公共信用信息平台安全运维规范.docx

《公共信用信息平台安全运维规范.docx》由会员分享，可在线阅读，更多相关《公共信用信息平台安全运维规范.docx（18页珍藏版）》请在优知文库上搜索。

1、ICS 35.020CCS L70备案号：DB15内蒙古自治区地方标准DB15/T11062024代替DB15/T1106-2017.DB15/T1109-2017公共信用信息平台安全运行维护规范Managementspecificationforcreditinformationsafety（征求意见稿）发布实施内蒙古自治区市场监督管理局A一、刖百本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件代替DB15/T1106-2017信用信息安全管理规范、DB15/T1109-2017信用信息系统运行维护管理规范。与DB15/T1106-201

2、7相比，除结构调整和编辑性改动外，主要技术变化如下：a）删除了安全机构（见2017年版的4.1）、安全岗位设置（见2017年版的4.2）、人员安全（见2017年版的4.3）、信息载体安全（见2017年版的4.4）、物理和环境安全（见2017年版的4.5）,策略安全（见2017年版的4.6）、操作安全管理（见2017年版的4.7）、访问控制（见2017年版的4.8）、信息系统的开发和维护（见2017年版的4.9）、安全事故管理（见2017年版的5）；b）更改了应急预案管理的内容（见7.6,2017年版的6）；c）增加了安全管理规范基本要求（见4）、安全技术规范基本要求（见5）、运行维护机构及人员

3、管理（见6）、运行维护流程及实施（见7）、公共信用信息平台运行维护技术服务等级参考（见8）与DB15/T1109-2017相比，除结构调整和编辑性改动外，主要技术变化如下：a）更改了环境管理（见4.3.2.1,2017年版的4.1）、资产管理（见4.3.2.2,2017年版的4.2）、存储介质管理（见4.3.2.3,2017年版的4.3）、设备管理（见4.3.2.4,2017年版的4.4）、监控管理（见4.3.2.7,2017年版的4.5）、网络安全管理（见4.3.2.8,2017年版的4.6）、系统安全管理（见4.3.2.9,2017年版的4.7）、恶意代码防范管理（见4.3.2.10,20

4、17年版的4.8）、密码管理（见4.3.2.11,2017年版的4.9）、变更管理（见4.3.2.12,2017年版的4.10）、备份与恢复管理（见4.3.2.13,2017年版的4.11）、安全事件处置（见4.3.2.14,2017年版的4.12）、应急预案管理（见7.6,2017年版的4.13）内容；b）更改了人员上岗（见4.3.1.1,2017年版的5.1）、人员离岗（见4.3.L2,2017年版的5.2）内容；c）更改了基础软硬件系统巡检内容表述（见7.2.2,2017年版的6.2）；d）删除了其他设备巡检（2017年版的6.4）；e）更改了安全管理制度（见4.2,2017年版的7.1

5、）内容；f）更改了公共信用信息安全管理机制（见4.1,2017年版的7.2）表述和内容；g）增加了人员考核（见4.3.1.3）、安全技术规范基本要求（见5）、运行维护机构及人员管理（见6）、运行维护流程及实施（见7）、公共信用信息平台运行维护技术服务等级参考（见8）o本文件由内蒙古自治区社会信用管理中心提出。本文件由内蒙古自治区发展和改革委员会归口。本文件起草单位：内蒙古自治区社会信用管理中心、内蒙古自治区大数据中心。本文件的主要起草人：商显刚、乌尼特、浩旭曰、陈植霖。本文件及其所替代文件的历次版本发布情况为：2017年首次发布为DB15/T1106-2017xDB15/T1109-2017；

6、本次为第一次修订。公共信用信息平台安全运行维护规范1范围本文件规定了公共信用信息平台安全运行维护中的安全管理规范和安全技术规范。本文件适用于公共信用信息平台安全运行维护活动。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T28827.1-2022信息技术服务运行维护第1部分：通用要求GB/T20984-2007信息安全技术信息安全风险评估规范GB/T22080-2016信息技术安全技术信息安全管理体系要求GB/T22081-2016信息

7、技术安全技术信息安全控制实践指南GB/T22240-2020信息安全技术网络安全等级保护定级指南GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25069-2010信息安全技术术语GB/T30278-2013信息安全技术政务计算机终端核心配置规范DBl5/T1110-2024公共信用信息术语3术语和定义GB/T22117、DB15TIIlo2024界定的以及下列术语和定义适用于本文件。4安全管理规范基本要求4.1 公共信用信息安全管理机制4.1.1 工作机制应建立完善公共信用信息安全工作协调机制，统筹制定公共信用信息平台总体信息安全策略，对与公共信用信息平台有关的重大事

8、项进行决策，组织、协调平台信息安全工作。4.1.2 岗位设置岗位设置要求如下：a）应明确公共信用信息安全管理工作的职能部门，设立安全管理负责人，并明确其职责；b）应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职责；h）应制定文件明确各岗位的任职资格和技能要求。4.1.3 1.3人员配备人员配备要求如下：a）应配备一定数量的系统管理员、审计管理员、安全管理员等；b）应配备专职安全管理员，安全管理员应为公共信用信息安全管理机构在编在岗人员；c）关键工作岗位应设置AB角管理机制。4.1.4 授权和审核授权和审核要求如下：a）应明确授权审核事项、审核部门和审核人等；b）应针对平台

9、变更、重要操作、物理访问等事项建立审核程序，按照审核程序执行审核过程，对重要活动建立逐级审核制度；c）应定期审查审核事项，及时更新需授权和审核的项目、审核部门和审核人等信息；d）应记录审核过程并保存审核文档。4.1.5 沟通和合作沟通和合作要求如下：a）应加强各类管理人员之间、组织内部机构之间以及各公共信用信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题；b）应加强与相关主管部门、业界专家、供应商、安全组织的合作与沟通；c）应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等；d）应建立公共信用信息安全专家库，聘请信息安全专家指导信息安全建

10、设，参与安全规划和安全评审等。4.1.6 1.6维护和检查维护和检查要求如下：a）系统管理员应负责定期检查平台运行状态，了解平台运行状况，并对平台故障进行准确的分析、排错和恢复；网络管理员应负责定期检查网络各信息点、各类网络设备的通断，以及网络地址和端口的设备与分配，并及时分析处理各种网络异常；安全管理员应负责定期进行安全检查，检查内容包括平台日常运行、系统漏洞、数据备份、系统安全权限等情况；b）应定期对平台进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；c）应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安

11、全检查结果进行通报；Cl）应制定安全维护和安全检查制度，规范安全维护和安全检查工作，定期按照程序进行安全维护和安全检查活动。4.2 安全管理制度4.3 2.1管理制度管理制度要求如下：a）应制定公共信用信息安全工作的总体策略；b）安全管理制度应包括但不限于人员管理制度、平台建设管理制度、环境管理制度、资产管理制度、介质管理制度、设备管理制度、文档管理制度、用户管理制度、变更管理制度、备份与恢复管理制度、事件管理制度、应急预案管理制度等；c）管理人员或操作人员执行的日常管理操作应建立操作规程；d）应形成由总体信息安全策略、公共信用信息安全管理制度、操作规程、记录等构成的全面的公共信用信息安全管理

12、制度体系；e）安全管理制度及操作规程等文档的外借应有审核手续和记录，借阅人不得转借给他人，不得复制、泄露和引用具体内容。4.2.2制定和发布制定和发布要求如下：a）应指定或授权专门的部门或人员负责安全管理制度的制定；b）安全管理制度应具有统一的格式，并进行版本控制；c）应组织相关人员对制定的安全管理制度进行论证和审定；d）安全管理制度应通过正式、有效的方式发布；e）安全管理制度应注明发布范围。4. 2.3评审和修订评审和修订要求如下：a）公共信用信息安全管理工作的职能部门应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；b）应定期或不定期对安全管理制度进行检查和审定，

13、对存在不足或需要改进的安全管理制度进行修订。4.3公共信用信息安全日常管理4.3.1人员管理4.3.1.1人员上岗人员上岗要求如下：a）应指定或授权专门的部门或人员负责人员上岗；b）应对上岗人员专业资格和资质等进行审查，对其所具有的技术技能进行考核,上岗人员应签署保密协议；c）应从内部人员中选拔从事关键岗位的人员。4.3.1.2人员离岗人员离岗要求如下：a）应严格规范人员离岗过程，及时终止离岗员工的所有访问权限；b）应取回各种工作证件、钥匙、徽章等以及机构提供的软硬件设备；c）应办理严格的调离手续，关键岗位人员离岗须签订离岗后的保密协议。4.3.1.3人员考核人员考核要求如下：a）应定期对各个

14、岗位的人员进行安全技能及安全认知的考核；b）应对考核结果进行记录并保存。4.3.1.4安全意识教育和培训安全意识教育和培训要求如下：a）应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；b）应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；c）应对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对公共信用信息安全基础知识、岗位操作规程等进行培训；cl）应对安全教育和培训的情况和结果进行记录并归档保存。4.3.1.5外部人员访问管理外部人员访问管理要求如下：a）应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或

15、监督，并登记备案；b）对外部人员允许访问的区域、系统、设备、信息等内容应按照相关规定执行。4.3.2平台运行维护管理4.3.2.1环境管理环境管理要求如下：a）应指定专门人员对平台所在机房供配电、空调、温湿度控制等设施进行维护管理；b）应加强对平台所在机房的工作人员办公环境的保密性管理，规范办公环境人员行为，包括工作人员调离办公室应立即交还该办公室钥匙、不在办公区接待来访人员、工作人员离开座位应确保终端计算机退出登录状态和桌面上没有包含敏感信息的纸档文件等；c）平台所在机房的工作人员必须严格遵守公共信用信息平台相关管理规定，严禁泄露与平台核心技术及安全有关的信息，对存有重要数据的平台故障设备交外单位人员维修时,必须派专人在现场监督。4.3.2.2资产管理资产管理要求如下：a）应编制并保存与公共信用信息平台相关的资产清单，包括资产责任部门、重要程度和所处位置、资产标识等内容；b）应建立资产安全管理制度，规定平台资产管理的责任人员或责任部门，并规范资产管理和使用的行为；c）应对公共信用信息分类与标识方法作出规定，并对公共信用信息的使用、传输和存储等进行规范化管理。4.3.2,3存储介质管理