1 范圍

      本標準規定了辦公信息系統的建設管理、系統運維管理、制度管理和外包管理方面的要求。

      本標準適用于指導黨政部門的辦公信息系統安全管理工作，涉密辦公信息系統的建設管理依據相關國家保密法規和標準要求實施。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術 術語

      GB/T 32926-2016 信息安全技術 政府部門信息技術服務外包信息安全管理規范

      GB/T 37095-2018 信息安全技術 辦公信息系統安全基本技術要求

      GB/T 37096-2018 信息安全技術 辦公信息系統安全測試規范

3 術語和定義

      GB/T 25069-2010和GB/T37095-2018界定的術語和定義適用于本文件。

4 管理要求

4.1 建設管理

4.1.1 方案設計

      方案設計要求如下：

      a）業主單位指定或授權專門的部門，根據辦公信息系統建設原則和建設需求，編制建設的總體規劃、技術框架和詳細設計方案，制定建設工作計劃和管理制度，并形成配套文件；

      b）應組織相關部門和專家對建設中采用的總體規劃、技術框架、詳細設計方案等相關配套文件的合理性和科學性進行論證，并且經過業主單位批準后，才能正式實施。

4.1.2 產品采購和使用

      產品采購和使用要求如下：

      a）應根據辦公信息系統建設原則和建設需求選擇基礎設施、設備、軟硬件產品等，可預先對產品進行選型測試；

      b）產品選擇應依據以下基本要求：

      ——應符合GB/T 37095-2018中針對各產品的技術要求；

      ——應依據GB/T 37096-2018由產品廠商、第三方測試機構、用戶共同進行測試，并由第三方測試機構出具相應證明文件；

      ——相關產品廠商應承諾不私自收集用戶信息；對掌握的用戶信息進行有效保護，不在未授權情況下境外存儲或處理掌握的用戶信息；

      ——相關產品廠商應作出在售后服務中能夠提供原廠服務的承諾。

      c）應確保密碼產品采購和使用符合國家密碼主管部門的要求；

      d）應指定或授權專門的部門負責產品的采購；

      e）產品使用時需遵守相關國家部門或單位規定。

4.1.3 軟件開發

      軟件開發要求如下：

      a）應制定軟件開發管理制度，明確軟件設計、開發、測試、驗收過程的控制方法和人員行為準則；

      b）應制定軟件設計和開發的相關文檔，包括軟件設計文件、源代碼、測試文檔、使用手冊和維護手冊等；

      c）軟件交付前應委托第三方測試機構依據開發要求的技術指標，對軟件功能和性能等進行驗收測試，并檢測源代碼中可能存在的惡意代碼。

4.1.4 工程實施

      工程實施要求如下：

      a）應選擇具備計算機信息系統集成資質的信息系統集成商作為工程實施的承接單位；

      b）應制定詳細的工程實施方案控制實施過程，實施方案包括工程時間限制、進度控制和質量控制等方面內容；

      c）應制定工程實施方面的管理制度，包括工程實施過程的控制方法、實施參與人員的行為準則等方面內容；

      d）應指定或授權專門的部門或人員負責工程實施過程的管理，可通過第三方工程監理控制項目的實施過程。

4.1.5 測試驗收

      測試驗收要求如下：

      a）在測試驗收前應根據設計方案或合同要求等制訂測試驗收方案；

      b）應委托第三方測試機構對系統進行驗收測試，并出具驗收測試報告；

      c）應組織相關部門和相關人員對系統測試驗收報告進行評審；

      d）應組織相關專家、相關部門和相關人員召開項目驗收會，并形成驗收意見。

4.1.6 系統交付

      系統交付要求如下：

      a）應制定系統交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點；

      b）應對負責系統運行維護的技術人員進行相應的技能培訓，形成培訓記錄，記錄培訓內容、培訓時間和參與人員等；

      c）應確保提供系統建設過程中的文檔和指導用戶進行系統運行維護的文檔。

4.1.7 服務商選擇

      服務商選擇要求如下：

      a）應確保服務商的選擇符合國家的有關規定；

      b）應與選定的服務商簽訂相關的協議，明確約定相關責任，協議內容包含服務內容、培訓和服務承諾、保密范圍、安全責任、違約責任、協議的有效期限等。

4.2 系統運維管理

4.2.1 環境管理

      環境管理要求如下：

      a）應建立機房管理制度，內容覆蓋機房物理訪問、物品帶進和帶出機房、機房環境維護等；

      b）應指定專門的部門或人員定期對機房供配電、空調、溫濕度控制等設施進行維護，形成維護記錄，記錄維護日期、維護人、維護設備、故障原因、維護結果等方面內容；

      c）應指定部門負責機房安全，對機房的出入、服務器的開機或關機等工作進行管理。

4.2.2 資產管理

      資產管理要求如下：

      a）應編制并保存與信息系統相關的資產清單，包括資產責任部門、重要程度和所處位置等內容；

      b）應建立資產管理制度，規定信息系統資產管理的責任人員或責任部門，并規范資產管理和使用的行為。

4.2.3 設備管理

      設備管理要求如下：

      a）應對信息系統中的基礎軟硬件產品、主要網絡設備和主要安全設備等指定專門的部門或人員定期進行維護管理，形成設備維護記錄；

      b）應建立基于申報、審批和專人負責的設備管理制度，對信息系統中的基礎軟硬件產品、主要網絡設備和主要安全設備等的選型、采購、發放和領用等過程進行規范化管理；

      c）應確?；A軟硬件產品、主要網絡設備和主要安全設備經過審批才能帶離機房或辦公地點；

      d）應對信息系統中的移動存儲設備建立嚴格的安全管理制度和流程，指定專門的安全人員負責移動存儲設備的采購、使用和銷毀等活動。

4.2.4 監控管理

      監控管理要求如下：

      a）應對通信線路、主機、網絡設備和應用軟件的運行狀況、網絡流量等進行監測和報警，形成記錄并妥善保存；

      b）應組織相關人員定期對監測和報警記錄進行分析、評審，形成分析報告，并采取必要的應對措施。

以上為標準部分內容，也可點擊下方鏈接下載標準原文：

下載地址：《GB/T 37094-2018 信息安全技術 辦公信息系統安全管理要求》