信息安全技術(shù) 信息系統(tǒng)安全運(yùn)維管理指南-編制說(shuō)明

一、任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)的2014年國(guó)家標(biāo)準(zhǔn)項(xiàng)目制修訂計(jì)劃，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)IT安全運(yùn)維管理指南》由浙江遠(yuǎn)望信息股份有限公司負(fù)責(zé)主辦，中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家信息中心等單位參與，標(biāo)準(zhǔn)計(jì)劃號(hào)為20141130-T-469，項(xiàng)目編號(hào)為2013bzzd-WG7-004（全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2013年信息安全專項(xiàng)）。二、標(biāo)準(zhǔn)必要性和意義1、為信息系統(tǒng)安全運(yùn)維相關(guān)標(biāo)準(zhǔn)應(yīng)用，提供統(tǒng)一應(yīng)用指南。目前，存在著多個(gè)與信息系統(tǒng)安全運(yùn)維相關(guān)的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)在內(nèi)容上各有側(cè)重，但缺少針對(duì)安全運(yùn)維的全面說(shuō)明，對(duì)信息安全運(yùn)維管理者來(lái)說(shuō)應(yīng)用繁雜，迫切需要透過(guò)整合，形成統(tǒng)一的安全運(yùn)維應(yīng)用指南。2、有效解決政府和企事業(yè)單位安全運(yùn)維管理規(guī)范性問(wèn)題。政府部門和企事業(yè)單位業(yè)務(wù)的開(kāi)展對(duì)信息系統(tǒng)的依賴越來(lái)越高，它們一旦出現(xiàn)安全問(wèn)題，不但影響會(huì)政府部門和企事業(yè)單位業(yè)務(wù)的正常運(yùn)行，更可能造成業(yè)務(wù)機(jī)密數(shù)據(jù)或個(gè)人隱私數(shù)據(jù)的泄露，造成嚴(yán)重的經(jīng)濟(jì)、政治和社會(huì)影響。本標(biāo)準(zhǔn)旨在為政府部門和企事業(yè)單位的信息系統(tǒng)安全管理者構(gòu)建規(guī)范的安全運(yùn)維體系提供指導(dǎo)。三、主要工作過(guò)程1、2013年底-2014年3月，通過(guò)《2013年信息安全國(guó)家標(biāo)準(zhǔn)項(xiàng)目計(jì)劃第二批》專家評(píng)審，同意標(biāo)準(zhǔn)立項(xiàng)，浙江遠(yuǎn)望信息股份有限公司負(fù)責(zé)牽頭實(shí)施。2、2014年9月,結(jié)合公司當(dāng)前信息安全管理系列技術(shù)和產(chǎn)品，學(xué)習(xí)查閱我國(guó)現(xiàn)有的安全運(yùn)維相關(guān)的政策及規(guī)范性文件。調(diào)研我國(guó)政府和企事業(yè)單位信息網(wǎng)絡(luò)安全運(yùn)維管理現(xiàn)狀，提出標(biāo)準(zhǔn)初稿。3、2014年10月至2015年4月，對(duì)已形成的《信息安全技術(shù)IT安全運(yùn)維管理指南》標(biāo)準(zhǔn)初稿，廣泛征求業(yè)界和專家意見(jiàn)，并且組織進(jìn)行了一次標(biāo)準(zhǔn)專家評(píng)審會(huì)，會(huì)上專家對(duì)標(biāo)準(zhǔn)內(nèi)容提出了修改意見(jiàn)，標(biāo)準(zhǔn)編制組根據(jù)意見(jiàn)進(jìn)行了修改完善。4、2015年5月至2015年10月，參加了由信安標(biāo)委組織的標(biāo)準(zhǔn)檢查會(huì)議，進(jìn)行了第二次專家評(píng)審會(huì)，標(biāo)準(zhǔn)編制組根據(jù)專家意見(jiàn)對(duì)標(biāo)準(zhǔn)繼續(xù)進(jìn)行修改完善。5、2016年10月，參加了“全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2016年第二次會(huì)議周”期間的信息安全管理工作組（WG7）會(huì)議，會(huì)上課題組做了標(biāo)準(zhǔn)草案的全面匯報(bào)，并聽(tīng)取了與會(huì)單位、企業(yè)提出的意見(jiàn)建議。此次會(huì)議決定該標(biāo)準(zhǔn)修訂進(jìn)入征求意見(jiàn)稿階段。6、2016年11月，課題組成員根據(jù)會(huì)議周上的反饋意見(jiàn)，對(duì)標(biāo)準(zhǔn)草案進(jìn)行了研究修改形成了較完整的標(biāo)準(zhǔn)草案。7、2016年12月上旬，根據(jù)會(huì)議周的決定，對(duì)標(biāo)準(zhǔn)草案做了進(jìn)一步全面的修改完善，形成了標(biāo)準(zhǔn)征求意見(jiàn)稿第1稿，并提交。8、2016年12月22日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)WG7組織了專家審查會(huì)。12月25日，根據(jù)會(huì)上專家意見(jiàn)對(duì)征求意見(jiàn)稿第1稿進(jìn)行了修改完善，形成了征求意見(jiàn)（中英文對(duì)照）第2稿，同時(shí)更新編制說(shuō)明和意見(jiàn)匯總表。本次會(huì)議上，提出將標(biāo)準(zhǔn)名稱由原來(lái)的“IT安全運(yùn)維管理指南”修改為“信息系統(tǒng)安全運(yùn)維管理指南”，現(xiàn)提請(qǐng)工作組成員全體會(huì)議時(shí)決議。四、主要條款的說(shuō)明，主要技術(shù)指標(biāo)、參數(shù)、實(shí)驗(yàn)驗(yàn)證的論述本標(biāo)準(zhǔn)可作為政府部門和企事業(yè)單位在基于GB/T22080—2016《信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南》、GB/T20269—2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》、GB/T24405.1—2009《信息技術(shù)服務(wù)管理第1部分：規(guī)范》和GB/T24405.2—2010《信息技術(shù)服務(wù)管理第2部分：實(shí)踐規(guī)則》建立信息系統(tǒng)安全運(yùn)維管理體系過(guò)程中選擇控制時(shí)的參考，或作為政府部門或企事業(yè)單位運(yùn)維團(tuán)隊(duì)在進(jìn)行信息系統(tǒng)安全運(yùn)維管理時(shí)的指南。本標(biāo)準(zhǔn)為實(shí)現(xiàn)信息系統(tǒng)安全運(yùn)維提供了一個(gè)控制集。該控制集涉及信息系統(tǒng)安全運(yùn)維策略、組織、規(guī)程和技術(shù)等方面，可以用于指導(dǎo)或評(píng)估政府和企事業(yè)單位信息系統(tǒng)安全運(yùn)維管理工作，也可以用于指導(dǎo)或評(píng)估信息系統(tǒng)安全運(yùn)維產(chǎn)品和方案廠商的研發(fā)工作，還可以規(guī)范或評(píng)估信息系統(tǒng)安全運(yùn)維服務(wù)商提供的服務(wù)內(nèi)容。主要標(biāo)準(zhǔn)內(nèi)容如下：1、信息系統(tǒng)安全運(yùn)維管理對(duì)象和內(nèi)容的標(biāo)準(zhǔn)化明確了運(yùn)維管理對(duì)象類別、管理內(nèi)容和管理指導(dǎo)。具體對(duì)象類別包括：信息系統(tǒng)的安全運(yùn)維策略、安全運(yùn)維組織、安全運(yùn)維流程和安全運(yùn)維技術(shù)等，并且根據(jù)不同管理對(duì)象，提出了安全運(yùn)維的目標(biāo)、控制和實(shí)現(xiàn)指南。2、資產(chǎn)管理標(biāo)準(zhǔn)化明確了信息系統(tǒng)價(jià)值、安全分級(jí)和存儲(chǔ)介質(zhì)管理的規(guī)程和實(shí)施方法。3、訪問(wèn)控制標(biāo)準(zhǔn)化明確了訪問(wèn)控制的業(yè)務(wù)要求、用戶訪問(wèn)管理、系統(tǒng)和應(yīng)用訪問(wèn)控制的目標(biāo)、控制和實(shí)施指南。4、信息系統(tǒng)安全事件管理的標(biāo)準(zhǔn)化確保采用一致和有效的方法對(duì)信息系統(tǒng)安全事件進(jìn)行管理，包括對(duì)安全事態(tài)和弱點(diǎn)的溝通，明確了安全事件的責(zé)任和規(guī)程，安全事態(tài)的報(bào)告、評(píng)估和決策，事件響應(yīng)和證據(jù)收集的實(shí)現(xiàn)指南。5、信息系統(tǒng)安全服務(wù)臺(tái)的標(biāo)準(zhǔn)化明確了信息系統(tǒng)安全服務(wù)臺(tái)實(shí)現(xiàn)信息系統(tǒng)安全運(yùn)行的統(tǒng)一監(jiān)控與處理；配置管理平臺(tái)負(fù)責(zé)自動(dòng)發(fā)現(xiàn)信息系統(tǒng)相關(guān)軟硬件資產(chǎn)，為安全運(yùn)維提供基礎(chǔ)數(shù)據(jù)。6、信息系統(tǒng)安全運(yùn)維管理實(shí)現(xiàn)工具采用安全信息與事件管理（SIEM）平臺(tái)作為信息系統(tǒng)安全運(yùn)維管理的實(shí)現(xiàn)工具，包括資產(chǎn)發(fā)現(xiàn)與管理系統(tǒng)、脆弱性掃描與管理系統(tǒng)、入侵檢測(cè)系統(tǒng)、異常行為監(jiān)測(cè)系統(tǒng)和關(guān)聯(lián)分析系統(tǒng)。本標(biāo)準(zhǔn)對(duì)信息系統(tǒng)安全運(yùn)維管理給出的指導(dǎo)有利于提高信息系統(tǒng)安全運(yùn)維管理的服務(wù)效率和服務(wù)質(zhì)量，促進(jìn)信息系統(tǒng)安全運(yùn)維的標(biāo)準(zhǔn)化建設(shè)和信息系統(tǒng)運(yùn)行的安全性。五、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的，說(shuō)明采標(biāo)程度，以及與國(guó)內(nèi)外同類標(biāo)準(zhǔn)水平的對(duì)比情況本標(biāo)準(zhǔn)是自主編制的國(guó)家標(biāo)準(zhǔn)。六、作為推薦性標(biāo)準(zhǔn)或者強(qiáng)制性標(biāo)準(zhǔn)的建議及其理由本標(biāo)準(zhǔn)以更好地指導(dǎo)政府和企事業(yè)單位信息系統(tǒng)的安全運(yùn)維管理為目的，建議將本標(biāo)準(zhǔn)作為推薦性標(biāo)準(zhǔn)發(fā)布實(shí)施。七、貫徹標(biāo)準(zhǔn)的措施建議為加強(qiáng)政府和企事業(yè)單位對(duì)信息系統(tǒng)的安全運(yùn)維管理工作，結(jié)合我國(guó)情況，建議相關(guān)主管部門通過(guò)舉辦培訓(xùn)班、講座形式進(jìn)行信息系統(tǒng)安全運(yùn)維內(nèi)容宣貫，幫助各級(jí)政府機(jī)構(gòu)和企事業(yè)單位信息系統(tǒng)安全運(yùn)維管理人員和使用人員了解本標(biāo)準(zhǔn)給出的運(yùn)維安全管理指導(dǎo)的基本內(nèi)容。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)IT安全運(yùn)維管理指南》（征求意見(jiàn)稿）編制說(shuō)明國(guó)家標(biāo)準(zhǔn)《信息安全