備案號(hào):52654-2017DB15Managementspecificationforcreditinformationsystem2017-01-05發(fā)布內(nèi)蒙古自治區(qū)質(zhì)量技術(shù)監(jiān)督局發(fā)布 1 1 1 1 1 1 2 2 2 2 3 3 3 3 4 4 4 4 4 4 5 5 5 5 5 5 5 6 6 6I信用信息系統(tǒng)運(yùn)行維護(hù)管理規(guī)范本標(biāo)準(zhǔn)適用于各級(jí)地方政府建設(shè)、運(yùn)維的社會(huì)信用信息平臺(tái)以及相關(guān)設(shè)施和人員的管理活凡是不注日期的引用文件，其最新版本（包括所有的修改單）GB/T22117、GB/T2379a)機(jī)房環(huán)境的設(shè)計(jì)、建設(shè)和管理應(yīng)符合GB50174規(guī)范的C級(jí)要求；c)應(yīng)指定專門(mén)部門(mén)或人員負(fù)責(zé)設(shè)備安全,對(duì)設(shè)備的訪問(wèn)、配置和開(kāi)關(guān)機(jī)等工作進(jìn)行管理；a)應(yīng)編制并保存與信息系統(tǒng)相關(guān)的資產(chǎn)清單，包括資產(chǎn)責(zé)任部門(mén)、重要程度和使用說(shuō)明等；b)建立資產(chǎn)安全管理制度，規(guī)定信息系統(tǒng)管理的部門(mén)，規(guī)范資產(chǎn)管理和使用行為。1a)應(yīng)建立介質(zhì)安全管理制度，對(duì)介質(zhì)的存放、使用、維護(hù)和銷(xiāo)毀等做出規(guī)定；b)應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類(lèi)介質(zhì)進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理；c)應(yīng)對(duì)介質(zhì)的交付、使用流轉(zhuǎn)進(jìn)行登記記錄，對(duì)存檔介質(zhì)的目錄清單定期進(jìn)行盤(pán)點(diǎn)；e)應(yīng)根據(jù)數(shù)據(jù)備份的需要對(duì)某些介質(zhì)實(shí)行異地存儲(chǔ)，存儲(chǔ)環(huán)境和管理辦法應(yīng)與本地相同；f)應(yīng)建立申報(bào)、審批和專人負(fù)責(zé)的數(shù)據(jù)和介質(zhì)安全管理制度。d)應(yīng)確保信息存儲(chǔ)或處理設(shè)備必須經(jīng)過(guò)審批才能帶離機(jī)房或辦公地點(diǎn)。c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對(duì)現(xiàn)有重要文件進(jìn)行備份；d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)；e)應(yīng)實(shí)現(xiàn)設(shè)備的最小服務(wù)配置，并對(duì)配置文件進(jìn)行定期離線備份；f)應(yīng)保證所有與外部系統(tǒng)連接均得到授權(quán)和批準(zhǔn)；g)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；h)應(yīng)定期檢查違反網(wǎng)絡(luò)安全策略的行為。2a)應(yīng)根據(jù)業(yè)務(wù)需求和系統(tǒng)安全分析確定系統(tǒng)的訪問(wèn)控制策略；b)應(yīng)定期進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；c)應(yīng)安裝系統(tǒng)的最新補(bǔ)丁程序，在安裝系統(tǒng)補(bǔ)丁前，首先在測(cè)試環(huán)境中測(cè)試通過(guò),并對(duì)重要文件f)應(yīng)依據(jù)操作手冊(cè)對(duì)系統(tǒng)進(jìn)行維護(hù)，詳細(xì)記錄操作日志，包括重要的日常操作、運(yùn)行維護(hù)記錄、g)應(yīng)定期對(duì)運(yùn)行日志和審計(jì)數(shù)據(jù)進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為；b)應(yīng)定期升級(jí)病毒庫(kù),并指定專人對(duì)網(wǎng)絡(luò)和主機(jī)進(jìn)行惡意代碼檢測(cè)并保存檢測(cè)記錄；c)應(yīng)對(duì)防惡意代碼軟件的授權(quán)使用、惡意代碼庫(kù)升級(jí)、定期匯報(bào)等做出明確規(guī)定；a)應(yīng)建立密碼使用管理制度，使用符合國(guó)家密碼管理規(guī)定的密碼技術(shù)和產(chǎn)品；b)應(yīng)用系統(tǒng)和硬件設(shè)備的密碼長(zhǎng)度不少于8位，應(yīng)為數(shù)字、字母和特a)應(yīng)確認(rèn)系統(tǒng)中要發(fā)生的變更，并制定變更方案；3a)應(yīng)識(shí)別需要定期備份的重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)及軟件系統(tǒng)等；指明備份數(shù)據(jù)的放置場(chǎng)所、文件命名規(guī)則、介質(zhì)替換頻率和將數(shù)據(jù)離站運(yùn)輸d)應(yīng)建立控制數(shù)據(jù)備份和恢復(fù)過(guò)程的程序，對(duì)備份過(guò)程進(jìn)行記錄，所有文件和記錄應(yīng)妥善保存；a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；f)對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。b)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；c)應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；d)應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；e)應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照?qǐng)?zhí)行。a)應(yīng)嚴(yán)格規(guī)范運(yùn)維人員錄用，在錄用人員時(shí)應(yīng)制定相關(guān)制度；4a)應(yīng)嚴(yán)格規(guī)范人員離崗過(guò)程，及時(shí)終止離崗人員的所有訪問(wèn)權(quán)限；b)應(yīng)交回各種工作證件、鑰匙、徽章等所有文檔以及機(jī)構(gòu)提供的軟硬件設(shè)備；c)離崗人員須履行承諾離崗后的保密義務(wù)方可離開(kāi)；a)應(yīng)對(duì)各類(lèi)人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；d)應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。b)對(duì)外部人員允許訪問(wèn)的區(qū)域、設(shè)備、系統(tǒng)、信息等內(nèi)容應(yīng)進(jìn)行書(shū)面的規(guī)定，并按照規(guī)定執(zhí)行。信用信息平臺(tái)應(yīng)建立巡檢工作制度，并出具巡檢報(bào)告，及時(shí)b)機(jī)房的衛(wèi)生狀況；5a)對(duì)機(jī)房空調(diào)系統(tǒng)進(jìn)行經(jīng)常性巡檢，密切注意工作負(fù)荷、電池容量、室內(nèi)溫濕度等數(shù)值；b)應(yīng)對(duì)安全活動(dòng)中重要的管理內(nèi)容建立安全管理制度；c)應(yīng)對(duì)安全管理人員或操作人員執(zhí)行的重要管理操作建立操作規(guī)程；d)安全管理制度的制定和發(fā)布應(yīng)由專門(mén)的部門(mén)或人員負(fù)責(zé)；e)應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；f)應(yīng)將安全管理制度以某種形式發(fā)布到相關(guān)人員手中；g)應(yīng)制定專門(mén)的安全應(yīng)急管理制度，制定和發(fā)布方式與其余安全制度相同；h)應(yīng)定期對(duì)安全管理制度進(jìn)行評(píng)審，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。a)應(yīng)設(shè)立安全管理各個(gè)方面的負(fù)責(zé)人崗位，并定義負(fù)責(zé)人的職責(zé)；b)應(yīng)設(shè)立系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等崗位，并定義各個(gè)工作崗位的職責(zé)。a)應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員等；b)安全管理員不能兼任網(wǎng)絡(luò)管理員、主機(jī)管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員等。b)應(yīng)針對(duì)關(guān)鍵活動(dòng)建立審批流程，并由批準(zhǔn)人簽字確認(rèn)。6b)應(yīng)加強(qiáng)與信息報(bào)送和共享單位、公安機(jī)關(guān)