网络安全与信息化信息系统上线验收安全实施细则

版本页标题：安全管理文件主题：信息系统上线验收安全实施细则文档编号：适用范围：版本说明：V1.0版本号版本日期作者备注V1.0创建V1.0审批

信息系统上线验收安全实施细则第一章目的第一条加强XX信息系统建设过程中安全控制，规范系统上线验收安全管理。第二章范围第二条本细则适用于XX范围内信息系统的上线测试、试运行、验收和正式运行过程的安全管理，及外购信息系统的安全管理。第三章概述第三条本文详细阐述了信息系统上线验收过程中信息安全方面的规范性要求。第四章角色与职责第四条信息安全人员（一）负责组织对系统生产环境进行安全检查与加固；（二）负责参与信息系统运维制度编写，配合对信息系统进行正式验收。（三）负责提交信息系统自测试报告，提出信息系统上线测试申请；（四）负责提出信息系统的试运行申请，发起信息系统的验收；（五）负责提供信息系统技术资料和软件，对信息系统使用人员进行培训。第五条信息安全执行人员（一）负责配合系统上线测试及验收工作；（二）负责配合上线测试、试运行等相关报告的编写。（三）负责制定信息系统上线测试计划、试运行计划，组织信息系统测试、上线，编制相关报告；（四）负责搭建信息系统运行环境，配合系统上线测试及正式验收；（五）负责运行期间信息系统的运行维护，编制系统运行维护制度。第五章基本要求第六条信息系统上线验收应同步考虑系统的安全可靠性，保障安全因素贯穿信息系统测试、上线验收、试运行及运行维护等全过程。第七条信息系统上线验收过程应由建设人员、使用人员、安全人员及运维人员通力协作，安全工作的分配需根据过程任务不同具体区分，其他人员配合责任人员完成相关安全管控过程。第八条应用系统在正式上线前应对安全性进行测试，验证应用系统的安全性是否符合安全设计及安全需求。第六章上线安全管理第九条上线条件（一）按照信息系统需求说明书或合同中的规定完成系统的开发和实施，同时应确保信息系统具备相对运行稳定和安全可靠的环境。（二）建设人员组织对系统进行严格的上线测试，需包含对系统的安全性测试，并将结果记录在测试报告中。（三）建设人员提供完整的培训计划，培训内容应包含安全相关内容，培训对象包括系统的使用人员的最终用户和运维人员的有关人员。第十条上线测试系统具备上线测试条件后，运维人员和安全人员应搭建和检查系统的测试环境，具体要求有：（一）建设人员组织对系统进行功能性、安全性、性能、可用性、兼容性、集成性和恢复性等方面测试，并形成测试报告。（二）系统上线前应同时准备测试环境和生产环境，测试环境应该与生产环境类似。测试环境测试通过后，才可以申请生产环境试运行。在生产环境里应避免对在线系统产生不利影响，并制定有关应急预案。（三）功能测试方案应以系统需求说明书和合同为依据，可基于系统的产品测试报告进行扩展，进行全面完整测试。当出于测试目的而使用真实、敏感的数据时，可以采用以下措施保护测试数据的安全：对真实数据进行去敏感性处理，如数据变形；对测试的系统进行严格的访问控制，只允许部分的测试人员进行测试，且测试的人员应签订安全保密承诺书；每一次将真实的运作信息复制到测试系统时均需要一个单独的授权过程；测试完成后，应立即将相关数据从测试系统中删除；记录测试数据的复制、使用和删除情况，以便于审查追踪。（四）性能和安全测试可使用性能测试工具对系统进行压力测试和安全评估，重点考察系统的健壮性、稳定性、负荷响应能力和安全性等，形成系统压力测试报告、系统安全测试报告。（五）信息系统通过测试后，运维人员应根据安全人员的安全检查要求，对系统开展安全检查，包括但不限于渗透测试、基础环境安全检查和相应等级的基本防护要求检查等，检查完成后运维人员应编写安全检查报告。（六）测试和检查结果由安全人员、使用人员一致确认，存在不符合项时，建设人员提出整改方案，限期整改并复测和复查。（七）信息系统通过测试与安全检查后，建设人员向使用人员、运维人员提出系统试运行申请，系统试运行工作包括准备详细的试运行实施计划、系统备份方案、系统监控方案、安全策略配置方案、应急预案和系统安装配置计划等。（八）系统试运行前建设人员应整理相关各类上线所需文档资料，文档清单可参考附录第七章试运行安全管理第十一条系统试运行安全管理（一）系统进入试运行后，运维人员应制定系统的运行管理办法，做好数据的备份，保证系统及用户数据的安全。（二）安全人员及运维人员应严格执行信息系统运行维护及安全管理的有关规定。系统试运行期间，系统由运维人员负责日常运行管理，运维人员负责用户使用情况跟踪和系统维护，并解决系统运行中出现的有关问题。（三）在试运行期间，运维人员应进行运行监控、备份和记录等，并提交系统试运行报告。运维人员统计试运行期间系统故障、变更情况和次数，分析系统是否存在不稳定因素。（四）系统试运行后，系统建设人员应进一步组织和落实培训工作，完成普通用户的培训、运行的培训和其他必要的培训。（五）系统试运行期原则上为3个月，若系统连续运行3个月，未出现故障，未进行重大变更，可认为系统试运行稳定。如试运行期间出现系统故障或重大变更，则连续稳定试运行时间重新计算。（六）系统试运行稳定后，运维人员应删除工作所需的临时账号，进行数据清理工作，组织完成系统试运行报告；且建设人员应与运维人员进行系统的全面移交，移交内容包括系统日常维护手册、系统管理员手册、系统培训手册、系统核心参数及端口配置表、系统用户及口令配置表、技术支持服务联系人及联系方式等。第十二条正式验收安全管理（一）系统试运行期间，连续稳定运行3个月后建设人员可提出系统验收申请。（二）系统正式验收前，建设人员应准备相关验收材料，材料清单见附录A。（三）系统正式验收前，安全人员、使用人员及运维人员应制定相应的系统运行维护管理办法，明确系统各级管理和使用人员的职责。（四）系统正式验收前，建设人员应按照软件知识产权管理办法的要求提交相关代码和资料，并配合运维人员完成系统备份方案、系统监控方案、安全策略配置方案、应急预案等技术文档编制。（五）应成立专门的验收工作组负责系统正式验收，工作组成员应由普通用户、系统开发、运维人员和安全管理员等人员组成，验收工作组可包括运行准备组、技术审查组、文档审查组等验收小组。（六）验收工作组在进行具体测试和核实工作前，应听取建设人员对系统功能、上线前测试结果、试运行期间运行情况、系统应急及快速恢复等内容的介绍。（七）验收工作组应结合相关材料，对系统功能实现、性能、安全性、数据备份与恢复、应急与快速恢复方案等进行测试和核实，并写出验收结论。（八）正式验收时发现问题，应立即处理，稳定运行一个月后，再次正式验收通过方可正式运行。第八章正式运行安全管理第十三条系统正式运行后，任何人员或个人不得擅自对系统进行在线的调试和修改，系统的维护应遵守以下原则：（一）需要对系统进行修改或升级等维护操作时，必须严格遵照运行维护的相关管理规程，执行变更审批流程。（二）运维人员负责按需分配系统管理权限或维护权限，并做好有关权限分配的登记管理工作。（三）拥有系统管理权限或维护权限的人员，不得擅自修改任何管理员级的及各用户的口令，并负责妥善管理好相应的使用权限。第十四条系统正式运行后，运维人员负责系统的日常运行维护，保证系统安全、可靠和稳定运行。第九章外购应用系统安全管理第十五条对于需要外购的信息系统由相应的负责人员在安全需求、方案设计及上线阶段进行相应的安全管控。第十六条对于与其他公司合作开发和外包的项目，要明确双方的IT安全责任，并对交付成果提出安全要求，对安全责任的落实和交付成果