1、湖南省地方标准 DB43 湖南省市场监督管理局 发 布 DB43/T 18722020 ICS 35.240.20 L 70 2020-11-27发布 2020-12-30实施 政府网站集约化管理平台运行维护规范 Operation and maintenance specifications for the intensive management platform of government websites DB43/T 1872 2020 I 目 次 前言 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 基本要求 1 5 运行维护保障 4 6 应急响应 6 7 新增和变更
2、系统维护 7 8 安全运行维护要求 8 参考文献 9 DB43/T 1872 2020 II DB43/T 1872 2020 III 前 言 本 文件 按照 GB/T 1.1 2020 给出的规则起草。 本文件由湖南省政务管理服务局提出并归口。 本文件起草单位:湖南省人民政府发展研究中心、湖南省质量和标准化研究院、湖南金智标准科技 发展有限公司。 本文件主要起草人:严 洁、张海寅、 盛甫、庄宁、饶宇雄、盛立新、陈坚、姜海彬、邓伟林、 杨铁 军。 DB43/T 1872 2020 IV DB43/T 1872 2020 1 政府网站集约化管理平台运行维护规范 1 范围 本文件规定了湖南省政府网
3、站集约化管理平台运行维护的基本要求、运行维护保障、应急响应、新 增和变更系统维护以及安全运行维护等要求。 本文件适用于省、市(州)两级政府网站 集约化管理平台。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文 件。 DB43/T 1871 2020 政府网站集约化管理平台安全防护规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 政府网站 各级人民政府及其部门、派出机构和承担行政职能的事业单位在互联网上开办的,具有信息发布、 解读
4、回应、办事服务、互动交流等功能的网站。 3.2 政府网站集约化 通过统一标准体系、统一技术平台、统一安全防护、统一运行维护监管,集中管理信息数据,集中 提供内容服务等手段,实现政府网站资源优化融合、平台整合安全、数据互认共享、管理统筹规范的有 效途径。 3.3 政府网站统一信 息资源库 指通过一定规则对政府网站信息资源进行统一入库存储、维护管理、监管分析,并对外提供信息汇 聚、数据转换、交换共享等服务的资源管理平台。 3.4 政府网站集约化管理平台 将一定范围内的政府网站集中到一起,形成技术统一、功能统一、结构统一、资源归集汇聚的一站 式,面向多服务对象、多渠道、多层级、多部门的政府网站集群平
5、台(以下简称:“平台”)。 4 基本要求 4.1 运行维护机构 DB43/T 1872 2020 2 4.1.1 平台运行维护管理机构 应明确省、市(州)级平台的运行维护管理机构,平台运行维护管理机构负责政府网站集约化管理 平台 建设和管理,分为省级平台运行维护管理和市(州)级平台运行维护管理: 省级机构负责牵头建立完备全省的平台运行维护管理制度、规范、规程等制度性文件,并负责 协同所有运行维护机构统一实施; 各级运行维护管理机构负责对本级集约化平台所有用户定期开展培训,规范操作流程;开展用 户权限和操作记录巡查监督,对违规操作账号进行通报、关停处理; 各级运行维护机构实行网站常态化监测制度,
6、按照国务院办公厅工作要求,开展本级政府网站 日常监测工作,监测情况及时在集约化平台公开 。 4.1.2 网站运行维护机构 网站运行维护机构 为政府各部门网站建设、管理、运行维护、服务的机构,运行维护工作包括但不 限于以下内容: 各级网站主办单位应依托本级集约化平台建设本单位网站,不得私自建设,并负责本单位网站 的内容保障、用户管理、信息安全、站点维护等工作; 各级网站主办单位应在本级平台运行维护管理机构的指导和要求下开展网站运行维护工作; 接受对应本级集约化平台运行维护机构的监测。 4.2 制度和流程 4.2.1 运行维护管理制度 各级平台运行维护管理机构应建立的运行维护管理制度包括但不限于以
7、下内容: 设备、网络与系统管理制度; 数据和介质管理制度; 系统新增和变更管理制度 ; 文档管理制度; 软件管理制度; 运维服务提供方管理制度; 检查审计制度 ; 平台安全管理制度; 密码管理制度; 备份与恢复管理制度; 应急预案管理制度。 4.2.2 运行维护操作流程 各级平台运行维护管理机构应建立的运行维护操作流程包括但不限于以下内容: 日常操作; 事件处理; 问题处理; 系统变更; 应急处置等流程。 4.3 运行维护人员要求 DB43/T 1872 2020 3 运行维护人员要求包括但不限于以下内容: 岗位设置:运行维 护机构应设立运行维护岗位,运行维护管理机构岗位责任人,负责组织、协
8、调、管理网站集约化管理平台的运行维护工作; 日常管理维护:相关运行维护人员应负责日常系统管理和后台维护,网络安全维护,对各业务 子系统的功能权限、数据权限进行分配和管理,提供 IT 服务和支持,保证系统的稳定,并提 供日常系统运行报告,日常运行报告应包含安全运行状态; 系统监控及应急响应:相关运行维护人员应负责系统状态监控和应急响应,以确保业务系统有 7 乘 24 小时的持续运作能力; 系统问题汇总及反馈:相关运行维护人员应负责相关故障、疑难问题 排查处理,解决系统问题, 编制并提交汇总报告,对于安全事件宜单独编写安全事件应急响应报告; 技术能力:运行维护人员应具备操作主机设备、存储设备、网络
9、设备、操作系统、数据库、中 间件等基本能力; 日常培训:应定期对相关运行维护人员组织技术培训、技能考核、日常安全意识培训、明确制 度要求和惩处措施,提高运行维护水平,落实运行维护责任。 4.4 文档管理要求 文档管理的工作包括但不限于以下要求: 对运行维护过程中涉及的各类文档应进行分类管理,可按照技术文档、运行维护过程文档、审 批记录、日志记录等分类,并统一 存放; 对文档的版本应当进行控制,规范文档的发布管理; 文档应标识敏感性、使用范围、使用权限、审批权限等。 4.5 运行维护服务提供方管理要求 应对运行维护服务提供方运行维护服务进行统一管理和规范,包括但不限于以下要求: 平台运行维护管理
10、机构应在与运行维护服务提供方签订的合同中明确其应承担的责任、义务, 并约定服务要求和范围等内容; 平台运行维护管理机构应与运行维护服务提供方签署保密协议,不得泄露所服务机构的保密信 息,并要求运行维护服务提供方签署承诺书,承诺产品不存在恶意代码或未授权的功能,不 提供违反我国法律法规的功能模块,并符合网站集约化管理平台运行维护有关技术规范和技 术指引; 平台运行维护管理机构应在软件产品或技术服务的采购合同中,明确运行维护服务提供方应接 受平台运行维护管理机构的信息安全检查; 平台运行维护管理机构应定期收集、更新运行维护服务提供方信息,组织对运行维护服务提供 方的服务质量、合同履行情况、人员工作
11、情况等内容进行评价,形成评价报告,并跟踪和记 录运行维护服务提供方改进情况 。 4.6 运行维护检查要求 平台运行维护管理机构检查制度应就如何检查运行维护工作进行规范,以督促运 行维护工作持续改 进。对运行维护过程中的检查工作包括但不限于以下要求: 平台运行维护管理机构应指定人员负责对日常操作执行情况进行定期检查,确保运行维护管理 制度和操作流程有效执行; 平台运行维护管理机构应每季组织开展内部检查,形成检查报告; DB43/T 1872 2020 4 检查范围至少包括对运行维护管理制度和操作流程的合理性和完整性进行评估,对运行维护管 理制度和操作流程的执行情况进行评估,对文档、配置、数据的有
12、效性进行评估,对整体安 全状况进行评估,对运行维护人员履职能力进行评估等; 网站集约化管理平台运行维护机构应对检查结果采 取纠正性和预防性的措施。 5 运行维护保障 5.1 系统运行维护 5.1.1 基础设施运行维护 5.1.1.1 运行维护内容 基础设施运行维护包括但不限于以下内容: 应对影响集约化管理平台正常运行的主机设备、存储设备、网络设备、操作系统、数据库、中 间件等关键系统设备进行监控和维护; 应采用自动化监控工具和人工值守相结合的方式,针对不同对象设置合理的监测频度、预警阈 值,实现 24 小时监控。 5.1.1.2 运行维护要求 基础设施运行维护要求包括但不限于以下内容: 主机设
13、备,应实现对主机设备相关性 能进行有效监控,及时发现故障。监控的范围包括主机本 身工作状态及其部件的工作状态和性能指标; 存储设备,应实现对各类存储设备进行监测,全面掌握存储设备的性能和工作状态信息。监控 指标至少包括:文件系统监控、性能监控、容量监控、负载监控、状态监控等; 网络设备,应实现对信息系统内部及与外部系统连接的设施、网络状态进行有效监控,保持正 常运行; 操作系统,应实现对服务器搭载的操作系统进行有效监控,及时发现操作系统性能问题。支持 对系统关键进程、网络接口流量、系统状态等进行监控; 数据库,应实现对各类数据 库的性能、状态、进程数、表空间使用率等主要指标进行有效监控; 中间
14、件,应实现对各类中间件的配置信息、性能、状态和故障等进行监控。 5.1.2 集约化平台运行维护 5.1.2.1 日常管理 日常管理的工作要求包括但不限于以下内容: 应通过人工检查与系统监测结合的方式,定时检查集约化管理平台监控预警信息,及时发现问 题并处理; 应定时检查集约化管理平台监控日志,分析错误信息、警告信息,排查处理潜在风险隐患; 应定时检查集约化管理平台是否有应用接入或退出申请要求,执行应用管理流程; 应定时检查集 约化管理平台是否有新用户申请、调岗、注销要求,执行用户管理流程; 应定时检查集约化管理平台是否有新部门增加或注销要求,执行部门管理流程。 5.1.2.2 应用运行维护 D
15、B43/T 1872 2020 5 应用运行维护的工作要求包括但不限于以下内容: 集约化管理平台上的所有应用系统,均应通过系统测试后方可上线使用,应根据实际需要编制 应用运行维护方案; 应定时巡查应用系统运行状态,发现问题及时处理,恢复系统运行; 应定时检查应用系统运行日志,分析错误信息、警告信息,排查处理潜在风险隐患; 应及时处理各类预警信息。 5.1.3 网站运行维护 5.1.3.1 监测管理 应对政府网站进行监测,发现问题应及时处理。具体要求包括但不限于以下内容: 应定时检查内容管理系统监控日志,错误分析和警告信息,排查处理潜在风险隐患; 应定时检查内容管理系统发布情况,保证信息发布服务
16、的正常运行,信息及时更新发布 。 5.1.3.2 功能运行维护 政府网站功能运行维护包括但不限于以下内容: 功能检查:应对网站提供的功能进行日常监测,通过机器扫描、人工检查等方法,保证各项功 能服务均能够正常使用。 页面监测:应对网站页面进行日常监 测,通过机器扫描、人工检查等方法,保证网站页面能够 正常浏览。 链接检查:应对网站接入链接进行日常监测,通过机器扫描、人工检查等方法,保证网站上的 链接能够正常访问。 5.2 统一信息资源库运行维护 应对统一信息资源库进行监测,发现问题应及时处理。具体要求包括但不限于以下内容: 应定时检查统一信息资源库监控日志,排查处理潜在风险隐患; 应借助内容检
17、查工具,检查统一信息资源库的信息内容,保证信息内容的正确性; 应定时检查统一信息资源库资源入库、更新情况; 应定时检查信息资源管理情况,包括资源内 容修改、资源分类管理、资源权限配置、资源统计 分析等维护工作; 应严格设定信息资源管理人员权限,杜绝违规操作; 应定期检查信息资源库的共享交换情况,确保省级、市(州)两级信息资源库之间的共享交换 正常运行; 应定期检查省级、市(州)信息资源库与省级政务服务平台等平台、系统的共享交换情况。 5.3 数据备份及恢复 5.3.1 平台运行维护管理机构应及时对集约化管理平台数据进行备份,至少包括文件系统层备份、数 据库层备份和应用系统层备份。至少每月对平台
18、系统数据、平台应用进行一次完全备份,每天对平台系 统数据 进行一次增量备份。 5.3.2 平台运行维护管理机构对平台的数据恢复,集约化管理平台恢复等工作必须进行恢复性测试并 签字确认,应对具体处理方案及结果留有完整、详细的记录。 5.4 事件与问题管理 DB43/T 1872 2020 6 应对集约化管理平台的运行维护事件进行规范管理,包括但不限于下列具体措施: 应指定人员负责设计和管理事件的记录、分级、分派、处理、监控和结束整个流程; 应记录运行维 护过程中发生的所有 事件,根据事件的影响程度和影响范围评估事件处理优先 级并及时处理; 应对所有事件响应、处理、结束等过程进行跟踪、督促及检查;
19、 应根据解决运行维护过程中发现的问题,并建立问题库; 应跟踪和管理问题的处理过程,包括问题的识别、提交、分析、处理、升级、解决、结束; 应汇总监控、分析、自查、检查、测评、评估和事件处理中发现的问题,并纳入问题管理库; 应分析问题,提出解决方案,通过变更管理审批后部署实施,并将解决过程归纳整理并纳入问 题管理库。 6 应急响应 6.1 应急准备 应制定应急预案,包括但不限于以下内容: 应急预案编制的目的和依据; 应急预案的适用范围; 应急处置的组织体系及职责; 预防措施、保障措 施与应急准备; 预警监测、处置和信息报送; 应急事件的分级分类; 应急事件的报告流程; 应急事件处置的一般原则; 应
20、急事件的具体处置方案; 应急事件内部调查处理以及分析总结的要求; 每年至少对应急预案进行一次评估和应急演练,并及时修订,应根据应急演练的情况进行评估 和更新,在应急预案发生重大变化时,应及时重新报备。 6.2 监测与预警 应按照运行维护管理制度要求,开展日常监测活动,及时发现应急事件并有效预警,进行核实和评 估,以规定的策略和程序启动预案,并保持对应急事件的跟踪。 6.3 应急处置 应采取必要的应急调度手段,基于预案开展故障排查与诊断,有效、快速的对故障进行处理与系统 恢复,并及时通报应急事件,提供持续性服务保障。应急处置应包括但不限于以下内容: 在发现可能导致异常的风险隐患时,应尽快加以核实
21、,立即采取必要的防范措施,如有重要情 况应按照有关规定进行预警报告。解除预警后,应按相同路径进行报告; 在发生应急事件后,应立即启动应急预案,迅速采取应急措施,尽快恢复系统正常运行; 在应急处置结束前,应保证专人 24 小时值班; 应急处置人员应保持联系方式畅通,应及时向有关 方面通报事件处置进展情况; 应做好应急处置的相关记录,保留有关证据; DB43/T 1872 2020 7 在应急事件发生后,应按有关规定报告事件情况,并保持持续报告,直至系统恢复正常运行, 报告要素应完备、及时、准确,不得迟报、漏报、谎报或瞒报。 6.4 持续改进 对应急事件的发生原因、处理过程和结果应及时总结分析,持
22、续改进应急工作,完善信息系统。针 对应急响应过程中发现的问题,及时修订和更新应急预案。 7 新增和变更系统维护 7.1 交付管理 应建立维护过程中新增系统交付管理的流程,包括但不限于以下具体措施: 平台运行维护管理机 构应对新增、变更的业务模块及相关配套物品的交付活动进行规范; 平台运行维护管理机构作为被交付方,应要求交付方提供规范格式的交付工作清单,作为双方 交付依据,清单包括本次交付活动相关的软件、硬件、技术文档、管理手册、使用手册、培 训材料、相关工具、协议和合同等; 交付方应对平台运行维护人员进行培训和说明,包括交付事项的目的、范围、背景、测试要求、 上线实施要求、验收要求、运行维护要
23、求等; 平台运行维护管理机构应对交付过程留存记录。 7.2 系统测试 应对新增和变更系统进行测试功能,包括但不限于以下具体措 施: 网站集约化管理平台系统测试流程应对系统上线前或变更后必须的功能测试进行规范; 网站集约化管理平台运行维护机构应为系统测试配备必要的人员和设备资源,需要时应协调关 联单位配合测试; 网站集约 化管理平台第三 方测试机构应根据系统上线要求制定测试方案,确定采用的测试方 法和测试流程。测试方案及测试用例应覆盖功能、性能、容量、安全性、稳定性等方面。测 试完成后应对测试结果进行分析评估,并给出测试报告。 7.3 系统变更 应建立系统变更流程,规范集约化管理平台的变更行为,
24、包括但不限于以下具体措施: 应明确系 统变更中的角色,至少包括:申请人、审批人、实施人、复核人; 变更申请 人应提交正式的变 更申请,申请中应有明确的变更方案,内容至少包括:目标、对 象、时间、人员、紧急程度、操作步骤、测试方案、实施方案、风险防控措施、应急预案、 回退方案等; 变更审 批人应在充分评估变更的技术风险和业 务风险的基础上进行审批,审批记录应留痕并 满足审计需要; 变更审批人应确定变更实施时间窗口; 应按照测试方案,组织变更前后的测试,测试后应提交测试记录或报告; 变更实施人应按照变更实施方案进行变更; 变更复核人应对变 更记录和变更结果进行评估,评估内容应至少包括变更目标的达成
25、情况、对 生产环境的影响情况等。 DB43/T 1872 2020 8 8 安全运行维护要求 应符合 DB43/T 1871 2020 相关要求。 DB43/T 1872 2020 9 参 考 文 献 1 中华人民共和国政府信息公开条例(国令第 711 号) 2 国务院办公厅关于印发政府网站集约化试点工作方案的通知(国办函 2018 71 号) 3 国务院办公厅关于推进政务新媒体健康有序发展的意见 (国办发 2018 123 号) 4 国务院办公厅关于印发政府网站发展指引的通知(国办发 2017 47 号) 5 国务院办公厅关于开展第一次全国政府网站普查的通知(国办发 2015 15 号) 6
26、 国务院办公厅关于加强政府网站信息内容建设的意见(国办发 2014 57 号) 7 湖南省人民政府办公厅关于做好全省政府网站集约化试点工作的通知(湘政办函 2019 14 号) 8 湖南省人民政府办公厅关于加强政府网站信息内容建设的通知(湘政办发 2015 25 号) 9 GB/T 20271 2006 信息安全技术 信息系统通用安全技术要求 10 GB/T 22239 2019 信息安全技术 网络安全等级保护基本要求 11 GB/T 25070 2019 信息安全技术 网络安全等级保护安全设计技术要求 12 GB/T 20269 2006 信息安全技术 信息系统安全管理要求 13 GB/T 22080 2016 信息技术 安全技术 信息安全管理体系 要求 14 GB/T 24405.1 2009 信息技术 服务管理 第 1 部分:规范 15 ISO 31000:2018 风险管理 原则和指南 16 政府网站与政务新媒体检查指标