DB3205-T 1129-2024 法人服務(wù)總?cè)肟谶\(yùn)行管理規(guī)范

CCSA10蘇州市DB32052024-08-09發(fā)布蘇州市市場監(jiān)督管理局發(fā)布DB3205/T1129—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4總體要求 4.1職責(zé)清晰 4.2流程規(guī)范 4.3標(biāo)準(zhǔn)統(tǒng)一 4.4運(yùn)行安全 5運(yùn)行管理框架 5.1運(yùn)行管理參與主體 5.2運(yùn)行管理總體框架 6接入管理 6.1接入范圍 6.2接入流程 6.3對接方式 6.4服務(wù)監(jiān)控 7運(yùn)營管理 7.1用戶管理 7.2服務(wù)管理 8安全管理 8.1基本要求 8.2運(yùn)營單位 8.3服務(wù)提供單位 9監(jiān)督與評價(jià) 9.1監(jiān)督管理 9.2服務(wù)評價(jià) 附錄A（規(guī)范性）接入服務(wù)上線發(fā)布備案表格式 8參考文獻(xiàn) DB3205/T1129—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由蘇州市數(shù)據(jù)局提出并歸口。本文件起草單位：蘇州市信息中心、蘇州市大數(shù)據(jù)集團(tuán)有限公司。本文件主要起草人：過岱彥、吳俊軍、袁振東、陸靜波、方亮、沈志崗、侯冠旭、楊卿、孫詩帆、管浩霖。DB3205/T1129—2024法人服務(wù)總?cè)肟谶\(yùn)行管理規(guī)范本文件規(guī)定了法人服務(wù)總?cè)肟谶\(yùn)行管理的總體要求、運(yùn)行管理框架、接入管理、運(yùn)營管理、安全管理和監(jiān)督與評價(jià)的要求。本文件適用于蘇州市服務(wù)法人及非法人組織相關(guān)事項(xiàng)服務(wù)接入法人服務(wù)總?cè)肟诘倪\(yùn)行管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用文件而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅所注日期的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求GB/T28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評過程指南C0115-2018國家政務(wù)服務(wù)平臺安全接入檢測要求C0116-2018國家政務(wù)服務(wù)平臺網(wǎng)絡(luò)安全保障要求3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1法人服務(wù)總?cè)肟赟uzhoulegalpersonservicemainentrance蘇州市人民政府正式發(fā)布的以法人及非法人組織為服務(wù)對象，以“蘇商通”為載體，提供相關(guān)行政權(quán)力事項(xiàng)和公共服務(wù)事項(xiàng)等服務(wù)的總?cè)肟凇?.2法人legalperson具有民事權(quán)利能力和民事行為能力，依法獨(dú)立享有民事權(quán)利和承擔(dān)民事義務(wù)的組織。[來源：民法典，第五十七條]3.3管理單位managementunit法人服務(wù)總?cè)肟诘闹鞴軉挝唬瑩碛蟹ㄈ朔?wù)總?cè)肟诘墓芾頇?quán)、使用權(quán)，統(tǒng)一管理法人服務(wù)總?cè)肟诘倪\(yùn)行管理工作。3.4運(yùn)營單位operationunit法人服務(wù)總?cè)肟诘娜粘＿\(yùn)營機(jī)構(gòu)，為管理單位和服務(wù)提供單位、用戶提供相關(guān)技術(shù)支持服務(wù)。2DB3205/T1129—20243.5服務(wù)提供單位serviceprovider依法通過法人服務(wù)總?cè)肟谔峁┬姓?quán)力事項(xiàng)、公共服務(wù)事項(xiàng)等服務(wù)入口的機(jī)構(gòu)。3.6用戶user法人服務(wù)總?cè)肟诘氖褂脝挝?、機(jī)構(gòu)或個(gè)人。4總體要求4.1職責(zé)清晰明確劃分法人服務(wù)總?cè)肟谶\(yùn)行管理過程中各參與主體的職責(zé)邊界，管理單位負(fù)責(zé)統(tǒng)籌法人服務(wù)總?cè)肟诘倪\(yùn)行管理工作，運(yùn)營單位負(fù)責(zé)法人服務(wù)總?cè)肟诘倪\(yùn)營管理及維護(hù)，服務(wù)提供單位負(fù)責(zé)接入服務(wù)的運(yùn)營管理及維護(hù)，用戶負(fù)責(zé)使用服務(wù)與評價(jià)。4.2流程規(guī)范運(yùn)營單位應(yīng)按照管理單位要求對法人服務(wù)總?cè)肟诘慕尤敕?wù)制定統(tǒng)一接入流程，服務(wù)提供單位應(yīng)按照流程規(guī)范發(fā)起服務(wù)接入申請，執(zhí)行服務(wù)上架工作。4.3標(biāo)準(zhǔn)統(tǒng)一運(yùn)營單位應(yīng)按照管理單位要求對法人服務(wù)總?cè)肟谥贫ńy(tǒng)一的運(yùn)行、維護(hù)、管理標(biāo)準(zhǔn)，應(yīng)從技術(shù)上制定服務(wù)運(yùn)行質(zhì)量標(biāo)準(zhǔn)，切實(shí)保障運(yùn)行穩(wěn)定。4.4運(yùn)行安全運(yùn)營單位、服務(wù)提供單位應(yīng)嚴(yán)格按照國家網(wǎng)絡(luò)安全法律法規(guī)要求，落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度、網(wǎng)絡(luò)安全監(jiān)測預(yù)警通報(bào)制度和個(gè)人信息保護(hù)制度，提升防病毒、防攻擊、防篡改、防癱瘓能力，保障運(yùn)行安全。5運(yùn)行管理框架5.1運(yùn)行管理參與主體法人服務(wù)總?cè)肟诘倪\(yùn)行管理主體應(yīng)包含管理單位、運(yùn)營單位、服務(wù)提供單位和用戶，職責(zé)劃分如下：a）管理單位：對法人服務(wù)總?cè)肟诘恼w運(yùn)行管理情況進(jìn)行監(jiān)督管理；b）運(yùn)營單位：為法人服務(wù)總?cè)肟诘倪\(yùn)行管理提供相關(guān)技術(shù)支持及運(yùn)營服務(wù)；c）服務(wù)提供單位：為接入法人服務(wù)總?cè)肟诘姆?wù)提供相關(guān)技術(shù)支持服務(wù)；d）用戶：使用服務(wù)及評價(jià)。5.2運(yùn)行管理總體框架法人服務(wù)總?cè)肟谶\(yùn)行管理框架如圖1所示。DB3205/T1129—2024圖1運(yùn)行管理框架圖6接入管理6.1接入范圍法人服務(wù)總?cè)肟诘慕尤敕秶鷳?yīng)包括：a）縱向?qū)咏K省政務(wù)服務(wù)網(wǎng)、蘇州市各縣級市(區(qū))依法依規(guī)向法人提供的服務(wù)事項(xiàng)；b）橫向接入蘇州市各委辦局依法依規(guī)向法人提供的服務(wù)事項(xiàng)；c）其他社會組織、行業(yè)協(xié)會等向法人提供的，經(jīng)管理單位審核批準(zhǔn)的服務(wù)事項(xiàng)。6.2接入流程6.2.1接入流程圖接入流程圖見圖2。4DB3205/T1129—2024圖2接入流程圖6.2.2接入申請服務(wù)提供單位梳理服務(wù)場景，應(yīng)根據(jù)梳理情況，按附錄A填寫《接入服務(wù)上線發(fā)布備案表》。5DB3205/T1129—20246.2.3接入審核服務(wù)提供單位將備案表提交至管理單位，管理單位應(yīng)對服務(wù)接入申請進(jìn)行審核，并回復(fù)審核結(jié)果。6.2.4環(huán)境準(zhǔn)備審核通過后，運(yùn)營單位應(yīng)為服務(wù)提供單位分配法人服務(wù)總?cè)肟诠芾碣~號，用于入駐服務(wù)接口訪問，并將平臺地址、賬號密碼、接入指南以及相關(guān)幫助文檔回復(fù)至服務(wù)提供單位，通知相關(guān)單位進(jìn)行接入準(zhǔn)6.2.5接入聯(lián)調(diào)運(yùn)營單位應(yīng)按照規(guī)范性文檔，在法人服務(wù)總?cè)肟诮尤氲谌椒?wù)，服務(wù)提供單位應(yīng)配合對接入的服務(wù)進(jìn)行雙方聯(lián)調(diào)。6.2.6上線發(fā)布運(yùn)營單位應(yīng)按照上線發(fā)布規(guī)則，完成聯(lián)調(diào)測試成功服務(wù)的上線發(fā)布。6.3對接方式6.3.1服務(wù)提供單位應(yīng)通過移動(dòng)互聯(lián)網(wǎng)端或互聯(lián)網(wǎng)端將服務(wù)接入法人服務(wù)總?cè)肟凇?.3.2服務(wù)提供單位在接入法人服務(wù)總?cè)肟跁r(shí)，應(yīng)符合如下要求：a）調(diào)用服務(wù)接口時(shí)，采取加密措施；b）服務(wù)接口支持HTTPS協(xié)議方式或SDK方式；c）提供服務(wù)請求成功、失敗等各種情況的接口返回代碼。6.4服務(wù)監(jiān)控運(yùn)營單位應(yīng)對接入服務(wù)的兼容性、可用性、安全性等進(jìn)行統(tǒng)一監(jiān)控管理，定期在用戶體驗(yàn)、接口穩(wěn)定、數(shù)據(jù)安全等方面對服務(wù)進(jìn)行巡檢，應(yīng)符合如下要求：a）監(jiān)測信息可用性；b）檢查服務(wù)穩(wěn)定性；c）監(jiān)測分析訪問數(shù)據(jù)；d）制定可行的故障應(yīng)急預(yù)案。7運(yùn)營管理7.1用戶管理7.1.1用戶注冊法人服務(wù)總?cè)肟趹?yīng)對注冊用戶進(jìn)行分級管理，根據(jù)認(rèn)證信息劃分用戶級別：a）L3等級的用戶：經(jīng)實(shí)名認(rèn)證并關(guān)聯(lián)名下企業(yè)，具備法人用戶權(quán)限的賬戶；b）L2等級的用戶：經(jīng)過實(shí)名認(rèn)證的自然人賬戶；c）L1等級的用戶：未經(jīng)過實(shí)名認(rèn)證的匿名賬戶。7.1.2用戶授權(quán)法人服務(wù)總?cè)肟趹?yīng)向注冊用戶提供法人、管理員、辦事人三種不同角色，法人對管理員、辦事人進(jìn)6DB3205/T1129—2024行管理授權(quán)，管理員對辦事人進(jìn)行管理授權(quán)。7.1.3用戶體系對接運(yùn)營單位應(yīng)制定用戶身份認(rèn)證體系對接說明，協(xié)助接入服務(wù)與法人服務(wù)總?cè)肟谶M(jìn)行用戶身份認(rèn)證體系對接：a）自建用戶體系的服務(wù)，應(yīng)與法人服務(wù)總?cè)肟诘挠脩羯矸菡J(rèn)證體系對接互認(rèn)；b）使用江蘇省政務(wù)服務(wù)網(wǎng)或者國家電子營業(yè)執(zhí)照用戶體系的服務(wù)，應(yīng)與法人服務(wù)總?cè)肟诘挠脩羯矸菡J(rèn)證體系對接聯(lián)調(diào)。7.2服務(wù)管理7.2.1服務(wù)上線服務(wù)提供單位應(yīng)向管理單位提出服務(wù)上線申請，由運(yùn)營單位協(xié)助實(shí)施接入，按管理單位規(guī)定測試合格并經(jīng)管理單位審核批準(zhǔn)后，發(fā)布服務(wù)上線公告，予以安排上線。7.2.2服務(wù)暫停因系統(tǒng)故障或維護(hù)等原因?qū)е路?wù)臨時(shí)不可使用的，服務(wù)提供單位應(yīng)提前向管理單位提出暫停申請及計(jì)劃恢復(fù)上線時(shí)間。經(jīng)管理單位確認(rèn)后，將應(yīng)用臨時(shí)下線，必要時(shí)應(yīng)發(fā)布停用公告。7.2.3服務(wù)恢復(fù)暫停的應(yīng)用具備恢復(fù)條件后，服務(wù)提供單位應(yīng)告知管理單位予以恢復(fù)上線，若所暫停事項(xiàng)涉及事項(xiàng)開發(fā)改造，恢復(fù)上線前應(yīng)重新進(jìn)行事項(xiàng)同源核對及錄入。按管理單位規(guī)定測試合格并經(jīng)管理單位審核批準(zhǔn)后，運(yùn)營單位方可協(xié)助重新接入平臺，發(fā)布服務(wù)恢復(fù)公告，安排服務(wù)恢復(fù)。7.2.4服務(wù)下線服務(wù)提供單位如有應(yīng)用需要下線，應(yīng)提前十個(gè)工作日報(bào)備至管理單位，經(jīng)管理單位確認(rèn)后，發(fā)布相應(yīng)下線公告，予以安排下線。7.3日常運(yùn)維7.3.1運(yùn)行監(jiān)控運(yùn)營單位應(yīng)落實(shí)日常運(yùn)行監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件、違法犯罪活動(dòng)的管理和技術(shù)措施，并按照規(guī)定留存六個(gè)月以上相關(guān)日志。每季度應(yīng)開展日志分析審計(jì)，及時(shí)發(fā)現(xiàn)用戶異常操作行為。7.3.2風(fēng)險(xiǎn)評估運(yùn)營單位應(yīng)及時(shí)識別網(wǎng)絡(luò)安全漏洞和風(fēng)險(xiǎn)隱患。每季度開展漏洞掃描、滲透測試和平臺管理員賬號權(quán)限復(fù)核，每年度及重點(diǎn)時(shí)期開展風(fēng)險(xiǎn)評估，及時(shí)整改發(fā)現(xiàn)的安全問題及隱患，并將風(fēng)險(xiǎn)評估結(jié)果向管理單位備案。7.3.3風(fēng)險(xiǎn)處置當(dāng)發(fā)生安全事件時(shí)，運(yùn)營單位應(yīng)按安全保障方案實(shí)施處置，并在兩小時(shí)內(nèi)通知管理單位，不可遲報(bào)、漏報(bào)、瞞報(bào)、謊報(bào)。報(bào)告安全事件時(shí)，應(yīng)列明事件發(fā)生時(shí)間、初步判定的影響范圍和危害、已采取的應(yīng)急處置措施和整改措施。7DB3205/T1129—20248安全管理8.1基本要求8.1.1運(yùn)營單位和服務(wù)提供單位應(yīng)制定詳細(xì)的安全技術(shù)規(guī)范，覆蓋物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、數(shù)據(jù)安全和應(yīng)用安全等方面。內(nèi)容應(yīng)符合GB/T22239-2019、GB/T28448-2019、GB/T28449-2018、C0115-2018、C0116-2018的要求。8.1.2網(wǎng)絡(luò)安全等級保護(hù)應(yīng)不低于GB/T22239-2019中第三級安全要求。8.2運(yùn)營單位運(yùn)營單位應(yīng)組織編制安全保障方案，并報(bào)管理單位審定。運(yùn)營單位應(yīng)組建專業(yè)專職的安全運(yùn)營保障團(tuán)隊(duì)，從安全防護(hù)與預(yù)警、安全監(jiān)控與分析、事件響應(yīng)及處置等方面提供安全保障。8.3服務(wù)提供單位服務(wù)提供單位應(yīng)負(fù)責(zé)接入應(yīng)用服務(wù)自身安全性，應(yīng)滿足以下要求：a）應(yīng)按照網(wǎng)絡(luò)安全等級保護(hù)要求，采取必要的安全技術(shù)和管理措施保障應(yīng)用的安全性；b）應(yīng)用服務(wù)在接入法人服務(wù)總?cè)肟谇昂秃罄m(xù)的迭代更新時(shí)，應(yīng)對接入的應(yīng)用以及承載應(yīng)用系統(tǒng)和數(shù)據(jù)的服務(wù)器采用漏洞掃描、滲透測試等技術(shù)進(jìn)行安全評估，并根據(jù)安全評估結(jié)果進(jìn)行加固，確保無高中風(fēng)險(xiǎn)漏洞后方可在法人服務(wù)總?cè)肟谏暇€，并應(yīng)將應(yīng)用服務(wù)安全評估報(bào)告向運(yùn)營單位備案；c）如涉及第三方服務(wù)商，服務(wù)提供單位應(yīng)與第三方服務(wù)商簽署保密承諾責(zé)任書，對第三方人員的賬號權(quán)限進(jìn)行安全管理，對第三方人員的操作進(jìn)行記錄審計(jì)。9監(jiān)督與評價(jià)9.1監(jiān)督管理管理單位應(yīng)指導(dǎo)運(yùn)營單位設(shè)立意見反饋與投訴渠道，收集法人等服務(wù)對象意見，接受社會監(jiān)督，接受同級單位及上級主管部門的業(yè)務(wù)指導(dǎo)和工作評價(jià)。9.2服務(wù)評價(jià)運(yùn)營單位應(yīng)對法人服務(wù)總?cè)肟诮尤氲姆?wù)制定相應(yīng)的考核評價(jià)標(biāo)準(zhǔn)。8DB3205/T1129—2024（規(guī)范性）接入服務(wù)上線發(fā)布備案表格式接入服務(wù)上線發(fā)布備案表格式見表A.1。表A.1接入服務(wù)上線發(fā)布備案表類別具體內(nèi)容服務(wù)名稱服務(wù)類型□政務(wù)服務(wù)□公共服務(wù)□市場服務(wù)□其它服務(wù)類型業(yè)務(wù)權(quán)限□業(yè)務(wù)查看□業(yè)務(wù)辦理□關(guān)鍵業(yè)務(wù)服務(wù)說明覆蓋區(qū)域□已經(jīng)覆蓋10個(gè)縣級市（區(qū)）□上線時(shí)覆蓋的縣級市（區(qū)）有，其他縣級市（區(qū)）完成覆蓋的時(shí)間進(jìn)度是注：“縣級市（區(qū)）服務(wù)”模塊只需填寫所在縣級市（區(qū)）：接入方式支持并發(fā)數(shù)正式地址操作手冊DB3205/T1129—2024表A.1接入服務(wù)上線發(fā)布備案表（續(xù)）類別具體內(nèi)容計(jì)劃發(fā)布時(shí)間業(yè)務(wù)流程圖網(wǎng)絡(luò)安全保障方案開發(fā)單位功能描述和特色亮點(diǎn)常見問答知識庫審核意見簽字