ICS 35.240.99 CCS C 50 14 山西省 地方标准 DB 14/T 2638—2023 疫情防控管理平台管理规范 2023 - 02 - 21发布 2023 - 05 - 21实施 山西省市场监督管理局 发布 DB 14/T 2638 —2023 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 基本要求 ................................ ................................ ........... 1 5 数据管理 ................................ ................................ ........... 2 6 接口管理 ................................ ................................ ........... 2 7 运维管理 ................................ ................................ ........... 2 8 安全管理 ................................ ................................ ........... 4 9 更新管理 ................................ ................................ ........... 5 DB 14/T 2638 —2023 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由山西省卫生健康委员会提出、组织实施和监督检查。 本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。 本文件由山西省卫生健康标准化技术委员会（ SXS/TC 28 ）归口。 本文件起草单位：山西省疾病预防控制中心、山西省数字健康指导中心、中科同昌万锦信息技术股 份有限公司、太原市金铭科技有限公司。 本标准主要起草人：赵英、张德利、王瑞杰、王仕廉 、令狐丽琴、李成莲、孔繁 智、张永坚、李 树根、赵璐莹、阎涛、吴晓春、胡志龙、武煌、王乐、邵瑞霞、周鹏云、杨日梅。 DB 14/T 2638 —2023 1 疫情防控管理平台管理规范 1 范围 本文件规定了疫情防控管理平台基本要求、 数据管理、 接口管理、 运维管理、 安全管理、 更新管理。 本文件适用于对疫情防控管理平台的使用、运维及管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 21061 国家电子政务网络技术和运行管理规范 GB/T 22239 信息安全技术网络安全等级保护基本要求 GB/T 28827 信息技术服务运行维护 GB/T 35273 信息安全技术个人信息安全规范 YQFK A001 疫情防控管理平台 数据格式 3 术语和定义 下列术语和定义适用于本文件。 3.1 疫情防控管理平台 依托信息化手段，对疫情防控信息进行统一管理、安全共享的信息平台。 4 基本要求 4.1应具有支撑平台运行的安全可靠的信息化基础设施及环境，基础设施应保持正常运行 。 4.2平台信息网络安全等级保护应符合 GB/T 22239的三级等保要求，并按照要求每年参与国家测评工 作。 4.3平台应根据行业主管部门数据资源的需求， 采用数据资源共享与交换接口的方式， 实现与国家、 省、 市、县等行业主管部门业务系统之间的信息资源共享和交换。接口应符合 YQFK A001 要求。 4.4平台应制定数据存储、数据备份、数据恢复等策略，并定期评估数据安全性。 4.5平台个人隐私保护应符合 GB/T 35273 的要求。 4.6平台所有操作流程均应在平台内留下操作痕迹。 DB 14/T 2638 —2023 2 4.7应建立人员管理体系，持续保证工作人员的数量、知识、技能、经验、安全意识等方面满 足平台运 行和管理的需求。 4.8应建立与平台运行相关的培训体系或机制，依据培训要求制定相应的培训计划，并提供及时和有效 的培训。 4.9应定期对平台及设备开展检测、维护和管理，确保平台稳定、流畅、持续运行。 5 数据管理 5.1平台与国家共享枢纽通过数据共享，实现涉疫人员信息统一管理使用。 5.2平台数据通过数据库交互方式、 接口交互方式定时向国家共享枢纽上传、 下载数据， 实现数据准确、 一致。 5.3平台与国家共享枢纽、公安、工信、通信管理、卫生健康、疾控、大数据等多部门对接采集密接信 息、协查信息等数据。 5.4平台支持用户端录入入境人员信息、区域协查信息、密接信息、隔离点和隔离人员数据。 5.5平台数据应安全、准确、永久保存在数据库中，实现省级集中存储数据，省、市、县共同使用数据。 5.6定期对平台数据进行多物理硬盘存储和多光盘刻录备份。 6 接口管理 6.1平台应对外提供接口申请渠道，供相关部门按照需求进行接口申请。 6.2平台应提供接口申请审核，统一管理接口授权账号、密钥、期限。 6.3平台接口在正式接入前应提供测试接口链接，应使用测试数据来测试接口，保障数据安全。 6.4平台接口数据在传输、 采集、 展示过程 中， 传输协议应符合 HTTP/HTTPS 1.0/1.1 标准、SOAP 1.1/1.2 标准、WSDL 1.1 标准要求，并采用国家共享枢纽加密算法对数据进行加密、解密，保护数据安全。 7 运维管理 7.1用户认证、识别 7.1.1 用户认证 对访问平台的用户通过认证账号 /密码、短信验证双重认证方式进行身份鉴别，实现用户登录平台 认证。 7.1.2 用户权限 平台采用用户分级管理方式管理用户权限，省、市、县的疫情防控办需指定专门系统管理员负责系 统账号管理，各级管理员负责为本级或者下级用户分配各应用系统操作权限。 7.1.3 身份鉴别和安全审计管理 DB 14/T 2638 —2023 3 平台登录失败时，可采取结束会话、限制非法登录次数和自动退出等措施对用户进行身份标识和鉴 别；同时对重要用户行为、系统资源的异常使用等重要的安全相关事件进行审计。 7.1.4 非法外联行为识别管理 通过用户、网络会话状态对资源的访问进行明确的允许和拒绝；对内部用户未经允许私自连接到外 部网络的行为进行识别。对内部服务器和计算机由于感染蠕虫、被种植木马后门程序导致的向外非法连 接进行识别和阻断。 7.2运维管理内容 7.2.1机房运维管理 7.2.1.1机房运维管理应符合 GB/T 28827 的规定，还应遵循以下要求： ——建立巡检制度，运维人员应定期进入机房巡检，并做好记录； ——对机房相关设备进行监控，并提供事件或故障发生时的相应支持； ——对机房的安全性及可靠性提供优化和改善。 7.2.1.2机房基础设施常规运维管理应符合 GB/T 28827 中的规定。 7.2.2网络运维管理 7.2.2.1网络运维管理应包括局域网、互联网、路由器、交换机、防火墙、入侵检测、负载均衡等 。 7.2.2.2网络运维管理应遵循 GB/T 21061 的规定，还应遵循以下要求： ——监控网络设备状态、网络连通性等运行状态； ——检查并保存网络设备 运行日志； ——备份网络、防火墙、入侵检测等设备的配置参数； ——及时处理网络中断、 网络设备故障， 系统故障响应时间应不大于 1h， 故障修复时间应不大于 8h。 7.2.3硬件平台运维管理 7.2.3.1服务器运维管理应包括但不限于： ——应提供对服务器的整体运行情况、电源工作情况、 CPU工作情况、内存工作情况、硬盘工作情 况、接口工作情况进行监控并做好工作记录； ——应提供对服务器的预防检查服务，包括：服务器的资源分配情况和策略、 CPU使用峰值情况、 内存使用峰值情况、文件