ICS 35.240.99 J 07 DB12 天 津 市 地 方 标 准 DB12/T 996—2020 共享经济灵活就业人员管理与服务平台基 本安全要求 Basic security requirements of management and service platform of the Gig Worker in the sharing economy 2020 - 12 - 04 发布 天津市市场监督管理委员会 2021 - 01 - 15 实施 发 布 DB12/T 996—2020 前 言 本标准按照GB/T 1.1-2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。 本标准由天津市互联网信息办公室提出并归口。 本标准起草单位：云账户（天津）共享经济信息咨询有限公司、云账户技术（天津）有限公司。 本标准主要起草人：杨晖、邹永强、华烨姗、毛嘉兴、李筱沛、祁笑颜、张玉龙、樊光羽、吕凯悦、 尚微。 I DB12/T 996—2020 共享经济灵活就业人员管理与服务平台基本安全要求 1 范围 本标准规定了共享经济灵活就业人员管理与服务机构在开展各项活动及软件平台开发过程中的安 全基本要求，包括系统安全、应用安全、数据安全、管理安全。 本标准适用于指导共享经济灵活就业人员管理与服务机构的平台及相关产品在技术、业务、管理等 方面的安全过程，可用于共享经济灵活就业人员管理与服务机构。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22080 信息技术 安全技术 信息安全管理体系 要求 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 GB/T 30276-2013 信息安全技术 信息安全漏洞管理规范 GB/T 35273-2020 信息安全技术 个人信息安全规范 GB/T 36637-2018 信息安全技术 ICT供应链安全风险管理指南 GB/T 37973-2019 信息安全技术 大数据安全管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 JR/T 0095-2012 中国金融移动支付 应用安全规范 JR/T 0197-2020 金融数据安全 金融数据安全数据分级指南 DB12/T 926-2020 共享经济平台灵活就业人员互联网管理与服务指南 3 术语和定义 DB12/T 926-2020中界定的以及下列术语和定义适用于本文件。 3.1 共享经济平台 the sharing economy platform 利用互联网现代信息技术，整合海量、分散化资源，通过移动设备、评价系统、支付、基于位置的 服务（LBS）等技术手段有效地将需求方和供给方进行最优匹配，对数量庞大的需求方和供给方进行撮 合，通过撮合交易达到供需双方收益最大化，具备法人资格的共享经济行业平台型公司。 3.2 共享经济灵活就业人员管理与服务机构（简称：“管理与服务机构”）management and service institute of the Gig Worker in the sharing economy 提供共享经济灵活就业人员平台化服务的组织。 3.3 个人信息 personal information 1 DB12/T 996—2020 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 注：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内 容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。个人信息控制者通 过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识 别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。 [GB/T 35273-2020，定义3.1] 3.4 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧 视性待遇的个人信息。 注：个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行 踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。 个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人身 和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。 [GB/T 35273-2020，定义3.2] 4 缩略语 下列缩略语适用于本文件。 HIDS：主机入侵检测系统 （Host-based Intrusion Detection System） CA：证书授权中心 （Certificate Authority） SDL：安全开发生命周期 （Security Development Lifecycle） PII：个人可识别信息 （Personal Identifiable Information） KMS：密钥管理系统 （Key Management System） 5 系统安全 5.1 安全物理环境 应符合GB/T 22239-2019中8.1.1要求。 5.2 安全通信网络 应符合GB/T 22239-2019中8.1.2要求。 5.3 安全区域边界 本项要求包括： a) 应符合 GB/T 22239-2019 中 8.1.3 要求。 b) 边界设备配置应符合以下条款： 1) 按月审核访问控制规则； 2) 制定记录、使用边界设备管理的安全策略和操作程序； 2 DB12/T 996—2020 3) 在便携式计算设备上安装个人防火墙软件或等效功能。 c) 安全审计记录应留存至少六个月。 5.4 主机要求 本项要求包括： a) 应符合 GB/T 22239-2019 中 8.1.4.1、8.1.4.2、8.1.4.3、8.1.4.4 要求； b) 如使用云主机，应符合 GB/T 22239-2019 中 8.2.4.1、8.2.4.2、8.2.4.3 要求； c) 应部署 HIDS，对主机的异常操作行为进行安全预警，及时发现并阻止黑客攻击行为； d) 安全审计记录应留存至少六个月。 5.5 系统可用性要求 本项要求包括： a) 应支持高并发请求，自动进行负载均衡； b) 应利用冗余部署消除单点故障； c) 应部署异地灾备环境； d) 应部署主机系统安全监控和业务可用性监控，通过电话、短信、邮件、即时通讯等手段进行报 警，快速恢复系统故障。 6 应用安全 6.1 软件开发安全 本项要求包括： a) 应根据开发人员类型遵循 GB/T 22239-2019 中 8.1.9.4 或 8.1.9.5 要求； b) 开发、测试环境与生产环境中职责分离； c) 开发、测试过程中不使用生产环境数据； d) 在激活系统、系统投入生产前，删除系统组件中的测试数据和账户； e) 开发、测试环境独立于生产环境，并借助访问控制确保两者分离； f) 在系统投入生产前对系统进行安全漏洞扫描，对于测试中发现的安全问题应及时修复。 6.2 密钥安全 本项要求包括： a) 应符合 JR/T 0095-2012 中的 7.2.2 条款； b) 应隔离保管系统中最核心私钥，使用时应保证至少有 2 人同时在场。 6.3 电子签约 本项要求包括： a) 服务机构应支持与灵活就业人员在线签署具备法律效应的电子合同； b) 电子合同应具有时效性，通过实名身份认证，做防篡改、防止复制签名技术处理； c) 输入密码过程应做实时加密处理。 6.4 身份验证 3 DB12/T 996—2020 根据不同共享经济灵活就业人员管理与服务和场景需求，应进行身份信息要素验证的分级管理。至 少应满足以下要求： a) 签约服务：应进行姓名、身份证号、银行卡号、手机号四要素认证； b) 自主签约批量结算服务：应进行姓名、身份证号、银行卡号、手机号四要素认证； c) 批量结算到银行卡服务：应进行姓名、身份证号、银行卡号三要素认证； d) 预签约服务：应进行姓名、身份证号二要素认证。 7 数据安全 7.1 总述 应保证所服务的灵活就业人员、共享经济平台和管理与服务机构本身的数据安全。 7.2 数据分级 个人信息和个人敏感信息分级应按照GB/T 35273-2020中附录A和附录B执行。客户、业务、经营管 理、监管数据分级宜参考JR/T 0197-2020中附录A执行，应根据管理与服务机构的实际情况，对敏感数 据进一步分级。敏感数据的分级宜以下列内容为准： a) 一级敏感数据包括个人敏感信息(如银行账户、手机号、身份证号)、系统级配置信息(如数据库 认证配置、商户通信密钥、系统间通信密钥、数字证书认证配置)、系统级账户密码(如服务器最 高权限密码) 、系统的源代码等； b) 二级敏感数据包括脱敏的订单和用户数据等； c) 三级敏感数据包括统计类数据，如用户画像数据等。 7.3 数据加密 7.3.1 数据加密规则 个人敏感信息加密规则应满足： a) 数据全生命周期加密； b) 采取 KMS 管理密钥全生命周期； c) 采取的加密算法包括但不局限于对称加密算法、非对称加密算法和摘要加密算法，并应满足以下 要求： 1) 选择符合国家行业主管部门要求的算法； 2) 支持对称加密算法包括但不限于 SM4、3DES、AES (128 位或更高)； 3) 支持非对称加密算法包括但不限于 SM2、RSA (2048 位或更高)； 4) 支持摘要加密算法包括但不限于 SM3、SHA-2。 d) 至少采取数据加密、密钥加密二层加密。 7.3.2 一级敏感数据加密 应符合本标准7.3.1要求。 7.3.3 二级及以下敏感数据加密方式 应符合本标准7.3.1中的a)、b)、c)要求。 4 DB12/T 996—2020 7.4 数据访问 管理与服务机构管理人员访问灵活就业人员信息应符合GB/T 22239-2019中8.1.4.2和8.1.4.3的相 关要求。 7.5 数据处理 数据处理活动的主要操作包括但不限于数据查询、数据读取、数据索引、批处理、交互式处理、数 据统计分析、数据可视化等。根据管理与服务机构为灵活就业人员提供共享经济综合服务时的实际情 况，数据处理在符合GB/T 37973-2019中8.4.1的同时，应满足以下条款： a) 灵活就业人员 PII 处理应征得用户明示同意； 注：明示同意是指个人信息主体通过