DB44∕T 2438-2023 移动政务服务平台运营管理规范(广东省).pdf

1、 ICS 35.240.99 CCS L 67 44 广东省地方标准 DB44/T 24382023 移动政务服务平台运营管理规范 Operation management specification of mobile government service platform 2023-07-30 发布 2023-11-30 实施 广东省市场监督管理局 发 布 DB44/T 24382023 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 通用要求.2 分工明确.2 统一规范.2 同源管理.2 安全可靠.2 人员专业.2 5 运营方总体要求.3 6 运营管理

2、框架.3 7 运营管理.3 应用管理.3 移动政务办公平台用户管理.4 信息发布管理.5 咨询投诉处理.5 运行监控.6 8 运营保障.6 宣传推广.6 故障处理.6 风险控制.7 数据分析.7 资金、人员保障.7 9 运营安全.7 总体要求.7 运营方安全要求.7 接入方安全要求.8 数据安全管理.8 参考文献.10 DB44/T 24382023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由广东省政务服务数据管理局提出、归口，并组织实施。本文件

3、起草单位：数字广东网络建设有限公司、广东省标准化研究院。本文件主要起草人：刘亚单、罗小松、王波、吴绍灯、劳学礼、王威、石炜君、龚惠琴、李芳芳、黄丽燕、陈功。DB44/T 24382023 1 移动政务服务平台运营管理规范 1 范围 本文件规定了移动政务服务平台运营管理的通用要求，运营方总体要求，以及运营管理、运营保障和运营安全等方面的要求。本文件适用于包括移动公共服务平台和移动政务办公平台在内的移动政务服务平台的运营管理。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包

4、括所有的修改单）适用于本文件。GB 17859-1999 计算机信息系统 安全保护等级划分准则 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 30279-2020 信息安全技术 网络安全漏洞分类分级指南 3 术语和定义 下列术语和定义适用于本文件。移动政务服务平台 mobile government service platform 运用信息技术和互联网技术，实现政务办公或公共服务功能的移动平台，包括移动公共服务平台和移动政务办公平台。移动公共服务平台 mobile public service platform 运用信息技术和互联网技术，实现政务公开、政务

5、服务、政务办理、公众信息互动等政府公共服务功能的移动政务服务平台。移动政务办公平台 mobile government office platform 运用信息技术和互联网技术，供全省各级公职人员处理不涉及国家秘密的公文、信息和事务的移动政务服务平台。管理方 administrator 移动政务服务平台的主管方，即政务服务数据管理部门。注：管理方对该平台拥有所有权、管理权、使用权和审计权，统一管理接入的政务服务事项，向运营方下达具体建设和运营工作任务。接入方 accessor DB44/T 24382023 2 通过移动政务服务平台提供政务服务的党政机关或提供公共服务的企事业单位、社会组织等机

6、构。运营方 operator 负责移动政务服务平台日常运营的机构。注：运营方为管理方和接入方提供相关技术支持服务，可以由管理方自主承担或管理方委托第三方机构承担。用户 user 移动政务服务平台的使用单位或个人。信息提出方 information provider 在移动政务服务平台上申请发布信息的机构。信息发布方 information publisher 在移动政务服务平台上根据信息提出方所提供的信息进行信息发布的机构。4 通用要求 分工明确 移动政务服务平台运营方与接入方应有明确的分工界线，运营方负责平台的运营及维护，接入方负责接入应用的运营和维护。统一规范 统一规范要求如下:a)运营方

7、应按管理方统一要求对移动政务服务平台实施管理和日常运营。b)应从技术上建立全生命周期质量管理机制，对系统性能、应用管理、运行监测等进行规范，切实保障功能完备、运行稳定、体验良好。c)应从管理上做好运营管理的机制、标准、制度、规范体系建设。d)各地、各部门移动政务服务应充分依托省级移动政务服务平台开展，原则上不再新建移动政务服务平台，因特殊原因确需新建或保留的，应与省政务服务数据管理部门协商办理。同源管理 移动政务服务平台应保持与政务服务网（平台）事项同源。安全可靠 运营方和接入方应根据中华人民共和国网络安全法、中华人民共和国数据安全法和中华人民共和国个人信息保护法、关键信息基础设施安全保护条例

8、 等法律法规要求，严格执行GB 17859-1999、GB/T 22239-2019等网络安全等级保护制度，保障移动政务服务平台和业务系统免受干扰、破坏，防止数据泄露或者被窃取、篡改等，加强系统安全防护与管理。人员专业 应做好专业人员队伍建设，确保为移动政务服务平台的正常运营提供组织和人员保障。DB44/T 24382023 3 5 运营方总体要求 移动政务服务平台运营方应具备一定资质和能力，具体要求如下：a)移动政务服务平台应由具有独立法人资格及从事相关服务资质或能力的运营机构运营，宜具备的资质包括：ISO 20000 信息技术服务管理体系认证、ISO 27001 信息安全管理体系认证、IT

9、SS 信息技术服务运行维护认证证书等。b)运营方应建立基础性、开放性、共享性服务的运营管理机制，应建立网络信息安全制度，落实安全保护技术措施，运营宜采用主备模式，各类系统数据应设置异地备份。c)运营方应配有专职管理团队和人才队伍，具有组织服务资源的能力，配备专职技术服务人员。6 运营管理框架 移动政务服务平台运营应包括如图1所示各事务模块。其中管理方、运营方、接入方、用户是因平台运营中承担不同职责而划分的角色，这些角色可能由同一个机构或不同机构承担，亦可能一个角色由不同的机构承担。图1 运营管理框架图 7 运营管理 应用管理 7.1.1 应用接入 7.1.1.1 应用接入前（即上线前，下同），

10、接入方应制定和提交应用接入技术方案，明确接入使用的方式方法以及涉及的协议等技术标准，并提前与管理方、运营方进行充分沟通，保证有关技术标准及时同步、接入方案达成一致，并做好接入的前置工作。7.1.1.2 应用接入前，接入方应将应用接入涉及的公共数据资源目录中的数据资源完整、准确地向省政务大数据中心汇聚，并保障数据质量，以供其他业务部门申请共享使用。DB44/T 24382023 4 7.1.1.3 应用接入前，接入方应将应用接入涉及的政务服务事项在省政务服务事项管理系统中完成事项登记。7.1.1.4 应用接入前，接入方应提供服务事项操作指引和服务事项常见问题解答文档，明确所接入应用的咨询投诉受理

11、部门，并应预留咨询投诉电话和邮箱。7.1.1.5 接入方应向所属管理方提出应用接入申请，按管理方规定测试合格及经管理方审核批准后，运营方方可协助实施接入。7.1.2 应用运行 7.1.2.1 接入方应确定有效的工作方案，保障已接入移动政务服务平台的政务服务应用和业务系统正常运行。7.1.2.2 接入方应对源代码中的开源成分进行识别和记录，运营过程中持续关注开源组件升级情况，及时升级组件，屏蔽漏洞。7.1.3 应用的暂停、恢复 7.1.3.1 因业务应用系统故障或维护等原因导致业务应用临时不可使用的，接入方应提前向所属管理方提出暂停申请及计划恢复上线时间。经管理方确认后，将应用临时下线，必要时还

12、应发布停用公告。7.1.3.2 暂停的应用具备恢复条件后，接入方应告知管理方予以恢复上线，若所暂停事项涉及事项开发改造，恢复上线前须重新进行事项同源核对及录入。经测试及管理方批准后，运营方方可协助重新接入平台。7.1.4 应用的下线 接入方如有应用需要下线，接入方应提前十个工作日报备至所属管理方，经管理方确认后，发布相应下线公告，予以安排下线。7.1.5 应用维护 7.1.5.1 应用运维 7.1.5.1.1 运营方应负责移动政务服务平台运维，接入方负责所接入应用系统的运维，工作内容包括：a)系统稳定性运维。每月检查系统日志，排除系统故障，保障系统稳定运行。b)系统安全自检服务。对系统进行安全

13、自检，排除系统故障，优化系统结构，保障系统稳定运行。7.1.5.1.2 接入方应确保业务应用稳定运行。业务应用出现问题时，应提前挂出维护公告，并及时下线维护整改。业务应用不再使用时，应及时下线。7.1.5.2 应用版本升级与发布 7.1.5.2.1 接入方应建立版本发布管理流程并严格按流程执行。重大功能变更（包括但不限于登录方式、认证方式），应报管理方同意后执行，并记录和保存历史升级和变更资料；其他功能变更，应定期向管理方书面报备，并保存变更资料。7.1.5.2.2 应用版本升级发布之前应按管理方规定对其安全漏洞、软件功能及非功能质量特性进行验证测试。移动政务办公平台用户管理 7.2.1 账户

14、管理 DB44/T 24382023 5 管理方应分区域、分单位设置移动政务办公平台账户管理员，确保所属区域、单位和单位人员账户能够正常接入及使用移动政务服务平台。区域账户管理员负责所辖区域单位的接入，单位账户管理员负责本单位人员账户的接入。7.2.2 通讯录管理 应对政务部门通讯录进行编制、管理、使用和共享。用户应向管理方报备本单位的通讯录管理员，单位通讯录管理主要由单位通讯录管理员负责。通讯录的管理包括人员信息管理（包括新增、移除、修改等）和共享权限管理。7.2.3 机构行业树管理 机构行业树主要用以提高单位之间共享通讯录的效率。各省、市级单位结合业务需要，组织构建本系统机构行业树，主要由

15、各单位通讯录管理员负责操作。7.2.4 管理规定 管理方应组织运营方制定详细的移动政务办公平台用户管理规定，以确保用户正常、有序接入和使用移动政务办公平台，防范政务信息安全风险。信息发布管理 7.3.1 内容 移动政务服务平台上发布的信息内容应符合国家、地方及各机关、企事业单位信息公开的相关规定。应以发布政府工作动态、促进政策解读、回应社会热点、加强互动交流等为目的进行平台信息发布。7.3.2 审批 信息提出方应按国家、地方及各机关、企事业单位的信息发布制度，提起审批申请，并由相应信息发布制度规定的责任部门按信息发布制度要求审批，信息提出方应保留审批记录。7.3.3 备案 信息提出方应将信息发

16、布审批结果报本级管理方，发布范围涉及多个市及省级单位的，应报省级管理方备案。7.3.4 发布 信息提出方对所发布的信息负责，并应将审批后的拟发布信息的内容、形式、发布期限等信息准确无误的传递给信息发布方，信息发布方根据信息提供方提供的信息予以发布。7.3.5 撤销 已到规定发布期限的信息，运营方应自行将该信息从平台撤销下线；如因信息错误、情况变化导致信息不再适宜等原因需要撤销信息的，应及时予以撤销处理。咨询投诉处理 7.4.1 管理方应会同接入方、运营方提供咨询投诉入口，提供电话咨询、线上咨询窗口、智能知识库等服务。移动公共服务平台还应按省市两级隶属原则与本级 12345 政务服务便民热线建立

17、联动机制，确DB44/T 24382023 6 保用户的诉求能及时处理和闭环。7.4.2 接入方应保障所预留咨询投诉电话、邮箱、即时通讯账号的畅通，以方便企业群众沟通联系，及时解决问题，如所留联络方式失效导致无法联络，该应用应自动作下线处理。7.4.3 咨询投诉受理部门应按照 12345 政务服务便民热线管理规定限时处理咨询投诉。运行监控 7.5.1 接入方自检 接入方应做好所接入应用服务的日常检查，确保业务应用运行稳定。如自检发现问题应及时报告本级管理部门并组织整改，所发现问题影响到服务质量的还应暂停相关服务。整改完成后，应及时向本级管理方报告整改情况。7.5.2 运营方巡检 运营方应进行定

18、期巡检。巡检完成后，将结果报告给管理方。巡检内容应包括：a)移动政务服务平台应用巡检：每周对高频服务自动检测其相关的事项业务接口（包括接口状态码、响应时延、请求失败率等）状态是否正常。b)服务器巡检：每周自动检测与手工检测相结合检查移动政务服务平台服务器（包括各服务器磁盘空间、CPU、内存使用率，数据库服务器等）的运行状态。c)移动政务服务平台安全巡检：对平台安全设备日志进行实时监控分析，对攻击行为进行处置，对漏洞预警进行通报等。7.5.3 管理方抽检 管理方应定期对平台的应用服务进行抽检，对于发现问题次数达到管理方规定上限或严重影响用户体验的服务事项提出整改要求或按7.1.4流程做下线处理。

19、8 运营保障 宣传推广 8.1.1 管理方应统筹管理移动政务服务平台推广运营工作，组织接入方和运营方利用新媒体、政府网站、政务服务场所、公共场所等积极开展移动政务服务平台的宣传推广工作，不断提升公众知晓度，便于企业和群众充分了解和便利获取移动政务服务。8.1.2 接入方应针对所接入的服务，积极在各类宣传平台宣传推广，自主进行节日活动和热点活动的运营，采取多种方式推广移动政务服务平台的应用。8.1.3 运营方应配合管理方和接入方开展各类推广运营活动。故障处理 8.2.1 管理方、运营方及接入方应建立常态化协同机制，确保发生故障时各方及时进行沟通、解决。8.2.2 运营方若发现移动政务服务平台中的

20、政务服务应用异常，应及时报告接入方和管理方，配合接入方及时处理异常。必要时应按 7.1.3.1 要求暂停对外服务，待功能完善并验证通过后再重新开放。8.2.3 责任方处理故障后还应针对技术和管理两个方面进行原因分析并采取整改措施以防止故障再发生。DB44/T 24382023 7 8.2.4 完成处理后，运营方应将处理情况反馈接入方和管理方。风险控制 8.3.1 运营方应建立完善的风险应急保障制度，对风险应急保障的组织机构及职责、资源保障、风险识别、风险评估、风险预防措施、应急处理等方面进行明确规定，以做到防患未然、在风险发生时有据可依。风险应急保障制度还应包括热点事件的应急机制，当应用所属单

21、位或上级单位发布重大政策，造成访问量和并发量大增时，应用归属单位应提前通知平台管理方，同时提交热点咨询投诉问题的简单应答口径。8.3.2 运营方应针对可能造成严重后果、重大损失或恶劣影响的故障编制风险应急预案，对风险事件的处理、备用方案等进行策划安排，确保在风险事件发生时尽快解决问题、尽量减少损失。应急预案应经管理方批准后方可实施。数据分析 8.4.1 管理方应确定需要监控的数据指标项，提供数据分析支撑工具，并每月对指标达成情况进行监控，如发现指标数据存在问题的，应以适当方式询问或提醒接入方。8.4.2 接入方负责每月对数据指标项的达成情况进行分析，对于在分析过程中发现的问题，或收到管理方发出

22、的询问或提醒时，应及时组织整改，如有合理说明的，可向本级管理方报备。8.4.3 运营方配合管理方及接入方开展数据监控、分析工作。资金、人员保障 8.5.1 管理方、运营方及接入方应加强运营管理队伍建设，配备具备专业技能的人员。定期还应对运营人员进行政务服务、质量、安全、保密等知识培训，为移动政务服务平台的正常运营提供人员保障。8.5.2 各级管理方负责所属平台的运营经费保障，运营方应合理安排资金确保移动政务服务平台正常运营；接入方负责所接入应用系统的运营经费保障，确保所接入应用系统的正常运营。9 运营安全 总体要求 运营方和接入方在满足本管理规范以外，需制定详细的安全技术规范，覆盖物理安全、网

23、络安全、主机安全、数据安全和应用安全等方面。运营方安全要求 9.2.1 安全检测 平台在迭代更新、上线发布前，应按管理方规定进行安全检测，确保无高、中危漏洞（漏洞级别按GB/T 30279-2020规定）方可上线发布，检测报告应报平台管理方备案。9.2.2 安全保障 运营方应组织编制安全保障方案并报平台管理方审定，运营方应组建专业专职的安全运营保障团队，从安全防护与预警、安全监控与分析、事件响应及处置等方面提供安全保障。9.2.3 安全运营 DB44/T 24382023 8 当发生安全事件时，运营方应按安全保障方案实施处置，并在2小时内通知省级管理方，不应迟报、漏报、瞒报、谎报。报告安全事件

24、时，应列明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和整改措施。平台总管理方负责统一指挥和协调应急工作。9.2.4 备份恢复管理 应采用热备份方式，通过网络传输进行本地、同城、异地备份，每日进行增量备份、每周进行全量备份，备份对象包括操作系统日志、应用运行日志、关键配置文件、业务数据库、数据库审计日志等。应结合业务情况，定期开展备份数据恢复演练，确保数据有效性。9.2.5 身份认证及权限管理 应遵照“职责分离，最小权限，审批授权，定期审核”原则，严格开展系统身份认证及权限管理工作。每季度复核平台管理员账号权限，调整不适宜的账号权限，关闭多余的账号权限。9.2.6 风险评估 应

25、及时识别网络安全漏洞和风险隐患。每季度开展漏洞扫描、渗透测试和平台管理员账号权限复核，每年度及重点时期开展风险评估，及时整改发现的安全问题及隐患，并将风险评估结果向管理方备案。9.2.7 日志管理 应落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施，并按照规定留存6个月以上相关日志。每季度开展日志分析审计，及时发现用户异常操作行为。接入方安全要求 按照“谁接入、谁负责”的原则，接入方应负责接入的应用系统自身安全性，应满足以下要求：a)应按照网络安全等级保护要求，采取必要的安全技术和管理措施保障应用的安全性。b)应用系统在接入平台前和后续的迭代更新时，均应对接入的应用以及承

26、载应用系统和数据的服务器等，至少采用漏洞扫描、渗透测试的手段进行安全评估，并根据安全评估结果进行加固，确保无高中风险漏洞方可在平台上线，并将应用系统安全评估报告向运营方备案。c)如涉及第三方服务商，接入方应与第三方服务商签署保密承诺责任书，对第三方人员的账号权限进行安全管理，对第三方人员的操作进行记录审计。d)接入方应负责应用系统的安全事件预防、监测、报告和应急处置工作。一旦发现安全事件，应立即通知移动政务服务平台省级管理方及运营方，不应迟报、漏报、瞒报、谎报。报告安全事件时，应列明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和整改措施。数据安全管理 数据安全管理要求如下：a)

27、应落实数据分类分级管理要求，对数据的采集、传输、存储、使用、销毁等各个环节采取严格的管理和技术防护措施，保障数据安全。b)应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或向他人提供公共数据。c)应采用国家标准、行业标准规定的密码技术对账号鉴别信息（如密码）、个人敏感信息（如手机号、身份证号、家庭住址等）和重要业务数据进行加密传输和加密存储。DB44/T 24382023 9 d)应建立严格的授权访问控制机制，对数据使用操作进行安全保障，数据授权访问应满足权限最小化原则。e)应规范数据提供过程，建立数据提供安全机制，记录操作日志，通过日志审查等手段对交换数据进行

28、安全合规性检查，保障数据提供过程安全。f)应采取必要的数据删除技术手段与管控措施，对已到期数据进行删除。g)运营方应将数据安全及移动应用隐私合规风险评估纳入年度及重点时期风险评估，确保满足数据安全及个人信息保护相关法律法规要求，并将风险评估结果向管理方备案。h)应建立移动应用使用个人信息时的隐私政策，对个人信息的收集、使用、保护等进行说明。移动应用安装时如涉及个人信息收集、使用等情况应公开征得用户明示授权同意，并遵循最小需要原则。i)系统为验证用户真实性而在客户端采集的个人生物识别信息，如指纹数据、面部识别数据、照片数据、视频数据等，运营方及相关第三方均不能在本地或异地长期存储，且不应记录未经

29、匿名化处理的个人身份信息。j)应满足个人信息存储时间最小化原则，存储期限应为实现个人信息主体授权使用目的所必需的最短时间。超出个人信息存储期限后，应对个人信息进行删除或匿名化处理。DB44/T 24382023 10 参考文献 1 GB/Z 24294.1-2018 信息安全技术 基于互联网电子政务信息安全实施指南 第1部分：总则 2 GB/T 28448-2019 信息系统安全等级保护测评要求 3 GB/T 28449-2019 信息系统安全等级保护测评过程指南 4 GB/T 35282-2017 信息安全技术 电子政务移动办公系统安全技术规范 5 GB/T 35273-2020 信息安全技

30、术 个人信息安全规范 6 GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求 7 GDZW 0001.5-2019 粤省事移动政务服务平台 第5部分：运营规范 8 GDZW 0001.6-2019 粤省事移动政务服务平台 第6部分：安全规范 9 GDZW 0026.5-2020 粤商通涉企移动政务服务平台 第5部分：管理规范 10 中华人民共和国主席令（2010年第二十八号）中华人民共和国保守国家秘密法 11 中华人民共和国主席令（2017年第五十三号）中华人民共和国网络安全法 12 中华人民共和国主席令（2021 年第八十四号）中华人民共和国数据安全法 13 中华人民共和

31、国主席令（2021年第九十一号）中华人民共和国个人信息保护法 14 中华人民共和国国务院令第492号 中华人民共和国政府信息公开条例 15 中华人民共和国国务院令第745号 关键信息基础设施安全保护条例 16 国家互联网信息办公室令第 5 号 网络信息内容生态治理规定 17 国办函2021105号 全国一体化政务服务平台移动端建设指南 18 国办发201457号 国务院办公厅关于加强政府网站信息内容建设的意见 19 广东省12345政务服务便民热线管理办法 20 广州12345政府服务热线管理办法实施细则 21 广东省数字政府移动政务服务平台(粤系列)管理办法 22 广东省公共数据管理办法 23 粤政易移动办公平台管理细则（试行）24 “粤省事”移动民生政务服务平台建设运营管理办法（试行）