政务信息系统安全运行维护规范DB41T 2985-2025.docxVIP

ICS35.240.20CCSL77

41

河南省地方标准

DB41/T2985—2025

政务信息系统安全运行维护规范

2025-10-15发布2026-01-14实施

河南省市场监督管理局发布

DB41/T2985—2025

I

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4总体要求 1

5制度管理 2

6资产管理 2

7风险管理 2

8安全防护 3

9应急响应 4

参考文献 5

DB41/T2985—2025

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由河南省行政审批和政务信息管理局提出。

本文件由河南省大数据标准化技术委员会（HN/TC26）归口。

本文件起草单位：河南省政务大数据中心、南威软件股份有限公司。

本文件主要起草人：张阳、连惠杰、郑岩、谢海宝、刘洋、赵永威、曹诚、张昊、顾晓光、杨涛、宋潇潇、李肇黄、杨超、龙江涛、左宁、冯文静、蔡振远、吴江、梁欣。

1

DB41/T2985—2025

政务信息系统安全运行维护规范

1范围

本文件规定了政务信息系统安全运维的总体要求、制度管理、资产管理、风险管理、安全防护、应急响应等内容。

本文件适用于政务部门政务信息系统安全运维工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T20986—2023信息安全技术网络安全事件分类分级指南

GB/T28827.3—2012信息技术服务运行维护第3部分：应急响应规范

3术语和定义

下列术语和定义适用于本文件。

3.1

政务信息系统

由政务部门建设、运行或使用的，用于直接支撑政务部门工作或履行其职能的各类非涉密信息系统。3.2

安全运行维护

确保信息系统免受各种安全威胁所采取的一系列预先定义的活动。

注：以下简称“安全运维”。

4总体要求

4.1合规性

应符合国家相关法律法规、行业监管要求及标准规范，确保在合法合规前提下开展各项安全运维活动。

4.2主动防御

基于威胁情报和风险预警，实施安全防护措施，持续降低系统暴露面。

4.3最小化授权

依据岗位职责和业务需求，实行权限动态分配与最小化授权策略。

4.4快速响应

2

DB41/T2985—2025

建立可量化、分等级的应急响应机制，明确响应时限与处置流程。

4.5持续改进

通过定期审计、事件回溯与分析评估，优化安全防护策略和运维流程，提升安全运维成熟度。

5制度管理

5.1系统安全管理制度

应建立符合网络安全等级保护测评、商用密码应用安全性评估等相关要求的系统安全管理制度，宜包含资产管理、人员管理、事件管理、安全检查、改进和优化。

5.2安全责任重点人员管理制度

应建立安全责任重点人员管理制度，宜包含重点人员信息收集与整理、人员档案建立、保密承诺书签订、保密教育、安全检查和网络安全业务培训。

5.3资产管理制度

应建立资产管理制度，宜包含资产跟踪和审核管理、资产管理责任人明确、资产状态监测、资产变更异常情况告警。

5.4安全培训制度

应建立安全培训制度，宜包含安全运维团队的安全意识培训、安全科普宣传、安全防护演练。

5.5供应链安全管理制度

应建立供应链安全管理制度，宜包含资金、人员和权限等方面的合理配置与控制。

6资产管理

6.1建立资产清单

应建立涵盖服务器、安全设备、网络设备、WEB应用、中间件、数据库等在内的资产清单。

6.2维护资产信息

应对资产信息进行动态维护，覆盖资产全生命周期变化情况，确保信息真实、准确、可追溯。维护内容应包括资产基本信息、资产状态、资产归属、责任人信息以及资产间的关联关系等。

7风险管理

7.1安全检测

安全检测应包括：

a)漏洞扫描：开展系统漏洞扫描工作，发现政务信息系统存在的安全漏洞等；

b)渗透测试：从外部或内部对目标系统进行模拟攻击测试，以发现潜在的安全弱点和漏洞；

c)代码审计：对代码进行分析，识别潜在的安全隐患和性能问题，并提供修复