網(wǎng)絡(luò)安全與信息化信息系統(tǒng)上線驗(yàn)收安全實(shí)施細(xì)則

版本頁標(biāo)題：安全管理文件主題：信息系統(tǒng)上線驗(yàn)收安全實(shí)施細(xì)則文檔編號(hào)：適用范圍：版本說明：V1.0版本號(hào)版本日期作者備注V1.0創(chuàng)建V1.0審批

信息系統(tǒng)上線驗(yàn)收安全實(shí)施細(xì)則第一章目的第一條加強(qiáng)XX信息系統(tǒng)建設(shè)過程中安全控制，規(guī)范系統(tǒng)上線驗(yàn)收安全管理。第二章范圍第二條本細(xì)則適用于XX范圍內(nèi)信息系統(tǒng)的上線測試、試運(yùn)行、驗(yàn)收和正式運(yùn)行過程的安全管理，及外購信息系統(tǒng)的安全管理。第三章概述第三條本文詳細(xì)闡述了信息系統(tǒng)上線驗(yàn)收過程中信息安全方面的規(guī)范性要求。第四章角色與職責(zé)第四條信息安全人員（一）負(fù)責(zé)組織對系統(tǒng)生產(chǎn)環(huán)境進(jìn)行安全檢查與加固；（二）負(fù)責(zé)參與信息系統(tǒng)運(yùn)維制度編寫，配合對信息系統(tǒng)進(jìn)行正式驗(yàn)收。（三）負(fù)責(zé)提交信息系統(tǒng)自測試報(bào)告，提出信息系統(tǒng)上線測試申請；（四）負(fù)責(zé)提出信息系統(tǒng)的試運(yùn)行申請，發(fā)起信息系統(tǒng)的驗(yàn)收；（五）負(fù)責(zé)提供信息系統(tǒng)技術(shù)資料和軟件，對信息系統(tǒng)使用人員進(jìn)行培訓(xùn)。第五條信息安全執(zhí)行人員（一）負(fù)責(zé)配合系統(tǒng)上線測試及驗(yàn)收工作；（二）負(fù)責(zé)配合上線測試、試運(yùn)行等相關(guān)報(bào)告的編寫。（三）負(fù)責(zé)制定信息系統(tǒng)上線測試計(jì)劃、試運(yùn)行計(jì)劃，組織信息系統(tǒng)測試、上線，編制相關(guān)報(bào)告；（四）負(fù)責(zé)搭建信息系統(tǒng)運(yùn)行環(huán)境，配合系統(tǒng)上線測試及正式驗(yàn)收；（五）負(fù)責(zé)運(yùn)行期間信息系統(tǒng)的運(yùn)行維護(hù)，編制系統(tǒng)運(yùn)行維護(hù)制度。第五章基本要求第六條信息系統(tǒng)上線驗(yàn)收應(yīng)同步考慮系統(tǒng)的安全可靠性，保障安全因素貫穿信息系統(tǒng)測試、上線驗(yàn)收、試運(yùn)行及運(yùn)行維護(hù)等全過程。第七條信息系統(tǒng)上線驗(yàn)收過程應(yīng)由建設(shè)人員、使用人員、安全人員及運(yùn)維人員通力協(xié)作，安全工作的分配需根據(jù)過程任務(wù)不同具體區(qū)分，其他人員配合責(zé)任人員完成相關(guān)安全管控過程。第八條應(yīng)用系統(tǒng)在正式上線前應(yīng)對安全性進(jìn)行測試，驗(yàn)證應(yīng)用系統(tǒng)的安全性是否符合安全設(shè)計(jì)及安全需求。第六章上線安全管理第九條上線條件（一）按照信息系統(tǒng)需求說明書或合同中的規(guī)定完成系統(tǒng)的開發(fā)和實(shí)施，同時(shí)應(yīng)確保信息系統(tǒng)具備相對運(yùn)行穩(wěn)定和安全可靠的環(huán)境。（二）建設(shè)人員組織對系統(tǒng)進(jìn)行嚴(yán)格的上線測試，需包含對系統(tǒng)的安全性測試，并將結(jié)果記錄在測試報(bào)告中。（三）建設(shè)人員提供完整的培訓(xùn)計(jì)劃，培訓(xùn)內(nèi)容應(yīng)包含安全相關(guān)內(nèi)容，培訓(xùn)對象包括系統(tǒng)的使用人員的最終用戶和運(yùn)維人員的有關(guān)人員。第十條上線測試系統(tǒng)具備上線測試條件后，運(yùn)維人員和安全人員應(yīng)搭建和檢查系統(tǒng)的測試環(huán)境，具體要求有：（一）建設(shè)人員組織對系統(tǒng)進(jìn)行功能性、安全性、性能、可用性、兼容性、集成性和恢復(fù)性等方面測試，并形成測試報(bào)告。（二）系統(tǒng)上線前應(yīng)同時(shí)準(zhǔn)備測試環(huán)境和生產(chǎn)環(huán)境，測試環(huán)境應(yīng)該與生產(chǎn)環(huán)境類似。測試環(huán)境測試通過后，才可以申請生產(chǎn)環(huán)境試運(yùn)行。在生產(chǎn)環(huán)境里應(yīng)避免對在線系統(tǒng)產(chǎn)生不利影響，并制定有關(guān)應(yīng)急預(yù)案。（三）功能測試方案應(yīng)以系統(tǒng)需求說明書和合同為依據(jù)，可基于系統(tǒng)的產(chǎn)品測試報(bào)告進(jìn)行擴(kuò)展，進(jìn)行全面完整測試。當(dāng)出于測試目的而使用真實(shí)、敏感的數(shù)據(jù)時(shí)，可以采用以下措施保護(hù)測試數(shù)據(jù)的安全：對真實(shí)數(shù)據(jù)進(jìn)行去敏感性處理，如數(shù)據(jù)變形；對測試的系統(tǒng)進(jìn)行嚴(yán)格的訪問控制，只允許部分的測試人員進(jìn)行測試，且測試的人員應(yīng)簽訂安全保密承諾書；每一次將真實(shí)的運(yùn)作信息復(fù)制到測試系統(tǒng)時(shí)均需要一個(gè)單獨(dú)的授權(quán)過程；測試完成后，應(yīng)立即將相關(guān)數(shù)據(jù)從測試系統(tǒng)中刪除；記錄測試數(shù)據(jù)的復(fù)制、使用和刪除情況，以便于審查追蹤。（四）性能和安全測試可使用性能測試工具對系統(tǒng)進(jìn)行壓力測試和安全評估，重點(diǎn)考察系統(tǒng)的健壯性、穩(wěn)定性、負(fù)荷響應(yīng)能力和安全性等，形成系統(tǒng)壓力測試報(bào)告、系統(tǒng)安全測試報(bào)告。（五）信息系統(tǒng)通過測試后，運(yùn)維人員應(yīng)根據(jù)安全人員的安全檢查要求，對系統(tǒng)開展安全檢查，包括但不限于滲透測試、基礎(chǔ)環(huán)境安全檢查和相應(yīng)等級的基本防護(hù)要求檢查等，檢查完成后運(yùn)維人員應(yīng)編寫安全檢查報(bào)告。（六）測試和檢查結(jié)果由安全人員、使用人員一致確認(rèn)，存在不符合項(xiàng)時(shí)，建設(shè)人員提出整改方案，限期整改并復(fù)測和復(fù)查。（七）信息系統(tǒng)通過測試與安全檢查后，建設(shè)人員向使用人員、運(yùn)維人員提出系統(tǒng)試運(yùn)行申請，系統(tǒng)試運(yùn)行工作包括準(zhǔn)備詳細(xì)的試運(yùn)行實(shí)施計(jì)劃、系統(tǒng)備份方案、系統(tǒng)監(jiān)控方案、安全策略配置方案、應(yīng)急預(yù)案和系統(tǒng)安裝配置計(jì)劃等。（八）系統(tǒng)試運(yùn)行前建設(shè)人員應(yīng)整理相關(guān)各類上線所需文檔資料，文檔清單可參考附錄第七章試運(yùn)行安全管理第十一條系統(tǒng)試運(yùn)行安全管理（一）系統(tǒng)進(jìn)入試運(yùn)行后，運(yùn)維人員應(yīng)制定系統(tǒng)的運(yùn)行管理辦法，做好數(shù)據(jù)的備份，保證系統(tǒng)及用戶數(shù)據(jù)的安全。（二）安全人員及運(yùn)維人員應(yīng)嚴(yán)格執(zhí)行信息系統(tǒng)運(yùn)行維護(hù)及安全管理的有關(guān)規(guī)定。系統(tǒng)試運(yùn)行期間，系統(tǒng)由運(yùn)維人員負(fù)責(zé)日常運(yùn)行管理，運(yùn)維人員負(fù)責(zé)用戶使用情況跟蹤和系統(tǒng)維護(hù)，并解決系統(tǒng)運(yùn)行中出現(xiàn)的有關(guān)問題。（三）在試運(yùn)行期間，運(yùn)維人員應(yīng)進(jìn)行運(yùn)行監(jiān)控、備份和記錄等，并提交系統(tǒng)試運(yùn)行報(bào)告。運(yùn)維人員統(tǒng)計(jì)試運(yùn)行期間系統(tǒng)故障、變更情況和次數(shù)，分析系統(tǒng)是否存在不穩(wěn)定因素。（四）系統(tǒng)試運(yùn)行后，系統(tǒng)建設(shè)人員應(yīng)進(jìn)一步組織和落實(shí)培訓(xùn)工作，完成普通用戶的培訓(xùn)、運(yùn)行的培訓(xùn)和其他必要的培訓(xùn)。（五）系統(tǒng)試運(yùn)行期原則上為3個(gè)月，若系統(tǒng)連續(xù)運(yùn)行3個(gè)月，未出現(xiàn)故障，未進(jìn)行重大變更，可認(rèn)為系統(tǒng)試運(yùn)行穩(wěn)定。如試運(yùn)行期間出現(xiàn)系統(tǒng)故障或重大變更，則連續(xù)穩(wěn)定試運(yùn)行時(shí)間重新計(jì)算。（六）系統(tǒng)試運(yùn)行穩(wěn)定后，運(yùn)維人員應(yīng)刪除工作所需的臨時(shí)賬號(hào)，進(jìn)行數(shù)據(jù)清理工作，組織完成系統(tǒng)試運(yùn)行報(bào)告；且建設(shè)人員應(yīng)與運(yùn)維人員進(jìn)行系統(tǒng)的全面移交，移交內(nèi)容包括系統(tǒng)日常維護(hù)手冊、系統(tǒng)管理員手冊、系統(tǒng)培訓(xùn)手冊、系統(tǒng)核心參數(shù)及端口配置表、系統(tǒng)用戶及口令配置表、技術(shù)支持服務(wù)聯(lián)系人及聯(lián)系方式等。第十二條正式驗(yàn)收安全管理（一）系統(tǒng)試運(yùn)行期間，連續(xù)穩(wěn)定運(yùn)行3個(gè)月后建設(shè)人員可提出系統(tǒng)驗(yàn)收申請。（二）系統(tǒng)正式驗(yàn)收前，建設(shè)人員應(yīng)準(zhǔn)備相關(guān)驗(yàn)收材料，材料清單見附錄A。（三）系統(tǒng)正式驗(yàn)收前，安全人員、使用人員及運(yùn)維人員應(yīng)制定相應(yīng)的系統(tǒng)運(yùn)行維護(hù)管理辦法，明確系統(tǒng)各級管理和使用人員的職責(zé)。（四）系統(tǒng)正式驗(yàn)收前，建設(shè)人員應(yīng)按照軟件知識(shí)產(chǎn)權(quán)管理辦法的要求提交相關(guān)代碼和資料，并配合運(yùn)維人員完成系統(tǒng)備份方案、系統(tǒng)監(jiān)控方案、安全策略配置方案、應(yīng)急預(yù)案等技術(shù)文檔編制。（五）應(yīng)成立專門的驗(yàn)收工作組負(fù)責(zé)系統(tǒng)正式驗(yàn)收，工作組成員應(yīng)由普通用戶、系統(tǒng)開發(fā)、運(yùn)維人員和安全管理員等人員組成，驗(yàn)收工作組可包括運(yùn)行準(zhǔn)備組、技術(shù)審查組、文檔審查組等驗(yàn)收小組。（六）驗(yàn)收工作組在進(jìn)行具體測試和核實(shí)工作前，應(yīng)聽取建設(shè)人員對系統(tǒng)功能、上線前測試結(jié)果、試運(yùn)行期間運(yùn)行情況、系統(tǒng)應(yīng)急及快速恢復(fù)等內(nèi)容的介紹。（七）驗(yàn)收工作組應(yīng)結(jié)合相關(guān)材料，對系統(tǒng)功能實(shí)現(xiàn)、性能、安全性、數(shù)據(jù)備份與恢復(fù)、應(yīng)急與快速恢復(fù)方案等進(jìn)行測試和核實(shí)，并寫出驗(yàn)收結(jié)論。（八）正式驗(yàn)收時(shí)發(fā)現(xiàn)問題，應(yīng)立即處理，穩(wěn)定運(yùn)行一個(gè)月后，再次正式驗(yàn)收通過方可正式運(yùn)行。第八章正式運(yùn)行安全管理第十三條系統(tǒng)正式運(yùn)行后，任何人員或個(gè)人不得擅自對系統(tǒng)進(jìn)行在線的調(diào)試和修改，系統(tǒng)的維護(hù)應(yīng)遵守以下原則：（一）需要對系統(tǒng)進(jìn)行修改或升級等維護(hù)操作時(shí)，必須嚴(yán)格遵照運(yùn)行維護(hù)的相關(guān)管理規(guī)程，執(zhí)行變更審批流程。（二）運(yùn)維人員負(fù)責(zé)按需分配系統(tǒng)管理權(quán)限或維護(hù)權(quán)限，并做好有關(guān)權(quán)限分配的登記管理工作。（三）擁有系統(tǒng)管理權(quán)限或維護(hù)權(quán)限的人員，不得擅自修改任何管理員級的及各用戶的口令，并負(fù)責(zé)妥善管理好相應(yīng)的使用權(quán)限。第十四條系統(tǒng)正式運(yùn)行后，運(yùn)維人員負(fù)責(zé)系統(tǒng)的日常運(yùn)行維護(hù)，保證系統(tǒng)安全、可靠和穩(wěn)定運(yùn)行。第九章外購應(yīng)用系統(tǒng)安全管理第十五條對于需要外購的信息系統(tǒng)由相應(yīng)的負(fù)責(zé)人員在安全需求、方案設(shè)計(jì)及上線階段進(jìn)行相應(yīng)的安全管控。第十六條對于與其他公司合作開發(fā)和外包的項(xiàng)目，要明確雙方的IT安全責(zé)任，并對交付成果提出安全要求，對安全責(zé)任的落實(shí)和交付成果