ICS 03.080.99 A 20 备案号:52654-2017 内 蒙 DB 15 古 自 治 区 地 方 标 准 DB15/T 1109—2017 信用信息系统运行维护管理规范 Management specification for credit information system 2017-01-05 发布 内蒙古自治区质量技术监督局 2017-04-05 实施 发 布 DB15/T 1109—2017 目 次 前言 ................................................................................ II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 运维管理 .......................................................................... 1 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 5 人员录用 ...................................................................... 人员离岗 ...................................................................... 安全意识教育和培训 ............................................................ 外部人员访问管理 .............................................................. 4 4 5 5 日常巡检内容 ...................................................................... 5 6.1 6.2 6.3 6.4 7 1 1 2 2 2 2 3 3 3 3 4 4 4 运行维护人员管理 .................................................................. 4 5.1 5.2 5.3 5.4 6 环境管理 ...................................................................... 资产管理 ...................................................................... 介质管理 ...................................................................... 设备管理 ...................................................................... 监控管理和安全管理中心 ........................................................ 网络安全管理 .................................................................. 系统安全管理 .................................................................. 恶意代码防范管理 .............................................................. 密码管理 ...................................................................... 变更管理 ..................................................................... 备份与恢复管理 ............................................................... 安全事件处置 ................................................................. 应急预案管理 ................................................................. 概述 .......................................................................... 设备巡检 ...................................................................... 机房环境巡检 .................................................................. 其他设备巡检 .................................................................. 5 5 5 5 安全防范 .......................................................................... 6 7.1 安全管理制度 .................................................................. 6 7.2 安全管理机构 .................................................................. 6 I DB15/T 1109—2017 前言 本标准按照GB/T 1.1—2009给出的规则起草。 本标准由内蒙古自治区社会信用管理中心提出。 本标准由内蒙古自治区发展和改革委员会归口。 本标准起草单位：内蒙古自治区社会信用管理中心（内蒙古自治区信用征信中心）、内蒙古自治区 标准化院。 本标准的主要起草人：郭俊兰、李世繁、刘默、陈爱国、马慧芳。 II DB15/T 1109—2017 信用信息系统运行维护管理规范 1 范围 本标准规定了信用信息系统运维管理、人员管理、日常巡检内容以及安全防范。 本标准适用于各级地方政府建设、运维的社会信用信息平台以及相关设施和人员的管理活动。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22117 信用 基本术语 GB/T 23792 信用标准化工作指南 GB/T 31167 信息安全技术 云计算服务安全指南 GB 50174 电子信息系统机房设计规范 DB15/T 1110 信用信息征集与应用术语 3 术语和定义 GB/T 22117、GB/T 23792、 GB/T 31167、 GB 50174、 DB15/T 1110 《信用信息征集与应用术语》 界定的术语和定义适用于本文件。 4 运维管理 4.1 环境管理 本项目要求包括： a) 机房环境的设计、建设和管理应符合 GB 50174 规范的 C 级要求； b) 应指定专门部门或人员定期对前置采集设备、备份中心设备和云平台数据中心的设备所处的环 境供电、空调、温湿度等设施进行巡检并记录巡检结果； c) 应指定专门部门或人员负责设备安全,对设备的访问、配置和开关机等工作进行管理； d) 建立设备安全管理制度，对物理设备的访问、访问配置策略、设备说明书、介质进行登记和定 期备份； e) 人员调离岗位，应立即归还钥匙，工作人员离开座位应确保终端设备退出登录状态并在桌上没 有包含不宜公开的信息文档、文件。 4.2 资产管理 本项目要求包括： a) 应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和使用说明等； b) 建立资产安全管理制度，规定信息系统管理的部门，规范资产管理和使用行为。 1 DB15/T 1109—2017 4.3 介质管理 本项目要求包括： a) 应建立介质安全管理制度，对介质的存放、使用、维护和销毁等做出规定； b) 应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理； c) 应对介质的交付、使用流转进行登记记录，对存档介质的目录清单定期进行盘点； d) 应对介质的送出维修、销毁过程进行严格管理，首先清除介质中的敏感信息；对带出工作环境 的存储介质进行监控管理，保密性较高的介质未经批准不应自行销毁； e) 应根据数据备份的需要对某些介质实行异地存储，存储环境和管理办法应与本地相同； f) 应建立申报、审批和专人负责的数据和介质安全管理制度。 4.4 设备管理 本项目要求包括： a) 应对信息系统相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门和人员定期进 行巡检和维护； b) 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员 的责任、涉外维修和服务的审批、维修过程的监督控制等； c) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按照操 作规程实现主要设备（包括备份和冗余设备）的启动/停止、通电/断电等操作； d) 应确保信息存储或处理设备必须经过审批才能带离机房或办公地点。 4.5 监控管理和安全管理中心 本项目要求包括： a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报 警，形成记录并妥善保存； b) 应组织专业人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采 取必要的整改和应对措施； c) 应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审