DB12T 996-2020 共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)平臺(tái)基本安全要求

DB12BasicsecurityrequirementsofmanagementandserviceplatformoftheGigWorker天津市市場(chǎng)監(jiān)督管理委員會(huì)發(fā)布I本標(biāo)準(zhǔn)起草單位：云賬戶(hù)（天津）共享經(jīng)濟(jì)信息咨詢(xún)有限1共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)平臺(tái)基本安全要求本標(biāo)準(zhǔn)規(guī)定了共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)機(jī)構(gòu)在開(kāi)展各項(xiàng)活動(dòng)及軟件平臺(tái)開(kāi)發(fā)過(guò)程中的安全基本要求，包括系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、管理GB/T22080信息技術(shù)安全技術(shù)信服務(wù)（LBS）等技術(shù)手段有效地將需求方和供給方進(jìn)行最優(yōu)匹配，對(duì)數(shù)量龐大的需求方和供給方進(jìn)行撮合，通過(guò)撮合交易達(dá)到供需雙方收益最大化，具備法人資格的共享經(jīng)濟(jì)行業(yè)平臺(tái)型公司。共享經(jīng)濟(jì)靈活就業(yè)人員管理與服務(wù)機(jī)構(gòu)（簡(jiǎn)稱(chēng)：“管理與服務(wù)機(jī)構(gòu)”）managementandservice2以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然注：個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、過(guò)個(gè)人信息或其他信息加工處理后形成的信息，例如，用戶(hù)畫(huà)像注：個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息，如一旦4縮略語(yǔ)HIDS：主機(jī)入侵檢測(cè)系統(tǒng)（Host-basedIntrusionDCA：證書(shū)授權(quán)中心（CertificateAuthoSDL：安全開(kāi)發(fā)生命周期（SecurityPII：個(gè)人可識(shí)別信息（PersonalIdentiKMS：密鑰管理系統(tǒng)（KeyManagementSyste應(yīng)符合GB/T22239-2019中8應(yīng)符合GB/T22239-2019中835.4主機(jī)要求c)應(yīng)部署HIDS，對(duì)主機(jī)的異常操作行為進(jìn)行安5.5系統(tǒng)可用性要求d)在激活系統(tǒng)、系統(tǒng)投入生產(chǎn)前，刪除系a)服務(wù)機(jī)構(gòu)應(yīng)支持與靈活就業(yè)人員在線(xiàn)簽署具4a)簽約服務(wù)：應(yīng)進(jìn)行姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)四要c)批量結(jié)算到銀行卡服務(wù)：應(yīng)進(jìn)行姓名、身份證號(hào)、銀行卡應(yīng)保證所服務(wù)的靈活就業(yè)人員、共享經(jīng)濟(jì)平臺(tái)和管理與服務(wù)機(jī)構(gòu)本身的數(shù)據(jù)個(gè)人信息和個(gè)人敏感信息分級(jí)應(yīng)按照GB/T35273-2020中附錄A和附錄B執(zhí)行。客戶(hù)、業(yè)務(wù)、經(jīng)營(yíng)管理、監(jiān)管數(shù)據(jù)分級(jí)宜參考JR/T0197-2020中附錄A執(zhí)行，應(yīng)根據(jù)管理與服務(wù)機(jī)構(gòu)的實(shí)際情況，對(duì)敏感數(shù)據(jù)進(jìn)一步分級(jí)。敏感數(shù)據(jù)的分級(jí)宜以下列內(nèi)容a)一級(jí)敏感數(shù)據(jù)包括個(gè)人敏感信息(如銀行賬戶(hù)、手機(jī)號(hào)、身份證號(hào))、系統(tǒng)級(jí)配置信息(如數(shù)據(jù)庫(kù)b)二級(jí)敏感數(shù)據(jù)包括脫敏的訂單和用戶(hù)數(shù)據(jù)c)三級(jí)敏感數(shù)據(jù)包括統(tǒng)計(jì)類(lèi)數(shù)據(jù)，如5管理與服務(wù)機(jī)構(gòu)管理人員訪(fǎng)問(wèn)靈活就業(yè)人員信息應(yīng)符合GB/T22239-2019中8.1.4.2和8.1.4.3的相據(jù)統(tǒng)計(jì)分析、數(shù)據(jù)可視化等。根據(jù)管理與服務(wù)機(jī)構(gòu)為靈活就業(yè)人員提供共享經(jīng)濟(jì)綜合服務(wù)時(shí)的實(shí)際情注：明示同意是指?jìng)€(gè)人信息主體通過(guò)書(shū)面聲明或主動(dòng)做出肯定性動(dòng)作，對(duì)“發(fā)送”等。注：桌面虛擬化環(huán)境指將操作系統(tǒng)桌面安裝、運(yùn)營(yíng)環(huán)境，操作和顯示環(huán)境操作系統(tǒng)桌面?？蛻?hù)端只傳輸鼠標(biāo)鍵盤(pán)動(dòng)作和接受顯示畫(huà)面，實(shí)現(xiàn)數(shù)據(jù)終端本地不存儲(chǔ)任何用戶(hù)數(shù)據(jù)，本地終端對(duì)應(yīng)的硬件接口可被禁用，如USB、CD-ROM等外設(shè)接口。外發(fā)網(wǎng)絡(luò)數(shù)c)提供異地實(shí)時(shí)備份功能，并具有相應(yīng)的d)對(duì)運(yùn)行關(guān)鍵業(yè)務(wù)的服務(wù)器采用集群結(jié)構(gòu)，有主備機(jī)制應(yīng)符合GB/T37973-2019中86保障工作。信息安全團(tuán)隊(duì)中技術(shù)人員應(yīng)具備信息安全相關(guān)工應(yīng)符合GB/T22239-2019中8.1.10要求。在使用云計(jì)算環(huán)境時(shí)，應(yīng)符合GB/T22239-2019中8.2.6、和安裝。對(duì)于通用軟件和組件，統(tǒng)一制定安全配置策略口統(tǒng)一使用堡壘機(jī)作為唯一入口，堡壘機(jī)應(yīng)具備審計(jì)功能，便于事后追蹤。核心系統(tǒng)對(duì)外應(yīng)a)安全漏洞的生命周期和漏洞管理應(yīng)符合GB/T30276-202)代碼審核應(yīng)確保代碼的開(kāi)發(fā)符合安4)代碼審查結(jié)果在發(fā)布前應(yīng)已經(jīng)由管理人員審核警，應(yīng)及時(shí)進(jìn)行安全預(yù)警和補(bǔ)丁升級(jí)，預(yù)防潛應(yīng)確保所有病毒查殺機(jī)制病毒庫(kù)保持為最新，執(zhí)行定期掃描，生成檢查7流程、應(yīng)急組織及職責(zé)以及事前事后培訓(xùn)等，事件分類(lèi)分級(jí)宜參考GB/Z包括但不限于