新系统上线管理办法-v1.docxVIP

信息系统上线管理细则

为加强信息资产的测试验收与交付上缘整改复测上线的管理，规范上线流程，依据《***网络与信息安全管理办法》，参考《网络安全等级保护》评测要求，特制定本管理细则。

本管理办法适用XXX所有信息资产的上线环节相关工

作。

系统上线前需按照以下几个阶段，遵循相应的流程进

行上线工作。信息化类项目实施完成后，需完成资产信息上线申请、系统上线安全评估及结论、整改及复测、系统上线试运行几个阶段。

一、上线申请阶段

1、系统使用方需进行纸质《信息系统应用服务开放备案表》的填报（见附件一X填报前需准备如下资料作为备案表附件：有效的《软件产品登记测试报告》、《代码审计报告》。填报完成后纸质申请表上交XXX部门。

2、有效的《软件产品登记测试报告》系有资质的检测

机构依据《系统与软件工程系统与软件质量要求和评价》

GB/T25000.10-2016出具的。

二、系统上线安全评估阶段

申请通过接入xxx网络后，需由应用系统开发商委托安全服务提供商依据《国家信息安全风险评估标准》(GB/T20984-2022)对新系统进行上线安全评估,并出具《安全评估报告》，报告必须提示中高风险并提出整改建议。

三、整改及复测

系统使用方需依据整改建议，就管理方向和技术方向

分别进行整改。整改措施可能包括调整资源配置、更改安全需求、安全配置管理等，技术措施包括数据、载体、环境与边界四类纠正措施。完成后需重新提交纸质申请表，

直至复测通过，方可进入试运行阶段。

四、完成试运行阶段后，按照验收标准验收后，系统转入运维阶段，运维阶段的操作规范参照《系统安全运维规范》。

五、上线流程图

复测通过

整改

附件一

***

信息系统应用服务开放备案表

备案编号

备案类型

应用名称

应用来源

研发单位

申请部门

部门负责人

联系方式

部署单位

联系人

联系方式

应用基本信息

域名

ICP备案号

操作系统类型及版本

应用架构模式

中间件及版本

开发语言

数据库及版本

数据库权限

服务需求

承载服务的IP

对内服务端口号和通信协议

（TCP/UDP端口、协议类型）分别

列出

对外服务端口号和通信协议

（TCP/UDP端口、协议类型）分别

列出

服务其他通信需要（分别列出源目的IP、端口、通信协议名称）

服务维护信息

远程维护通信协议与端口

（TCP/UDP端口、协议类型）分别

列出

维护单位

联系人

联系方式

校内联系人

联系方式

上线前安全

检测

是否提交《软件产品登记测试报

告》

是否提交《代码审计报告》

是否通过系统上线前安全检测

申请单位负责人审核意见

XXX厅信息中心工作人员

XXX厅信息中心审核意见

填报说明：

1,部署单位是指执行实施的具体单位（公司）；

2、每一张表对应一个应用服务（不是服务器！），运行过程中，本表内填写的信息发生变化时（如出现服务需求、联系人变化等情况），请直接使用本表单填写备案编号和对应的需要变更的信息，选择变更备案类型，并重新填写；

3、严禁对外直接提供数据库访问或者全端口开放，涉及到对外提供数据、文件、邮件、页面的，要在公安局进行信息安全等级保护备案，才能开通。凡是不涉及对外通信的，可以不填写对外信息；

4、维护单位包含对内维护单位和对外维护单位（如果有）；

5、当第一次备案时需要选择“新建“备案类型，不用填写备案编号，信息中心审核实施后会反馈统一编号；

6、远程服务提供原则上仅限信息中心内部网络。