1 范围

      本标准规定了办公信息系统的建设管理、系统运维管理、制度管理和外包管理方面的要求。

      本标准适用于指导党政部门的办公信息系统安全管理工作，涉密办公信息系统的建设管理依据相关国家保密法规和标准要求实施。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 25069-2010 信息安全技术 术语

      GB/T 32926-2016 信息安全技术 政府部门信息技术服务外包信息安全管理规范

      GB/T 37095-2018 信息安全技术 办公信息系统安全基本技术要求

      GB/T 37096-2018 信息安全技术 办公信息系统安全测试规范

3 术语和定义

      GB/T 25069-2010和GB/T37095-2018界定的术语和定义适用于本文件。

4 管理要求

4.1 建设管理

4.1.1 方案设计

      方案设计要求如下：

      a）业主单位指定或授权专门的部门，根据办公信息系统建设原则和建设需求，编制建设的总体规划、技术框架和详细设计方案，制定建设工作计划和管理制度，并形成配套文件；

      b）应组织相关部门和专家对建设中采用的总体规划、技术框架、详细设计方案等相关配套文件的合理性和科学性进行论证，并且经过业主单位批准后，才能正式实施。

4.1.2 产品采购和使用

      产品采购和使用要求如下：

      a）应根据办公信息系统建设原则和建设需求选择基础设施、设备、软硬件产品等，可预先对产品进行选型测试；

      b）产品选择应依据以下基本要求：

      ——应符合GB/T 37095-2018中针对各产品的技术要求；

      ——应依据GB/T 37096-2018由产品厂商、第三方测试机构、用户共同进行测试，并由第三方测试机构出具相应证明文件；

      ——相关产品厂商应承诺不私自收集用户信息；对掌握的用户信息进行有效保护，不在未授权情况下境外存储或处理掌握的用户信息；

      ——相关产品厂商应作出在售后服务中能够提供原厂服务的承诺。

      c）应确保密码产品采购和使用符合国家密码主管部门的要求；

      d）应指定或授权专门的部门负责产品的采购；

      e）产品使用时需遵守相关国家部门或单位规定。

4.1.3 软件开发

      软件开发要求如下：

      a）应制定软件开发管理制度，明确软件设计、开发、测试、验收过程的控制方法和人员行为准则；

      b）应制定软件设计和开发的相关文档，包括软件设计文件、源代码、测试文档、使用手册和维护手册等；

      c）软件交付前应委托第三方测试机构依据开发要求的技术指标，对软件功能和性能等进行验收测试，并检测源代码中可能存在的恶意代码。

4.1.4 工程实施

      工程实施要求如下：

      a）应选择具备计算机信息系统集成资质的信息系统集成商作为工程实施的承接单位；

      b）应制定详细的工程实施方案控制实施过程，实施方案包括工程时间限制、进度控制和质量控制等方面内容；

      c）应制定工程实施方面的管理制度，包括工程实施过程的控制方法、实施参与人员的行为准则等方面内容；

      d）应指定或授权专门的部门或人员负责工程实施过程的管理，可通过第三方工程监理控制项目的实施过程。

4.1.5 测试验收

      测试验收要求如下：

      a）在测试验收前应根据设计方案或合同要求等制订测试验收方案；

      b）应委托第三方测试机构对系统进行验收测试，并出具验收测试报告；

      c）应组织相关部门和相关人员对系统测试验收报告进行评审；

      d）应组织相关专家、相关部门和相关人员召开项目验收会，并形成验收意见。

4.1.6 系统交付

      系统交付要求如下：

      a）应制定系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点；

      b）应对负责系统运行维护的技术人员进行相应的技能培训，形成培训记录，记录培训内容、培训时间和参与人员等；

      c）应确保提供系统建设过程中的文档和指导用户进行系统运行维护的文档。

4.1.7 服务商选择

      服务商选择要求如下：

      a）应确保服务商的选择符合国家的有关规定；

      b）应与选定的服务商签订相关的协议，明确约定相关责任，协议内容包含服务内容、培训和服务承诺、保密范围、安全责任、违约责任、协议的有效期限等。

4.2 系统运维管理

4.2.1 环境管理

      环境管理要求如下：

      a）应建立机房管理制度，内容覆盖机房物理访问、物品带进和带出机房、机房环境维护等；

      b）应指定专门的部门或人员定期对机房供配电、空调、温湿度控制等设施进行维护，形成维护记录，记录维护日期、维护人、维护设备、故障原因、维护结果等方面内容；

      c）应指定部门负责机房安全，对机房的出入、服务器的开机或关机等工作进行管理。

4.2.2 资产管理

      资产管理要求如下：

      a）应编制并保存与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容；

      b）应建立资产管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。

4.2.3 设备管理

      设备管理要求如下：

      a）应对信息系统中的基础软硬件产品、主要网络设备和主要安全设备等指定专门的部门或人员定期进行维护管理，形成设备维护记录；

      b）应建立基于申报、审批和专人负责的设备管理制度，对信息系统中的基础软硬件产品、主要网络设备和主要安全设备等的选型、采购、发放和领用等过程进行规范化管理；

      c）应确保基础软硬件产品、主要网络设备和主要安全设备经过审批才能带离机房或办公地点；

      d）应对信息系统中的移动存储设备建立严格的安全管理制度和流程，指定专门的安全人员负责移动存储设备的采购、使用和销毁等活动。

4.2.4 监控管理

      监控管理要求如下：

      a）应对通信线路、主机、网络设备和应用软件的运行状况、网络流量等进行监测和报警，形成记录并妥善保存；

      b）应组织相关人员定期对监测和报警记录进行分析、评审，形成分析报告，并采取必要的应对措施。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37094-2018 信息安全技术 办公信息系统安全管理要求》