DB15/T 4114-2025 质量基础设施“一站式”服务规范 平台信息系统管理

　　内蒙古自治区地方标准

DB15/T 4114—2025

质量基础设施“一站式”服务规范 平台信息系统管理

Specification for quality infrastructure one-stop service platform information system management

2025-07-30发布

2025-08-30实施

内蒙古自治区市场监督管理局 发布

目 次

前言 ................................ ................................ ................. II

1 范围 ................................ ................................ ............... 1

2 规范性引用文件 规范性引用文件 规范性引用文件 规范性引用文件 ................................ ................................ ..... 1

3 术语和定义 术语和定义 术语和定义 ................................ ................................ ......... 1

4 基本要求 基本要求 基本要求 ................................ ................................ ........... 2 总则 ................................ ................................ ........... 2

一般要求 一般要求 ................................ ................................ ....... 2

5 人员 ................................ ................................ ............... 2 服务人员要求 服务人员要求 服务人员要求 ................................ ................................ ... 2

维护人员要求 维护人员要求 维护人员要求 ................................ ................................ ... 2

6 设备施要求 设备施要求 设备施要求 设备施要求 ................................ ................................ ....... 2

7 权限管理 权限管理 权限管理 ................................ ................................ ........... 3

8 运行管理 运行管理 运行管理 ................................ ................................ ........... 3 使用要求 使用要求 ................................ ................................ ....... 3

数据控制 数据控制 ................................ ................................ ....... 3

9 维护管理 维护管理 维护管理 ................................ ................................ ........... 3 总体要求 总体要求 ................................ ................................ ....... 3

系统软件维护要求 系统软件维护要求 系统软件维护要求 系统软件维护要求 ................................ ............................... 4

设施备维护要求 设施备维护要求 设施备维护要求 设施备维护要求 ................................ ............................... 4

数据备份维护要求 数据备份维护要求 数据备份维护要求 数据备份维护要求 ................................ ............................... 4

10 应急管理 应急管理 应急管理 ................................ ................................ .......... 4

DB15/T 4114—2025

II

前言

本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由内蒙古自治区市场监督管理局提出并归口。

本文件起草单位：包头市检验检测中心、内蒙古自治区市场监督管理局、广东省科学院生物与医学工程研究所、内蒙古自治区特种设备检验研究院、内蒙古自治区质量和标准化研究院、中国机械总院标准化院。

本文件主要起草人：王石塄、杨泽城、陈媛媛、文钰、赵志刚、王勇、李佳、郭华、丁志军、李明洋、巩丽元、薛盛同、岳艺璇、刘晨旭、薛帅、董宇、孙慧。

DB15/T 4114—2025

1

质量基础设施“一站式”服务规范 质量基础设施“一站式”服务规范 质量基础设施“一站式”服务规范 质量基础设施“一站式”服务规范 质量基础设施“一站式”服务规范 平台信息系统管理 平台信息系统管理 平台信息系统管理

1 范围

本文件规定了质量基础设施“一站式”服务平台信息系统的人员要求、设备设施要求、权限管理、运行管理、维护管理、应急管理。

本文件适用于质量基础设施“一站式”服务平台信息系统。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T 22239 信息安全技术 网络安全等级保护基本要求

GB/T 39786 信息安全技术 信息系统密码应用基本要求

GB 50174 数据中心设计规范

DB15/T 2903 质量基础设施“一站式”服务平台建设规范

DB15/T 2904 质量基础设施“一站式”服务平台服务规范

3 术语和定义

下列术语和定义适用于本文件。

质量基础设施 quality infrastructure

由组织、政策、相关法律与监管框架组成，是确保商品和服务质量、安全、环境可靠性的一个完整系统，主要依赖于计量、标准、认证认可、检验检测等要素。

质量基础设施“一站式”服务 quality infrastructure one-stop service

有机融合计量、标准、认证认可、检验检测等要素资源，通过系统化集成、一站式办理，面向企业、产业、区域特别是中小微型企业，提供全链条、全方位、全过程的质量基础设施综合服务。

数据中心 data center

集中放置的电子信息设备提供运行环境的建筑场所，可以是一栋或几栋建筑物，也可以是一栋建筑物的一部分，包括主机房、辅助区、支持区和行政管理区等。

DB15/T 4114—2025

2

4 基本要求 总则

4.1.1 质量基础设施“一站式”服务平台信息化系统是活动及其管理的信息化工具，与业务活动密切相关，用于收集、处理、记录、报告、存储或检索业务活动数据和信息。

4.1.2 应通过日常监控、内部审核、外部评价等途径，核查平台及其辅助设备设施的安全性、适用性和先进性，应对平台建设、运行、维护和停用的风险和机遇，提高管理效益和效率，从而持续满足相关法律法规、客户和管理机构的要求。 一般要求

4.2.1 信息化系统功能宜覆盖DB15/T 2904所包含的服务项目。

4.2.2 应保证信息化系统的便捷和适用，应符合DB15/T 2903所要求的信息化系统建设的数据管理、运行维护等要求，系统应支持国产化软硬件环境。

4.2.3 信息化系统应符合GB/T 22239所要求的网络安全防护及GB/T 39786所要求的商用密码应用安全性要求。

5 人员 服务人员要求

5.1.1 应有能力正确使用系统，严格保护系统隐私和数据，对系统使用过程中获得和产生的信息保密，并保存相关记录。

5.1.2 应参加系统培训，明确系统使用、安全、应急预案等培训内容。

5.1.3 应服从系统岗位授权管理，提高安全认识，不应泄露个人信息。

5.1.4 不应利用个人信息参与破坏系统的活动。 维护人员要求

5.2.1 应了解系统运作和相关文件要求，具有维护系统所需的能力。

5.2.2 应负责系统的日常运行维护工作。

5.2.3 应遵守维护人员管理制度，维护人员宜相对稳定，维护人员离岗后进行权限消除。

6 设备设施要求 应根据系统运行需求，选择合适系统的产品和服务。产品包括硬件和软件，服务包括但不限于建设、运行、维护或退役服务等。系统应支持主流操作系统(如Windows、Linux、国产化系统)及浏览器环境访问。 平台信息系统应选择符合GB 50174要求的数据中心。 应建立系统使用的配套硬件和软件管理程序，明确设备使用、定期核查等要求。 应建立新设备接入的程序，包括但不限于系统自身设备和检测使用设备，接入系统的程序，包括申请、批准、接入数据验证等要求。 系统接口宜采用RESTful API或WebService标准，数据交换格式宜采用JSON/XML，需提供接口文档及版本管理，计算资源管理采用云计算服务的系统应满足：

—— 云服务商需具备网络安全等级保护三级及以上认证;

DB15/T 4114—2025

3

—— 网络数据处理活动应符合《网络数据安全管理条例》要求;

—— 建立云资源弹性扩缩容机制，确保服务连续性。

7 权限管理

应遵循以下原则和要求：

—— 应遵循最小权限原则，制定权限管理制度;

—— 应建立合理的数据管理与权限分配机制，根据职责分配权限;

—— 应定期对权限设置，权限的合理性和准确性进行审核;

—— 应定期评估权限管理制度的有效性，并动态调整;

—— 应详细记录权限分配操作，分配权限操作可追溯;

—— 操作日志需包含：操作内容、操作人、时间戳、IP地址，且至少保留180d。

8 运行管理 使用要求

8.1.1 应方便检索、调取、统计、分析相关系统数据和信息，对数据进行审核和风险评估，新功能上线或重大变更前需通过线上线下并行测试，测试周期不少于7个自然日，并记录测试结果。数据应按敏感程度分级(如公开、内部、机密)，不同级别数据需采取差异化的访问控制和加密措施。

8.1.2 应建立数据的退回、修改机制，保存数据退回、修改的时间，标识修改内容和操作者等。 数据控制

8.2.1 应建立和保持基于质量基础设施“一站式”服务(以下简称服务)流程的运行管理文件，明确各环节操作步骤。

8.2.2 应建立和保持数据库管理程序，明确数据库管理范围、职责以及建立、更新、审核、批准发布的要求。

9 维护管理 总体要求

9.1.1 应维护以保证系统正确使用。维护包括适应性维护和改正性维护，其中适应性维护指为了适应服务内容变化对系统运行环境及功能所做的适当变更，改正性维护指运行中发现了系统中的错误或潜在风险需要修正。

9.1.2 应基于风险思维维护系统。识别风险的途径，包括但不限于：

—— 查阅系统日志和数据库日志;

—— 监测系统配套软、硬件及运行环境变化;

—— 系统预警;

—— 内部和外部审核;

—— 客户投诉;

—— 管理政策或技术标准变化;

—— 突发事件，包括但不限于地震、停电、系统失效等发生时。

9.1.3 应建立维护任务清单及维护预案，经审核后方可进行维护。

DB15/T 4114—2025

4

9.1.4 应建立配置维护机制并周期性进行审计。

9.1.5 对于变更配置可能带来的变化，应在配置变更前进行审核。配置变更后应及时进行测试，确保正常使用。 系统软件维护要求

9.2.1 应建立和保持系统维护制度，确保系统维护的准确性、完整性和安全性。

9.2.2 应定期查阅系统日志，系统日志至少保留6个月，审计日志需单独存储且不可篡改。并分析、评估系统在数据录入前、产生后、存储后以及数据传输过程的完整性。

9.2.3 应监控系统控制台和软件的报警系统，并定期对系统功能模块的有效性进行验证检查，对关键操作(如数据修改、权限调整)需记录操作人、时间戳及操作内容，确保其正常运行。

9.2.4 应定期从系统中抽取数据和信息，核查对录入数据所做的操作过程及结果的完整性和准确性。

9.2.5 应确保系统在受到恶意攻击或不当操作时能够正确运行。 设施设备维护要求

9.3.1 应建立设施设备维护管理制度，包括但不限于维护职责和服务审批等。

9.3.2 应监测设备的硬件和软件，并定期对接入设备进行数据比对，验证有效性。

9.3.3 应监测设施设备运行的环境，并妥善维护。

9.3.4 应对设施设备安装安全控制装置，防止设施设备受到破坏。 数据备份维护要求

9.4.1 应制定分级备份策略(如每日增量备份、每周全量备份)，备份介质宜采用离线存储与云存储结合方式，对长期存储数据，及时进行归档处理。

9.4.2 应定期检查备份数据的完整性和备份介质状态。

9.4.3 应监控备份设备环境条件，满足备份设备所需的环境条件。

9.4.4 应监控备份过程，定期检查备份日志，及时解决问题。

9.4.5 应建立备份恢复预案，定期进行备份恢复演练。

9.4.6 应定期模拟数据丢失的情况，模拟恢复测试频率应不低于每季度一次。并从备份中恢复数据，以验证数据的可靠性。

10 应急管理 应建立应急预案，明确发生突发或异常事件时采取关闭或重启系统的条件和要求。 应每半年至少进行一次应急演练，演练内容需覆盖数据恢复、系统容灾等场景。 在发现意外停机、系统异常时，应立即采取以下应急措施：

—— 应立即实施应急预案，在系统暂时不可用情况下，维护服务连续性;

—— 应排查异常原因，对系统进行备份，防止数据丢失;

—— 应根据异常原因，修复故障并恢复系统运行;

—— 系统异常应在2 h内启动应急预案，24 h内提供初步恢复方案，协调做好应急安排。 在发生故障并造成数据丢失，应采取以下应急措施：

—— 应立即实施应急预案，进行审查追踪记录并进行相关证据收集;

—— 应辨别事件原因，启动纠正措施;

—— 应在最短时间内，选择安全合理措施对系统进行恢复;

—— 应对灾难恢复的全过程应详细记录，以备日后复查。

DB15/T 4114—2025

5

在应急情况下，应清晰地注明任何由人工记录转录至系统中的数据。 应急状况结束后，应对存在问题进行分析，建立问题档案和研究解决方法，完善应急处理预案。