ICS 35.020 CCS L 70 41 河南省 地方标准 DB41/T 2736—2024 政务云平台安全服务规范 2024 - 08 - 26发布 2024 - 11 - 25实施 河南省市场监督管理局 发布 DB41/T 2736 —2024 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 团队和人员 ................................ ................................ ......... 1 5 安全服务要求 ................................ ................................ ....... 2 6 评价与改进 ................................ ................................ ......... 4 DB41/T 2736 —2024 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由河南省行政审批和政务信息管理局提出。 本文件由河南省大数据标准化技术委员会（ HN/TC 26 ）归口。 本文件起草单位：河南省政务大数据中心、安阳市政务大数据中心。 本文件主要起草人：左宁、 李程、马靳鲜、宋潇潇、杜都、胡方、冯文静、王智辉、王亦军、郭帅、 王和平、赵婉伊、任文光、司梦实、任远。 DB41/T 2736 —2024 1 政务云平台安全服务规范 1 范围 本文件规定了政务云平台安全服务的团队和人员、安全服务 要求、评价与改进等要求。 本文件适用于云服务提供方、信息安全服务提供方的政务云平台的安全服务。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 —2022 信息安全技术 术语 GB/T 34080.3 —2021 信息安全技术 基于云计算的电子政务公共平台安全规范 第3部分：服务 安全 3 术语和定义 GB/T 25069 —2022界定的以及下列术语和定义适用于本文件。 3.1 政务云平台 运用云计算及云计算服务，为政务信息系统提供基础设施、支撑软件、应用系统、信息资源、运行 保障和信息安全等综合服务的平台。 3.2 云服务提供方 云计算服务的提供方。 3.3 信息安全服务提供方 按照服务协议，通过专业的信息安全人员提供信息安全服务的组织。 3.4 信息安全服务需求方 获取外部信息安全服务，以满足信息安全需求，实现自身业务目标的组织。 3.5 信息安全服务 面向信息安全服务需求方的各类信息安全需求， 由云服务提供方和信息安全服务提供方按照服务协 议所执行的一个信息安全过程或任务。 4 团队和人员 4.1 团队 DB41/T 2736 —2024 2 安全服务团队由云服务提供 方及信息安全服务提供方组成 （以下简称“提供方”）。安全服务团队 应符合GB/T 34080.3 —2021标准规定的基本型安全服务能力，安全服务团队应建立健全安全服务的工作 机制。 4.2 人员 安全服务团队负责人应具备信息安全服务管理经验；安全服务人员应熟悉安全服务知识，具有信息 安全服务经验，具备信息安全服务能力。 5 安全服务要求 5.1 安全技术服务 5.1.1 资产监测 提供方应探测暴露在外的 IT设备、端口以及应用服务等资产，并梳理分析形成资产清单，及时发现 并处置风险资产和安全威胁。 5.1.2 漏洞扫描 提供方应对政务云 平台进行常态化漏洞扫描，发现服务器、网络设备、云主机、数据库、中间件等 软硬件存在的漏洞。 5.1.3 渗透测试 提供方应通过端口扫描、远程溢出、脚本渗透等方式模拟安全攻击，发现政务云平台及政务信息系 统的潜在安全风险。 5.1.4 基线检查与加固 提供方应对政务云平台的安全配置进行安全基线检查，对发现的不符合项进行安全加固，消除安全 隐患。 5.1.5 身份验证和访问控制 提供方应制定明确的身份验证、强制密码策略，引入多因素身份验证机制，根据最小权限原则，为 政务云平台内用户制定特定访问权限，并定期审查与更新访问控制列表，监控和审计访问活动。 5.1.6 安全检测 提供方应具备对网络安全威胁、应用安全威胁、数据安全威胁等行为进行主动发现、分析和提出防 护建议的能力。 5.1.7 策略优化 提供方应结合信息安全服务需求方（以下简称“需求方”）实际安全需求，对现有安全策略进行分 析，通过访问控制、安全防护、行为审计等方式开展策略优化工作。 5.2 安全运维服务 5.2.1 安全运维体系 DB41/T 2736 —2024 3 提供方应从运维能力建设、人员、过程、技术、资源等方面制定安全运维体系，保障政务云平台安 全运行。 5.2.2 安全预警 提供方应及时同步专业组织、安全机构等发布的漏洞信息、威胁信息、病毒信息、重大事件等安全 预警信息，为需求方提供相应的解决方案。 5.2.3 攻防演练 提供方每年至少应开展一次攻防演练，提升安全防御水平，提高安全协同和应急处置效率。 5.2.4 应急演练 提供方应开展安全检查、识别安全风险，制定应急预案并开展应急演练，最大程度减少安全事件造 成的影响。 5.2.5 重要保障 提供方应在重要活动、会议时期，为政务 云平台及政务信息系统提供安全检查、积极防御、实时检 测、响应处置等安全服务。 5.2.6 安全处置 政务云平台应具备灾备和可恢复性能力，以确保在发生灾难事件时能够快速恢复系统和数据，保障 平台的连续性和稳定性。 5.2.7 安全运维报告 提供方应定期向需求方提供安全运维报告，内容包括且不限于安全基本情况、安全事件处置情况及 安全改进措施。 5.3 安全咨询服务 5.3.1 信息安全风险评估 提供方应对信息系统安全属性进行评价 ,通过评估资产面临的威胁以及威胁利用脆弱性导致安全事 件的可能性 ,结合安全事件所涉及的资产价值来判断安全事件造成的影响 ,为需求方提出有针对性的抵 御威胁防护对策和整改措施。 5.3.2 等级保护与商用密码应用 提供方应通过电话、邮件、驻场服务等方式，为需求方提供等级保护和商用密码应用相关的安全咨 询服务。 5.3.3 信息安全管理体系 提供方应通过定义范围和方针、业务分析、风险评估、设计、实施等步骤，基于业务安全需求 ,建 立健全信息安全管理体系，为需求方提供信息安全管理体系咨询服务。 5.3.4 信息安全技术体系 提供方应为需求方构建防护体系，提升安全防护能力。 DB41/T 2736 —2024 4 5.4 安全培训服务 5.4.1 安全管理培训 提供方应对需求方定期开展信息安全相关法律法规、政策标准、信息安全意识等管理方面的培训。 5.4.2 安全技术培训 提供方应对需求方定期开展信息安全基础知识、安全体系架构、安全测试工具使用等技术方面的培 训。 6 评价与改进 6.1 服务评价 需求方应从服务质量、响应时效、服务流程、性价比等方面对提供方进行评价，并对未达到评价要 求的服务进行改进。 6.2 持续改进 提供方应跟踪评价过程中未达到评价要求的部分，分析产生原因，制定改进计划，明确改进目标， 记录改进过程，分析改进工作的合规性和有效性，持续改进。