1、湖南省地方标准DB43湖南省市场监督管理局发 布DB43/T 18722020 ICS 35.240.20L 702020-11-27发布2020-12-30实施政府网站集约化管理平台运行维护规范Operation and maintenance specifications for the intensive management platform of government websites DB43/T 18722020 I 目 次 前言 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 基本要求 1 5 运行维护保障 4 6 应急响应 6 7 新增和变更系统维护 7 8 安
2、全运行维护要求 8 参考文献 9 DB43/T 18722020 II DB43/T 18722020 III 前 言 本文件按照 GB/T 1.12020 给出的规则起草。 本文件由湖南省政务管理服务局提出并归口。 本文件起草单位:湖南省人民政府发展研究中心、湖南省质量和标准化研究院、湖南金智标准科技发展有限公司。 本文件主要起草人:严洁、张海寅、盛甫、庄宁、饶宇雄、盛立新、陈坚、姜海彬、邓伟林、杨铁军。 DB43/T 18722020 IV DB43/T 18722020 1 政府网站集约化管理平台运行维护规范 1 范围 本文件规定了湖南省政府网站集约化管理平台运行维护的基本要求、运行维护
3、保障、应急响应、新增和变更系统维护以及安全运行维护等要求。 本文件适用于省、市(州)两级政府网站集约化管理平台。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中, 注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 DB43/T 18712020 政府网站集约化管理平台安全防护规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 政府网站 各级人民政府及其部门、派出机构和承担行政职能的事业单位在互联网上开办的,具有信息发布、解读回应、办事服务、互动交流等功能的网站。 3.2 政府网
4、站集约化 通过统一标准体系、统一技术平台、统一安全防护、统一运行维护监管,集中管理信息数据,集中提供内容服务等手段,实现政府网站资源优化融合、平台整合安全、数据互认共享、管理统筹规范的有效途径。 3.3 政府网站统一信息资源库 指通过一定规则对政府网站信息资源进行统一入库存储、维护管理、监管分析,并对外提供信息汇聚、数据转换、交换共享等服务的资源管理平台。 3.4 政府网站集约化管理平台 将一定范围内的政府网站集中到一起,形成技术统一、功能统一、结构统一、资源归集汇聚的一站式,面向多服务对象、多渠道、多层级、多部门的政府网站集群平台(以下简称: “平台” ) 。 4 基本要求 4.1 运行维护
5、机构 DB43/T 18722020 2 4.1.1 平台运行维护管理机构 应明确省、市(州)级平台的运行维护管理机构,平台运行维护管理机构负责政府网站集约化管理平台建设和管理,分为省级平台运行维护管理和市(州)级平台运行维护管理: 省级机构负责牵头建立完备全省的平台运行维护管理制度、规范、规程等制度性文件,并负责协同所有运行维护机构统一实施; 各级运行维护管理机构负责对本级集约化平台所有用户定期开展培训, 规范操作流程; 开展用户权限和操作记录巡查监督,对违规操作账号进行通报、关停处理; 各级运行维护机构实行网站常态化监测制度, 按照国务院办公厅工作要求, 开展本级政府网站日常监测工作,监测
6、情况及时在集约化平台公开。 4.1.2 网站运行维护机构 网站运行维护机构为政府各部门网站建设、管理、运行维护、服务的机构,运行维护工作包括但不限于以下内容: 各级网站主办单位应依托本级集约化平台建设本单位网站, 不得私自建设, 并负责本单位网站的内容保障、用户管理、信息安全、站点维护等工作; 各级网站主办单位应在本级平台运行维护管理机构的指导和要求下开展网站运行维护工作; 接受对应本级集约化平台运行维护机构的监测。 4.2 制度和流程 4.2.1 运行维护管理制度 各级平台运行维护管理机构应建立的运行维护管理制度包括但不限于以下内容: 设备、网络与系统管理制度; 数据和介质管理制度; 系统新
7、增和变更管理制度; 文档管理制度; 软件管理制度; 运维服务提供方管理制度; 检查审计制度; 平台安全管理制度; 密码管理制度; 备份与恢复管理制度; 应急预案管理制度。 4.2.2 运行维护操作流程 各级平台运行维护管理机构应建立的运行维护操作流程包括但不限于以下内容: 日常操作; 事件处理; 问题处理; 系统变更; 应急处置等流程。 4.3 运行维护人员要求 DB43/T 18722020 3 运行维护人员要求包括但不限于以下内容: 岗位设置:运行维护机构应设立运行维护岗位,运行维护管理机构岗位责任人,负责组织、协调、管理网站集约化管理平台的运行维护工作; 日常管理维护:相关运行维护人员应
8、负责日常系统管理和后台维护,网络安全维护,对各业务子系统的功能权限、数据权限进行分配和管理,提供 IT 服务和支持,保证系统的稳定,并提供日常系统运行报告,日常运行报告应包含安全运行状态; 系统监控及应急响应: 相关运行维护人员应负责系统状态监控和应急响应, 以确保业务系统有7 乘 24 小时的持续运作能力; 系统问题汇总及反馈: 相关运行维护人员应负责相关故障、 疑难问题排查处理, 解决系统问题,编制并提交汇总报告,对于安全事件宜单独编写安全事件应急响应报告; 技术能力:运行维护人员应具备操作主机设备、存储设备、网络设备、操作系统、数据库、中间件等基本能力; 日常培训:应定期对相关运行维护人
9、员组织技术培训、技能考核、日常安全意识培训、明确制度要求和惩处措施,提高运行维护水平,落实运行维护责任。 4.4 文档管理要求 文档管理的工作包括但不限于以下要求: 对运行维护过程中涉及的各类文档应进行分类管理,可按照技术文档、运行维护过程文档、审批记录、日志记录等分类,并统一存放; 对文档的版本应当进行控制,规范文档的发布管理; 文档应标识敏感性、使用范围、使用权限、审批权限等。 4.5 运行维护服务提供方管理要求 应对运行维护服务提供方运行维护服务进行统一管理和规范,包括但不限于以下要求: 平台运行维护管理机构应在与运行维护服务提供方签订的合同中明确其应承担的责任、义务,并约定服务要求和范
10、围等内容; 平台运行维护管理机构应与运行维护服务提供方签署保密协议, 不得泄露所服务机构的保密信息,并要求运行维护服务提供方签署承诺书,承诺产品不存在恶意代码或未授权的功能,不提供违反我国法律法规的功能模块,并符合网站集约化管理平台运行维护有关技术规范和技术指引; 平台运行维护管理机构应在软件产品或技术服务的采购合同中, 明确运行维护服务提供方应接受平台运行维护管理机构的信息安全检查; 平台运行维护管理机构应定期收集、 更新运行维护服务提供方信息, 组织对运行维护服务提供方的服务质量、合同履行情况、人员工作情况等内容进行评价,形成评价报告,并跟踪和记录运行维护服务提供方改进情况。 4.6 运行
11、维护检查要求 平台运行维护管理机构检查制度应就如何检查运行维护工作进行规范, 以督促运行维护工作持续改进。对运行维护过程中的检查工作包括但不限于以下要求: 平台运行维护管理机构应指定人员负责对日常操作执行情况进行定期检查, 确保运行维护管理制度和操作流程有效执行; 平台运行维护管理机构应每季组织开展内部检查,形成检查报告; DB43/T 18722020 4 检查范围至少包括对运行维护管理制度和操作流程的合理性和完整性进行评估, 对运行维护管理制度和操作流程的执行情况进行评估,对文档、配置、数据的有效性进行评估,对整体安全状况进行评估,对运行维护人员履职能力进行评估等; 网站集约化管理平台运行
12、维护机构应对检查结果采取纠正性和预防性的措施。 5 运行维护保障 5.1 系统运行维护 5.1.1 基础设施运行维护 5.1.1.1 运行维护内容 基础设施运行维护包括但不限于以下内容: 应对影响集约化管理平台正常运行的主机设备、存储设备、网络设备、操作系统、数据库、中间件等关键系统设备进行监控和维护; 应采用自动化监控工具和人工值守相结合的方式, 针对不同对象设置合理的监测频度、 预警阈值,实现 24 小时监控。 5.1.1.2 运行维护要求 基础设施运行维护要求包括但不限于以下内容: 主机设备,应实现对主机设备相关性能进行有效监控,及时发现故障。监控的范围包括主机本身工作状态及其部件的工作
13、状态和性能指标; 存储设备,应实现对各类存储设备进行监测,全面掌握存储设备的性能和工作状态信息。监控指标至少包括:文件系统监控、性能监控、容量监控、负载监控、状态监控等; 网络设备,应实现对信息系统内部及与外部系统连接的设施、网络状态进行有效监控,保持正常运行; 操作系统,应实现对服务器搭载的操作系统进行有效监控,及时发现操作系统性能问题。支持对系统关键进程、网络接口流量、系统状态等进行监控; 数据库, 应实现对各类数据库的性能、 状态、 进程数、 表空间使用率等主要指标进行有效监控; 中间件,应实现对各类中间件的配置信息、性能、状态和故障等进行监控。 5.1.2 集约化平台运行维护 5.1.
14、2.1 日常管理 日常管理的工作要求包括但不限于以下内容: 应通过人工检查与系统监测结合的方式, 定时检查集约化管理平台监控预警信息, 及时发现问题并处理; 应定时检查集约化管理平台监控日志,分析错误信息、警告信息,排查处理潜在风险隐患; 应定时检查集约化管理平台是否有应用接入或退出申请要求,执行应用管理流程; 应定时检查集约化管理平台是否有新用户申请、调岗、注销要求,执行用户管理流程; 应定时检查集约化管理平台是否有新部门增加或注销要求,执行部门管理流程。 5.1.2.2 应用运行维护 DB43/T 18722020 5 应用运行维护的工作要求包括但不限于以下内容: 集约化管理平台上的所有应
15、用系统, 均应通过系统测试后方可上线使用, 应根据实际需要编制应用运行维护方案; 应定时巡查应用系统运行状态,发现问题及时处理,恢复系统运行; 应定时检查应用系统运行日志,分析错误信息、警告信息,排查处理潜在风险隐患; 应及时处理各类预警信息。 5.1.3 网站运行维护 5.1.3.1 监测管理 应对政府网站进行监测,发现问题应及时处理。具体要求包括但不限于以下内容: 应定时检查内容管理系统监控日志,错误分析和警告信息,排查处理潜在风险隐患; 应定时检查内容管理系统发布情况,保证信息发布服务的正常运行,信息及时更新发布。 5.1.3.2 功能运行维护 政府网站功能运行维护包括但不限于以下内容:
16、 功能检查:应对网站提供的功能进行日常监测,通过机器扫描、人工检查等方法,保证各项功能服务均能够正常使用。 页面监测:应对网站页面进行日常监测,通过机器扫描、人工检查等方法,保证网站页面能够正常浏览。 链接检查:应对网站接入链接进行日常监测,通过机器扫描、人工检查等方法,保证网站上的链接能够正常访问。 5.2 统一信息资源库运行维护 应对统一信息资源库进行监测,发现问题应及时处理。具体要求包括但不限于以下内容: 应定时检查统一信息资源库监控日志,排查处理潜在风险隐患; 应借助内容检查工具,检查统一信息资源库的信息内容,保证信息内容的正确性; 应定时检查统一信息资源库资源入库、更新情况; 应定时
17、检查信息资源管理情况,包括资源内容修改、资源分类管理、资源权限配置、资源统计分析等维护工作; 应严格设定信息资源管理人员权限,杜绝违规操作; 应定期检查信息资源库的共享交换情况,确保省级、市(州)两级信息资源库之间的共享交换正常运行; 应定期检查省级、市(州)信息资源库与省级政务服务平台等平台、系统的共享交换情况。 5.3 数据备份及恢复 5.3.1 平台运行维护管理机构应及时对集约化管理平台数据进行备份,至少包括文件系统层备份、数据库层备份和应用系统层备份。至少每月对平台系统数据、平台应用进行一次完全备份,每天对平台系统数据进行一次增量备份。 5.3.2 平台运行维护管理机构对平台的数据恢复
18、,集约化管理平台恢复等工作必须进行恢复性测试并签字确认,应对具体处理方案及结果留有完整、详细的记录。 5.4 事件与问题管理 DB43/T 18722020 6 应对集约化管理平台的运行维护事件进行规范管理,包括但不限于下列具体措施: 应指定人员负责设计和管理事件的记录、分级、分派、处理、监控和结束整个流程; 应记录运行维护过程中发生的所有事件,根据事件的影响程度和影响范围评估事件处理优先级并及时处理; 应对所有事件响应、处理、结束等过程进行跟踪、督促及检查; 应根据解决运行维护过程中发现的问题,并建立问题库; 应跟踪和管理问题的处理过程,包括问题的识别、提交、分析、处理、升级、解决、结束;
19、应汇总监控、分析、自查、检查、测评、评估和事件处理中发现的问题,并纳入问题管理库; 应分析问题,提出解决方案,通过变更管理审批后部署实施,并将解决过程归纳整理并纳入问题管理库。 6 应急响应 6.1 应急准备 应制定应急预案,包括但不限于以下内容: 应急预案编制的目的和依据; 应急预案的适用范围; 应急处置的组织体系及职责; 预防措施、保障措施与应急准备; 预警监测、处置和信息报送; 应急事件的分级分类; 应急事件的报告流程; 应急事件处置的一般原则; 应急事件的具体处置方案; 应急事件内部调查处理以及分析总结的要求; 每年至少对应急预案进行一次评估和应急演练, 并及时修订, 应根据应急演练的
20、情况进行评估和更新,在应急预案发生重大变化时,应及时重新报备。 6.2 监测与预警 应按照运行维护管理制度要求,开展日常监测活动,及时发现应急事件并有效预警,进行核实和评估,以规定的策略和程序启动预案,并保持对应急事件的跟踪。 6.3 应急处置 应采取必要的应急调度手段,基于预案开展故障排查与诊断,有效、快速的对故障进行处理与系统恢复,并及时通报应急事件,提供持续性服务保障。应急处置应包括但不限于以下内容: 在发现可能导致异常的风险隐患时,应尽快加以核实,立即采取必要的防范措施,如有重要情况应按照有关规定进行预警报告。解除预警后,应按相同路径进行报告; 在发生应急事件后,应立即启动应急预案,迅
21、速采取应急措施,尽快恢复系统正常运行; 在应急处置结束前,应保证专人 24 小时值班; 应急处置人员应保持联系方式畅通,应及时向有关方面通报事件处置进展情况; 应做好应急处置的相关记录,保留有关证据; DB43/T 18722020 7 在应急事件发生后,应按有关规定报告事件情况,并保持持续报告,直至系统恢复正常运行,报告要素应完备、及时、准确,不得迟报、漏报、谎报或瞒报。 6.4 持续改进 对应急事件的发生原因、处理过程和结果应及时总结分析,持续改进应急工作,完善信息系统。针对应急响应过程中发现的问题,及时修订和更新应急预案。 7 新增和变更系统维护 7.1 交付管理 应建立维护过程中新增系
22、统交付管理的流程,包括但不限于以下具体措施: 平台运行维护管理机构应对新增、变更的业务模块及相关配套物品的交付活动进行规范; 平台运行维护管理机构作为被交付方, 应要求交付方提供规范格式的交付工作清单, 作为双方交付依据,清单包括本次交付活动相关的软件、硬件、技术文档、管理手册、使用手册、培训材料、相关工具、协议和合同等; 交付方应对平台运行维护人员进行培训和说明, 包括交付事项的目的、 范围、 背景、 测试要求、上线实施要求、验收要求、运行维护要求等; 平台运行维护管理机构应对交付过程留存记录。 7.2 系统测试 应对新增和变更系统进行测试功能,包括但不限于以下具体措施: 网站集约化管理平台
23、系统测试流程应对系统上线前或变更后必须的功能测试进行规范; 网站集约化管理平台运行维护机构应为系统测试配备必要的人员和设备资源, 需要时应协调关联单位配合测试; 网站集约化管理平台第三方测试机构应根据系统上线要求制定测试方案,确定采用的测试方法和测试流程。测试方案及测试用例应覆盖功能、性能、容量、安全性、稳定性等方面。测试完成后应对测试结果进行分析评估,并给出测试报告。 7.3 系统变更 应建立系统变更流程,规范集约化管理平台的变更行为,包括但不限于以下具体措施: 应明确系统变更中的角色,至少包括:申请人、审批人、实施人、复核人; 变更申请人应提交正式的变更申请,申请中应有明确的变更方案,内容
24、至少包括:目标、对象、时间、人员、紧急程度、操作步骤、测试方案、实施方案、风险防控措施、应急预案、回退方案等; 变更审批人应在充分评估变更的技术风险和业务风险的基础上进行审批,审批记录应留痕并满足审计需要; 变更审批人应确定变更实施时间窗口; 应按照测试方案,组织变更前后的测试,测试后应提交测试记录或报告; 变更实施人应按照变更实施方案进行变更; 变更复核人应对变更记录和变更结果进行评估, 评估内容应至少包括变更目标的达成情况、 对生产环境的影响情况等。 DB43/T 18722020 8 8 安全运行维护要求 应符合 DB43/T 18712020 相关要求。 DB43/T 18722020
25、 9 参 考 文 献 1 中华人民共和国政府信息公开条例 (国令第 711 号) 2 国务院办公厅关于印发政府网站集约化试点工作方案的通知 (国办函201871 号) 3 国务院办公厅关于推进政务新媒体健康有序发展的意见(国办发2018123 号) 4 国务院办公厅关于印发政府网站发展指引的通知 (国办发201747 号) 5 国务院办公厅关于开展第一次全国政府网站普查的通知 (国办发201515 号) 6 国务院办公厅关于加强政府网站信息内容建设的意见 (国办发201457 号) 7 湖南省人民政府办公厅关于做好全省政府网站集约化试点工作的通知 (湘政办函201914 号) 8 湖南省人民政
26、府办公厅关于加强政府网站信息内容建设的通知 (湘政办发201525 号) 9 GB/T 202712006 信息安全技术 信息系统通用安全技术要求 10 GB/T 222392019 信息安全技术 网络安全等级保护基本要求 11 GB/T 250702019 信息安全技术 网络安全等级保护安全设计技术要求 12 GB/T 202692006 信息安全技术 信息系统安全管理要求 13 GB/T 220802016 信息技术 安全技术 信息安全管理体系 要求 14 GB/T 24405.12009 信息技术 服务管理 第 1 部分:规范 15 ISO 31000:2018 风险管理原则和指南 16 政府网站与政务新媒体检查指标
浙ICP备2021020529号-1 | 浙B2-20240490 
