信息系统上线管理制度

信息系统上线管理制度第一章总则第一条为进一步提高XX公司信息系统上线工作的安全管理水平，明确新系统上线安全测试和验收工作流程，实现新系统上线的规范管理，保证系统和设备的正常运行，生产业务正常处理，特制定本管理办法。第二条本管理办法适用于新系统上线工作。针对所有新建、改造、扩容的系统，包括入准生产申请、出准生产安全评估检查和上线安全交付的相关流程和规范要求。第二章原则第三条确保系统正常运行的原则。实施操作必须要以确保系统和业务的正常运行为前提。第四条低业务风险的原则。在安全可行的前提下，采用不中断业务的测试方法。第五条实施人员资质合格原则。承担测试工作的人员必须具备信息安全小组认可的实施资质，必须熟悉测试实施操作、熟悉安全测试流程、熟记应急方案。第六条文档规范性原则。所有上线流程中涉及的文档必须符合规范要求，应严格按照本规范要求提交相应的书面和电子文档。如文档不符合规范要求的，不予接收、不予报批。第七条系统上线总负责人负责制定原则。系统上线总负责人在新系统上线全过程中应履行全局协调、整体指挥的职责。对系统上线涉及到所有业务应做到统一调度，发现问题统一排查、解决。第八条参与现场测试和交付的现场实施人员应听从系统上线总负责人的统一指挥调度，服从大局，确保系统上线顺利进行。第三章信息系统上线流程第九条新系统上线需要经过入准生产申请与审核工作，出准生产申请与审核工作，全部满足要求以后，新系统可以进入生产环境，如果不满足，则需要完成整改后进入生产环境或项目组所有人签字同意后进入生产环境。第十条具体上线流程参见附件一系统上线安全评估流程。第四章新系统入准生产申请第十一条新系统上线报批申请内容包括不限于以下：新系统的应用系统架构说明；新系统与其他应用系统调用关系的说明；集群部署方案Web安全自评估报告新系统部署网络位置说明新系统外网访问权限开通说明第十二条技术部网络组、技术部应用运维组以及技术部信息安全小组负责审核新系统的上线申请，审核通过以后，批准进入准生产环境。第五章出准生产安全评估检查第十三条技术部信息安全小组检查新上线系统进行Web安全评估，并接受扫描时可能发生的风险进行详细描述，出具安全评估报告，记录并备案。第十四条技术部数据库组应进行数据库性能测试，出具AWR报告，记录并备案。第十五条新系统需要满足技术部信息安全组与技术部数据库组的审核要求，如果不满足要求，则需要进行整改后复测；如果部分满足审核要求，若项目所有人签字同意，也可以进入生产环境。第十六条安全评估内容包括但不限于以下内容：安全配置测试，账号和口令测试，端口和服务测试，补丁测试，登录验证校验测试等。第十七条安全配置测试。应严格按照安全配置基线规范，包括操作系统，应用系统，数据库，路由与交换设备等设备相对应的安全配置规范，进行设备安全配置测试并记录。第十八条账号和口令测试。应严格测试验证系统设备层和业务层账号口令管理相关功能的内容，对涉及系统设备要进行用户账号的梳理和相关测试，测试账号管理的基本功能，包括账号是否可以增删改、是否存在默认账号（root、administrator除外），是否支持密码复杂性验证，密码尝试是否有提示或者延时等控制功能，验证是否满足账号口令管理的要求，记录并反馈结果。第十九条新系统上线测试完成后，新系统上线总负责人应及时安排人员进行现场清理工作。材料、工具、仪器等不得随意摆放，测试临时数据应及时清除。第二十条测试通过后，相关部门和人员应密切观察网络系统运行情况，进行各种业务测试，发现问题应于12小时内上报技术部信息安全小组，同时采取各种测试应急措施，解决发现的问题，恢复系统和业务的正常运行，在查明问题原因、提出解决办法、并在准生产环境测试成功后，经批准，方可再次进行现场入网测试。第六章新系统上线安全交付第二十一条符合安全入网要求，并通过安全评估的系统，经过审核同意后，进入上线交付流程。第二十二条安全评估测试完成，进入交付流程前，应清除测试、调试等临时程序和脚本。第二十三条在交付过程中，应提供包括但不限于新上线系统文档、维护手册、系统端口服务清单和应急预案等。第二十四条在进入生产环境以后，一个工作日内，需按照口令设置策略，更改密码。第七章附则第二十五条本规定的解释权归技术部。附件系统上线安全评估流程立项调研阶段丨架构 系统开发阶段入准生产前期预评