《政務(wù)信息系統(tǒng)安全運行維護規(guī)范》（征求意見稿）

41I II 1 1 1 2 2 2 3 3 4 4 5 56.1基礎(chǔ)設(shè)施運行維護流程 56.2業(yè)務(wù)系統(tǒng)運行維護流程 6 7 76.5數(shù)據(jù)資源管理運行維護流程 86.6應(yīng)急保障運行維護流程 96.7安全處置保障運行維護流程 10 11 11 11 11 12 12 12 12 12 12 12 14本文件按照GB/T1.1—2020《標準化本文件起草單位：河南省政務(wù)大數(shù)據(jù)中心、南威軟件股份有限公司、本文件主要起草人：張陽、鄭巖、連惠杰、黃濤、李海平、李東東、左帆、汪寶存、李明、劉洋、馮文靜、徐曉杰、李永輝、宋世超遠、王亞杰、曹誠、梁欣、王珊、李力、趙洋、陳鵬、趙韻1本文件規(guī)定了政務(wù)信息系統(tǒng)安全運行維護要求，為政務(wù)信息系統(tǒng)的運行下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包是指各級黨委、人大、政府、政協(xié)、監(jiān)察委、法院、檢察院及其直采用信息技術(shù)手段及方法，依據(jù)省各級政務(wù)部門提出的服務(wù)級別需求，對信2運行維護服務(wù)主體是各級政務(wù)部門建設(shè)、運行或使用，用于支撐政務(wù)部門處理業(yè)務(wù)、內(nèi)部管理、行政辦公、監(jiān)管執(zhí)法、統(tǒng)計監(jiān)測、政務(wù)公開、政務(wù)信息系統(tǒng)運行維護涉及的對象包括基礎(chǔ)設(shè)施、基礎(chǔ)設(shè)施之上運行的業(yè)務(wù)信息資源庫、元數(shù)據(jù)系統(tǒng)，基礎(chǔ)數(shù)據(jù)系統(tǒng)、主題數(shù)據(jù)系統(tǒng)、數(shù)據(jù)資源目錄系統(tǒng)包括辦公自動化系統(tǒng)、視頻會議系統(tǒng)、人事系統(tǒng)、財務(wù)系統(tǒng)、業(yè)務(wù)協(xié)同系統(tǒng)包括入侵檢測（或防御）系統(tǒng)、防火墻、安全掃描、安全審計、防病毒系統(tǒng)等a)基礎(chǔ)設(shè)施是政務(wù)部門用于履行職能所投資建設(shè)或租用的用于感知、傳輸、網(wǎng)絡(luò)2)制定常態(tài)化維護服務(wù)計劃，并根據(jù)計劃對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器3)制定網(wǎng)絡(luò)系統(tǒng)應(yīng)急預案，明確應(yīng)急響應(yīng)流程和責任人，及時規(guī)范處b)數(shù)據(jù)系統(tǒng)是指政務(wù)部門對政務(wù)信息資源進行采集、加工、使用、處理等操作的系統(tǒng)或工具組3)制定數(shù)據(jù)備份與恢復的機制、策略、規(guī)范、流程和應(yīng)急保障措施，3c)業(yè)務(wù)系統(tǒng)指政務(wù)部門履行職能所投資建設(shè)或租用的處理業(yè)務(wù)、內(nèi)部管理、1)對基礎(chǔ)軟件及業(yè)務(wù)系統(tǒng)的動態(tài)指標、靜態(tài)4)消除基礎(chǔ)軟件及業(yè)務(wù)系統(tǒng)可能存在的隱患和威脅，將系統(tǒng)恢復正?；顒訝顟B(tài)，6)制定系列響應(yīng)制度以保障運行維護服務(wù)能力，包含事件驅(qū)動響應(yīng)、服務(wù)請8)制定數(shù)據(jù)備份與恢復的機制、策略、規(guī)范、流程和應(yīng)急保障措施，對數(shù)據(jù)d)服務(wù)系統(tǒng)指政務(wù)部門面向社會團體、企事業(yè)單位和個人提供行政權(quán)力事項2)建立政務(wù)服務(wù)應(yīng)用質(zhì)量標準，對使用性能、應(yīng)用管理、運行監(jiān)測等進行3)加強網(wǎng)絡(luò)安全保障建設(shè)，制定完善應(yīng)急預案，不斷提升日常防護、5)制定系列響應(yīng)制度以保障運行維護服務(wù)能力，包含事件驅(qū)動響應(yīng)、e)建立符合GB/T36626—2018基本要求的1)按照網(wǎng)絡(luò)安全等級保護第三級要求進行防4)基于業(yè)務(wù)和信息系統(tǒng)安全要求，建立物理環(huán)境、設(shè)備、信息系統(tǒng)的訪問控制策4全省各級政務(wù)信息系統(tǒng)使用管理單位，負責提出本部門政務(wù)信息系統(tǒng)運維理服務(wù)工作；負責本部門政務(wù)信息系統(tǒng)日常使用中的用戶賬號及認證管理、全省各級政務(wù)信息系統(tǒng)運行維護行政指導單位，負責政務(wù)信息系統(tǒng)技術(shù)導、統(tǒng)籌協(xié)調(diào)，提出運維工作有關(guān)意見建議。督促運維單位加強政務(wù)信息系作為政務(wù)信息系統(tǒng)的綜合性技術(shù)支撐和運行維護保障單位，承擔政務(wù)信依法依規(guī)承擔或參與各級政務(wù)信息系統(tǒng)的運行維護工作，嚴格落實網(wǎng)絡(luò)負責本部門政務(wù)信息系統(tǒng)日常使用的安全管理，落實日任，收集并反饋本部門政務(wù)信息系統(tǒng)日常使用中的問題，開展政務(wù)信息系統(tǒng)推廣負責管理備案政務(wù)信息系統(tǒng)年度運維計劃，明確運維管統(tǒng)設(shè)計技術(shù)文檔等運維所需資料歸檔；負責系統(tǒng)運行期間各類需求和問負責統(tǒng)籌政務(wù)信息系統(tǒng)建設(shè)需求、技術(shù)轉(zhuǎn)化和方案審核和竣工驗收相關(guān)工作；開展政務(wù)信息系統(tǒng)運行維護和網(wǎng)絡(luò)安全保障；提出政通過招標采購等形式明確的第三方運行維護機構(gòu)派出的保障人員以及獲得術(shù)人員，負責做好各項運行維護日常技術(shù)實施工作，實施常態(tài)化風險監(jiān)測、a)按照崗位職責要求，對從業(yè)者進行審查，包括個人履歷、學歷、專業(yè)資質(zhì)、信用5b)建立運行維護安全手冊，人員按照已建立的策略、規(guī)程、工具進行安全運維工作，確保人員制定運維人員工作績效評價指標體系，建立常態(tài)化考核機制，科學構(gòu)建基礎(chǔ)設(shè)施運行維護流程旨在規(guī)范運行維護過程中，當機房網(wǎng)絡(luò)、安全設(shè)1)當機房網(wǎng)絡(luò)、安全設(shè)備等基礎(chǔ)設(shè)施出現(xiàn)問6服務(wù)滿足發(fā)布通知服務(wù)申請服務(wù)申請否否更新配置是是接收服務(wù)申請信息技術(shù)團隊是否可處置文檔歸檔實現(xiàn)服務(wù)請求否否更新文檔更新文檔反饋服務(wù)請求運維單位落實業(yè)務(wù)系統(tǒng)運行維護流程旨在規(guī)范引導業(yè)務(wù)系統(tǒng)運行維護過程中，從問題發(fā)1)發(fā)現(xiàn)或接收匯總問題，向主管單位的信息1)由技術(shù)團隊對服務(wù)申請內(nèi)容進行確認、提7是否是否資源申請變更運行維護流程旨在規(guī)范引導業(yè)務(wù)系統(tǒng)運1)根據(jù)實際需要提出網(wǎng)絡(luò)安全策略變更申請1)收集匯總使用單位提出的網(wǎng)絡(luò)安全策略變8問題解決/服務(wù)滿足完成變更安全策略變更安全策略變更是是是否可以直是否可以直接處置？安全測評計算策略變更風險，是否可變更？否否計算策略變更風險，是否可變更？否風險評估準備采用原有策略是接收安全策略變更要求接收安全策略變更要求風險評估更新安全策略更新文檔數(shù)據(jù)資源運行維護流程旨在規(guī)范業(yè)務(wù)系統(tǒng)運行維護過程中的數(shù)據(jù)資源共9數(shù)據(jù)共享數(shù)據(jù)共享數(shù)據(jù)編目數(shù)據(jù)生成/數(shù)據(jù)生成/匯聚 是 是數(shù)據(jù)資產(chǎn)評估，是否可直接使用數(shù)據(jù)分級分類高質(zhì)量數(shù)據(jù)信息否高質(zhì)量數(shù)據(jù)信息數(shù)據(jù)治理清洗標準編訂根據(jù)預先制定的應(yīng)急預案，采取相應(yīng)的措施來控制和減輕時間的影響。在1)收集匯總使用單位反饋的故障消除申請，1)配合技術(shù)支撐單位及時應(yīng)對故障和突發(fā)事是是使用單位 技術(shù)支撐否否安全處置保障運行維護流程旨在規(guī)范化組織日常面對安全事件時b)主管單位需收集匯總使用單位反饋的威脅處置申請，并對申請內(nèi)容進行初步研判是否交由信服務(wù)滿足威脅消除發(fā)現(xiàn)威脅發(fā)現(xiàn)威脅 威脅是否屬于按事件流程處理修訂應(yīng)急預案處置評估、歸檔否修訂應(yīng)急預案處置評估、歸檔安全事件歸集安全事件評估提出處置意見威脅處置 是否可直接 是三方技術(shù)保障安全加固制定應(yīng)急事件報告和通報機制，編制應(yīng)急響應(yīng)計劃文檔等，劃分應(yīng)急事測預警、應(yīng)急處置等內(nèi)容進行明確。制定日常事件響應(yīng)機制，設(shè)立值班緊急聯(lián)制定文檔管理機制，內(nèi)容包括但不限于事件識別、報告、受理、調(diào)查和g)在重要時期建立重保安全事件溝通聯(lián)絡(luò)機制，成立重保領(lǐng)導小組，由單位負安全運營支撐平臺需對政務(wù)信息系統(tǒng)安全運行維護過程提供完善a)匯聚云、網(wǎng)、數(shù)、用、端資產(chǎn)信息，將資產(chǎn)信息與組織結(jié)構(gòu)中的責任人對應(yīng)，實c)保障運行維護服務(wù)對象數(shù)據(jù)安全、網(wǎng)絡(luò)安全、密碼安全、移動應(yīng)用安全等d)協(xié)同本地區(qū)信息安全主管單位及上下級業(yè)務(wù)主管單位對安全事件的監(jiān)測預a)集