DB14∕T 2638 -2023 疫情防控管理平台管理规范

ICS35.240.99

CCSC50

14

山西省地方标准

DB14/T2638—2023

疫情防控管理平台管理规范

2023-02-21发布2023-05-21实施

山西省市场监督管理局发布

DB14/T2638—2023

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4基本要求...........................................................................1

5数据管理...........................................................................2

6接口管理...........................................................................2

7运维管理...........................................................................2

8安全管理...........................................................................4

9更新管理...........................................................................5

I

DB14/T2638—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由山西省卫生健康委员会提出、组织实施和监督检查。

本文件由山西省市场监督管理局对标准的组织实施情况进行监督检查。

本文件由山西省卫生健康标准化技术委员会（SXS/TC28）归口。

本文件起草单位：山西省疾病预防控制中心、山西省数字健康指导中心、中科同昌万锦信息技术股

份有限公司、太原市金铭科技有限公司。

本标准主要起草人：赵英、张德利、王瑞杰、王仕廉、令狐丽琴、李成莲、孔繁智、张永坚、李

树根、赵璐莹、阎涛、吴晓春、胡志龙、武煌、王乐、邵瑞霞、周鹏云、杨日梅。

II

DB14/T2638—2023

疫情防控管理平台管理规范

1范围

本文件规定了疫情防控管理平台基本要求、数据管理、接口管理、运维管理、安全管理、更新管理。

本文件适用于对疫情防控管理平台的使用、运维及管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T21061国家电子政务网络技术和运行管理规范

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T28827信息技术服务运行维护

GB/T35273信息安全技术个人信息安全规范

YQFKA001疫情防控管理平台数据格式

3术语和定义

下列术语和定义适用于本文件。

3.1

疫情防控管理平台

依托信息化手段，对疫情防控信息进行统一管理、安全共享的信息平台。

4基本要求

4.1应具有支撑平台运行的安全可靠的信息化基础设施及环境，基础设施应保持正常运行。

4.2平台信息网络安全等级保护应符合GB/T22239的三级等保要求，并按照要求每年参与国家测评工

作。

4.3平台应根据行业主管部门数据资源的需求，采用数据资源共享与交换接口的方式，实现与国家、省、

市、县等行业主管部门业务系统之间的信息资源共享和交换。接口应符合YQFKA001要求。

4.4平台应制定数据存储、数据备份、数据恢复等策略，并定期评估数据安全性。

4.5平台个人隐私保护应符合GB/T35273的要求。

4.6平台所有操作流程均应在平台内留下操作痕迹。

1

DB14/T2638—2023

4.7应建立人员管理体系，持续保证工作人员的数量、知识、技能、经验、安全意识等方面满足平台运

行和管理的需求。

4.8应建立与平台运行相关的培训体系或机制，依据培训要求制定相应的培训计划，并提供及时和有效

的培训。

4.9应定期对平台及设备开展检测、维护和管理，确保平台稳定、流畅、持续运行。

5数据管理

5.1平台与国家共享枢纽通过数据共享，实现涉疫人员信息统一管理使用。

5.2平台数据通过数据库交互方式、接口交互方式定时向国家共享枢纽上传、下载数据，实现数据准确、

一致。

5.3平台与国家共享枢纽、公安、工信、通信管理、卫生健康、疾控、大数据等多部门对接采集密接信

息、协查信息等数据。

5.4平台支持用户端录入入境人员信息、区域协查信息、密接信息、隔离点和隔离人员数据。

5.5平台数据应安全、准确、永久保存在数据库中，实现省级集中存储数据，省、市、县共同使用数据。

5.6定期对平台数据进行多物理硬盘存储和多光盘刻录备份。

6接口管理

6.1平台应对外提供接口申请渠道，供相关部门按照需求进行接口申请。

6.2平台应提供接口申请审核，统一管理接口授权账号、密钥、期限。

6.3平台接口在正式接入前应提供测试接口链接，应使用测试数据来测试接口，保障数据安全。

6.4平台接口数据在传输、采集、展示过程中，传输协议应符合HTTP/HTTPS1.0/1.1标准、SOAP1.1/1.2

标准、WSDL1.1标准要求，并采用国家共享枢纽加密算法对数据进行加密、解密，保护数据安全。

7运维管理

7.1用户认证、识别

7.1.1用户认证

对访问平台的用户通过认证账号/密码、短信验证双重认证方式进行身份鉴别，实现用户登录平台

认证。

7.1.2用户权限

平台采用用户分级管理方式管理用户权限，省、市、县的疫情防控办需指定专门系统管理员负责系

统账号管理，各级管理员负责为本级或者下级用户分配各应用系统操作权限。

7.1.3身份鉴别和安全审计管理

2

DB14/T2638—2023

平台登录失败时，可采取结束会话、限制非法登录次数和自动退出等措施对用户进行身份标识和鉴

别；同时对重要用户行为、系统资源的异常使用等重要的安全相关事件进行审计。

7.1.4非法外联行为识别管理

通过用户、网络会话状态对资源的访问进行明确的允许和拒绝；对内部用户未经允许私自连接到外

部网络的行为进行识别。对内部服务器和计算机由于感染蠕虫、被种植木马后门程序导致的向外非法连

接进行识别和阻断。

7.2运维管理内容

7.2.1机房运维管理

机房运维管理应符合GB/T28827的规定，还应遵循以下要求：

——建立巡检制度，运维人员应定期进入机房巡检，并做好记录；

——对机房相关设备进行监控，并提供事件或故障发生时的相应支持；

——对机房的安全性及可靠性提供优化和改善。

机房基础设施常规运维管理应符合GB/T28827中的规定。

7.2.2网络运维管理

网络运维管理应包括局域网、互联网、路由器、交换机、防火墙、入侵检测、负载均衡等。

网络运维管理应遵循GB/T21061的规定，还应遵循以下要求：

——监控网络设备状态、网络连通性等运行状态；

——检查并保存网络设备运行日志；

——备份网络、防火墙、入侵检测等设备的配置参数；

——及时处理网络中断、网络设备故障，系统故障响应时间应不大于1h，故障修复时间应不大于8h。

7.2.3硬件平台运维管理

服务器运维管理应包括但不限于：

——应提供对服务器的整体运行情况、电源工作情况、CPU工作情况、内存工作情况、硬盘工作情

况、接口工作情况进行监控并做好工作记录；

——应提供对服务器的预防检查服务，包括：服务器的资源分配情况和策略、CPU使用峰值情况、

内存使用峰值情况、文件系统空间使用情况、网络情况等；

——应提供服务器运维过程中配置文件备份、过期日志和文件系统清理、服务器硬盘配置检查等服

务。

存储设备运维管理应包括但不限于：

——应提供对存储设备的控制器工作情况、电源设备工作情况、数据存储介质工作情况、存储设备

介质空间使用情况、读写速率情况进行监控并做好工作记录；

——应提供对存储设备的预防检查服务，包括：存储速率情况、存储硬盘空间使用情况、存储系统

日志情况等；

——应提供存储设备运维过程中配置文件备份、过期运行日志清理等服务。

3

DB14/T2638—2023

7.2.4软件平台运维管理

软件平台运维管理应包括但不限于：

——问题报告单受理处理及反馈；

——软件版本的测试及升级；

——软件平台的重新部署；

——软件平台数据处理；

——突发事件响应及处理；

——软件平台维护，终端故障响应时间应不大于2h，故障修复时间应不大于10h。

7.3运维管理保障

7.3.1人员管理

应参加运维技术、业务、安全等培训，考核合格上岗。

应定期参与平台运维技术培训，确保技术与能力和平台相匹配。

熟悉平台使用方法、问题解决办法、使用规则等。

7.3.2制度管理

应建立运维管理工作机制，制定运维管理制度，包括但不限于以下管理制度：

——机房管理制度；

——日常运维管理制度；

——运维过程管理制度。

7.3.3文档管理

应对运维服务过程中的记录性文档建立管理制度，并定期整理归档保存。

应建立文档管理制度，并设置专人进行管理。

8安全管理

8.1网络安全管理应符合GB/T22239-2019中的规定，包括但不限于：

——不同用户虚拟网络之间进行隔离；

——配置防火墙安全策略，建立安全防护机制，对网络进行24小时监控，能检测到对客户发起的网

络攻击行为，及时封禁攻击来源和记录攻击的类型、时间、流量并进行告警，保护敏感信息安全。

8.2云资源安全管理应包括但不限于：

——对于云资源的访问策略需要实行最小化原则，敏感端口需要指定访问源IP；

——定期对云资源进行漏洞扫描，对