ICS 35.240.20 CCS L 77 41 河南省 地方标准 DB41/T 2985—2025 政务信息系统安全运行维护规范 2025 - 10 - 15发布 2026 - 01 - 14实施 河南省市场监督管理局 发布 DB41/T 2985 —2025 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 总体要求 ................................ ................................ ........... 1 5 制度管理 ................................ ................................ ........... 2 6 资产管理 ................................ ................................ ........... 2 7 风险管理 ................................ ................................ ........... 2 8 安全防护 ................................ ................................ ........... 3 9 应急响应 ................................ ................................ ........... 4 参考文献 ................................ ................................ .............. 5 DB41/T 2985 —2025 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由河南省行政审批和政务信息管理局提出。 本文件由河南省大数据标准化技术委员会（ HN/TC 26）归口。 本文件起草单位：河南省政务大数据中心、南威软件股份有限公司。 本文件主要起草人：张阳、连惠杰、郑岩、谢海宝、刘洋、赵永威、曹诚、张昊、顾晓光、杨涛、 宋潇潇、李肇黄、杨超、龙江涛、左宁、冯文静、蔡振远、吴江、梁欣。DB41/T 2985 —2025 1 政务信息系统安全运行维护规范 1 范围 本文件规定了政务信息系统安全运维的总体要求、制度管理、资产管理、风险管理、安全防护、应 急响应等内容。 本文件适用于政务部门政务信息系统安全运维工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20986 —2023 信息安全技术 网络安全事件分类分级指南 GB/T 28827.3 —2012 信息技术服务 运行维护 第3部分：应急响应规范 3 术语和定义 下列术语和定义适用于本文件。 政务信息系统 由政务部门建设、 运行或使用的， 用于直接支撑政务部门工作或履行其职能的各类非涉密信息系统。 安全运行维护 确保信息系统免受各种安全威胁所采取的一系列预先定义的活动。 注： 以下简称“安全运维”。 4 总体要求 合规性 应符合国家相关法律法规、行业监管要求及标准规范，确保在合法合规前提下开展各项安全运维活 动。 主动防御 基于威胁情报和风险预警，实施安全防护措施，持续降低系统暴露面。 最小化授权 依据岗位职责和业务需求，实行权限动态分配与最小化授权策略。 快速响应 DB41/T 2985 —2025 2 建立可量化、分等级的应急响应机制，明确响应时限与处置流程。 持续改进 通过定期审计、事件回溯与分析评估，优化安全防护策略和运维流程，提升安全运维成熟度。 5 制度管理 系统安全管理制度 应建立符合网络安全等级保护测评、商用密码应用安全性评估等相关要求的系统安全管理制度， 宜 包含资产管理、人员管理、事件管理、安全检查、改进和优化。 安全责任重点人员管理制度 应建立安全责任重点人员管理制度，宜包含重点人员信息收集与整理、人员档案建立、保密承诺书 签订、保密教育、安全检查和网络安全业务培训。 资产管理制度 应建立资产管理制度，宜包含资产跟踪和审核管理、资产管理责任人明确、资产状态监测、资产变 更异常情况告警。 安全培训制度 应建立安全培训制度，宜包含安全运维团队的安全意识培训、安全科普宣传、安全防护演练。 供应链安全管理制度 应建立供应链安全管理制度，宜包含资金、人员和权限等方面的合理配置与控制。 6 资产管理 建立资产清单 应建立涵盖服务器、安全设备、网络设备、 WEB应用、中间件、数据库等在内的资产清单。 维护资产信息 应对资产信息进行动态维护，覆盖资产全生命周期变化情况，确保信息真实、准确、可追溯。维护 内容应包括资产基本信息、资产状态、资产归属、责任人信息以及资产间的关联关系等。 7 风险管理 安全检测 安全检测应包括： a) 漏洞扫描：开展系统漏洞扫描工作，发现政务信息系统存在的安全漏洞等； b) 渗透测试：从外部或内部对目标系统进行模拟攻击测试，以发现潜在的安全弱点和漏洞； c) 代码审计：对代码进行分析，识别潜在的安全隐患和性能问题，并提供修复建议； DB41/T 2985 —2025 3 d) 基线核查：比较当前系统配置与既定的安全基线，识别不符合项和潜在风险； e) 供应链安全检查：分析软件依赖关系、第三方组件和开发流程，检测潜在的漏洞和恶意代码， 确保软件产品安全性； f) 安全风险评估：对资产的重要性、潜在威胁的可能性及其影响进行分析，识别和评价政务信息 系统面临的安全威胁和脆弱性。 威胁情报 应基于威胁情报源 的情报共享 发现潜在威胁和攻击行为，采取相应的安全防护措施 。 安全合规 应开展网络安全等级保护测评、密码应用安全性评估、个人信息保护合规测评、关键基础设施安全 评估等测评工作 。 安全培训 应开展安全意识培训、安全科普宣传、实操演练等工作，传授安全知识、技能和最佳实践，帮助安 全运维团队了解攻击者的手段和技术，提升识别潜在风险能力。 攻防演练 应通过实战攻防演练对政务信息系统安全防御进行检测，发现系统中潜在安全漏洞，深入挖掘系统 风险并进行处置，验证防护措施有效性，每年不少于一次。 8 安全防护 安全设备运维 安全设备运维应包括： a) 可用性监控：持续监测安全设备运行状态，及时发现和处理设备故障； b) 设备更新升级：及时升级和更新安全设备，以抵御最新的攻击手段，提升安全设备的稳定性和 性能； c) 安全策略配置：及时审查备份和更新策略，确保安全防护有效性； d) 设备操作审计：对设备的配置变更操作、检测和监控操作、故障处理操作等进行记录并审计， 确保设备操作安全合规。 安全监测 安全监测应实时采集主机、中间件、数据库、网络、服务等运行维护对象，实时监控并进行综合分 析，识别异常事件或潜在风险。 事件处置 事件处置应包括： a) 遵照GB/T 20986—2023的要求，根据事件影响范围，对事件进行定级分类； b) 开展有效性验证、预案启动、操作留痕、闭环验证，及时完成处置并报告。 安全加固 DB41/T 2985 —2025 4 安全加固应包括： a) 方案制定：对资产进行安全评估，确认安全现状，明确加固措施，制定安全加固和回退方案； b) 实施加固：按照加固方案进行安全加固，实施前应进行数据备份、配置备份、系统文件备份； c) 结果验证：验证安全加固结果是否符合预期要求。 9 应急响应 遵照GB/T 28827.3 —2012的要求，制定应急响应预案，明确 应急团队 职责分工 、建立事件分级机制 和应急处置流程 ，构建安全事件应急响应闭环管理体系。