的重要内容之一,包括采集、传输、存储、处理、共享、销毁等环节。数据生命周期安全管理流程图如图1。4:..图1数据生命周期安全管理流程图5