MZ/T 087-2017
基本信息
标准号: MZ/T 087-2017
中文名称:慈善组织互联网公开募捐信息平台基本技术规范
标准类别:民政行业标准(MZ)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:255951
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准号:MZ/T 087-2017
标准名称:慈善组织互联网公开募捐信息平台基本技术规范
英文名称:Basic technical specifications of online fundraising platform for charitable organizations
标准格式:PDF
发布时间:2017-07-20
实施时间:2017-08-01
标准大小:552K
标准介绍:本标准规定了慈善组织互联网公开募捐信息平台在性能、功能、安全、运维等方面的要求。本标准适用于慈善组织互联网公开募捐信息平台的设计、开发、改造,以及遴选指定。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本
适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T20271-2006信息安全技术信息系统通用安全技术要求
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
非金融机构支付服务管理办法中国人民银行2010
信息安全等级保护管理办法公安部2007
3术语和定义
下列术语和定义适用于本文件
3.1
慈善组织 char itab le or i zat ion
依法成立,以面向社会开展慈善活动为宗旨的非营利性组织注:慈善组织包括基金会、社会团体、社会服务机构等组织形式。
标准名称:慈善组织互联网公开募捐信息平台基本技术规范
英文名称:Basic technical specifications of online fundraising platform for charitable organizations
标准格式:PDF
发布时间:2017-07-20
实施时间:2017-08-01
标准大小:552K
标准介绍:本标准规定了慈善组织互联网公开募捐信息平台在性能、功能、安全、运维等方面的要求。本标准适用于慈善组织互联网公开募捐信息平台的设计、开发、改造,以及遴选指定。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本
适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T20271-2006信息安全技术信息系统通用安全技术要求
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
非金融机构支付服务管理办法中国人民银行2010
信息安全等级保护管理办法公安部2007
3术语和定义
下列术语和定义适用于本文件
3.1
慈善组织 char itab le or i zat ion
依法成立,以面向社会开展慈善活动为宗旨的非营利性组织注:慈善组织包括基金会、社会团体、社会服务机构等组织形式。
标准图片预览
标准内容
ICS35.241.99
A10/19
中华人民共和国民政行业标准
MZ/T0872017
慈善组织互联网公开募捐信息平台基本技术规范
Basic technical specifications of online fundraising platformforcharitableorganizations
2017-07-20发布
中华人民共和国民政部
2017-08-01实施
1范围
2规范性引用文件...
3术语和定义..
4基本要求..
4.1合规性要求...
4.2响应性要求..
4.3稳定性要求..
4.4扩展性要求.
4..5兼容性要求...
4..6数据接口要求.
4.7日志记录要求
5功能开发要求
5.1基础功能...
5..2后台管理功能.
6安全要求
6.1物理安全
6.2软硬件安全.
6.3数据安全.
6.4安全事故及响应..…
7运行维护要求..
7.1运行维护团队
7.2运行维护人员权限管理
7.3运行维护日志..
7.4技术报告.
参考文献…
MZ/T0872017
本标准按照GB/T1.1-2009给出的规则起草。本标准由民政部社会组织管理局提出并归口。MZ/T0882017
本标准主要起草单位:民政部社会组织管理局、佳信德润(北京)科技有限公司、中国标准化研究院。
本标准主要起草人:沈新华、侯正春、易昕、郭润苗、侯非、马俊达、于辉、屈涛引言
MZ/T0882017
为贯彻落实《中华人民共和国慈善法》《公开募捐平台服务管理办法》等法律法规和有关规定,进一步完善慈善组织互联网公开募捐信息平台指定流程,引导互联网公开募捐信息平台服务能力建设,强化互联网公开募捐信息平台事中事后监管,维护捐赠人、受益人和慈善组织等慈善活动参与主体的合法权益,促进我国慈善事业健康有序发展,特制定本标准。3
1范围
MZ/T0882017
慈善组织互联网公开募捐信息平台基本技术规范本标准规定了慈善组织互联网公开募捐信息平台在性能、功能、安全、运维等方面的要求。
本标准适用于慈善组织互联网公开募捐信息平台的设计、开发、改造,以及遵选指定、日常运维。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求非金融机构支付服务管理办法中国人民银行2010信息安全等级保护管理办法公安部20073术语和定义
下列术语和定义适用于本文件。3.1
慈善组织charitableorganization依法成立,以面向社会开展慈善活动为宗旨的非营利性组织。注:慈善组织包括基金会、社会团体、社会服务机构等组织形式。3.2
慈善募捐charitablefundraising慈善组织(3.1)基于慈善宗旨募集财产的活动,包括面向社会公众的公开募捐和面向特定对象的定向募捐。
捐赠人donor
基于慈善目的,自愿、无偿地以向慈善组织赠与财产等方式,参与慈善活动的自然人、法人或其他组织。
互联网公开募捐信息平台onlinefundraisingplatformMZ/T0882017
通过互联网为具有公开募捐资格的慈善组织发布公开募捐信息的网络服务提供者。互联网公开募捐信息平台服务 online fundraisingplatform service互联网公开募捐信息平台(3.4)为慈善组织、捐赠人、社会公众等主体提供的相关信息服务。
示例:展示公开募捐信息、提供募捐支付通道、信息披露、举报受理。3.6
互联网公开募捐信息平台用户online fundraisingplatformuser通过互联网访问、使用互联网公开募捐信息平台的自然人、法人或其他组织。3.7
互联网公开募捐信息平台运营人员onlinefundraising platform operator互联网公开募捐信息平台负责信息审核、筛选和发布,承担平台维护与更新的工作人员。4基本要求
4.1合规性要求
互联网公开募捐信息平台(以下简称“平台”)应具有独立法人资格,其中:企业应取得通信管理部门核发的、在有效期内的《中华人民共和国增值电信业务经营许可证》(ICP证)。ICP许可证书上主体名称与平台主体名称应一致。一事业单位、社会团体、社会服务机构、基金会等非营利性法人,应履行非经营性互联网信息服务备案,取得ICP备案编号和电子证书,并在有效期内。ICP备案证书上主体名称与平台主体名称应一致。
一信息系统的安全保护等级不低于《信息安全等级保护管理办法》规定的第三级,并取得有权机关出具的备案证明。4.2响应性要求
4.2.1每秒请求数
平台每秒成功处理的请求数量应≥300。4.2.2响应时间要求
平台平均响应时间应≤0.5秒。
4.3稳定性要求
平台的系统可用性应≥99.95%,每年岩机时间≤4小时。4.4扩展性要求
MZ/T0882017
平台应基于可扩展的系统架构进行设计,可在不改变系统架构的情况下扩展数据内容、业务流程。
4.5兼容性要求
平台应适合电脑、手机等多终端访问、运行和展示,样式无错乱。4.6数据接口要求
平台宜具有数据接口,能按照统一的数据传输标准、数据传输范围将平台数据上传至民政部门统一的慈善信息公开平台。4.7日志记录要求
4.7.1平台数据的操作应获得相应授权并保留记录,包括:a)
慈善组织在平台上进行的操作:b)
互联网公开募捐信息平台运营人员(以下简称“运营人员”)在平台上进行的操作:
互联网公开募捐信息平台用户(以下简称“用户”)在平台上进行的操作。4.7.2记录的内容应至少包括:
操作者;
操作时间:
源/目的IP:
d)操作对象、操作。
其中,源IP应为原始公网IP(非CDN转换后的IP),时间应准确到秒,并与国际权威时间源保持一致。
5功能开发要求
5.1基础功能
5.1.1公开募捐活动展示
平台应有公开募捐活动汇总展示页面、活动详情页面,页面应无样式错乱。用户能通过活动名称等关键字在汇总展示页面进行检索。活动详情页面信息应包括:a)
公开募捐活动在民政部门的备案编号:活动名称:
募捐目的:
活动进展:
起止日期:
募捐情况:
慈善组织全称、统一社会信用代码及支付账户信息:受益人(对象):
活动负责人及联系方式:
活动执行机构全称及联系方式;募得款物用途;
募捐成本:
剩余财产处理方案;
发票开具方式。
5.1.2慈善组织展示
通过平台技术,慈善组织相关信息应能在页面展示,包括:a)
慈善组织全称、统一社会信用代码及支付账户信息:登记管理机关:
住址及联系方式:
慈善组织登记证书扫描件:
公开募捐资格证书扫描件。
5.1.2公开募捐活动捐款
MZ/T0882017
平台宜开通在线募捐支付功能并提供技术保障,捐赠资金应直接进入慈善组织的银行账户或安全的第三方支付账户,不应截留或代为接受捐赠资金。其中,第三方支付账户服务提供者应具有《非金融机构支付服务管理办法》规定的支付业务许可证。5.1.4善款查询
捐赠人可在平台查询历史捐赠记录,包括:捐赠时间:
b)参与捐赠的活动及活动进展;c)捐赠金额。
5.1.3社会举报
平台应在公开募捐活动展示页面提供举报功能,接到举报后应与慈善组织、有权机关沟通,并在5个工作日内通过电话、邮件或短信等方式对举报人进行反馈:经确认举报属实的应有技术能力配合有权机关进行处理,包括但不限于暂停募捐活动、下线募捐活动、通知捐款人及相关方等。
5.2后台管理功能
5.2.1活动管理
通过平台技术,慈善组织应能对平台上发布的活动进行管理,包括:a)
创建公开募捐活动,上线前编辑活动;b)
查看捐赠总额:
便捷地更新活动进展,并反馈给捐赠人。可使用以下方式进行反馈:站内信:
短信:Www.bzxZ.net
一邮件:
应用推送。
5.2.2捐款管理
通过平台技术,慈善组织应能对平台内捐款信息进行管理,包括:a)
查看捐款详情:
MZ/T0882017
捐款详情包含:捐赠时间、捐赠人姓名或捐赠人独立标识、捐赠者ID、支付方式、b)
支付金额、活动名称、捐赠是否来自境外等:查看并导出捐赠人申请公益事业捐赠统一票据情况,包括:c)
捐赠人名称:
捐赠项目:
一捐赠金额:
一寄送地址:
一收件人。
5.2.3捐赠人管理
通过平台技术,慈善组织应能对平台内捐赠人信息进行管理或导出,包括:a)查看捐赠人信息,包括:
一捐赠人姓名或平台捐赠人独立标识、是否来自境外;捐赠人捐赠情况;
查看每个捐赠人名下对该慈善组织的捐赠总额、捐赠次数:b)
按照捐赠人姓名或平台捐赠人独立标识、捐赠总额、捐赠次数、捐赠人创建时间搜索、排序并应能够导出捐赠人列表,包括:一捐赠人姓名或平台捐赠人独立标识:捐赠人捐赠总额;
捐赠人捐赠次数。
6安全要求
物理安全
自建机房的平台应满足GB/T20271-2006中6.3.1的有关要求。6.2软硬件安全
平台应正确部署软硬件并配置其安全功能,包括:a)硬件架构中包含防火墙设备:b)操作系统和业务框架的重大公共漏洞在发现后6小时内修补:c)使用的第三方软件保持最新稳定版本。6.3数据安全
6.3.1数据备份
MZ/T 0882017
平台应对捐赠信息、捐赠人信息、公开募捐活动信息、慈善组织信息等平台业务数据进行备份,其中:
增量备份的备份周期应≤1小时,并长期保存:完全备份的备份周期应≤24小时,保存时间应≥2年。6.3.2数据恢复
6.3.2.1平台应建立数据恢复策略,包括:a)数据恢复的决策机制:
b)数据恢复的触发条件:
c)数据恢复节点;
d)数据恢复实施团队:
e)数据恢复异常情况处理预案。6.3.2.2平台应符合数据恢复要求,包括:a)若需进行数据恢复,应尽可能减少数据损失;b)恢复数据应以增量备份数据为首选,其次为最近时间完全备份数据:c)恢复过程可容许中断时长≤30分钟。6.4安全事故及响应
6.4.1安全事故
安全事故通常包括:
网络接入链路中断或拥塞:
域名系统解析服务异常:
系统瘫痪、遭到入侵或控制、应用服务中断:用户数据被篡改、丢失:
系统感染恶意代码:
网页改、网络仿冒:
其他安全事故。
安全事故响应
平台应明确安全事故通知与处理机制,包括:6.4.2.1
安全事故类型;
安全事故具体负责人:
安全事故类型及应对方案。
6.4.2.2若发现恶意攻击,平台应在15分钟内予以阻断,30分钟内解决。6.4.2.3若平台在30分钟内未能解决安全事故,应及时上报有关部门。o
6.4.3安全事故记录
平台应就发生的安全事故进行记录,其中:MZ/T0882017
安全事故记录应至少保留2年,并将处理结果作为定期服务报告的一部分:安全事故记录的内容至少包含:攻击来源/目的IP、时间、报警设备、报警级别和b)
内容。
其中,源IP应为原始公网IP(非CDN转换后的IP),时间应准确到秒,且与国际权威时间源一致。
7运行维护要求
7.1运行维护团队
平台应有专门技术维护团队,并明确运行维护负责人。7.2运行维护人员权限管理
运行维护人员宜分为运行维护经理(主管)、普通运行维护人员。普通运行维护人员对于系统软硬件以及系统数据进行的任何访问或操作需要经过运行维护经理(主管)授权,访问或操作完成后应立即收回权限。7.3运行维护日志
对于系统软硬件以及系统数据的操作应进行记录,记录内容至少包含:a)
操作者姓名;
b)操作时间:
操作对象:
操作详情。
7.4技术报告
获指定平台向全国慈善工作主管部门(民政部)报送的年中报告、年度报告,应包含相关技术内容:
a)平台访问情况;
b)平台技术改进情况:
e)平台发生的安全事故情况、原因、影响时间以及解决方式,针对该类事故或风险的应对方案。
参考文献
【1]《中华人民共和国慈善法》(自2016年9月1日起施行)【2】《中华人民共和国网络安全法》(自2017年6月1日起施行)【3】《慈善组织公开募捐管理办法》(自2016年9月1日起施行)【4】《公开募捐平台服务管理办法》(自2016年9月1日起施行)【5]《互联网信息服务管理办法》(自2016年12月8日起施行)11
MZ/T0882017
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
A10/19
中华人民共和国民政行业标准
MZ/T0872017
慈善组织互联网公开募捐信息平台基本技术规范
Basic technical specifications of online fundraising platformforcharitableorganizations
2017-07-20发布
中华人民共和国民政部
2017-08-01实施
1范围
2规范性引用文件...
3术语和定义..
4基本要求..
4.1合规性要求...
4.2响应性要求..
4.3稳定性要求..
4.4扩展性要求.
4..5兼容性要求...
4..6数据接口要求.
4.7日志记录要求
5功能开发要求
5.1基础功能...
5..2后台管理功能.
6安全要求
6.1物理安全
6.2软硬件安全.
6.3数据安全.
6.4安全事故及响应..…
7运行维护要求..
7.1运行维护团队
7.2运行维护人员权限管理
7.3运行维护日志..
7.4技术报告.
参考文献…
MZ/T0872017
本标准按照GB/T1.1-2009给出的规则起草。本标准由民政部社会组织管理局提出并归口。MZ/T0882017
本标准主要起草单位:民政部社会组织管理局、佳信德润(北京)科技有限公司、中国标准化研究院。
本标准主要起草人:沈新华、侯正春、易昕、郭润苗、侯非、马俊达、于辉、屈涛引言
MZ/T0882017
为贯彻落实《中华人民共和国慈善法》《公开募捐平台服务管理办法》等法律法规和有关规定,进一步完善慈善组织互联网公开募捐信息平台指定流程,引导互联网公开募捐信息平台服务能力建设,强化互联网公开募捐信息平台事中事后监管,维护捐赠人、受益人和慈善组织等慈善活动参与主体的合法权益,促进我国慈善事业健康有序发展,特制定本标准。3
1范围
MZ/T0882017
慈善组织互联网公开募捐信息平台基本技术规范本标准规定了慈善组织互联网公开募捐信息平台在性能、功能、安全、运维等方面的要求。
本标准适用于慈善组织互联网公开募捐信息平台的设计、开发、改造,以及遵选指定、日常运维。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20271-2006信息安全技术信息系统通用安全技术要求GB/T22239-2008信息安全技术信息系统安全等级保护基本要求非金融机构支付服务管理办法中国人民银行2010信息安全等级保护管理办法公安部20073术语和定义
下列术语和定义适用于本文件。3.1
慈善组织charitableorganization依法成立,以面向社会开展慈善活动为宗旨的非营利性组织。注:慈善组织包括基金会、社会团体、社会服务机构等组织形式。3.2
慈善募捐charitablefundraising慈善组织(3.1)基于慈善宗旨募集财产的活动,包括面向社会公众的公开募捐和面向特定对象的定向募捐。
捐赠人donor
基于慈善目的,自愿、无偿地以向慈善组织赠与财产等方式,参与慈善活动的自然人、法人或其他组织。
互联网公开募捐信息平台onlinefundraisingplatformMZ/T0882017
通过互联网为具有公开募捐资格的慈善组织发布公开募捐信息的网络服务提供者。互联网公开募捐信息平台服务 online fundraisingplatform service互联网公开募捐信息平台(3.4)为慈善组织、捐赠人、社会公众等主体提供的相关信息服务。
示例:展示公开募捐信息、提供募捐支付通道、信息披露、举报受理。3.6
互联网公开募捐信息平台用户online fundraisingplatformuser通过互联网访问、使用互联网公开募捐信息平台的自然人、法人或其他组织。3.7
互联网公开募捐信息平台运营人员onlinefundraising platform operator互联网公开募捐信息平台负责信息审核、筛选和发布,承担平台维护与更新的工作人员。4基本要求
4.1合规性要求
互联网公开募捐信息平台(以下简称“平台”)应具有独立法人资格,其中:企业应取得通信管理部门核发的、在有效期内的《中华人民共和国增值电信业务经营许可证》(ICP证)。ICP许可证书上主体名称与平台主体名称应一致。一事业单位、社会团体、社会服务机构、基金会等非营利性法人,应履行非经营性互联网信息服务备案,取得ICP备案编号和电子证书,并在有效期内。ICP备案证书上主体名称与平台主体名称应一致。
一信息系统的安全保护等级不低于《信息安全等级保护管理办法》规定的第三级,并取得有权机关出具的备案证明。4.2响应性要求
4.2.1每秒请求数
平台每秒成功处理的请求数量应≥300。4.2.2响应时间要求
平台平均响应时间应≤0.5秒。
4.3稳定性要求
平台的系统可用性应≥99.95%,每年岩机时间≤4小时。4.4扩展性要求
MZ/T0882017
平台应基于可扩展的系统架构进行设计,可在不改变系统架构的情况下扩展数据内容、业务流程。
4.5兼容性要求
平台应适合电脑、手机等多终端访问、运行和展示,样式无错乱。4.6数据接口要求
平台宜具有数据接口,能按照统一的数据传输标准、数据传输范围将平台数据上传至民政部门统一的慈善信息公开平台。4.7日志记录要求
4.7.1平台数据的操作应获得相应授权并保留记录,包括:a)
慈善组织在平台上进行的操作:b)
互联网公开募捐信息平台运营人员(以下简称“运营人员”)在平台上进行的操作:
互联网公开募捐信息平台用户(以下简称“用户”)在平台上进行的操作。4.7.2记录的内容应至少包括:
操作者;
操作时间:
源/目的IP:
d)操作对象、操作。
其中,源IP应为原始公网IP(非CDN转换后的IP),时间应准确到秒,并与国际权威时间源保持一致。
5功能开发要求
5.1基础功能
5.1.1公开募捐活动展示
平台应有公开募捐活动汇总展示页面、活动详情页面,页面应无样式错乱。用户能通过活动名称等关键字在汇总展示页面进行检索。活动详情页面信息应包括:a)
公开募捐活动在民政部门的备案编号:活动名称:
募捐目的:
活动进展:
起止日期:
募捐情况:
慈善组织全称、统一社会信用代码及支付账户信息:受益人(对象):
活动负责人及联系方式:
活动执行机构全称及联系方式;募得款物用途;
募捐成本:
剩余财产处理方案;
发票开具方式。
5.1.2慈善组织展示
通过平台技术,慈善组织相关信息应能在页面展示,包括:a)
慈善组织全称、统一社会信用代码及支付账户信息:登记管理机关:
住址及联系方式:
慈善组织登记证书扫描件:
公开募捐资格证书扫描件。
5.1.2公开募捐活动捐款
MZ/T0882017
平台宜开通在线募捐支付功能并提供技术保障,捐赠资金应直接进入慈善组织的银行账户或安全的第三方支付账户,不应截留或代为接受捐赠资金。其中,第三方支付账户服务提供者应具有《非金融机构支付服务管理办法》规定的支付业务许可证。5.1.4善款查询
捐赠人可在平台查询历史捐赠记录,包括:捐赠时间:
b)参与捐赠的活动及活动进展;c)捐赠金额。
5.1.3社会举报
平台应在公开募捐活动展示页面提供举报功能,接到举报后应与慈善组织、有权机关沟通,并在5个工作日内通过电话、邮件或短信等方式对举报人进行反馈:经确认举报属实的应有技术能力配合有权机关进行处理,包括但不限于暂停募捐活动、下线募捐活动、通知捐款人及相关方等。
5.2后台管理功能
5.2.1活动管理
通过平台技术,慈善组织应能对平台上发布的活动进行管理,包括:a)
创建公开募捐活动,上线前编辑活动;b)
查看捐赠总额:
便捷地更新活动进展,并反馈给捐赠人。可使用以下方式进行反馈:站内信:
短信:Www.bzxZ.net
一邮件:
应用推送。
5.2.2捐款管理
通过平台技术,慈善组织应能对平台内捐款信息进行管理,包括:a)
查看捐款详情:
MZ/T0882017
捐款详情包含:捐赠时间、捐赠人姓名或捐赠人独立标识、捐赠者ID、支付方式、b)
支付金额、活动名称、捐赠是否来自境外等:查看并导出捐赠人申请公益事业捐赠统一票据情况,包括:c)
捐赠人名称:
捐赠项目:
一捐赠金额:
一寄送地址:
一收件人。
5.2.3捐赠人管理
通过平台技术,慈善组织应能对平台内捐赠人信息进行管理或导出,包括:a)查看捐赠人信息,包括:
一捐赠人姓名或平台捐赠人独立标识、是否来自境外;捐赠人捐赠情况;
查看每个捐赠人名下对该慈善组织的捐赠总额、捐赠次数:b)
按照捐赠人姓名或平台捐赠人独立标识、捐赠总额、捐赠次数、捐赠人创建时间搜索、排序并应能够导出捐赠人列表,包括:一捐赠人姓名或平台捐赠人独立标识:捐赠人捐赠总额;
捐赠人捐赠次数。
6安全要求
物理安全
自建机房的平台应满足GB/T20271-2006中6.3.1的有关要求。6.2软硬件安全
平台应正确部署软硬件并配置其安全功能,包括:a)硬件架构中包含防火墙设备:b)操作系统和业务框架的重大公共漏洞在发现后6小时内修补:c)使用的第三方软件保持最新稳定版本。6.3数据安全
6.3.1数据备份
MZ/T 0882017
平台应对捐赠信息、捐赠人信息、公开募捐活动信息、慈善组织信息等平台业务数据进行备份,其中:
增量备份的备份周期应≤1小时,并长期保存:完全备份的备份周期应≤24小时,保存时间应≥2年。6.3.2数据恢复
6.3.2.1平台应建立数据恢复策略,包括:a)数据恢复的决策机制:
b)数据恢复的触发条件:
c)数据恢复节点;
d)数据恢复实施团队:
e)数据恢复异常情况处理预案。6.3.2.2平台应符合数据恢复要求,包括:a)若需进行数据恢复,应尽可能减少数据损失;b)恢复数据应以增量备份数据为首选,其次为最近时间完全备份数据:c)恢复过程可容许中断时长≤30分钟。6.4安全事故及响应
6.4.1安全事故
安全事故通常包括:
网络接入链路中断或拥塞:
域名系统解析服务异常:
系统瘫痪、遭到入侵或控制、应用服务中断:用户数据被篡改、丢失:
系统感染恶意代码:
网页改、网络仿冒:
其他安全事故。
安全事故响应
平台应明确安全事故通知与处理机制,包括:6.4.2.1
安全事故类型;
安全事故具体负责人:
安全事故类型及应对方案。
6.4.2.2若发现恶意攻击,平台应在15分钟内予以阻断,30分钟内解决。6.4.2.3若平台在30分钟内未能解决安全事故,应及时上报有关部门。o
6.4.3安全事故记录
平台应就发生的安全事故进行记录,其中:MZ/T0882017
安全事故记录应至少保留2年,并将处理结果作为定期服务报告的一部分:安全事故记录的内容至少包含:攻击来源/目的IP、时间、报警设备、报警级别和b)
内容。
其中,源IP应为原始公网IP(非CDN转换后的IP),时间应准确到秒,且与国际权威时间源一致。
7运行维护要求
7.1运行维护团队
平台应有专门技术维护团队,并明确运行维护负责人。7.2运行维护人员权限管理
运行维护人员宜分为运行维护经理(主管)、普通运行维护人员。普通运行维护人员对于系统软硬件以及系统数据进行的任何访问或操作需要经过运行维护经理(主管)授权,访问或操作完成后应立即收回权限。7.3运行维护日志
对于系统软硬件以及系统数据的操作应进行记录,记录内容至少包含:a)
操作者姓名;
b)操作时间:
操作对象:
操作详情。
7.4技术报告
获指定平台向全国慈善工作主管部门(民政部)报送的年中报告、年度报告,应包含相关技术内容:
a)平台访问情况;
b)平台技术改进情况:
e)平台发生的安全事故情况、原因、影响时间以及解决方式,针对该类事故或风险的应对方案。
参考文献
【1]《中华人民共和国慈善法》(自2016年9月1日起施行)【2】《中华人民共和国网络安全法》(自2017年6月1日起施行)【3】《慈善组织公开募捐管理办法》(自2016年9月1日起施行)【4】《公开募捐平台服务管理办法》(自2016年9月1日起施行)【5]《互联网信息服务管理办法》(自2016年12月8日起施行)11
MZ/T0882017
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。