ICS35.240.99DB12J07天津市地方標準DB12/T996—2020共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)平臺基本安全要求BasicsecurityrequirementsofmanagementandserviceplatformoftheGigWorkerinthesharingeconomy天津市市場監(jiān)督管理委員會發(fā)布DB12/T996—2020前言本標準按照GB/T1.1-2009《標準化工作導(dǎo)則第1部分：標準的結(jié)構(gòu)和編寫》給出的規(guī)則起草。本標準由天津市互聯(lián)網(wǎng)信息辦公室提出并歸口。本標準起草單位：云賬戶（天津）共享經(jīng)濟信息咨詢有限公司、云賬戶技術(shù)（天津）有限公司。本標準主要起草人：楊暉、鄒永強、華燁姍、毛嘉興、李筱沛、祁笑顏、張玉龍、樊光羽、呂凱悅、尚微。IDB12/T996—2020共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)平臺基本安全要求1范圍本標準規(guī)定了共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)機構(gòu)在開展各項活動及軟件平臺開發(fā)過程中的安全基本要求，包括系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、管理安全。本標準適用于指導(dǎo)共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)機構(gòu)的平臺及相關(guān)產(chǎn)品在技術(shù)、業(yè)務(wù)、管理等方面的安全過程，可用于共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)機構(gòu)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T30276-2013信息安全技術(shù)信息安全漏洞管理規(guī)范GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范3共享經(jīng)濟平臺thesharingeconomyplatform利用互聯(lián)網(wǎng)現(xiàn)代信息技術(shù)，整合海量、分散化資源，通過移動設(shè)備、評價系統(tǒng)、支付、基于位置的服務(wù)（LBS）等技術(shù)手段有效地將需求方和供給方進行最優(yōu)匹配，對數(shù)量龐大的需求方和供給方進行撮合，通過撮合交易達到供需雙方收益最大化，具備法人資格的共享經(jīng)濟行業(yè)平臺型公司。共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)機構(gòu)（簡稱：“管理與服務(wù)機構(gòu)”）managementandservice1DB12/T996—2020以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注：個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。個人信息控制者通過個人信息或其他信息加工處理后形成的信息，例如，用戶畫像或特征標簽，能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。[GB/T35273-2020，定義3.1]3.4個人敏感信息personalsensitiveinformation一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇的個人信息。注：個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。個人信息控制者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的，屬于個人敏感信息。[GB/T35273-2020，定義3.2]4縮略語下列縮略語適用于本文件。51)2)2DB12/T996—20203)在便攜式計算設(shè)備上安裝個人防火墻軟件或等效功能。c)安全審計記錄應(yīng)留存至少六個月。5.4主機要求本項要求包括：a)應(yīng)符合GB/T22239-2019中8.1.4.1、8.1.4.2、8.1.4.3、8.1.4.4要求；b)如使用云主機，應(yīng)符合GB/T22239-2019中8.2.4.1、8.2.4.2、8.2.4.3要求；c)應(yīng)部署HIDS，對主機的異常操作行為進行安全預(yù)警，及時發(fā)現(xiàn)并阻止黑客攻擊行為；d)安全審計記錄應(yīng)留存至少六個月。5.5系統(tǒng)可用性要求本項要求包括：a)應(yīng)支持高并發(fā)請求，自動進行負載均衡；b)應(yīng)利用冗余部署消除單點故障；c)應(yīng)部署異地災(zāi)備環(huán)境；d)應(yīng)部署主機系統(tǒng)安全監(jiān)控和業(yè)務(wù)可用性監(jiān)控，通過電話、短信、郵件、即時通訊等手段進行報警，快速恢復(fù)系統(tǒng)故障。6應(yīng)用安全c)開發(fā)、測試過程中不使用生產(chǎn)環(huán)境數(shù)據(jù)；d)在激活系統(tǒng)、系統(tǒng)投入生產(chǎn)前，刪除系統(tǒng)組件中的測試數(shù)據(jù)和賬戶；e)開發(fā)、測試環(huán)境獨立于生產(chǎn)環(huán)境，并借助訪問控制確保兩者分離；f)在系統(tǒng)投入生產(chǎn)前對系統(tǒng)進行安全漏洞掃描，對于測試中發(fā)現(xiàn)的安全問題應(yīng)及時修復(fù)。3DB12/T996—2020根據(jù)不同共享經(jīng)濟靈活就業(yè)人員管理與服務(wù)和場景需求，應(yīng)進行身份信息要素驗證的分級管理。至少應(yīng)滿足以下要求：a)b)c)d)簽約服務(wù)：應(yīng)進行姓名、身份證號、銀行卡號、手機號四要素認證；自主簽約批量結(jié)算服務(wù)：應(yīng)進行姓名、身份證號、銀行卡號、手機號四要素認證；批量結(jié)算到銀行卡服務(wù)：應(yīng)進行姓名、身份證號、銀行卡號三要素認證；預(yù)簽約服務(wù)：應(yīng)進行姓名、身份證號二要素認證。7數(shù)據(jù)安全7.1總述應(yīng)保證所服務(wù)的靈活就業(yè)人員、共享經(jīng)濟平臺和管理與服務(wù)機構(gòu)本身的數(shù)據(jù)安全。7.2數(shù)據(jù)分級個人信息和個人敏感信息分級應(yīng)按照GB/T35273-2020中附錄A和附錄B執(zhí)行。客戶、業(yè)務(wù)、經(jīng)營管理、監(jiān)管數(shù)據(jù)分級宜參考JR/T0197-2020中附錄A執(zhí)行，應(yīng)根據(jù)管理與服務(wù)機構(gòu)的實際情況，對敏感數(shù)據(jù)進一步分級。敏感數(shù)據(jù)的分級宜以下列內(nèi)容為準：a)一級敏感數(shù)據(jù)包括個人敏感信息(如銀行賬戶、手機號、身份證號)、系統(tǒng)級配置信息(如數(shù)據(jù)庫認證配置、商戶通信密鑰、系統(tǒng)間通信密鑰、數(shù)字證書認證配置)、系統(tǒng)級賬戶密碼(如服務(wù)器最高權(quán)限密碼)、系統(tǒng)的源代碼等；二級敏感數(shù)據(jù)包括脫敏的訂單和用戶數(shù)據(jù)等；個人敏感信息加密規(guī)則應(yīng)滿足：數(shù)據(jù)全生命周期加密；采取的加密算法包括但不局限于對稱加密算法、非對稱加密算法和摘要加密算法，并應(yīng)滿足以下要求：1)2)3)4)7.3.2一級敏感數(shù)據(jù)加密4DB12/T996—20207.4數(shù)據(jù)訪問管理與服務(wù)機構(gòu)管理人員訪問靈活就業(yè)人員信息應(yīng)符合GB/T22239-2019中8.1.4.2和8.1.4.3的相關(guān)要求。7.5數(shù)據(jù)處理數(shù)據(jù)處理活動的主要操作包括但不限于數(shù)據(jù)查詢、數(shù)據(jù)讀取、數(shù)據(jù)索引、批處理、交互式處理、數(shù)據(jù)統(tǒng)計分析、數(shù)據(jù)可視化等。根據(jù)管理與服務(wù)機構(gòu)為靈活就業(yè)人員提供共享經(jīng)濟綜合服務(wù)時的實際情況，數(shù)據(jù)處理在符合GB/T37973-2019中8.4.1的同時，應(yīng)滿足以下條款：a)靈活就業(yè)人員PII處理應(yīng)征得用戶明示同意；注：明示同意是指個人信息主體通過書面聲明或主動做出肯定性動作，對其個人信息進行特定處理做出明確授權(quán)的行為。肯定性動作包括個人信息主體主動作出聲明（電子或紙質(zhì)形式）、主動勾選、主動點擊“同意”、“注冊”、“發(fā)送”等。b)靈活就業(yè)人員PII處理應(yīng)在高安全性的桌面虛擬化環(huán)境進行；注：桌面虛擬化環(huán)境指將操作系統(tǒng)桌面安裝、運營環(huán)境，操作和顯示環(huán)境相分離，利用客戶端訪問虛擬化平臺上的操作系統(tǒng)桌面。客戶端只傳輸鼠標鍵盤動作和接受顯示畫面，實現(xiàn)數(shù)據(jù)和使用相分離。高安全性是指虛擬桌面終端本地不存儲任何用戶數(shù)據(jù)，本地終端對應(yīng)的硬件接口可被禁用，如USB、CD-ROM等外設(shè)接口。外發(fā)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)接受白名單限制。c)數(shù)據(jù)處理過程應(yīng)遵循可審計原則，記錄刪除數(shù)據(jù)的操作時間、操作工具、操作方式、數(shù)據(jù)內(nèi)容等，并符合GB/T22239-2019中8.1.4.3的要求。數(shù)據(jù)存儲應(yīng)符合以下條款：b)建立防火墻保護平臺數(shù)據(jù)；c)提供異地實時備份功能，并具有相應(yīng)的恢復(fù)功能以便在發(fā)生故障時恢復(fù)；d)對運行關(guān)鍵業(yè)務(wù)的服務(wù)器采用集群結(jié)構(gòu)，有主備機制，實現(xiàn)業(yè)務(wù)系統(tǒng)不間斷運行；e)在提供服務(wù)前對服務(wù)器進行安全漏洞掃描和滲透測試，服務(wù)提供過程中應(yīng)每年至少進行一次滲透測試，對于測試中發(fā)現(xiàn)的安全問題應(yīng)及時修復(fù)；應(yīng)符合GB/T37973-2019中8.6要求。8應(yīng)設(shè)置信息安全高層管理機構(gòu)、信息安全日常管理機構(gòu)、信息安全技術(shù)團隊等信息安全管理組織。8.1.1信息安全高層管理機構(gòu)5DB12/T996—2020信息安全高層管理機構(gòu)應(yīng)由管理與服務(wù)機構(gòu)的最高管理層組成，負責(zé)決策、監(jiān)督、推動整體信息安全體系建設(shè)，對管理與服務(wù)機構(gòu)及其所有發(fā)生活動負責(zé)。8.1.2信息安全日常管理機構(gòu)信息安全日常管理機構(gòu)應(yīng)由管理與服務(wù)機構(gòu)內(nèi)部的各部門骨干成員組成，負責(zé)統(tǒng)一協(xié)調(diào)、監(jiān)督各項安全制度和策略在不同職責(zé)部門內(nèi)統(tǒng)一實施。8.1.3信息安全技術(shù)團隊信息安全技術(shù)團隊應(yīng)由管理與服務(wù)機構(gòu)內(nèi)部的技術(shù)人員組成，負責(zé)生產(chǎn)環(huán)境安全和辦公環(huán)境安全的保障工作。信息安全團隊中技術(shù)人員應(yīng)具備信息安全相關(guān)工作經(jīng)驗。8.2運維管理安全要求8.2.1安全運維管理應(yīng)符合GB/T22239-2019中8.1.10要求。在使用云計算環(huán)境時，應(yīng)符合GB/T22239-2019中8.2.6、8.2.7要求。8.2.2服務(wù)器運維安全基線本項要求包括：a)運行在生產(chǎn)環(huán)境操作系統(tǒng)上的軟件，應(yīng)統(tǒng)一由管理與服務(wù)機構(gòu)內(nèi)部的運維人員從可信環(huán)境下載和安裝。對于通用軟件和組件，統(tǒng)一制定安全配置策略和規(guī)范；b)根據(jù)功能和安全級別，應(yīng)在不同模塊間使用網(wǎng)絡(luò)隔離或者虛擬安全組進行隔離。生產(chǎn)環(huán)境的入口統(tǒng)一使用堡壘機作為唯一入口，堡壘機應(yīng)具備審計功能，便于事后追蹤。核心系統(tǒng)對外應(yīng)只提供必須開放的端口，無關(guān)端口應(yīng)全部關(guān)閉。a)安全漏洞的生命周期和漏洞管理應(yīng)符合GB/T30276-2013中4.5要求；b)應(yīng)具備識別潛在的編碼漏洞的能力，應(yīng)在投入生產(chǎn)或向客戶發(fā)布前審核自定義代碼。自定義代碼審核應(yīng)包括但不限于以下內(nèi)容：1)2)3)4)應(yīng)由代碼原作者以外的人員以及熟悉代碼審核方法和安全編碼實踐的人員審核代碼變更；代碼審核應(yīng)確保代碼的開發(fā)符合安全編碼指南；代碼發(fā)布前應(yīng)已經(jīng)進行修正和測試；c)應(yīng)制定服務(wù)中間件和操作系統(tǒng)漏洞升級機制，一旦有操作系統(tǒng)或者各種服務(wù)組件的零日漏洞預(yù)6DB12/T996—2020本項要求包括：a)應(yīng)制定統(tǒng)一的應(yīng)急預(yù)案框架，包括但不限于應(yīng)急事件分級、啟動應(yīng)急預(yù)案條件、應(yīng)急事件處理流程、應(yīng)急組織及職責(zé)以及事前事后培訓(xùn)等，事件分類分級宜參考GB/Z20986-2007；b)應(yīng)至少每季度開展1次應(yīng)急預(yù)案模擬演練。8.3員工安全意識培養(yǎng)要求8.3.1全員安全培訓(xùn)管理與服務(wù)機構(gòu)應(yīng)對全體員工在入職初期和安全規(guī)則發(fā)生重