ICS35.240.99

CCSL67

44

廣東省地方標(biāo)準(zhǔn)

DB44/T2438—2023

移動政務(wù)服務(wù)平臺運營管理規(guī)范

Operationmanagementspecificationofmobilegovernmentserviceplatform

2023-07-30發(fā)布2023-11-30實施

廣東省市場監(jiān)督管理局發(fā)布

DB44/T2438—2023

目次

前言.................................................................................II

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語和定義.........................................................................1

4通用要求...........................................................................2

分工明確.......................................................................2

統(tǒng)一規(guī)范.......................................................................2

同源管理.......................................................................2

安全可靠.......................................................................2

人員專業(yè).......................................................................2

5運營方總體要求.....................................................................3

6運營管理框架.......................................................................3

7運營管理...........................................................................3

應(yīng)用管理.......................................................................3

移動政務(wù)辦公平臺用戶管理.......................................................4

信息發(fā)布管理...................................................................5

咨詢投訴處理...................................................................5

運行監(jiān)控.......................................................................6

8運營保障...........................................................................6

宣傳推廣.......................................................................6

故障處理.......................................................................6

風(fēng)險控制.......................................................................7

數(shù)據(jù)分析.......................................................................7

資金、人員保障.................................................................7

9運營安全...........................................................................7

總體要求.......................................................................7

運營方安全要求.................................................................7

接入方安全要求.................................................................8

數(shù)據(jù)安全管理...................................................................8

參考文獻.............................................................................10

I

DB44/T2438—2023

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請注意本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由廣東省政務(wù)服務(wù)數(shù)據(jù)管理局提出、歸口，并組織實施。

本文件起草單位：數(shù)字廣東網(wǎng)絡(luò)建設(shè)有限公司、廣東省標(biāo)準(zhǔn)化研究院。

本文件主要起草人：劉亞單、羅小松、王波、吳紹燈、勞學(xué)禮、王威、石煒君、龔惠琴、李芳芳、

黃麗燕、陳功。

II

DB44/T2438—2023

移動政務(wù)服務(wù)平臺運營管理規(guī)范

1范圍

本文件規(guī)定了移動政務(wù)服務(wù)平臺運營管理的通用要求，運營方總體要求，以及運營管理、運營保障

和運營安全等方面的要求。

本文件適用于包括移動公共服務(wù)平臺和移動政務(wù)辦公平臺在內(nèi)的移動政務(wù)服務(wù)平臺的運營管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T30279-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞分類分級指南

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

移動政務(wù)服務(wù)平臺mobilegovernmentserviceplatform

運用信息技術(shù)和互聯(lián)網(wǎng)技術(shù)，實現(xiàn)政務(wù)辦公或公共服務(wù)功能的移動平臺，包括移動公共服務(wù)平臺和

移動政務(wù)辦公平臺。

移動公共服務(wù)平臺mobilepublicserviceplatform

運用信息技術(shù)和互聯(lián)網(wǎng)技術(shù)，實現(xiàn)政務(wù)公開、政務(wù)服務(wù)、政務(wù)辦理、公眾信息互動等政府公共服務(wù)

功能的移動政務(wù)服務(wù)平臺。

移動政務(wù)辦公平臺mobilegovernmentofficeplatform

運用信息技術(shù)和互聯(lián)網(wǎng)技術(shù)，供全省各級公職人員處理不涉及國家秘密的公文、信息和事務(wù)的移

動政務(wù)服務(wù)平臺。

管理方administrator

移動政務(wù)服務(wù)平臺的主管方，即政務(wù)服務(wù)數(shù)據(jù)管理部門。

注：管理方對該平臺擁有所有權(quán)、管理權(quán)、使用權(quán)和審計權(quán)，統(tǒng)一管理接入的政務(wù)服務(wù)事項，向運營方下達具體建

設(shè)和運營工作任務(wù)。

接入方accessor

1

DB44/T2438—2023

通過移動政務(wù)服務(wù)平臺提供政務(wù)服務(wù)的黨政機關(guān)或提供公共服務(wù)的企事業(yè)單位、社會組織等機構(gòu)。

運營方operator

負責(zé)移動政務(wù)服務(wù)平臺日常運營的機構(gòu)。

注：運營方為管理方和接入方提供相關(guān)技術(shù)支持服務(wù)，可以由管理方自主承擔(dān)或管理方委托第三方機構(gòu)承擔(dān)。

用戶user

移動政務(wù)服務(wù)平臺的使用單位或個人。

信息提出方informationprovider

在移動政務(wù)服務(wù)平臺上申請發(fā)布信息的機構(gòu)。

信息發(fā)布方informationpublisher

在移動政務(wù)服務(wù)平臺上根據(jù)信息提出方所提供的信息進行信息發(fā)布的機構(gòu)。

4通用要求

分工明確

移動政務(wù)服務(wù)平臺運營方與接入方應(yīng)有明確的分工界線，運營方負責(zé)平臺的運營及維護，接入方負

責(zé)接入應(yīng)用的運營和維護。

統(tǒng)一規(guī)范

統(tǒng)一規(guī)范要求如下:

a)運營方應(yīng)按管理方統(tǒng)一要求對移動政務(wù)服務(wù)平臺實施管理和日常運營。

b)應(yīng)從技術(shù)上建立全生命周期質(zhì)量管理機制，對系統(tǒng)性能、應(yīng)用管理、運行監(jiān)測等進行規(guī)范，切

實保障功能完備、運行穩(wěn)定、體驗良好。

c)應(yīng)從管理上做好運營管理的機制、標(biāo)準(zhǔn)、制度、規(guī)范體系建設(shè)。

d)各地、各部門移動政務(wù)服務(wù)應(yīng)充分依托省級移動政務(wù)服務(wù)平臺開展，原則上不再新建移動政務(wù)

服務(wù)平臺，因特殊原因確需新建或保留的，應(yīng)與省政務(wù)服務(wù)數(shù)據(jù)管理部門協(xié)商辦理。

同源管理

移動政務(wù)服務(wù)平臺應(yīng)保持與政務(wù)服務(wù)網(wǎng)（平臺）事項同源。

安全可靠

運營方和接入方應(yīng)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》和《中華

人民共和國個人信息保護法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等法律法規(guī)要求，嚴格執(zhí)行GB17859-

1999、GB/T22239-2019等網(wǎng)絡(luò)安全等級保護制度，保障移動政務(wù)服務(wù)平臺和業(yè)務(wù)系統(tǒng)免受干擾、破壞，

防止數(shù)據(jù)泄露或者被竊取、篡改等，加強系統(tǒng)安全防護與管理。

人員專業(yè)

應(yīng)做好專業(yè)人員隊伍建設(shè)，確保為移動政務(wù)服務(wù)平臺的正常運營提供組織和人員保障。

2

DB44/T2438—2023

5運營方總體要求

移動政務(wù)服務(wù)平臺運營方應(yīng)具備一定資質(zhì)和能力，具體要求如下：

a)移動政務(wù)服務(wù)平臺應(yīng)由具有獨立法人資格及從事相關(guān)服務(wù)資質(zhì)或能力的運營機構(gòu)運營，宜具

備的資質(zhì)包括：ISO20000信息技術(shù)服務(wù)管理體系認證、ISO27001信息安全管理體系認證、

ITSS信息技術(shù)服務(wù)運行維護認證證書等。

b)運營方應(yīng)建立基礎(chǔ)性、開放性、共享性服務(wù)的運營管理機制，應(yīng)建立網(wǎng)絡(luò)信息安全制度，落實

安全保護技術(shù)措施，運營宜采用主備模式，各類系統(tǒng)數(shù)據(jù)應(yīng)設(shè)置異地備份。

c)運營方應(yīng)配有專職管理團隊和人才隊伍，具有組織服務(wù)資源的能力，配備專職技術(shù)服務(wù)人員。

6運營管理框架

移動政務(wù)服務(wù)平臺運營應(yīng)包括如圖1所示各事務(wù)模塊。其中管理方、運營方、接入方、用戶是因平

臺運營中承擔(dān)不同職責(zé)而劃分的角色，這些角色可能由同一個機構(gòu)或不同機構(gòu)承擔(dān)，亦可能一個角色由

不同的機構(gòu)承擔(dān)。

圖1運營管理框架圖

7運營管理

應(yīng)用管理

7.1.1應(yīng)用接入

7.1.1.1應(yīng)用接入前（即上線前，下同），接入方應(yīng)制定和提交應(yīng)用接入技術(shù)方案，明確接入使用的

方式方法以及涉及的協(xié)議等技術(shù)標(biāo)準(zhǔn)，并提前與管理方、運營方進行充分溝通，保證有關(guān)技術(shù)標(biāo)準(zhǔn)及時

同步、接入方案達成一致，并做好接入的前置工作。

7.1.1.2應(yīng)用接入前，接入方應(yīng)將應(yīng)用接入涉及的公共數(shù)據(jù)資源目錄中的數(shù)據(jù)資源完整、準(zhǔn)確地向省

政務(wù)大數(shù)據(jù)中心匯聚，并保障數(shù)據(jù)質(zhì)量，以供其他業(yè)務(wù)部門申請共享使用。

3

DB44/T2438—2023

7.1.1.3應(yīng)用接入前，接入方應(yīng)將應(yīng)用接入涉及的政務(wù)服務(wù)事項在省政務(wù)服務(wù)事項管理系統(tǒng)中完成事

項登記。

7.1.1.4應(yīng)用接入前，接入方應(yīng)提供服務(wù)事項操作指引和服務(wù)事項常見問題解答文檔，明確所接入應(yīng)

用的咨詢投訴受理部門，并應(yīng)預(yù)留咨詢投訴電話和郵箱。

7.1.1.5接入方應(yīng)向所屬管理方提出應(yīng)用接入申請，按管理方規(guī)定測試合格及經(jīng)管理方審核批準(zhǔn)后，

運營方方可協(xié)助實施接入。

7.1.2應(yīng)用運行

7.1.2.1接入方應(yīng)確定有效的工作方案，保障已接入移動政務(wù)服務(wù)平臺的政務(wù)服務(wù)應(yīng)用和業(yè)務(wù)系統(tǒng)正

常運行。

7.1.2.2接入方應(yīng)對源代碼中的開源成分進行識別和記錄，運營過程中持續(xù)關(guān)注開源組件升級情況，

及時升級組件，屏蔽漏洞。

7.1.3應(yīng)用的暫停、恢復(fù)

7.1.3.1因業(yè)務(wù)應(yīng)用系統(tǒng)故障或維護等原因?qū)е聵I(yè)務(wù)應(yīng)用臨時不可使用的，接入方應(yīng)提前向所屬管理

方提出暫停申請及計劃恢復(fù)上線時間。經(jīng)管理方確認后，將應(yīng)用臨時下線，必要時還應(yīng)發(fā)布停用公告。

7.1.3.2暫停的應(yīng)用具備恢復(fù)條件后，接入方應(yīng)告知管理方予以恢復(fù)上線，若所暫停事項涉及事項開

發(fā)改造，恢復(fù)上線前須重新進行事項同源核對及錄入。經(jīng)測試及管理方批準(zhǔn)后，運營方方可協(xié)助重新接

入平臺。

7.1.4應(yīng)用的下線

接入方如有應(yīng)用需要下線，接入方應(yīng)提前十個工作日報備至所屬管理方，經(jīng)管理方確認后，發(fā)布相

應(yīng)下線公告，予以安排下線。

7.1.5應(yīng)用維護

7.1.5.1應(yīng)用運維

7.1.5.1.1運營方應(yīng)負責(zé)移動政務(wù)服務(wù)平臺運維，接入方負責(zé)所接入應(yīng)用系統(tǒng)的運維，工作內(nèi)容包括：

a)系統(tǒng)穩(wěn)定性運維。每月檢查系統(tǒng)日志，排除系統(tǒng)故障，保障系統(tǒng)穩(wěn)定運行。

b)系統(tǒng)安全自檢服務(wù)。對系統(tǒng)進行安全自檢，排除系統(tǒng)故障，優(yōu)化系統(tǒng)結(jié)構(gòu)，保障系統(tǒng)穩(wěn)定運行。

7.1.5.1.2接入方應(yīng)確保業(yè)務(wù)應(yīng)用穩(wěn)定運行。業(yè)務(wù)應(yīng)用出現(xiàn)問題時，應(yīng)提前掛出維護公告，并及時下

線維護整改。業(yè)務(wù)應(yīng)用不再使用時，應(yīng)及時下線。

7.1.5.2應(yīng)用版本升級與發(fā)布

7.1.5.2.1接入方應(yīng)建立版本發(fā)布管理流程并嚴格按流程執(zhí)行。重大功能變更（包括但不限于登錄方

式、認證方式），應(yīng)報管理方同意后執(zhí)行，并記錄和保存歷史升級和變更資料；其他功能變更，應(yīng)定期

向管理方書面報備，并保存變更資料。

7.1.5.2.2應(yīng)用版本升級發(fā)布之前應(yīng)按管理方規(guī)定對其安全漏洞、軟件功能及非功能質(zhì)量特性進行驗

證測試。

移動政務(wù)辦公平臺用戶管理

7.2.1賬戶管理

4

DB44/T2438—2023

管理方應(yīng)分區(qū)域、分單位設(shè)置移動政務(wù)辦公平臺賬戶管理員，確保所屬區(qū)域、單位和單位人員賬戶

能夠正常接入及使用移動政務(wù)服務(wù)平臺。區(qū)域賬戶管理員負責(zé)所轄區(qū)域單位的接入，單位賬戶管理員負

責(zé)本單位人員賬戶的接入。

7.2.2通訊錄管理

應(yīng)對政務(wù)部門通訊錄進行編制、管理、使用和共享。用戶應(yīng)向管理方報備本單位的通訊錄管理員，

單位通訊錄管理主要由單位通訊錄管理員負責(zé)。通訊錄的管理包括人員信息管理（包括新增、移除、修

改等）和共享權(quán)限管理。

7.2.3機構(gòu)行業(yè)樹管理

機構(gòu)行業(yè)樹主要用以提高單位之間共享通訊錄的效率。各省、市級單位結(jié)合業(yè)務(wù)需要，組織構(gòu)建本

系統(tǒng)機構(gòu)行業(yè)樹，主要由各單位通訊錄管理員負責(zé)操作。

7.2.4管理規(guī)定

管理方應(yīng)組織運營方制定詳細的移動政務(wù)辦公平臺用戶管理規(guī)定，以確保用戶正常、有序接入和使

用移動政務(wù)辦公平臺，防范政務(wù)信息安全風(fēng)險。

信息發(fā)布管理

7.3.1內(nèi)容

移動政務(wù)服務(wù)平臺上發(fā)布的信息內(nèi)容應(yīng)符合國家、地方及各機關(guān)、企事業(yè)單位信息公開的相關(guān)規(guī)定。

應(yīng)以發(fā)布政府工作動態(tài)、促進政策解讀、回應(yīng)社會熱點、加強互動交流等為目的進行平臺信息發(fā)布。

7.3.2審批

信息提出方應(yīng)按國家、地方及各機關(guān)、企事業(yè)單位的信息發(fā)布制度，提起審批申請，并由相應(yīng)信息

發(fā)布制度規(guī)定的責(zé)任部門按信息發(fā)布制度要求審批，信息提出方應(yīng)保留審批記錄。

7.3.3備案

信息提出方應(yīng)將信息發(fā)布審批結(jié)果報本級管理方，發(fā)布范圍涉及多個市及省級單位的，應(yīng)報省級管

理方備案。

7.3.4發(fā)布

信息提出方對所發(fā)布的信息負責(zé)，并應(yīng)將審批后的擬發(fā)布信息的內(nèi)容、形式、發(fā)布期限等信息準(zhǔn)確

無誤的傳遞給信息發(fā)布方，信息發(fā)布方根據(jù)信息提供方提供的信息予以發(fā)布。

7.3.5撤銷

已到規(guī)定發(fā)布期限的信息，運營方應(yīng)自行將該信息從平臺撤銷下線；如因信息錯誤、情況變化導(dǎo)致

信息不再適宜等原因需要撤銷信息的，應(yīng)及時予以撤銷處理。

咨詢投訴處理

7.4.1管理方應(yīng)會同接入方、運營方提供咨詢投訴入口，提供電話咨詢、線上咨詢窗口、智能知識庫

等服務(wù)。移動公共服務(wù)平臺還應(yīng)按省市兩級隸屬原則與本級12345政務(wù)服務(wù)便民熱線建立聯(lián)動機制，確

5

DB44/T2438—2023

保用戶的訴求能及時處理和閉環(huán)。

7.4.2接入方應(yīng)保障所預(yù)留咨詢投訴電話、郵箱、即時通訊賬號的暢通，以方便企業(yè)群眾溝通聯(lián)系，

及時解決問題，如所留聯(lián)絡(luò)方式失效導(dǎo)致無法聯(lián)絡(luò)，該應(yīng)用應(yīng)自動作下線處理。

7.4.3咨詢投訴受理部門應(yīng)按照12345政務(wù)服務(wù)便民熱線管理規(guī)定限時處理咨詢投訴。

運行監(jiān)控

7.5.1接入方自檢

接入方應(yīng)做好所接入應(yīng)用服務(wù)的日常檢查，確保業(yè)務(wù)應(yīng)用運行穩(wěn)定。如自檢發(fā)現(xiàn)問題應(yīng)及時報告本

級管理部門并組織整改，所發(fā)現(xiàn)問題影響到服務(wù)質(zhì)量的還應(yīng)暫停相關(guān)服務(wù)。整改完成后，應(yīng)及時向本級

管理方報告整改情況。

7.5.2運營方巡檢

運營方應(yīng)進行定期巡檢。巡檢完成后，將結(jié)果報告給管理方。巡檢內(nèi)容應(yīng)包括：

a)移動政務(wù)服務(wù)平臺應(yīng)用巡檢：每周對高頻服務(wù)自動檢測其相關(guān)的事項業(yè)務(wù)接口（包括接口狀態(tài)

碼、響應(yīng)時延、請求失敗率等）狀態(tài)是否正常。

b)服務(wù)器巡檢：每周自動檢測與手工檢測相結(jié)合檢查移動政務(wù)服務(wù)平臺服務(wù)器（包括各服務(wù)器磁

盤空間、CPU、內(nèi)存使用率，數(shù)據(jù)庫服務(wù)器等）的運行狀態(tài)。

c)移動政務(wù)服務(wù)平臺安全巡檢：對平臺安全設(shè)備日志進行實時監(jiān)控分析，對攻擊行為進行處置，

對漏洞預(yù)警進行通報等。

7.5.3管理方抽檢

管理方應(yīng)定期對平臺的應(yīng)用服務(wù)進行抽檢，對于發(fā)現(xiàn)問題次數(shù)達到管理方規(guī)定上限或嚴重影響用

戶體驗的服務(wù)事項提出整改要求或按7.1.4流程做下線處理。

8運營保障

宣傳推廣

8.1.1管理方應(yīng)統(tǒng)籌管理移動政務(wù)服務(wù)平臺推廣運營工作，組織接入方和運營方利用新媒體、政府網(wǎng)

站、政務(wù)服務(wù)場所、公共場所等積極開展移動政務(wù)服務(wù)平臺的宣傳推廣工作，不斷提升公眾知曉度，便

于企業(yè)和群眾充分了解和便利獲取移動政務(wù)服務(wù)。

8.1.2接入方應(yīng)針對所接入的服務(wù)，積極在各類宣傳平臺宣傳推廣，自主進行節(jié)日活動和熱點活動的

運營，采取多種方式推廣移動政務(wù)服務(wù)平臺的應(yīng)用。

8.1.3運營方應(yīng)配合管理方和接入方開展各類推廣運營活動。

故障處理

8.2.1管理方、運營方及接入方應(yīng)建立常態(tài)化協(xié)同機制，確保發(fā)生故障時各方及時進行溝通、解決。

8.2.2運營方若發(fā)現(xiàn)移動政務(wù)服務(wù)平臺中的政務(wù)服務(wù)應(yīng)用異常，應(yīng)及時報告接入方和管理方，配合接

入方及時處理異常。必要時應(yīng)按7.1.3.1要求暫停對外服務(wù)，待功能完善并驗證通過后再重新開放。

8.2.3責(zé)任方處理故障后還應(yīng)針對技術(shù)和管理兩個方面進行原因分析并采取整改措施以防止故障再發(fā)

生。

6

DB44/T2438—2023

8.2.4完成處理后，運營方應(yīng)將處理情況反饋接入方和管理方。

風(fēng)險控制

8.3.1運營方應(yīng)建立完善的風(fēng)險應(yīng)急保障制度，對風(fēng)險應(yīng)急保障的組織機構(gòu)及職責(zé)、資源保障、風(fēng)險

識別、風(fēng)險評估、風(fēng)險預(yù)防措施、應(yīng)急處理等方面進行明確規(guī)定，以做到防患未然、在風(fēng)險發(fā)生時有據(jù)

可依。風(fēng)險應(yīng)急保障制度還應(yīng)包括熱點事件的應(yīng)急機制，當(dāng)應(yīng)用所屬單位或上級單位發(fā)布重大政策，造

成訪問量和并發(fā)量大增時，應(yīng)用歸屬單位應(yīng)提前通知平臺管理方，同時提交熱點咨詢投訴問題的簡單應(yīng)

答口徑。

8.3.2運營方應(yīng)針對可能造成嚴重后果、重大損失或惡劣影響的故障編制風(fēng)險應(yīng)急預(yù)案，對風(fēng)險事件

的處理、備用方案等進行策劃安排，確保在風(fēng)險事件發(fā)生時盡快解決問題、盡量減少損失。應(yīng)急預(yù)案應(yīng)

經(jīng)管理方批準(zhǔn)后方可實施。

數(shù)據(jù)分析

8.4.1管理方應(yīng)確定需要監(jiān)控的數(shù)據(jù)指標(biāo)項，提供數(shù)據(jù)分析支撐工具，并每月對指標(biāo)達成情況進行監(jiān)

控，如發(fā)現(xiàn)指標(biāo)數(shù)據(jù)存在問題的，應(yīng)以適當(dāng)方式詢問或提醒接入方。

8.4.2接入方負責(zé)每月對數(shù)據(jù)指標(biāo)項的達成情況進行分析，對于在分析過程中發(fā)現(xiàn)的問題，或收到管

理方發(fā)出的詢問或提醒時，應(yīng)及時組織整改，如有合理說明的，可向本級管理方報備。

8.4.3運營方配合管理方及接入方開展數(shù)據(jù)監(jiān)控、分析工作。

資金、人員保障

8.5.1管理方、運營方及接入方應(yīng)加強運營管理隊伍建設(shè)，配備具備專業(yè)技能的人員。定期還應(yīng)對運

營人員進行政務(wù)服務(wù)、質(zhì)量、安全、保密等知識培訓(xùn)，為移動政務(wù)服務(wù)平臺的正常運營提供人員保障。

8.5.2各級管理方負責(zé)所屬平臺的運營經(jīng)費保障，運營方應(yīng)合理安排資金確保移動政務(wù)服務(wù)平臺正常

運營；接入方負責(zé)所接入應(yīng)用系統(tǒng)的運營經(jīng)費保障，確保所接入應(yīng)用系統(tǒng)的正常運營。

9運營安全

總體要求

運營方和接入方在滿足本管理規(guī)范以外，需制定詳細的安全技術(shù)規(guī)范，覆蓋物理安全、網(wǎng)絡(luò)安全、

主機安全、數(shù)據(jù)安全和應(yīng)用安全等方面。

運營方安全要求

9.2.1安全檢測

平臺在迭代更新、上線發(fā)布前，應(yīng)按管理方規(guī)定進行安全檢測，確保無高、中危漏洞（漏洞級別按

GB/T30279-2020規(guī)定）方可上線發(fā)布，檢測報告應(yīng)報平臺管理方備案。

9.2.2安全保障

運營方應(yīng)組織編制安全保障方案并報平臺管理方審定，運營方應(yīng)組建專業(yè)專職的安全運營保障團

隊，從安全防護與預(yù)警、安全監(jiān)控與分析、事件響應(yīng)及處置等方面提供安全保障。

9.2.3安全運營

7

DB44/T2438—2023

當(dāng)發(fā)生安全事件時，運營方應(yīng)按安全保障方案實施處置，并在2小時內(nèi)通知省級管理方，不應(yīng)遲報、

漏報、瞞報、謊報。報告安全事件時，應(yīng)列明事件發(fā)生時間、初步判定的影響范圍和危害、已采取的應(yīng)

急處置措施和整改措施。平臺總管理方負責(zé)統(tǒng)一指揮和協(xié)調(diào)應(yīng)急工作。

9.2.4備份恢復(fù)管理

應(yīng)采用熱備份方式，通過網(wǎng)絡(luò)傳輸進行本地、同城、異地備份，每日進行增量備份、每周進行全量

備份，備份對象包括操作系統(tǒng)日志、應(yīng)用運行日志、關(guān)鍵配置文件、業(yè)務(wù)數(shù)據(jù)庫、數(shù)據(jù)庫審計日志等。

應(yīng)結(jié)合業(yè)務(wù)情況，定期開展備份數(shù)據(jù)恢復(fù)演練，確保數(shù)據(jù)有效性。

9.2.5身份認證及權(quán)限管理

應(yīng)遵照“職責(zé)分離，最小權(quán)限，審批授權(quán)，定期審核”原則，嚴格開展系統(tǒng)身份認證及權(quán)限管理工

作。每季度復(fù)核平臺管理員賬號權(quán)限，調(diào)整不適宜的賬號權(quán)限，關(guān)閉多余的賬號權(quán)限。

9.2.6風(fēng)險評估

應(yīng)及時識別網(wǎng)絡(luò)安全漏洞和風(fēng)險隱患。每季度開展漏洞掃描、滲透測試和平臺管理員賬號權(quán)限復(fù)核，

每年度及重點時期開展風(fēng)險評估，及時整改發(fā)現(xiàn)的安全問題及隱患，并將風(fēng)險評估結(jié)果向管理方備案。

9.2.7日志管理

應(yīng)落實監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件、違法犯罪活動的管理和技術(shù)措施，并按照規(guī)定留

存6個月以上相關(guān)日志。每季度開展日志分析審計，及時發(fā)現(xiàn)用戶異常操作行為。

接入方安全要求

按照“誰接入、誰負責(zé)”的原則，接入方應(yīng)負責(zé)接入的應(yīng)用系統(tǒng)自身安全性，應(yīng)滿足以下要求：

a)應(yīng)按照網(wǎng)絡(luò)安全等級保護要求，采取必要的安全技術(shù)和管理措施保障應(yīng)用的安全性。

b)應(yīng)用系統(tǒng)在接入平臺前和后續(xù)的迭代更新時，均應(yīng)對接入的應(yīng)用以及承載應(yīng)用系統(tǒng)和數(shù)據(jù)的

服務(wù)器等，至少采用漏洞掃描、滲透測試的手段進行安全評估，并根據(jù)安全評估結(jié)果進行加固，

確保無高中風(fēng)險漏洞方可在平臺上線，并將應(yīng)用系統(tǒng)安全評估報告向運營方備案。

c)如涉及第三方服務(wù)商，接入方應(yīng)與第三方服務(wù)商簽署保密承諾責(zé)任書，對第三方人員的賬號權(quán)

限進行安全管理，對第三方人員的操作進行記錄審計。

d)接入方應(yīng)負責(zé)應(yīng)用系統(tǒng)的安全事件預(yù)防、監(jiān)測、報告和應(yīng)急處置工作。一旦發(fā)現(xiàn)安全事件，應(yīng)

立即通知移動政務(wù)服務(wù)平臺省級管理方及運營方，不應(yīng)遲報、漏報、瞞報、謊報。報告安全事

件時，應(yīng)列明事件發(fā)生時間、初步判定的影響范圍和危害、已采取的應(yīng)急處置措施和整改措施。

數(shù)據(jù)安全管理

數(shù)據(jù)安全管理要求如下：

a)應(yīng)落實數(shù)據(jù)分類分級管理要求，對數(shù)據(jù)的采集、傳輸、存儲、使用、銷毀等各個環(huán)節(jié)采取嚴格

的管理和技術(shù)防護措施，保障數(shù)據(jù)安全。

b)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護義務(wù)，不得擅自留存、使用、泄露或

向他人提供公共數(shù)據(jù)。

c)應(yīng)采用國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)規(guī)定的密碼技術(shù)對賬號鑒別信息（如密碼）、個人敏感信息（如手

機號、身份證號、家庭住址等）和重要業(yè)務(wù)數(shù)據(jù)進行加密傳輸和加密存儲。

8

DB44/T2438—2023

d)應(yīng)建立嚴格的授權(quán)訪問控制機制，對數(shù)據(jù)使用操作進行安全保障，數(shù)據(jù)授權(quán)訪問應(yīng)滿足權(quán)限最

小化原則。

e)應(yīng)規(guī)范數(shù)據(jù)提供過程，建立數(shù)據(jù)提供安全機制，記錄操作日志，通過日志審查等手段對交換數(shù)

據(jù)進行安全合規(guī)性檢查，保障數(shù)據(jù)提供過程安全。

f)應(yīng)采取必要的數(shù)據(jù)刪除技術(shù)手段與管控措施，對已到期數(shù)據(jù)進行刪除。

g)運營方應(yīng)將數(shù)據(jù)安全及移動應(yīng)用隱私合規(guī)風(fēng)險評估納入年度及重點時期風(fēng)險評估，確保滿足

數(shù)據(jù)安全及個人信息保護相關(guān)法律法規(guī)要求，并將風(fēng)險評估結(jié)果向管理方備案。

h)應(yīng)建立移動應(yīng)用使用個人信息時的隱私政策，對個人信息的收集、使用、保護等進行說明。移

動應(yīng)用安裝時如涉及個人信息收集、使用等情況應(yīng)公開征得用戶明示授權(quán)同意，并遵循最小需

要原則。

i)系統(tǒng)為驗證用戶真實性