《公共信用信息平台安全运维规范.docx》由会员分享,可在线阅读,更多相关《公共信用信息平台安全运维规范.docx(18页珍藏版)》请在三一办公上搜索。
1、ICS 35.020CCS L70备案号:DB15内蒙古自治区地方标准DB15/T11062024代替DB15/T1106-2017.DB15/T1109-2017公共信用信息平台安全运行维护规范Managementspecificationforcreditinformationsafety(征求意见稿)发布实施内蒙古自治区市场监督管理局A一、刖百本文件按照GB/T1.1-2020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件代替DB15/T1106-2017信用信息安全管理规范、DB15/T1109-2017信用信息系统运行维护管理规范。与DB15/T1106-201
2、7相比,除结构调整和编辑性改动外,主要技术变化如下:a)删除了安全机构(见2017年版的4.1)、安全岗位设置(见2017年版的4.2)、人员安全(见2017年版的4.3)、信息载体安全(见2017年版的4.4)、物理和环境安全(见2017年版的4.5),策略安全(见2017年版的4.6)、操作安全管理(见2017年版的4.7)、访问控制(见2017年版的4.8)、信息系统的开发和维护(见2017年版的4.9)、安全事故管理(见2017年版的5);b)更改了应急预案管理的内容(见7.6,2017年版的6);c)增加了安全管理规范基本要求(见4)、安全技术规范基本要求(见5)、运行维护机构及人员
3、管理(见6)、运行维护流程及实施(见7)、公共信用信息平台运行维护技术服务等级参考(见8)与DB15/T1109-2017相比,除结构调整和编辑性改动外,主要技术变化如下:a)更改了环境管理(见4.3.2.1,2017年版的4.1)、资产管理(见4.3.2.2,2017年版的4.2)、存储介质管理(见4.3.2.3,2017年版的4.3)、设备管理(见4.3.2.4,2017年版的4.4)、监控管理(见4.3.2.7,2017年版的4.5)、网络安全管理(见4.3.2.8,2017年版的4.6)、系统安全管理(见4.3.2.9,2017年版的4.7)、恶意代码防范管理(见4.3.2.10,20
4、17年版的4.8)、密码管理(见4.3.2.11,2017年版的4.9)、变更管理(见4.3.2.12,2017年版的4.10)、备份与恢复管理(见4.3.2.13,2017年版的4.11)、安全事件处置(见4.3.2.14,2017年版的4.12)、应急预案管理(见7.6,2017年版的4.13)内容;b)更改了人员上岗(见4.3.1.1,2017年版的5.1)、人员离岗(见4.3.L2,2017年版的5.2)内容;c)更改了基础软硬件系统巡检内容表述(见7.2.2,2017年版的6.2);d)删除了其他设备巡检(2017年版的6.4);e)更改了安全管理制度(见4.2,2017年版的7.1
5、)内容;f)更改了公共信用信息安全管理机制(见4.1,2017年版的7.2)表述和内容;g)增加了人员考核(见4.3.1.3)、安全技术规范基本要求(见5)、运行维护机构及人员管理(见6)、运行维护流程及实施(见7)、公共信用信息平台运行维护技术服务等级参考(见8)o本文件由内蒙古自治区社会信用管理中心提出。本文件由内蒙古自治区发展和改革委员会归口。本文件起草单位:内蒙古自治区社会信用管理中心、内蒙古自治区大数据中心。本文件的主要起草人:商显刚、乌尼特、浩旭曰、陈植霖。本文件及其所替代文件的历次版本发布情况为:2017年首次发布为DB15/T1106-2017xDB15/T1109-2017;
6、本次为第一次修订。公共信用信息平台安全运行维护规范1范围本文件规定了公共信用信息平台安全运行维护中的安全管理规范和安全技术规范。本文件适用于公共信用信息平台安全运行维护活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T28827.1-2022信息技术服务运行维护第1部分:通用要求GB/T20984-2007信息安全技术信息安全风险评估规范GB/T22080-2016信息技术安全技术信息安全管理体系要求GB/T22081-2016信息
7、技术安全技术信息安全控制实践指南GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25069-2010信息安全技术术语GB/T30278-2013信息安全技术政务计算机终端核心配置规范DBl5/T1110-2024公共信用信息术语3术语和定义GB/T22117、DB15TIIlo2024界定的以及下列术语和定义适用于本文件。4安全管理规范基本要求4.1 公共信用信息安全管理机制4.1.1 工作机制应建立完善公共信用信息安全工作协调机制,统筹制定公共信用信息平台总体信息安全策略,对与公共信用信息平台有关的重大事
8、项进行决策,组织、协调平台信息安全工作。4.1.2 岗位设置岗位设置要求如下:a)应明确公共信用信息安全管理工作的职能部门,设立安全管理负责人,并明确其职责;b)应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;h)应制定文件明确各岗位的任职资格和技能要求。4.1.3 1.3人员配备人员配备要求如下:a)应配备一定数量的系统管理员、审计管理员、安全管理员等;b)应配备专职安全管理员,安全管理员应为公共信用信息安全管理机构在编在岗人员;c)关键工作岗位应设置AB角管理机制。4.1.4 授权和审核授权和审核要求如下:a)应明确授权审核事项、审核部门和审核人等;b)应针对平台
9、变更、重要操作、物理访问等事项建立审核程序,按照审核程序执行审核过程,对重要活动建立逐级审核制度;c)应定期审查审核事项,及时更新需授权和审核的项目、审核部门和审核人等信息;d)应记录审核过程并保存审核文档。4.1.5 沟通和合作沟通和合作要求如下:a)应加强各类管理人员之间、组织内部机构之间以及各公共信用信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;b)应加强与相关主管部门、业界专家、供应商、安全组织的合作与沟通;c)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等;d)应建立公共信用信息安全专家库,聘请信息安全专家指导信息安全建
10、设,参与安全规划和安全评审等。4.1.6 1.6维护和检查维护和检查要求如下:a)系统管理员应负责定期检查平台运行状态,了解平台运行状况,并对平台故障进行准确的分析、排错和恢复;网络管理员应负责定期检查网络各信息点、各类网络设备的通断,以及网络地址和端口的设备与分配,并及时分析处理各种网络异常;安全管理员应负责定期进行安全检查,检查内容包括平台日常运行、系统漏洞、数据备份、系统安全权限等情况;b)应定期对平台进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;c)应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安
11、全检查结果进行通报;Cl)应制定安全维护和安全检查制度,规范安全维护和安全检查工作,定期按照程序进行安全维护和安全检查活动。4.2 安全管理制度4.3 2.1管理制度管理制度要求如下:a)应制定公共信用信息安全工作的总体策略;b)安全管理制度应包括但不限于人员管理制度、平台建设管理制度、环境管理制度、资产管理制度、介质管理制度、设备管理制度、文档管理制度、用户管理制度、变更管理制度、备份与恢复管理制度、事件管理制度、应急预案管理制度等;c)管理人员或操作人员执行的日常管理操作应建立操作规程;d)应形成由总体信息安全策略、公共信用信息安全管理制度、操作规程、记录等构成的全面的公共信用信息安全管理
12、制度体系;e)安全管理制度及操作规程等文档的外借应有审核手续和记录,借阅人不得转借给他人,不得复制、泄露和引用具体内容。4.2.2制定和发布制定和发布要求如下:a)应指定或授权专门的部门或人员负责安全管理制度的制定;b)安全管理制度应具有统一的格式,并进行版本控制;c)应组织相关人员对制定的安全管理制度进行论证和审定;d)安全管理制度应通过正式、有效的方式发布;e)安全管理制度应注明发布范围。4. 2.3评审和修订评审和修订要求如下:a)公共信用信息安全管理工作的职能部门应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定;b)应定期或不定期对安全管理制度进行检查和审定,
13、对存在不足或需要改进的安全管理制度进行修订。4.3公共信用信息安全日常管理4.3.1人员管理4.3.1.1人员上岗人员上岗要求如下:a)应指定或授权专门的部门或人员负责人员上岗;b)应对上岗人员专业资格和资质等进行审查,对其所具有的技术技能进行考核,上岗人员应签署保密协议;c)应从内部人员中选拔从事关键岗位的人员。4.3.1.2人员离岗人员离岗要求如下:a)应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;b)应取回各种工作证件、钥匙、徽章等以及机构提供的软硬件设备;c)应办理严格的调离手续,关键岗位人员离岗须签订离岗后的保密协议。4.3.1.3人员考核人员考核要求如下:a)应定期对各个
14、岗位的人员进行安全技能及安全认知的考核;b)应对考核结果进行记录并保存。4.3.1.4安全意识教育和培训安全意识教育和培训要求如下:a)应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;b)应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;c)应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对公共信用信息安全基础知识、岗位操作规程等进行培训;cl)应对安全教育和培训的情况和结果进行记录并归档保存。4.3.1.5外部人员访问管理外部人员访问管理要求如下:a)应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或
15、监督,并登记备案;b)对外部人员允许访问的区域、系统、设备、信息等内容应按照相关规定执行。4.3.2平台运行维护管理4.3.2.1环境管理环境管理要求如下:a)应指定专门人员对平台所在机房供配电、空调、温湿度控制等设施进行维护管理;b)应加强对平台所在机房的工作人员办公环境的保密性管理,规范办公环境人员行为,包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等;c)平台所在机房的工作人员必须严格遵守公共信用信息平台相关管理规定,严禁泄露与平台核心技术及安全有关的信息,对存有重要数据的平台故障设备交
16、外单位人员维修时,必须派专人在现场监督。4.3.2.2资产管理资产管理要求如下:a)应编制并保存与公共信用信息平台相关的资产清单,包括资产责任部门、重要程度和所处位置、资产标识等内容;b)应建立资产安全管理制度,规定平台资产管理的责任人员或责任部门,并规范资产管理和使用的行为;c)应对公共信用信息分类与标识方法作出规定,并对公共信用信息的使用、传输和存储等进行规范化管理。4.3.2,3存储介质管理存储介质管理要求如下:a)应建立存储介质安全管理制度,对存储介质的存放环境、使用、维护和销毁等方面作出规定;b)应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存储介质进行内
17、容加密和监控管理,对送出维修或销毁的存储介质应首先清除其中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁;c)应对重要存储介质中的数据和软件采取加密存储,并根据所承载数据和软件的重要程度对存储介质进行分类和标识管理。4.3.2.4设备管理设备管理要求如下:a)应对平台相关的各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理;b)应建立基于申报、审批和专人负责的设备安全管理制度,对平台的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理;c)应建立配套设施、软硬件维护方面的管理制度,对其维护进行有效的管理,包括明确维护人员的责任、设备离开机房进行维修和服务
18、的审批、维修过程的监督控制等;d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理,按操作规程实现主要设备(包括备份和冗余设备)的启动/停止、加电/断电等操作;e)应确保公共信用信息处理设备必须经过审批方能带离机房或办公地点。4.3.2.5文档管理文档管理要求如下:a)公共信用信息安全管理制度、操作规程、技术文档及记录应得到控制,以确保得到充分的保护(如避免保密性损失、不恰当使用、完整性损失等);b)应对公共信用信息安全管理制度、操作规程、技术文档及记录进行版本控制,限制分发范围,并及时更新;c)相关记录及技术文档应按照相关管理要求保存和处理。4.3.2.6系统用户管
19、理4.3.2.6.1系统用户分类管理系统用户分类管理要求如下:a)系统用户应包括系统管理员用户和系统操作员用户;b)应列出平台所有用户清单,说明各个用户的权限,应明确平台用户的责任人员,定期检查用户的实际分配权限是否与用户清单符合;c)应对所有平台用户开启审计功能。4.3.2.6.2系统管理员要求系统管理员要求如下:a)系统管理员应由公共信用信息安全管理工作的职能部门授权,应以满足其工作需要的最小权限为原则;b)系统管理员对平台关键信息系统的操作过程应自动产生不可更改的审计日志。4.3.2.6.3系统操作员要求应在系统规定的权限内进行操作,必要时某些重要操作应得到批准,应保管好自己的身份鉴别信
20、息载体,不得转借他人。4.3.2.7监控管理监控管理要求如下:a)应对通信线路、主机、网络设备和应用软件的运行状况、流量、用户行为等进行监测和报警,形成记录并妥善保存,对监测记录及其分析结果应严格管理,未经许可不得对外发布;b)应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并经批准后采取必要的应对措施;c)应对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行统一管理。4.3.2.8网络安全管理网络安全管理要求如下:a)应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作;b)应建立网络安全管理制度,对网络安全配置、日志保
21、存时间、安全策略、升级与打补丁、口令更新周期等方面做出规定;c)应根据厂家提供的软件升级版本对网络设备更新,并在更新前对现有的重要文件进行备份;d)应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞及时进行修补;e)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入;f)应实现设备的最小服务配置,并对配置文件进行定期离线备份。4.3.2.9系统安全管理系统安全管理要求如下:a)应按照GB/T20984-2007及GB/T22239-2019的要求,定期对平台中公共信用信息系统面临的风险和威胁、薄弱环节以及防护措施的有效性进行公共信用信息安全风险评估;b)应根据业务需求、平台风险评估结果
22、、系统安全分析确定平台的访问控制策略;c)应安装系统的最新补丁程序,在安装系统补丁前,首先在测试环境中测试通过,并对重要文件进行备份后,方可实施系统补丁程序的安装;d)应指定专人对平台中公共信用信息系统进行管理,划分系统管理员和系统操作员角色,明确各个角色的权限、责任和风险,权限设定应当遵循最小授权原则,应设置安全审计员角色,仅赋予日志查看权限,负责对系统各类用户的操作行为进行审计、跟踪分析、监督检查、事件上报等;e)应依据操作手册对平台中公共信用信息系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作;f)应定期对运行日志和审计数据
23、进行分析,及时发现异常行为。4.3.2.10恶意代码防范管理恶意代码防范管理要求如下:a)应提高所有用户的恶意代码防范意识,在读取移动存储设备上的数据以及网络上接收文件或邮件之前,应进行扫描检查;b)应及时更新防病毒软件版本及恶意代码库版本;c)应定期检查平台恶意代码,对截获的恶意代码进行及时分析处理,并形成书面的报表和总结汇报。4.3.2.11密码管理密码管理要求如下:a)应建立密码使用管理制度,使用符合国家密码管理规定的密码技术和产品;b)相关系统、应用使用密码应符合国家密码管理相关规定。4.3.2.12变更管理变更管理要求如下:a)应建立变更管理制度,平台发生变更前,对变更影响进行分析并
24、形成变更方案,方案经评审后方可实施,实施后应妥善保存所有文档和记录;b)应建立中止变更并从失败变更中恢复的操作规范,明确过程控制方法和人员职责,必要时对恢复过程进行演练。4.3.2.13备份与恢复管理备份与恢复管理要求如下:a)应识别需要定期备份的重要业务信息、系统数据及软件系统等;b)应根据数据的重要性和数据对平台运行的影响,制定数据的备份策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换周期等;c)应建立控制数据备份和恢复过程的程序,对备份过程进行记录,所有文件和记录应妥善保存;d)应定期检查和测试备份介质的有效性,确保可用。4.3.2.14安全事件处置安全事件处置要求如下:a
25、)应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责;b)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;c)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存;d)对造成系统中断和造成公共信用信息泄密的安全事件应采取专门措施进行事件处置;e)应报告所发现的安全弱点和可疑事件,但任何情况下均不应尝试验证弱点;f)当有重大安全事件时,应立即采取控制措施,按照有关规定逐级上报,积极协助公
26、共信用信息安全事件的调查,做好善后处理工作。5安全技术规范基本要求5.1 基础环境安全保障要求5.1.1 物理安全应符合GB/T22239-2019中8.1安全通用要求和&2云计算安全扩展要求的要求。5.1.2 网络安全应符合GB/T22239-2019中8.1安全通用要求和8.2云计算安全扩展要求的要求。5.1.3 虚拟机安全虚拟机安全要求如下:a)虚拟化软件应选择安全可靠、且通过安全测评认证的相关软件;b)虚拟机操作系统应选择安全可靠的主流操作系统;c)应对虚拟机的管理员提供两种或两种以上组合的鉴别技术实现身份鉴别,当登录失败时,可采取结束会话、限制登录失败次数和自动退出等措施;d)当对虚
27、拟机进行管理时,应采取必要措施防止鉴别公共信用信息在网络传输过程中被窃听;e)虚拟机的安全日志应在本地或外部设备上进行记录、输出、存储,并及时、定期审计,虚拟机安全日志应至少保存6个月;f)应根据管理用户的角色分配权限,实现管理用户对虚拟机的权限分离,仅授予管理用户所需的最小权限;g)应保证关键业务虚拟机镜像的完整性和可靠性;h)应对所承载业务的虚拟机进行归类,并针对不同分类进行安全防护;i)虚拟安全防护措施应资源化、组件化,并能按需动态部署;J)应针对虚拟机常见的恶意攻击进行安全防护。5.1.4 接入终端安全接入终端安全要求如下:a)身份鉴别D使用CA证书认证时,应与用户实名绑定;2)口令至
28、少由8位字符组成,包含字母、数字和特殊字符中至少两种以上类型,至少每6个月修改一次。b)准入控制D终端应通过接入单位安全准入检查;2)接入设备应进行IP地址、物理地址和端口绑定;3)可采用数字证书、虚拟化、沙盒和主机防火墙等技术,实现终端访问互联网与访问平台网络的安全隔离。c)安全防护D安装病毒与恶意代码防护软件,并及时更新病毒与恶意代码特征库;2)及时对终端系统漏洞进行修补;3)不允许终端开启代理服务、无线热点等功能;4)及时告警并阻断局域网内终端非法外联;5)终端配置要求按照GB/T30278-2013o6)安全审计;7)对用户操作行为和终端系统日志进行审计;8)审计记录应提供统计、查询和
29、分析等功能,应至少保存6个月。1.2 应用与数据安全保障要求1.2.1 数据交换安全数据安全应符合XYoO9的要求。当平台与互联网应用进行数据交换时,根据不同交换对象采用不同交换方式,其数据交换安全要求如下:a)数据库数据交换D单向数据传输采用单向光闸或网闸作为连接通道,通过协议转换,以信息摆渡的方式实现单项数据交换,同时应确保数据无反向传输;2)双向数据传输采用网闸作为连接通道,通过协议转换,以信息摆渡的方式实现双向数据传输。b)文件数据交换D单向数据传输采用单向光闸或网闸作为连接通道,通过协议转换,以信息摆渡的方式实现单项数据交换,同时应确保数据无反向传输;2)双向数据传输采用网闸作为连接
30、通道,通过协议转换,以信息摆渡的方式实现双向数据传输。c)流媒体数据交换流媒体数据交换采用专用流媒体网闸作为连接通道,通过协议转换,以信息摆渡的方式实现数据交换。实现数据交换,同时应确保阻断传输层(含)以下的网络协议。使用此类数据交换时,不宜采用前置机方式。1.2.2 应用安全应符合GB/T22239-2019中8.1安全通用要求和&2云计算安全扩展要求的要求。1.3 平台互联互通安全要求平台互联互通安全要求如下:a)横向互联互通安全应确定平台网络边界防护措施、横向应用间防护措施和数据交换安全措施,并加强平台网络、应用和数据的访问控制措施,保障平台横向互联互通的安全。平台横向信息传输应符合GB
31、/T22081-2016中13.2.3的要求。b)纵向互联互通安全各级平台按照自身安全等级进行相应保护的基础上,高安全等级的平台应在充分考虑低安全等级平台互联互通后带来的风险的基础上,加强低安全等级的平台对高安全等级平台的网络接入、应用连接和数据连接的管理控制。1.4 平台隔离安全保障要求5. 4.1基础环境隔离基础环境隔离要求如下:a)平台所在网络应与互联网和其他网络逻辑隔离,如使用防火墙等边界设备进行隔离;b)应避免将重要网段部署在网络边界处,重要网段与其他网段之间应采取可靠的技术隔离手段;c)应对机房划分区域,区域和区域之间设置物理隔离装置。6. 4.2虚拟机隔离当公共信用信息平台部署于
32、虚拟机时:a)物理主机上的多个虚拟机应隶属同一个安全域;b)不同安全域虚拟机之间通信应建立VPN安全通道、身份认证或访问控制;c)虚拟机之间应实现网络逻辑隔离:D虚拟机之间应采用VLAN和不同IP网段的方式进行逻辑上的隔离;2)应在防火墙配置中对每台虚拟机做相应的安全设置,进一步对它们进行保护和隔离。5.4.3应用与数据隔离应用与数据隔离要求如下:a)应对不同虚拟机的数据处理进行隔离;b)关键用户数据应采用单独密钥进行加密隔离C6运行维护机构及人员管理6.1 运行维护机构6.1.1 建立运行维护机构建立运行维护机构要求如下:a)建立公共信用信息系统运行维护小组。由公共信用信息系统主管部门负责领
33、导任组长,公共信用信息工作机构领导任副组长,该小组办公室设在公共信用信息系统主管部门,由公共信用信息工作机构系统负责人和公共信用信息系统主管系统负责人组成C其职责包括:审核批准运行维护方案和验收方案;负责实施过程中的重大事件的决策;根据进度、质量、技术、资源、风险等实施管理;协调运行维护服务中涉及的各方工作关系等b)领导小组办公室可适时安排设备供应商、系统集成商、应用软件系统开发商、外包服务提供商、电信运营商等专业服务人员组成专门项目组,下设运行维护组和专家团队。其中运行维护组由运行维护经理和技术支持工程师组成,负责提供平台运行维护服务。专家团队负责为现场维护实施提供技术支持,并提出系统的发展
34、改进方向、策略和规划。c)公共信用信息工作机构负责公共信用信息系统的内容维护、业务培训、业务咨询、反馈系统的使用情况、提出优化完善意见;配合公共信用信息系统主管部门做好运行维护工作,为日常运行维护工作人员提供办公场所、参加会议、业务培训等必要条件。cl)公共信用信息系统主管部门负责编报经费预算,建立健全运行维护管理体系,推进运行维护管理的标准化、规范化;承担基础设施、业务系统、数据系统、服务系统的日常运行维护管理;根据需要向公共信用信息工作机构派驻日常运行维护工作人员,提供7*24小时运行维护响应服务;负责对第三方运行维护机构的管理。6.1.2 建立运行维护工作流程制度6.1.2.1报告制度报
35、告制度要求如下:a)维护周报:每周一提交上一周系统情况周报,内容包括平台总体运行情况,基础软硬件检查,故障处理分析,系统升级情况,数据质量检查,系统使用次数统计,会员、产品数量统计,系统优化建议,重大问题进展等。节假日顺延。b)故障处理报告:每次故障处理后五个工作日内提交故障报告单,内容包括故障时间,故障现象描述,故障处理过程,预防保障措施等。运行维护服务经理作为该项目的牵头人,负责项目运行阶段的管理工作,包括收集有关电话支持、现场服务、用户技术人员反应等有关服务情况。在服务实施过程中,将严格按照服务计划,全权负责服务的管理与监督。定时向项目领导小组汇报设备维护情况,在处理突发事件和项目变更时
36、,要及时调整人员和计划以保证服务地正常进行;在服务实施受阻时,要及时申请增加人员和技术力量,确保服务响应的及时性;在遇到导致服务的内容发生变化时,运行维护经理将负责采取必要的措施。此外,运行维护经理要监督服务的质量,以确保整个维护服务顺利、高质量的完成。6.1.2.3运行维护协调例会制度运维维护协调例会制度要求如下:a)服务满意度、投诉数量、问题申报;b)前期发生的问题解决进展与改进建议;c)讨论变更需求,评估分析可行性;d)突发故障的处理;e)分析项目工作中的难点,提出工作建议;f)下一步工作和需要协调的事务。6.1.2.4服务技术文档管理制度建立标准化的运行维护服务文档体系是维护服务管理规
37、范化、程序化的重要手段。建立运行维护服务文档体系可以实现对整个服务的过程、定期报告、特别报告、对问题状况的分析、测评和服务响应,推动运行维护工作有序开展Ca)运行维护方案:明确运行维护范围,提出运行维护实施方案,建立运行维护体系;b)维护周报:本周平台运行情况全面报告;c)现场技术服务单:现场技术服务内容记录;d)故障处理报告单:故障及处理过程记录;e)工程申请单:向公共信用信息工作机构申请平台维护或其他服务的操作;f)培训签字表:培训内容及人员记录;g)文档签收单:用户文档签收记录;h)维护通讯录:运行维护人员联系方式;i)需求与BUG清单:需求和BUG处理情况记录;6.1.3配套资源配套资
38、源要求如下:a)配备必要的运行维护管理工具和设备、设施;b)建立备品备件库,并制定相关管理制度O6.2运行维护人员管理6.2.1岗位设置岗位设置要求如下:a)应设立运行维护工作所需的各类制度,如公共信用信息平台运行维护人员管理制度、公共信用信息平台岗位需求说明书等,按工作职责和性质不同,明确划分管理岗、技术岗、操作岗;b)确定各岗位职责,以及任职资格要求。6. 2.2运行维护人员配备和管理运行维护人员配备和管理要求如下:a)根据各类岗位需求,配备一定数量的、满足任职资格要求的人员;b)安排独立的业务数据、业务系统运行维护、业务开发人员,数据库运行维护人员按照现有数据库种类各设置数据库运行维护人
39、员。c)安全管理员不能兼任网络管理员、主机管理员、系统管理员、数据库管理员等;d)上岗前应对运行维护人员进行上岗培训,考核合格后才能上岗;e)上岗前应与运行维护人员签署安全保密协议;f)人员离岗管理:D应严格规范人员离岗过程,及时终止离岗人员的所有访问权限;2)应交回各种工作证件、钥匙、徽章等所有文档以及机构提供的基础软硬件设备;3)离岗人员须履行承诺离岗后的保密义务方可离开;4)离岗人员应交回相关技术、涉密等文档。6.3相关方协调沟通相关方协调沟通要求如下:a)识别运行维护相关方,其中外部相关方主要包括设备供应商、集成商、公共信用信息平台主管部门、应用软件开发商、外包服务商、电信运营商、云平
40、台服务商、第三方安全测评服务商、物业管理商、网监等,内部相关方主要包括单位内部其他相关部门、人员;b)明确各相关方在运行维护工作的职责,划分分工界面,确定协调沟通方式和渠道;c)制定相关协作流程和制度,并遵照执行。7运行维护流程及实施7.1 运行维护计划和目标运行维护计划和目标要求如下:a)实施运行维护服务工作前,要明确运行维护对象、范围、目标,进行风险识别和分析,并制定运行维护计划和方案,如XXX公共信用信息系统运行维护计划、XXX公共信用信息平台运行维护方案;b)建立运行维护服务目标的指标系统,形成SLA;c)建立配套的绩效考核体系,如XXX公共信用信息平台运行维护绩效考核方案。7.2 日
41、常巡检公共信用信息平台应建立日常巡检工作制度,如XXX公共信用信息日常巡检制度、XXX公共信用信息平台日常巡检制度,形成巡检记录,及时存档,对警告信息进行分析并上报。7.3 2.1机房环境巡检机房环境巡检内容如下a)机房门的闭合情况;b)机房的卫生状况;c)机房的灯光状况;d)机房的温度、湿度及空气状况;e)机房的其他设备状况。7. 2.2基础软硬件系统巡检内容基础软硬件系统巡检内容如下:a)各服务器的CPU和内存的工作状况;b)安全设备的工作状况;c)网络设备的工作状况;d)通信传输设备的工作状况;e)存储备份设备的工作状况f)终端的网络运行速度;g)配电、不间断电源的工作状况;h)其他设备
42、的工作状况。7.3 定期巡检公共信用信息平台应建立定期巡检工作制度,如XXX公共信用信息平台季度巡检规定,并出具巡检报告,及时存档,对发现的问题进行分析并上报。相关要求如下:a)编制定期(如月度、季度、半年度、年度)巡检计划、方案,并组织实施;b)安排重大节点时间巡检,如春节、国庆长假前巡检,扩容升级前巡检。7.4 变更管理变更管理要求如下:a)应确认平台中将要发生的变更,如事件和问题处理、平台新建、扩建、改建等,需制定变更方案;b)应建立变更管理制度,平台发生变更前,向主管领导申请,变更和变更方案需经过评审、审批后方可实施变更,并在实施后将变更情况向相关人员通告;c)应建立变更控制的申报和审
43、批文件化程序,对变更影响进行分析并文件化,记录变更实施过程,并妥善保存所有文档和记录;d)应建立终止变更并从失败变更中恢复的文件化程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。7.5 备份与恢复管理备份与恢复管理要求如下:a)应识别需要定期备份的重要业务信息、平台数据及基础软件系统等;b)应建立备份与恢复管理相关的安全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范;c)应根据数据的重要性和数据对平台运行的影响,制定数据的备份策略和恢复策略,备份策略需指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法;d)应建立控制数据备份和恢复过程的程
44、序,对备份过程进行记录,所有文件和记录应妥善保存;e)应定期执行恢复程序,检查和测试备份介质的有效性,确保可以在恢复过程规定的时间内完成备份的恢复。7.6 应急预案管理应急预案管理要求如下:a)应在统一的应急预案框架下制定不同事件的应急预案,如公共信用信息应急预案管理制度、公共信用信息数据恢复应急预案、公共信用信息网络故障应急预案、公共信用信息病毒防护应急预案等。应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;c)应对平台相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;
45、d)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;e)应定期对应急预案进行重新评审,需要实际情况进行更新,至少每年一次。8公共信用信息平台运行维护技术服务等级参考参考行业市场惯例对公共信用信息平台运行维护技术服务进行等级划分,根据所提供服务质量要求不同将服务划分为四个等级(详见表D,用户可根据平台的运行维护服务内容和服务经费预算选择不同的服务等级,或从不同的服务等级中选择需要的服务指标及进行细化。表1公共信用信息平台运行维护技术服务等级参考服务指标一级服务二级服务三级服务四级服务服务受理时间7X24小时7X24小时5X24小时5X8小时服务响应时间常驻,即时响应WI小时4小
46、时W8小时人员到场时间常驻,即时到场2小时W6小时可下一工作日上门故障恢复时间W2小时W4小时W8小时W24小时现场及远程支持人员现场:系统集成或基础软件开发人员远程:系统分析、架构设计人员、技术专家现场:系统集成或基础软件开发人员远程:系统分析、架构设计人员现场:系统专业维修人员远程:系统集成或基础软件开发人员现场:普通维修人员远程:系统集崛蒯软件开发人员系统备件关键部件(现场提供)及备件库关键部件、备件库备件库备件库巡检周期每日或每周定期每月一次每季度一次每半年一次a)“服务受理时间”指服务台(客服人员)能够受理客户服务请求的工作时间,如“7X24小时”指1星期(7天)全天候(24小时)均能受理客户服务请求,“5X8小时”指1星期有5天(5个工作日)的日常工作时间(8小时)能受理客户服务请求;b) “服务响应时间”指服务提供方在该规定的时限内指派了人员通过现场或远程协助的方式,开始着手为客户提供服务,其中“常驻”指服务提供方指派人员在客户方常驻(常驻的方式以满足客户对运行维护人员能即时到场的需求为准),提供随时响应服务。“W8小时”指服务提供方在服务受理之后8小时之内指派了人员响应客户的服务请求;c) “人员到场时间”指服务提供方响应了客户的服务请求后,需要在该规定的时限内指派人员并到达客户现场提供服务,其中“
