公共信用信息平臺(tái)安全運(yùn)行維護(hù)規(guī)范

1公共信用信息平臺(tái)安全運(yùn)行維護(hù)規(guī)范人員管理、運(yùn)行維護(hù)流程及實(shí)施要求和運(yùn)行維護(hù)運(yùn)行維護(hù)技術(shù)服務(wù)等GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)GB/T30278信息安全技術(shù)政務(wù)計(jì)算機(jī)終端核心配置GB/T22117、DB15/T1110界定的以及下列術(shù)語(yǔ)和定義適用于公共信用信息平臺(tái)有關(guān)的重大事項(xiàng)進(jìn)行決策4.2安全管理制度c)管理人員或操作人員執(zhí)行的日常管理操作應(yīng)建立操作規(guī)程；2a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；b)安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；a)公共信用信息安全管理工作的職能部門應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對(duì)安全管理制度b)應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)4.3公共信用信息安全日常管理b)應(yīng)對(duì)上崗人員專業(yè)資格和資質(zhì)等進(jìn)行審查，對(duì)其所具有的技術(shù)技能進(jìn)行考核,上崗人員應(yīng)簽a)應(yīng)制定人員離崗規(guī)程，及時(shí)終止離崗員工的所有訪問權(quán)限；a)應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核；3b)應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員b)對(duì)外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等內(nèi)容應(yīng)按照相關(guān)規(guī)定執(zhí)行。a)應(yīng)指定專門人員對(duì)機(jī)房供配電、空調(diào)、溫濕度控制等設(shè)施進(jìn)行監(jiān)控管理；b)應(yīng)加強(qiáng)對(duì)機(jī)房的工作人員辦公環(huán)境的c)平臺(tái)所在機(jī)房的工作人員應(yīng)嚴(yán)格遵守公共信用信息平臺(tái)相關(guān)管理規(guī)定，嚴(yán)禁泄露與平臺(tái)核心技術(shù)及安全有關(guān)的信息，對(duì)存有重要數(shù)據(jù)的平臺(tái)故障設(shè)備交外單位人員維修時(shí)c)應(yīng)對(duì)重要存儲(chǔ)介質(zhì)中的數(shù)據(jù)和軟件采取加密存儲(chǔ)，并根據(jù)所承載數(shù)據(jù)和軟件的重要程度對(duì)存4規(guī)程實(shí)現(xiàn)主要設(shè)備（包括備份和冗余設(shè)備）的啟動(dòng)/停止、加電/斷a)系統(tǒng)用戶應(yīng)包括系統(tǒng)管理員用戶和系統(tǒng)操作員用戶；a)系統(tǒng)管理員應(yīng)由公共信用信息安全管理工作的職能部門授權(quán)，應(yīng)以滿足其工作需要的最小權(quán)5c)應(yīng)根據(jù)廠家提供的軟件升級(jí)版本對(duì)網(wǎng)絡(luò)d)應(yīng)定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞及時(shí)進(jìn)行修補(bǔ)；e)應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入；a)應(yīng)按照GB/T20984及GB/T22239的要求，定期對(duì)公共弱環(huán)節(jié)以及防護(hù)措施的有效性進(jìn)行公共信用信息安b)應(yīng)根據(jù)業(yè)務(wù)需求、平臺(tái)風(fēng)險(xiǎn)評(píng)估結(jié)果、系a)應(yīng)提高所有用戶的惡意代碼防范意識(shí)，在讀取移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)以及網(wǎng)絡(luò)上接收文件或b)應(yīng)及時(shí)更新防病毒軟件版本及惡意代碼庫(kù)版本；6d)對(duì)造成平臺(tái)中斷和造成公共信用信息泄密的安全事件應(yīng)采取專門措施進(jìn)行事件處置；應(yīng)符合GB/T22239-2019中8.1安全通用要求和8.2云計(jì)算安全擴(kuò)展要求應(yīng)符合GB/T22239-2019中8.1安全通用要求和8.2云計(jì)算安全擴(kuò)展要求a)虛擬化軟件應(yīng)選擇安全可靠、且通過安全測(cè)評(píng)認(rèn)證的相關(guān)軟件；7d)當(dāng)對(duì)虛擬機(jī)進(jìn)行管理時(shí)，應(yīng)采取必要措施g)應(yīng)保證關(guān)鍵業(yè)務(wù)虛擬機(jī)鏡像的完整性和可靠性；h)應(yīng)對(duì)所承載業(yè)務(wù)的虛擬機(jī)進(jìn)行歸類，并針對(duì)不同分類進(jìn)行安全防護(hù)；i)虛擬安全防護(hù)措施應(yīng)資源化、組件化a)數(shù)據(jù)庫(kù)數(shù)據(jù)交換：1)單向數(shù)據(jù)傳輸采用單向光閘或網(wǎng)閘作為連接2)雙向數(shù)據(jù)傳輸采用網(wǎng)閘作為連接通道，通過協(xié)議轉(zhuǎn)換，以信息擺渡的方式1)單向數(shù)據(jù)傳輸采用單向光閘或網(wǎng)閘作為連接82)雙向數(shù)據(jù)傳輸采用網(wǎng)閘作為連接通道，通過協(xié)議轉(zhuǎn)換，以信息擺渡的方式5.3平臺(tái)互聯(lián)互通安全要求和數(shù)據(jù)的訪問控制措施，保障平臺(tái)橫向互聯(lián)互通的安全。平臺(tái)橫向信息傳輸應(yīng)符合GB/T22081-2016中在各級(jí)平臺(tái)按照自身安全等級(jí)進(jìn)行相應(yīng)保護(hù)的基礎(chǔ)上，高安全等級(jí)的平臺(tái)應(yīng)在充分考慮低安全等a)平臺(tái)所在網(wǎng)絡(luò)應(yīng)與互聯(lián)網(wǎng)和其他網(wǎng)絡(luò)邏輯隔離，如使用防火墻等邊界設(shè)備進(jìn)行隔離；a)物理主機(jī)上的多個(gè)虛擬機(jī)應(yīng)隸屬同一個(gè)安全域；b)不同安全域虛擬機(jī)之間通信應(yīng)建立VPN安全通道、身2)應(yīng)在防火墻配置中對(duì)每臺(tái)虛擬機(jī)做相應(yīng)的安全設(shè)置，進(jìn)一步對(duì)它們進(jìn)行保護(hù)和9根據(jù)需要向公共信用信息工作機(jī)構(gòu)派駐日常運(yùn)行維護(hù)工作人員，提供7x24h運(yùn)行維護(hù)響應(yīng)服b)前期發(fā)生的問題解決進(jìn)展與改進(jìn)建議；e)工程申請(qǐng)單：向公共信用信息工作機(jī)構(gòu)申請(qǐng)平臺(tái)維護(hù)或h)維護(hù)通訊錄：運(yùn)行維護(hù)人員聯(lián)系方a)配備必要的運(yùn)行維護(hù)管理工具和設(shè)備、設(shè)施；6.2運(yùn)行維護(hù)人員管理e)應(yīng)明確各崗位的任職資格和技能要a)應(yīng)根據(jù)各類崗位需求，配備一定數(shù)量的、滿足任職資格要求的人員；b)應(yīng)配備專職安全管理員，安全管理員應(yīng)為公共信用信息安全管理部門在編在崗人員；e)上崗前應(yīng)對(duì)運(yùn)行維護(hù)人員進(jìn)行上崗培訓(xùn)，考核合格后才能上崗；f)上崗前應(yīng)與運(yùn)行維護(hù)人員簽署安全保密協(xié)議；1)應(yīng)嚴(yán)格規(guī)范人員離崗過程，及時(shí)終止離崗人員的所有訪問權(quán)限；2)應(yīng)交回各種工作證件、鑰匙、徽章等所有文檔以及機(jī)構(gòu)提供的基礎(chǔ)軟硬件設(shè)備；3)離崗人員應(yīng)履行承諾離崗后的保密義務(wù)方可離開；6.3相關(guān)方溝通協(xié)調(diào)機(jī)制a)應(yīng)定期或不定期召開協(xié)調(diào)會(huì)議，共同協(xié)作處理平臺(tái)安全維護(hù)問題；b)應(yīng)建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合作內(nèi)容、聯(lián)系人和聯(lián)系方式等；b)建立運(yùn)行維護(hù)服務(wù)目標(biāo)的指標(biāo)系統(tǒng)，形成SLA；c)建立配套的績(jī)效考核體系，如《XXX公共信用信息平臺(tái)運(yùn)行維護(hù)7.2運(yùn)行維護(hù)和檢查d)公共信用信息平臺(tái)安全責(zé)任單位應(yīng)定期對(duì)平臺(tái)進(jìn)行全面安全檢查，檢查內(nèi)容包括現(xiàn)有安全技g)應(yīng)制定包含但不限于上述維護(hù)和檢查工作的臺(tái)賬，并保障該臺(tái)賬的及時(shí)性。用信息平臺(tái)日常巡檢制度》，形成巡檢記錄，公共信用信息平臺(tái)應(yīng)建立定期巡檢工作制度，如《XXX公共信用信息平臺(tái)季度巡檢規(guī)定》，并a)編制定期（如月度、季度、半年度、年度）巡檢計(jì)劃、方案，并組織實(shí)施；b)安排重大節(jié)點(diǎn)時(shí)間巡檢，如春節(jié)、國(guó)慶長(zhǎng)假前巡檢，擴(kuò)容升級(jí)前巡檢。7.5應(yīng)急預(yù)案管理b)應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；c)應(yīng)對(duì)平臺(tái)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；d)應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；e)應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行重新評(píng)審，需要實(shí)際情況進(jìn)行更新，至少每年一次。7.6授權(quán)和審核a)應(yīng)明確授權(quán)審核事項(xiàng)、審核部門和審核人等；c)應(yīng)定期審查審核事項(xiàng)，及時(shí)更新需授權(quán)和審核的項(xiàng)目、審核部門和審核人等信息；參考行業(yè)市場(chǎng)慣例對(duì)公共信用信息平臺(tái)運(yùn)行維