1、ICS35.240.99J 07DB12天津市地方標準DB12/T9962020Basic security requirements of management and service platform of the GigWorker in the sharingeconomy2020-12-04發(fā)布2021-01-15實施天津市市場監(jiān)督管理委員會發(fā)布DB12/T 996DB12/T 9962020II前言本標準按照GB/T 1.1-2019標準化工作導則 第1部分：標準的結構和編寫給出的規(guī)則起草。本標準由天津市互聯(lián)網信息辦公室提出并歸口。（）（）尚微。 PAGE PAGE 7共享經濟靈活

2、就業(yè)人員管理與服務平臺基本安全要求范圍本標準規(guī)定了共享經濟靈活就業(yè)人員管理與服務機構在開展各項活動及軟件平臺開發(fā)過程中的安全基本要求，包括系統(tǒng)安全、應用安全、數(shù)據(jù)安全、管理安全。GB/T 22080息術 全技術 息全理系 要求GB/T22239-2019信全技術 絡全級基本GB/T30276-2013信全技術 息全洞規(guī)范 GB/T35273-2020信全技術 人息全范GB/T36637-2018信全技術 ICT供鏈全險管指GB/T37973-2019信全技術 數(shù)安管南GB/Z20986-2007信全技術 息全件分級JR/T 0095-2012國融移支付用全范JR/T 0197-2020DB12

3、/T926-2020DB12/T 926-2020中界定的以及下列術語和定義適用于本文件。3.1共享經濟平臺 the sharing economy platform利用互聯(lián)網現(xiàn)代信息技術，整合海量、分散化資源，通過移動設備、評價系統(tǒng)、支付、基于位置的服務（LBS）等技術手段有效地將需求方和供給方進行最優(yōu)匹配，對數(shù)量龐大的需求方和供給方進行撮合，通過撮合交易達到供需雙方收益最大化，具備法人資格的共享經濟行業(yè)平臺型公司。3.2共享經濟靈活就業(yè)人員管理與服務機構（簡稱：“管理與服務機構”）management and service institute of the Gig Worker in t

4、he sharing economy提供共享經濟靈活就業(yè)人員平臺化服務的組織。3.3個人息personalinformation以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。注：別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。GB/T 35273-2020，定義3.13.4個人感息personal sensitiveinformation一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇的個人信息。注：蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下含）兒童的個人信息等。個

5、人信息控制者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的，屬于個人敏感信息。GB/T 35273-2020，定義3.2縮略語下列縮略語適用于本文件。HIDS：主機入侵檢測系統(tǒng) （Host-based Intrusion Detection System） CA：證書授權中心 （Certificate Authority）SDL：安全開發(fā)生命周期 （Security Development Lifecycle） PII：個人可識別信息 （Personal Identifiable Informat

6、ion） KMS：密鑰管理系統(tǒng) （Key Management System）應符合GB/T 22239-2019中8.1.1要求。應符合GB/T 22239-2019中8.1.2要求。本項要求包括：a) 應符合 GB/T 22239-2019 中 8.1.3 要求。本項要求包括：a) 應符合 GB/T 22239-2019 中 8.1.4.1、8.1.4.2、8.1.4.3、8.1.4.4 要求；b) 如使用云主機，應符合 GB/T 22239-2019 中 8.2.4.1、8.2.4.2、8.2.4.3 要求；HIDS本項要求包括：本項要求包括：a) 應根據(jù)開發(fā)人員類型遵循 GB/T 22

7、239-2019 中 8.1.9.4 或 8.1.9.5 要求；本項要求包括：a) 應符合 JR/T 0095-2012 中的 7.2.2 條款；b) 應隔離保管系統(tǒng)中最核心私鑰，使用時應保證至少有 2 人同時在場。本項要求包括：總述應保證所服務的靈活就業(yè)人員、共享經濟平臺和管理與服務機構本身的數(shù)據(jù)安全。個人信息和個人敏感信息分級應按照GB/T 35273-2020中附錄A和附錄B執(zhí)行。客戶、業(yè)務、經營管理、監(jiān)管數(shù)據(jù)分級宜參考JR/T 0197-2020中附錄A執(zhí)行，應根據(jù)管理與服務機構的實際情況，對敏感數(shù)據(jù)進一步分級。敏感數(shù)據(jù)的分級宜以下列內容為準：KMSSM4、3DESAES128SM2R

8、SA(2048SM3、SHA-2。應符合本標準7.3.1要求。中的、b)c)管理與服務機構管理人員訪問靈活就業(yè)人員信息應符合GB/T 22239-2019中8.1.4.2和8.1.4.3的相關要求。GB/T 37973-2019中8.4.1PII注：（電子或紙質形式“同意“注冊”、“發(fā)送”等。PII注：USB、CD-ROM等外設接口。外發(fā)網絡數(shù)據(jù)應接受白名單限制。等，并符合 GB/T 22239-2019 中 8.1.4.3 的要求。數(shù)據(jù)存儲應符合以下條款：a) 符合 GB/T 37973-2019 中 8.3 要求；應符合GB/T 37973- 2019中8.6要求。應設置信息安全高層管理機構、信息安全日常管理機構、信息安全技術團隊等信息安全管理組織。應符合GB/T 22239-2019中8.1.10要求。在使用云計算環(huán)境時，應符合GB/T 22239-2019中8.2.6、8.2.7要求。本項要求包括：本項要求包括：安全漏洞的生命周期和漏洞管理應符合GB/T30276-20134.5應確保所有病毒查殺機制病毒庫保持為最新，執(zhí)行定期掃描，生成檢查日