ICS35.240.20

CCSL77

41

河南省地方標(biāo)準(zhǔn)

DB41/T2985—2025

政務(wù)信息系統(tǒng)安全運(yùn)行維護(hù)規(guī)范

2025-10-15發(fā)布2026-01-14實(shí)施

河南省市場(chǎng)監(jiān)督管理局發(fā)布

DB41/T2985—2025

目次

前言.................................................................................II

1范圍...............................................................................1

2規(guī)范性引用文件.....................................................................1

3術(shù)語(yǔ)和定義.........................................................................1

4總體要求...........................................................................1

5制度管理...........................................................................2

6資產(chǎn)管理...........................................................................2

7風(fēng)險(xiǎn)管理...........................................................................2

8安全防護(hù)...........................................................................3

9應(yīng)急響應(yīng)...........................................................................4

參考文獻(xiàn)..............................................................................5

I

DB41/T2985—2025

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。

本文件由河南省行政審批和政務(wù)信息管理局提出。

本文件由河南省大數(shù)據(jù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（HN/TC26）歸口。

本文件起草單位：河南省政務(wù)大數(shù)據(jù)中心、南威軟件股份有限公司。

本文件主要起草人：張陽(yáng)、連惠杰、鄭巖、謝海寶、劉洋、趙永威、曹誠(chéng)、張昊、顧曉光、楊濤、

宋瀟瀟、李肇黃、楊超、龍江濤、左寧、馮文靜、蔡振遠(yuǎn)、吳江、梁欣。

II

DB41/T2985—2025

政務(wù)信息系統(tǒng)安全運(yùn)行維護(hù)規(guī)范

1范圍

本文件規(guī)定了政務(wù)信息系統(tǒng)安全運(yùn)維的總體要求、制度管理、資產(chǎn)管理、風(fēng)險(xiǎn)管理、安全防護(hù)、應(yīng)

急響應(yīng)等內(nèi)容。

本文件適用于政務(wù)部門政務(wù)信息系統(tǒng)安全運(yùn)維工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20986—2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級(jí)指南

GB/T28827.3—2012信息技術(shù)服務(wù)運(yùn)行維護(hù)第3部分：應(yīng)急響應(yīng)規(guī)范

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

政務(wù)信息系統(tǒng)

由政務(wù)部門建設(shè)、運(yùn)行或使用的，用于直接支撐政務(wù)部門工作或履行其職能的各類非涉密信息系統(tǒng)。

安全運(yùn)行維護(hù)

確保信息系統(tǒng)免受各種安全威脅所采取的一系列預(yù)先定義的活動(dòng)。

注：以下簡(jiǎn)稱“安全運(yùn)維”。

4總體要求

合規(guī)性

應(yīng)符合國(guó)家相關(guān)法律法規(guī)、行業(yè)監(jiān)管要求及標(biāo)準(zhǔn)規(guī)范，確保在合法合規(guī)前提下開展各項(xiàng)安全運(yùn)維活

動(dòng)。

主動(dòng)防御

基于威脅情報(bào)和風(fēng)險(xiǎn)預(yù)警，實(shí)施安全防護(hù)措施，持續(xù)降低系統(tǒng)暴露面。

最小化授權(quán)

依據(jù)崗位職責(zé)和業(yè)務(wù)需求，實(shí)行權(quán)限動(dòng)態(tài)分配與最小化授權(quán)策略。

快速響應(yīng)

1

DB41/T2985—2025

建立可量化、分等級(jí)的應(yīng)急響應(yīng)機(jī)制，明確響應(yīng)時(shí)限與處置流程。

持續(xù)改進(jìn)

通過定期審計(jì)、事件回溯與分析評(píng)估，優(yōu)化安全防護(hù)策略和運(yùn)維流程，提升安全運(yùn)維成熟度。

5制度管理

系統(tǒng)安全管理制度

應(yīng)建立符合網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、商用密碼應(yīng)用安全性評(píng)估等相關(guān)要求的系統(tǒng)安全管理制度，宜

包含資產(chǎn)管理、人員管理、事件管理、安全檢查、改進(jìn)和優(yōu)化。

安全責(zé)任重點(diǎn)人員管理制度

應(yīng)建立安全責(zé)任重點(diǎn)人員管理制度，宜包含重點(diǎn)人員信息收集與整理、人員檔案建立、保密承諾書

簽訂、保密教育、安全檢查和網(wǎng)絡(luò)安全業(yè)務(wù)培訓(xùn)。

資產(chǎn)管理制度

應(yīng)建立資產(chǎn)管理制度，宜包含資產(chǎn)跟蹤和審核管理、資產(chǎn)管理責(zé)任人明確、資產(chǎn)狀態(tài)監(jiān)測(cè)、資產(chǎn)變

更異常情況告警。

安全培訓(xùn)制度

應(yīng)建立安全培訓(xùn)制度，宜包含安全運(yùn)維團(tuán)隊(duì)的安全意識(shí)培訓(xùn)、安全科普宣傳、安全防護(hù)演練。

供應(yīng)鏈安全管理制度

應(yīng)建立供應(yīng)鏈安全管理制度，宜包含資金、人員和權(quán)限等方面的合理配置與控制。

6資產(chǎn)管理

建立資產(chǎn)清單

應(yīng)建立涵蓋服務(wù)器、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、WEB應(yīng)用、中間件、數(shù)據(jù)庫(kù)等在內(nèi)的資產(chǎn)清單。

維護(hù)資產(chǎn)信息

應(yīng)對(duì)資產(chǎn)信息進(jìn)行動(dòng)態(tài)維護(hù)，覆蓋資產(chǎn)全生命周期變化情況，確保信息真實(shí)、準(zhǔn)確、可追溯。維護(hù)

內(nèi)容應(yīng)包括資產(chǎn)基本信息、資產(chǎn)狀態(tài)、資產(chǎn)歸屬、責(zé)任人信息以及資產(chǎn)間的關(guān)聯(lián)關(guān)系等。

7風(fēng)險(xiǎn)管理

安全檢測(cè)

安全檢測(cè)應(yīng)包括：

a)漏洞掃描：開展系統(tǒng)漏洞掃描工作，發(fā)現(xiàn)政務(wù)信息系統(tǒng)存在的安全漏洞等；

b)滲透測(cè)試：從外部或內(nèi)部對(duì)目標(biāo)系統(tǒng)進(jìn)行模擬攻擊測(cè)試，以發(fā)現(xiàn)潛在的安全弱點(diǎn)和漏洞；

c)代碼審計(jì)：對(duì)代碼進(jìn)行分析，識(shí)別潛在的安全隱患和性能問題，并提供修復(fù)建議；

2

DB41/T2985—2025

d)基線核查：比較當(dāng)前系統(tǒng)配置與既定的安全基線，識(shí)別不符合項(xiàng)和潛在風(fēng)險(xiǎn)；

e)供應(yīng)鏈安全檢查：分析軟件依賴關(guān)系、第三方組件和開發(fā)流程，檢測(cè)潛在的漏洞和惡意代碼，

確保軟件產(chǎn)品安全性；

f)安全風(fēng)險(xiǎn)評(píng)估：對(duì)資產(chǎn)的重要性、潛在威脅的可能性及其影響進(jìn)行分析，識(shí)別和評(píng)價(jià)政務(wù)信息

系統(tǒng)面臨的安全威脅和脆弱性。

威脅情報(bào)

應(yīng)基于威脅情報(bào)源的情報(bào)共享發(fā)現(xiàn)潛在威脅和攻擊行為，采取相應(yīng)的安全防護(hù)措施。

安全合規(guī)

應(yīng)開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、密碼應(yīng)用安全性評(píng)估、個(gè)人信息保護(hù)合規(guī)測(cè)評(píng)、關(guān)鍵基礎(chǔ)設(shè)施安全

評(píng)估等測(cè)評(píng)工作。

安全培訓(xùn)

應(yīng)開展安全意識(shí)培訓(xùn)、安全科普宣傳、實(shí)操演練等工作，傳授安全知識(shí)、技能和最佳實(shí)踐，幫助安

全運(yùn)維團(tuán)隊(duì)了解攻擊者的手段和技術(shù)，提升識(shí)別潛在風(fēng)險(xiǎn)能力。

攻防演練

應(yīng)通過實(shí)戰(zhàn)攻防演練對(duì)政務(wù)信息系統(tǒng)安全防御進(jìn)行檢測(cè)，發(fā)現(xiàn)系統(tǒng)中潛在安全漏洞，深入挖掘系統(tǒng)

風(fēng)險(xiǎn)并進(jìn)行處置，驗(yàn)證防護(hù)措施有效性，每年不少于一次。

8安全防護(hù)

安全設(shè)備運(yùn)維

安全設(shè)備運(yùn)維應(yīng)包括：

a)可用性監(jiān)控：持續(xù)監(jiān)測(cè)安全設(shè)備運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)和處理設(shè)備故障；

b)設(shè)備更新升級(jí)：及時(shí)升級(jí)和更新安全設(shè)備，以抵御最新的攻擊手段，提升安全設(shè)備的穩(wěn)定性和

性能；

c)安全策略配置：及時(shí)審查備份和更新策略，確保安全防護(hù)有效性；

d)設(shè)備操作審計(jì)：對(duì)設(shè)備的配置變更操作、檢測(cè)和監(jiān)控操作、故障處理操作等進(jìn)行記錄并審計(jì)，

確保設(shè)備操作安全合規(guī)。

安全監(jiān)測(cè)

安全監(jiān)測(cè)應(yīng)實(shí)時(shí)采集主機(jī)、中間件、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、服務(wù)等運(yùn)行維護(hù)對(duì)象，實(shí)時(shí)監(jiān)控并進(jìn)行綜合分

析，識(shí)別異常事件或潛在風(fēng)險(xiǎn)。

事件處置

事件處置應(yīng)包括：

a)遵照GB/T20986—2023的要求，根據(jù)事件影響范圍，對(duì)事件進(jìn)行定級(jí)分類；

b)開展有效性驗(yàn)證、預(yù)案啟動(dòng)、操作留痕、閉環(huán)驗(yàn)證，及時(shí)完成處置并報(bào)告。

安全加固

3

DB41/T2985—2025

安全加固應(yīng)包括：

a)方案制定：對(duì)資產(chǎn)進(jìn)行安全評(píng)估，確認(rèn)安全現(xiàn)狀，明確加固措施，制定安全加固和回退方案；

b)實(shí)施加固：按照加固方案進(jìn)行安全加固，實(shí)施前應(yīng)進(jìn)行數(shù)據(jù)備份、配置備份、系統(tǒng)文件備份；

c)結(jié)果驗(yàn)證：驗(yàn)證安全加固結(jié)果是否符合預(yù)期要求。

9應(yīng)急響應(yīng)

遵照GB/T28827.3—2012的要求，制定應(yīng)急響應(yīng)預(yù)案，明確應(yīng)急團(tuán)隊(duì)職責(zé)分工、建立事件分級(jí)機(jī)制

和應(yīng)急處置流程，構(gòu)建安全事件應(yīng)急響應(yīng)閉環(huán)管理體系。

4

DB41/T2985—2025

參考文獻(xiàn)

[1]GB/T20269—2006信息安全技術(shù)信息系統(tǒng)安全管理要求

[2]GB/T20984—2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

[3]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

[4]GB/T24363—2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范

[5]GB/T28827.1—2022信息技術(shù)服務(wù)運(yùn)行維護(hù)第1部分：通用要求

[6]GB/T