公共信用信息平台安全运行维护规范DB15／T 1106—2024.pdf_报告吧baogao8.com-

资源描述

ICS 35.020 CCS L 70 15 内蒙古自治区地方标准 DB15/T 1106 2024 代替DB15/T 1106-2017、DB15/T 1109-2017 公共信用信息平台安全运行维护规范 Standard for safe operation and maintenance of public credit Information platform 2024-05-31 发布 2024-07-01 实施内蒙古自治区市场监督管理局发布 DB15/T 1106 2024 I 目次前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 安全管理规范基本要求.1 公共信用信息安全管理机制.1 安全管理制度.1 公共信用信息安全日常管理.2 5 安全技术规范基本要求.6 基础环境安全保障要求.6 应用与数据安全保障要求.7 平台互联互通安全要求.8 平台隔离安全保障要求.8 6 运行维护机构及人员管理.8 运行维护机构.9 运行维护人员管理.10 相关方沟通协调机制.11 7 运行维护流程及实施.11 运行维护计划和目标.11 运行维护和检查.11 日常巡检.12 定期巡检.12 应急预案管理.12 授权和审核.12 8 公共信用信息平台运行维护技术服务等级参考.12 DB15/T 1106 2024 II 前言本文件按照GB/T 1.1 2020 标准化工作导则第1 部分：标准化文件的结构和起草规则的规定起草。本文件代替DB15/T 1106-2017 信用信息安全管理规范和DB15/T 1109-2017 信用信息系统运行维护管理规范。与DB15/T 1106-2017 相比，除结构调整和编辑性改动外，主要技术变化如下：a)删除了安全机构（见 2017 年版的4.1）、安全岗位设置（见 2017 年版的 4.2）、人员安全（见2017 年版的4.3）、信息载体安全（见 2017 年版的 4.4）、物理和环境安全（见 2017 年版的4.5）、策略安全（见 2017 年版的 4.6）、操作安全管理（见 2017 年版的 4.7）、访问控制（见2017 年版的 4.8）、信息系统的开发和维护（见2017 年版的4.9）、安全事故管理（见2017 年版的5）；b)更改了应急预案管理的内容（见 7.5，2017 年版的 6）；c)增加了安全管理规范基本要求（见 4）、安全技术规范基本要求（见 5）、运行维护机构及人员管理（见 6）、运行维护流程及实施（见 7）、公共信用信息平台运行维护技术服务等级参考（见8）。与DB15/T 1109-2017 相比，除结构调整和编辑性改动外，主要技术变化如下：a)更改了环境管理（见 4.3.2.1，2017 年版的 4.1）、资产管理（见 4.3.2.2，2017 年版的 4.2）、存储介质管理（见 4.3.2.3，2017 年版的 4.3）、设备管理（见 4.3.2.4，2017 年版的4.4）、监控管理（见 4.3.2.7，2017 年版的4.5）、网络安全管理（见 4.3.2.8，2017 年版的4.6）、系统安全管理（见 4.3.2.9，2017 年版的 4.7）、恶意代码防范管理（见 4.3.2.10，2017 年版的4.8）、密码管理（见 4.3.2.11，2017 年版的4.9）、变更管理（见 4.3.2.12，2017 年版的4.10）、备份与恢复管理（见 4.3.2.13，2017 年版的4.11）、安全事件处置（见 4.3.2.14，2017 年版的4.12）、应急预案管理（见 7.5，2017 年版的4.13）内容；b)增加了授权与审核（见 7.6）；c)更改了人员上岗（见4.3.1.1，2017 年版的5.1）、人员离岗（见4.3.1.2，2017 年版的 5.2）内容；d)更改了基础软硬件系统巡检内容表述（见 7.2，2017 年版的6.2）；e)删除了其他设备巡检（2017 年版的6.4）；f)更改了安全管理制度（见4.2，2017 年版的 7.1）内容；g)更改了公共信用信息安全管理机制（见 4.1，2017 年版的7.2）表述和内容；h)增加了公共信用信息平台运行维护技术服务等级参考（见 8）。本文件由内蒙古自治区社会信用管理中心提出。本文件由内蒙古自治区发展和改革委员会归口。本文件起草单位：内蒙古自治区社会信用管理中心、内蒙古自治区大数据中心。本文件的主要起草人：商显刚、乌尼特、浩旭日、王啸然、陈植霖。本文件及其所替代文件的历次版本发布情况为：2017 年首次发布为 DB15/T 1106-2017、DB15/T 1109-2017；本次为第一次修订。DB15/T 1106 2024 1 公共信用信息平台安全运行维护规范 1 范围本文件规定了公共信用信息平台安全运行维护中的安全管理规范、安全技术规范、运行维护机构及人员管理、运行维护流程及实施要求和运行维护运行维护技术服务等级参考。本文件适用于公共信用信息平台安全运行维护活动。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20984 信息安全技术信息安全风险评估方法 GB/T 22081-2016 信息技术安全技术信息安全控制实践指南 GB/T 22239-2019 信息安全技术网络安全等级保护基本要求 GB/T 30278 信息安全技术政务计算机终端核心配置规范 DB15/T 1110 公共信用信息术语 3 术语和定义 GB/T 22117、DB15/T 1110 界定的以及下列术语和定义适用于本文件。4 安全管理规范基本要求公共信用信息安全管理机制应建立完善公共信用信息安全工作协调机制，统筹制定公共信用信息平台总体信息安全策略，对与公共信用信息平台有关的重大事项进行决策，组织、协调工作。安全管理制度 4.2.1 管理制度管理制度要求如下：a)应形成由总体信息安全策略、公共信用信息安全管理制度、操作规程、记录等构成的全面的公共信用信息安全管理制度体系；b)安全管理制度应包括但不限于人员管理制度、平台建设管理制度、环境管理制度、资产管理制度、介质管理制度、设备管理制度、文档管理制度、用户管理制度、公共信用信息平台变更管理制度、公共信用信息平台数据备份与恢复管理制度、事件管理制度、应急预案管理制度等；c)管理人员或操作人员执行的日常管理操作应建立操作规程；DB15/T 1106 2024 2 d)安全管理制度及操作规程等文档的外借应有审核手续和记录，借阅人不应转借给他人，不应复制、泄露和引用具体内容。4.2.2 制定和发布制定和发布要求如下：a)应指定或授权专门的部门或人员负责安全管理制度的制定；b)安全管理制度应具有统一的格式，并进行版本控制；c)应组织相关人员对制定的安全管理制度进行论证和审定；d)安全管理制度应通过正式、有效的方式发布；e)安全管理制度应注明发布范围。4.2.3 评审和修订评审和修订要求如下：a)公共信用信息安全管理工作的职能部门应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定；b)应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。公共信用信息安全日常管理 4.3.1 人员安全管理 4.3.1.1 人员上岗人员上岗要求如下：a)应指定或授权相关部门的负责人员上岗；b)应对上岗人员专业资格和资质等进行审查，对其所具有的技术技能进行考核,上岗人员应签署保密协议；c)应从公共信用信息安全管理部门内部人员中选拔从事关键岗位的人员。4.3.1.2 人员离岗人员离岗要求如下：a)应制定人员离岗规程，及时终止离岗员工的所有访问权限；b)应取回各种工作证件、钥匙、徽章等以及机构提供的软硬件设备；c)应办理严格的调离手续，关键岗位人员离岗应签订离岗后的保密协议。4.3.1.3 人员考核人员考核要求如下：a)应定期对各个岗位的人员进行安全技能及安全认知的考核；b)应对考核结果进行记录并保存。4.3.1.4 安全意识教育和培训安全意识教育和培训要求如下：a)应按照平台岗位安全要求对全体人员进行安全意识教育、岗位技能培训和相关安全技术培训；DB15/T 1106 2024 3 b)应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；c)应针对不同岗位制定培训计划，定期实施公共信用信息安全基础知识、岗位操作规程等相关内容的培训；d)应对安全教育和培训的情况和结果进行记录并归档保存。4.3.1.5 外部人员访问管理外部人员访问管理要求如下：a)应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案；b)对外部人员允许访问的区域、系统、设备、信息等内容应按照相关规定执行。4.3.2 平台安全运维管理 4.3.2.1 环境管理环境管理要求如下：a)应指定专门人员对机房供配电、空调、温湿度控制等设施进行监控管理；b)应加强对机房的工作人员办公环境的保密性管理，规范办公环境人员行为；c)平台所在机房的工作人员应严格遵守公共信用信息平台相关管理规定，严禁泄露与平台核心技术及安全有关的信息，对存有重要数据的平台故障设备交外单位人员维修时,应派专人在现场全程陪同监督。4.3.2.2 资产管理资产管理要求如下：a)应编制并保存与公共信用信息平台相关的资产清单，包括资产责任部门、重要程度和所处位置、资产标识等内容；b)应建立资产安全管理制度，规定平台资产管理的责任人员或责任部门，并规范资产管理和使用的行为；c)应对公共信用信息分类与标识方法作出规定，并对公共信用信息的使用、传输和存储等进行规范化管理。4.3.2.3 存储介质管理存储介质管理要求如下：a)应建立存储介质安全管理制度，对存储介质的存放环境、使用、维护和销毁等方面作出规定；b)应对存储介质的使用过程、送出维修以及销毁等进行严格的管理，对带出工作环境的存储介质进行内容加密和监控管理，对送出维修或销毁的存储介质应首先清除其中的敏感数据，对保密性较高的存储介质未经批准不应自行销毁；c)应对重要存储介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对存储介质进行分类和标识管理。4.3.2.4 设备管理设备管理要求如下：DB15/T 1106 2024 4 a)应对平台相关的各种设备（包括备份和冗余设备）、线路等指定专门的部门或人员定期进行维护管理；b)应建立基于申报、审批和专人负责的设备安全管理制度，对平台的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理；c)应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、设备离开机房进行维修和服务的审批、维修过程的监督控制等；d)应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作；e)应确保公共信用信息处理设备应经过审批方能带离机房或办公地点。4.3.2.5 文档管理文档管理要求如下：a)公共信用信息安全管理制度、操作规程、技术文档及相关记录应得到符合安全规定的保管，以确保得到充分的保护（如避免保密性损失、不恰当使用、完整性损失等），并按照相关管理要求保存和处理；b)应对公共信用信息安全管理制度、操作规程、技术文档及记录进行版本控制，限制分发范围，并及时更新。4.3.2.6 系统用户管理 4.3.2.6.1 系统用户分类管理系统用户分类管理要求如下：a)系统用户应包括系统管理员用户和系统操作员用户；b)应列出平台所有用户清单，说明各个用户的权限，应明确平台用户的责任人员，定期检查用户的实际分配权限是否与用户清单符合；c)应对所有平台用户开启审计功能。4.3.2.6.2 系统管理员要求系统管理员要求如下：a)系统管理员应由公共信用信息安全管理工作的职能部门授权，应以满足其工作需要的最小权限为原则；b)系统管理员对平台关键信息系统的操作过程应自动产生不可更改的审计日志。4.3.2.6.3 系统操作员要求应在系统规定的权限内进行操作，保管好自己的身份鉴别信息载体，不应转借他人。4.3.2.7 监控管理监控管理要求如下：a)应对通信线路、主机、网络设备和应用软件的运行状况、流量、用户行为等进行监测和报警，形成记录并妥善保存，对监测记录及其分析结果应严格管理，未经许可不应对外发布；b)应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并经批准后采取必要的应对措施；c)应对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行统一管理；DB15/T 1106 2024 5 d)应有安全可靠的监控管理技术手段完成上述工作。4.3.2.8 网络安全管理网络安全管理要求如下：a)应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；b)应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面做出规定；c)应根据厂家提供的软件升级版本对网络设备更新，并在更新前对现有的重要文件进行备份；d)应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞及时进行修补；e)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；f)应实现设备的最小服务配置，并对配置文件进行定期离线备份。4.3.2.9 系统安全管理系统安全管理要求如下：a)应按照GB/T 20984 及GB/T 22239 的要求，定期对公共信用信息平台面临的风险和威胁、薄弱环节以及防护措施的有效性进行公共信用信息安全风险评估；b)应根据业务需求、平台风险评估结果、系统安全分析确定平台的访问控制策略；c)应安装系统的最新补丁程序，在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装；d)应指定专人对平台中公共信用信息平台进行管理，划分系统管理员和系统操作员角色，明确各个角色的权限、责任和风险，权限设定应当遵循最小授权原则，应设置安全审计员角色，仅赋予日志查看权限，负责对系统各类用户的操作行为进行审计、跟踪分析、监督检查、事件上报等；e)应依据操作手册对平台中公共信用信息平台进行维护，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；f)应定期对运行日志和审计数据进行分析，及时发现异常行为。4.3.2.10 恶意代码防范管理恶意代码防范管理要求如下：a)应提高所有用户的恶意代码防范意识，在读取移动存储设备上的数据以及网络上接收文件或邮件之前，应进行扫描检查；b)应及时更新防病毒软件版本及恶意代码库版本；c)应定期检查平台恶意代码，对截获的恶意代码进行及时分析处理，并形成书面的报表和总结汇报。4.3.2.11 密码管理密码管理要求如下：a)应建立密码使用管理制度，使用符合国家密码管理规定的密码技术和产品；b)相关系统、应用使用密码应符合国家密码管理相关规定。4.3.2.12 变更管理变更管理要求如下：DB15/T 1106 2024 6 a)应建立变更管理制度，平台发生变更前，对变更影响进行分析并形成变更方案，方案经评审后方可实施，实施后应妥善保存所有文档和记录；b)应建立中止变更并从失败变更中恢复的操作规范，明确过程控制方法和人员职责，必要时对恢复过程进行演练。4.3.2.13 备份与恢复管理备份与恢复管理要求如下：a)应识别需要定期备份的重要业务信息、系统数据及软件系统等，有条件要开展异地容灾备份；b)应根据数据的重要性和数据对平台运行的影响，制定数据的备份策略，备份策略应指明备份数据的放置场所、文件命名规则、替换周期等；c)应建立控制数据备份和恢复过程的程序，对备份过程进行记录，所有文件和记录应妥善保存；d)应定期检查和测试备份功能的有效性，确保可用；e)应设立灾备中心定期备份重要业务信息、系统数据及软件系统等，并定期安排备份恢复演练。4.3.2.14 安全事件处置安全事件处置要求如下：a)应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；b)应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；c)应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存；d)对造成平台中断和造成公共信用信息泄密的安全事件应采取专门措施进行事件处置；e)应报告所发现的安全弱点和可疑事件，但任何情况下均不应尝试验证弱点；f)当有重大安全事件时，应立即采取控制措施，按照有关规定逐级上报，积极协助公共信用信息安全事件的调查，做好善后处理工作。5 安全技术规范基本要求基础环境安全保障要求 5.1.1 物理安全应符合GB/T 22239-2019 中8.1安全通用要求和8.2 云计算安全扩展要求的要求。5.1.2 网络安全应符合GB/T 22239-2019 中8.1安全通用要求和8.2 云计算安全扩展要求的要求。5.1.3 虚拟机安全虚拟机安全要求如下：a)虚拟化软件应选择安全可靠、且通过安全测评认证的相关软件；b)虚拟机操作系统应选择安全可靠的主流操作系统；c)应对虚拟机的管理员提供两种或两种以上组合的鉴别技术实现身份鉴别，当登录失败时，可采取结束会话、限制登录失败次数和自动退出等措施；DB15/T 1106 2024 7 d)当对虚拟机进行管理时，应采取必要措施防止鉴别公共信用信息在网络传输过程中被窃听；e)虚拟机的安全日志应在本地或外部设备上进行记录、输出、存储，并及时、定期审计，虚拟机安全日志应至少保存 6 个月；f)应根据管理用户的角色分配权限，实现管理用户对虚拟机的权限分离，仅授予管理用户所需的最小权限；g)应保证关键业务虚拟机镜像的完整性和可靠性；h)应对所承载业务的虚拟机进行归类，并针对不同分类进行安全防护；i)虚拟安全防护措施应资源化、组件化，并能按需动态部署；j)应针对虚拟机常见的恶意攻击进行安全防护。5.1.4 接入终端安全接入终端安全要求如下：a)身份鉴别 1)使用规定的技术手段认证时，应与用户实名绑定；2)口令至少由 8 位字符组成，包含字母、数字和特殊字符中至少两种以上类型，至少每 6 个月修改一次。b)准入控制 1)终端应通过接入单位安全准入检查；2)接入设备应进行 IP 地址、物理地址和端口绑定；3)可采用数字证书、虚拟化、沙盒和主机防火墙等技术，实现终端访问互联网与访问平台网络的安全隔离。c)安全防护 1)安装病毒与恶意代码防护软件，并及时更新病毒与恶意代码特征库；2)及时对终端系统漏洞进行修补；3)不允许终端开启代理服务、无线热点等功能；4)及时告警并阻断局域网内终端非法外联；5)终端配置要求按照 GB/T 30278；6)开展安全审计。对用户操作行为和终端系统日志进行审计，审计记录应提供统计、查询和分析等功能，应至少保存6 个月。应用与数据安全保障要求 5.2.1 数据交换安全当平台与互联网应用进行数据交换时，根据不同交换对象采用不同交换方式，其数据交换安全要求如下。a)数据库数据交换：1)单向数据传输采用单向光闸或网闸作为连接通道，通过协议转换，以信息摆渡的方式实现单项数据交换，同时应确保数据无反向传输；2)双向数据传输采用网闸作为连接通道，通过协议转换，以信息摆渡的方式实现双向数据传输。b)文件数据交换：1)单向数据传输采用单向光闸或网闸作为连接通道，通过协议转换，以信息摆渡的方式实现单项数据交换，同时应确保数据无反向传输；DB15/T 1106 2024 8 2)双向数据传输采用网闸作为连接通道，通过协议转换，以信息摆渡的方式实现双向数据传输。c)流媒体数据交换：流媒体数据交换采用专用流媒体网闸作为连接通道，通过协议转换，以信息摆渡的方式实现数据交换。5.2.2 应用安全应符合GB/T 22239-2019 中8.1安全通用要求和8.2 云计算安全扩展要求的要求。平台互联互通安全要求平台互联互通安全要求如下。a)横向互联互通安全：应确定平台网络边界防护措施、横向应用间防护措施和数据交换安全措施，并加强平台网络、应用和数据的访问控制措施，保障平台横向互联互通的安全。平台横向信息传输应符合GB/T 22081-2016 中13.2.3 的要求。b)纵向互联互通安全：在各级平台按照自身安全等级进行相应保护的基础上，高安全等级的平台应在充分考虑低安全等级平台互联互通后带来的风险的基础上，加强低安全等级的平台对高安全等级平台的网络接入、应用连接和数据连接的管理控制。平台隔离安全保障要求 5.4.1 基础环境隔离基础环境隔离要求如下：a)平台所在网络应与互联网和其他网络逻辑隔离，如使用防火墙等边界设备进行隔离；b)应避免将重要网段部署在网络边界处，重要网段与其他网段之间应采取可靠的技术隔离手段；c)应对机房划分区域，区域和区域之间设置物理隔离装置。5.4.2 虚拟机隔离当公共信用信息平台部署于虚拟机时：a)物理主机上的多个虚拟机应隶属同一个安全域；b)不同安全域虚拟机之间通信应建立 VPN 安全通道、身份认证或访问控制；c)虚拟机之间应实现网络逻辑隔离：1)虚拟机之间应采用 VLAN 和不同 IP 网段的方式进行逻辑上的隔离；2)应在防火墙配置中对每台虚拟机做相应的安全设置，进一步对它们进行保护和隔离。5.4.3 数据隔离数据隔离要求如下：a)应对不同虚拟机的数据处理进行隔离；b)关键用户数据应采用单独密钥进行加密隔离。6 运行维护机构及人员管理 DB15/T 1106 2024 9 运行维护机构 6.1.1 建立运行维护机构建立运行维护机构要求如下：a)建立公共信用信息平台运行维护小组。由公共信用信息平台主管部门负责领导任组长，公共信用信息工作机构领导任副组长，该小组办公室设在公共信用信息平台主管部门，由公共信用信息工作机构系统负责人和公共信用信息平台主管系统负责人组成。其职责包括：审核批准运行维护方案和验收方案；负责实施过程中的重大事件的决策；根据进度、质量、技术、资源、风险等实施管理；协调运行维护服务中涉及的各方工作关系等；b)运行维护小组办公室可适时安排设备供应商、系统集成商、应用软件系统开发商、外包服务提供商、电信运营商等专业服务人员组成专门项目组，下设运行维护组和专家团队。其中运行维护组由运行维护经理和技术支持工程师组成，负责提供平台运行维护服务。专家团队负责为现场维护实施提供技术支持，并提出系统的发展改进方向、策略和规划；c)公共信用信息工作机构负责公共信用信息平台的内容维护、业务培训、业务咨询、反馈系统的使用情况、提出优化完善意见；配合公共信用信息平台主管部门做好运行维护工作，为日常运行维护工作人员提供办公场所、参加会议、业务培训等必要条件；d)公共信用信息平台主管部门负责编报经费预算，建立健全运行维护管理体系，推进运行维护管理的标准化、规范化；承担基础设施、业务系统、数据系统、服务系统的日常运行维护管理；根据需要向公共信用信息工作机构派驻日常运行维护工作人员，提供 7x24h 运行维护响应服务；负责对第三方运行维护机构的管理。6.1.2 建立运行维护工作流程制度 6.1.2.1 报告制度报告制度要求如下：a)维护周报：每周一提交上一周系统情况周报，内容包括平台总体运行情况，基础软硬件检查，故障处理分析，系统升级情况，数据质量检查，系统使用次数统计，会员、产品数量统计，系统优化建议，重大问题进展等。节假日顺延；b)故障处理报告：每次故障处理后五个工作日内提交故障报告单，内容包括故障时间，故障现象描述，故障处理过程，预防保障措施等。6.1.2.2 服务进程管理制度运行维护服务经理作为该项目的牵头人，负责公共信用信息平台运行阶段的管理工作，包括收集有关电话支持、现场服务、用户技术人员反应等有关服务情况。在服务实施过程中，将严格按照服务计划，全权负责服务的管理与监督。定时向公共信用信息平台领导小组汇报设备维护情况，在处理突发事件和公共信用信息平台变更时，要及时调整人员和计划以保证服务地正常进行；在服务实施受阻时，要及时申请增加人员和技术力量，确保服务响应的及时性；在遇到导致服务的内容发生变化时，运行维护经理将负责采取必要的措施。此外，运行维护经理要监督服务的质量，以确保整个维护服务顺利、高质量的完成。6.1.2.3 运行维护协调例会制度运维维护协调例会制度要求如下：a)服务满意度、投诉数量、问题申报；DB15/T 1106 2024 10 b)前期发生的问题解决进展与改进建议；c)讨论变更需求，评估分析可行性；d)突发故障的处理；e)分析项目工作中的难点，提出工作建议；f)下一步工作和需要协调的事务。6.1.2.4 服务技术文档管理制度建立标准化的运行维护服务文档体系是维护服务管理规范化、程序化的重要手段。建立运行维护服务文档体系可以实现对整个服务的过程、定期报告、特别报告、对问题状况的分析、测评和服务响应，推动运行维护工作有序开展：a)运行维护方案：明确运行维护范围，提出运行维护实施方案，建立运行维护体系；b)维护周报：本周平台运行情况全面报告；c)现场技术服务单：现场技术服务内容记录；d)故障处理报告单：故障及处理过程记录；e)工程申请单：向公共信用信息工作机构申请平台维护或其他服务的操作；f)培训签字表：培训内容及人员记录；g)文档签收单：用户文档签收记录；h)维护通讯录：运行维护人员联系方式；i)需求与BUG 清单：需求和BUG 处理情况记录。6.1.3 配套资源配套资源要求如下：a)配备必要的运行维护管理工具和设备、设施；b)建立备品备件库，并制定相关管理制度。运行维护人员管理 6.2.1 运行维护人员岗位设置运行维护人员岗位设置要求如下：a)应设立运行维护工作所需的各类制度，如公共信用信息平台运行维护人员管理制度、公共信用信息平台岗位需求说明书等，按工作职责和性质不同，明确划分管理岗、技术岗、操作岗；b)应设立并按要求配备系统管理员、日志审计管理员、安全管理员等岗位，并定义各个工作岗位的职责；c)应明确公共信用信息安全管理部门，设立安全管理负责人，并明确其职责；d)应根据平台现状设立并配备技术岗和操作岗人员，并定义各个工作岗位的职责；e)应明确各岗位的任职资格和技能要求；f)应确定各岗位职责，以及任职资格要求。6.2.2 运行维护人员配备和管理运行维护人员配备和管理要求如下：a)应根据各类岗位需求，配备一定数量的、满足任职资格要求的人员；b)应配备专职安全管理员，安全管理员应为公共信用信息安全管理部门在编在岗人员；DB15/T 1106 2024 11 c)应在关键工作岗位设置 AB 角管理机制；d)安全管理员不能兼任网络管理员、主机管理员、系统管理员、数据库管理员等；安排独立的业务数据、业务系统运行维护、业务开发人员，数据库运行维护人员按照现有数据库种类各设置数据库运行维护人员；e)上岗前应对运行维护人员进行上岗培训，考核合格后才能上岗；f)上岗前应与运行维护人员签署安全保密协议；g)人员离岗管理：1)应严格规范人员离岗过程，及时终止离岗人员的所有访问权限；2)应交回各种工作证件、钥匙、徽章等所有文档以及机构提供的基础软硬件设备；3)离岗人员应履行承诺离岗后的保密义务方可离开；

展开阅读全文