DB15/T 1106-2024 公共信用信息平台安全运行维护规范

ICS35.020

CCSL70

15

内蒙古自治区地方标准

DB15/T1106—2024

代替DB15/T1106-2017、DB15/T1109-2017

公共信用信息平台安全运行维护规范

Standardforsafeoperationandmaintenanceofpubliccredit

Informationplatform

2024-05-31发布2024-07-01实施

内蒙古自治区市场监督管理局发布

DB15/T1106—2024

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4安全管理规范基本要求...............................................................1

公共信用信息安全管理机制.......................................................1

安全管理制度...................................................................1

公共信用信息安全日常管理.......................................................2

5安全技术规范基本要求...............................................................6

基础环境安全保障要求...........................................................6

应用与数据安全保障要求.........................................................7

平台互联互通安全要求...........................................................8

平台隔离安全保障要求...........................................................8

6运行维护机构及人员管理.............................................................8

运行维护机构...................................................................9

运行维护人员管理..............................................................10

相关方沟通协调机制............................................................11

7运行维护流程及实施................................................................11

运行维护计划和目标............................................................11

运行维护和检查................................................................11

日常巡检......................................................................12

定期巡检......................................................................12

应急预案管理..................................................................12

授权和审核....................................................................12

8公共信用信息平台运行维护技术服务等级参考..........................................12

I

DB15/T1106—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件代替DB15/T1106-2017《信用信息安全管理规范》和DB15/T1109-2017《信用信息系统运行

维护管理规范》。与DB15/T1106-2017相比，除结构调整和编辑性改动外，主要技术变化如下：

a)删除了安全机构（见2017年版的4.1）、安全岗位设置（见2017年版的4.2）、人员安全（见

2017年版的4.3）、信息载体安全（见2017年版的4.4）、物理和环境安全（见2017年版的

4.5）、策略安全（见2017年版的4.6）、操作安全管理（见2017年版的4.7）、访问控制

（见2017年版的4.8）、信息系统的开发和维护（见2017年版的4.9）、安全事故管理（见

2017年版的5）；

b)更改了应急预案管理的内容（见7.5，2017年版的6）；

c)增加了安全管理规范基本要求（见4）、安全技术规范基本要求（见5）、运行维护机构及人

员管理（见6）、运行维护流程及实施（见7）、公共信用信息平台运行维护技术服务等级参

考（见8）。

与DB15/T1109-2017相比，除结构调整和编辑性改动外，主要技术变化如下：

a)更改了环境管理（见4.3.2.1，2017年版的4.1）、资产管理（见4.3.2.2，2017年版的4.2）、

存储介质管理（见4.3.2.3，2017年版的4.3）、设备管理（见4.3.2.4，2017年版的4.4）、

监控管理（见4.3.2.7，2017年版的4.5）、网络安全管理（见4.3.2.8，2017年版的4.6）、

系统安全管理（见4.3.2.9，2017年版的4.7）、恶意代码防范管理（见4.3.2.10，2017年

版的4.8）、密码管理（见4.3.2.11，2017年版的4.9）、变更管理（见4.3.2.12，2017年

版的4.10）、备份与恢复管理（见4.3.2.13，2017年版的4.11）、安全事件处置（见4.3.2.14，

2017年版的4.12）、应急预案管理（见7.5，2017年版的4.13）内容；

b)增加了授权与审核（见7.6）；

c)更改了人员上岗（见4.3.1.1，2017年版的5.1）、人员离岗（见4.3.1.2，2017年版的5.2）

内容；

d)更改了基础软硬件系统巡检内容表述（见7.2，2017年版的6.2）；

e)删除了其他设备巡检（2017年版的6.4）；

f)更改了安全管理制度（见4.2，2017年版的7.1）内容；

g)更改了公共信用信息安全管理机制（见4.1，2017年版的7.2）表述和内容；

h)增加了公共信用信息平台运行维护技术服务等级参考（见8）。

本文件由内蒙古自治区社会信用管理中心提出。

本文件由内蒙古自治区发展和改革委员会归口。

本文件起草单位：内蒙古自治区社会信用管理中心、内蒙古自治区大数据中心。

本文件的主要起草人：商显刚、乌尼特、浩旭日、王啸然、陈植霖。

本文件及其所替代文件的历次版本发布情况为：

——2017年首次发布为DB15/T1106-2017、DB15/T1109-2017；

——本次为第一次修订。

II

DB15/T1106—2024

公共信用信息平台安全运行维护规范

1范围

本文件规定了公共信用信息平台安全运行维护中的安全管理规范、安全技术规范、运行维护机构及

人员管理、运行维护流程及实施要求和运行维护运行维护技术服务等级参考。

本文件适用于公共信用信息平台安全运行维护活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20984信息安全技术信息安全风险评估方法

GB/T22081-2016信息技术安全技术信息安全控制实践指南

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T30278信息安全技术政务计算机终端核心配置规范

DB15/T1110公共信用信息术语

3术语和定义

GB/T22117、DB15/T1110界定的以及下列术语和定义适用于本文件。

4安全管理规范基本要求

公共信用信息安全管理机制

应建立完善公共信用信息安全工作协调机制，统筹制定公共信用信息平台总体信息安全策略，对与

公共信用信息平台有关的重大事项进行决策，组织、协调工作。

安全管理制度

4.2.1管理制度

管理制度要求如下：

a)应形成由总体信息安全策略、公共信用信息安全管理制度、操作规程、记录等构成的全面的公

共信用信息安全管理制度体系；

b)安全管理制度应包括但不限于人员管理制度、平台建设管理制度、环境管理制度、资产管理制

度、介质管理制度、设备管理制度、文档管理制度、用户管理制度、公共信用信息平台变更管

理制度、公共信用信息平台数据备份与恢复管理制度、事件管理制度、应急预案管理制度等；

c)管理人员或操作人员执行的日常管理操作应建立操作规程；

1

DB15/T1106—2024

d)安全管理制度及操作规程等文档的外借应有审核手续和记录，借阅人不应转借给他人，不应复

制、泄露和引用具体内容。

4.2.2制定和发布

制定和发布要求如下：

a)应指定或授权专门的部门或人员负责安全管理制度的制定；

b)安全管理制度应具有统一的格式，并进行版本控制；

c)应组织相关人员对制定的安全管理制度进行论证和审定；

d)安全管理制度应通过正式、有效的方式发布；

e)安全管理制度应注明发布范围。

4.2.3评审和修订

评审和修订要求如下：

a)公共信用信息安全管理工作的职能部门应负责定期组织相关部门和相关人员对安全管理制度

体系的合理性和适用性进行审定；

b)应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进

行修订。

公共信用信息安全日常管理

4.3.1人员安全管理

4.3.1.1人员上岗

人员上岗要求如下：

a)应指定或授权相关部门的负责人员上岗；

b)应对上岗人员专业资格和资质等进行审查，对其所具有的技术技能进行考核,上岗人员应签

署保密协议；

c)应从公共信用信息安全管理部门内部人员中选拔从事关键岗位的人员。

4.3.1.2人员离岗

人员离岗要求如下：

a)应制定人员离岗规程，及时终止离岗员工的所有访问权限；

b)应取回各种工作证件、钥匙、徽章等以及机构提供的软硬件设备；

c)应办理严格的调离手续，关键岗位人员离岗应签订离岗后的保密协议。

4.3.1.3人员考核

人员考核要求如下：

a)应定期对各个岗位的人员进行安全技能及安全认知的考核；

b)应对考核结果进行记录并保存。

4.3.1.4安全意识教育和培训

安全意识教育和培训要求如下：

a)应按照平台岗位安全要求对全体人员进行安全意识教