《《智慧城市 政务云机房迁入管理规范》标准全文 安徽》由会员分享,可在线阅读,更多相关《《智慧城市 政务云机房迁入管理规范》标准全文 安徽(21页珍藏版)》请在金锄头文库上搜索。
1、.ICS35.020L 60DB34安徽省地方标准DB 34/ XXXXXXXXX智慧城市 政务云机房迁入管理规范Smart City-Government Cloud Computer Room Mobility-Management Specification (征求意见稿)XXXX - XX - XX发布XXXX - XX - XX实施安徽省市场监督管理局发布DBXX/ XXXXXXXXX目次前 言II1 范围12 规范性引用文件13 术语和定义14 迁入流程图15 申请36 初审37 复核38 不定期审查49 变更4附录A(规范性附录) 安全自评估检查表5前言本标准按照GB/T 1.1
2、-2009给出的规则起草。本标准由安徽云图信息技术有限公司提出。本标准由安徽省信息技术标准化技术委员会归口。本标准起草单位:安徽云图信息技术有限公司、皖南医学院、芜湖市信息资源管理中心、芜湖市标准化研究院、芜湖市数据资源管理局、芜湖市市场监督管理局、安徽工程大学。本标准主要起草人:关中华、张业睿、郑美惠、黄皓峰、鲁雅婷、王雨晨、方中平、岳磊、黄丽娟、蒯勇、方坚、许宇振、汪千松。本标准为首次发布。1智慧城市 政务云机房迁入管理规范1 范围本标准规定了政务云机房迁入管理的迁入流程图、申请、初审、复核、不定期审查、变更等。本标准适用于省市政务云机房的信息系统迁入管理。2 规范性引用文件下列文件对于本
3、文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南3 术语和定义下列术语和定义适用于本文件。3.1迁入单位 System Owner需要迁入政务云机房的信息系统的所有者,负责将信息系统迁入到电子政务机房。3.2安全运维单位 Safety Operations and Maintenance Unit政务云机房的安全运维方。3.3管理单位 Management Unit政务云机房的建设者、拥有者、管理者。4 迁入流程图迁入流程图如图
4、1。图1 流程图5 申请迁入单位向管理单位提交信息系统迁入申请。5.1 确定迁入系统级别迁入单位依据GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南,自行确定迁入系统级别。5.2 开展安全自查迁入单位根据管理单位提供的安全自评估检查表或请有安全资质的第三方安全评估机构协助进行安全自查,安全自查结束后,提交相关资料表格给管理单位。安全自评估检查表的填写细则见附录A。5.2.1 对于已建系统,需提供如下材料: 公安机关备案材料; 项目建设方案; 第三方机构安全评测报告; 信息安全等级保护测评报告; 安全自评估检查表; 资源申请审核表。5.2.2 对于新建系统,需提供如下材
5、料: 公安机关备案材料; 项目建设方案; 安全自评估检查表; 资源申请审核表。6 初审迁入单位完成系统安全自查后,进入初审阶段。6.1 资料审查安全运维单位对迁入单位提交的迁入系统资料表格进行审查,并将审查建议反馈给管理单位。6.2 出具初审报告管理单位根据安全运维单位提交的审查建议,出具初审报告。迁入单位收到初审报告,结果如通过,完成初审阶段;如未通过,应进行整改,重新自查并提出申请。7 复核初审通过后,由管理单位组织对迁入系统的安全复核。7.1 安全复核安全运维单位依据迁入系统等级和与等级相对应的等保标准进行检查,并出具安全复核建议。7.2 出具复核报告管理单位根据安全运维单位提交的安全复
6、核建议,出具并存档复核报告,并反馈给迁入单位。迁入单位收到复核报告,结果如通过,对迁入系统进行上线,完成迁入流程;如不通过,迁入单位重新准备材料,进行二次复核。7.3 二次复核7.3.1 限期内管理单位督促迁入单位进行整改并组织二次复核。7.3.2 安全运维单位按照第一次的复核方式进行检查,并出具二次安全复核建议。7.3.3 管理单位根据安全运维单位提交的二次安全复核建议,出具二次复核报告并反馈给迁入单位。7.3.4 迁入单位收到二次复核报告,结果如通过,对迁入系统进行上线,完成迁入流程;如不通过,建议书面警告并关停整改。8 不定期审查对已入驻并上线的信息系统,管理单位应当组织定期或不定期的审
7、查。由管理单位制定安全检查计划,提前通知迁入单位,并组织安全检查。由安全运维单位实施并提交安全评估检查报告,管理单位出具安全评估检查意见。对于不满足安全要求的,要求限期整改。9 变更已入驻上线的迁入系统,如发生版本变更,迁入单位需主动提交所有变更信息,并重新实施迁入流程。AA附录A (规范性附录)安全自评估检查表信息系统迁入政务云机房,应填写安全自评估检查表,材料如下:表A.1. 迁入单位基本情况;表A.2. 信息系统基本安全情况;表A.3. 网络设备情况;表A.4. 安全设备情况;表A.5. 服务器设备情况;表A.6. 信息系统组件清单;表A.7. 信息系统软件清单;表A.8. 业务系统管理
8、员账号角色清单及安全性说明;表A.9. 信息系统运行时环境符合性说明;表A.10. 信息系统运行时安全扫描和配置核查;表A.11. 信息系统内网、外网交互说明;表A.12. 信息系统已知安全风险说明。表A.1 迁入单位基本情况填表人: 日期:单位全称组织代码单位所属类型 政府机关 事业单位 党群部门 企业 其它单位地址邮政编码分管领导联系方式项目负责人联系方式项目实施单位联系方式实施单位负责人联系方式上级主管部门(选填)注1: 通过该表填写,了解迁入单位基本信息。表A.2 信息系统基本安全情况(选填) 填表人: 日期:序号信息系统名称安全保护等级业务信息安全保护等级系统服务安全保护等级承载业务
9、应用1234注1: 通过该表填写,了解信息系统基本安全情况。注2: 信息系统逐栏。注3: 信息系统名称:简要填写信息系统的中文名或用途。注4: 安全保护等级:填写信息系统安全等级保护级别。表A.3 网络设备情况(选填)填表人: 日期:序号网络设备名称厂家型号IP地址/掩码/网关系统软件及版本端口类型及数量主要用途地址限制备注12345注1: 通过该表填写,了解业务系统涉及到的网络设备基本情况。注2: 地址限制指的是,是否对登录该网络设备的地址范围进行了限定,填有或无。表A.4 安全设备情况(选填)填表人: 日期:序号安全设备厂家型号IP地址/掩码/网关系统软件及版本端口类型及数量主要用途地址限
10、制备注12345注1: 通过该表填写,了解业务系统安全设备基础信息。注2: 地址限制指的是,是否对登录该安全设备的地址范围进行了限定,填有或无。表A.5 服务器设备情况(选填)填表人: 日期:序号服务器设备名称厂家型号IP地址/掩码/网关操作系统版本/补丁主要业务应用地址限制1234注1: 通过该表填写,了解业务系统服务器基本信息。注2: 地址限制指的是,是否对登录该服务器的地址范围进行了限定,填有或无。注3: 包括数据存储设备。表A.6 信息系统组件清单(选填) 填表人: 日期:序号信息系统名称对象厂家类别名称版本号主要功能123456注1: 通过该表填写,了解业务系统基本组件信息。注2:
11、功能组件指的是组成该业务系统独立的或由不同厂家提供的软件。包括购买的或者共享的第三方独立软件或软件插件。表A.7 信息系统软件清单(必填) 填表人: 日期:序号信息系统名称类型厂家名称版本号备注1XX门户网站数据库甲骨文OracleXX.XX.X.X.X1数据库XX变更将导致业务系统不可用等。注1: 通过该表填写,了解业务系统运行时,所必须的基础环境。注2: 备注中需写明当基础环境变更,所造成的较大影响。注3: 类型包括操作系统、Web服务器、数据库、运行时库以及其他第三方软件。表A.8 业务系统管理员账号角色清单及安全性说明(必填) 填表人: 日期:序号业务系统名称用户名称用户类别账户权限说明密码安全策略描述123注1: 通过该表填写,了解业务系统账号信息情况,排除潜在账
