《信息系統(tǒng) 安全運維管理規(guī)范》

ICS

點擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號

T/KMNSA

團體標(biāo)準(zhǔn)

T/KMNSA001—2024

信息系統(tǒng)安全運維管理規(guī)范

第1部分：通用系統(tǒng)

（征求意見稿）

2024-XX-XX發(fā)布2024-XX-XX實施

昆明市網(wǎng)絡(luò)安全協(xié)會發(fā)布

1

目??次

前??言...............................................................................3

信息系統(tǒng)安全運維管理規(guī)范...............................................................1

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術(shù)語和定義...........................................................................2

4縮略語...............................................................................3

5安全運維體系.........................................................................3

5.1安全運維原則.....................................................................3

5.2安全運維目標(biāo).....................................................................3

5.3安全運維框架.....................................................................3

6安全運維策略.........................................................................4

6.1安全運維策略制定.................................................................4

6.2安全運維策略評審.................................................................5

7安全運維組織.........................................................................5

7.1崗位設(shè)置.........................................................................5

7.2人員配備.........................................................................5

7.3授權(quán)與審批.......................................................................5

7.4溝通和合作.......................................................................6

7.5教育和培訓(xùn).......................................................................6

7.6人員錄用.........................................................................7

7.7人員離崗.........................................................................7

7.8外包運維安全管理.................................................................7

7.9外部人員訪問管理.................................................................7

7.10績效評估........................................................................8

8安全運維規(guī)程.........................................................................8

8.1安全運維管理.....................................................................8

8.2檢查............................................................................14

8.3外部協(xié)同........................................................................17

9安全運維支撐系統(tǒng)....................................................................19

9.1檢測識別類系統(tǒng)..................................................................19

9.2防護管理類系統(tǒng)..................................................................19

9.3監(jiān)測審計類系統(tǒng)..................................................................19

9.4響應(yīng)協(xié)同類系統(tǒng)..................................................................20

9.5系統(tǒng)自身安全要求................................................................20

附錄A（資料性）網(wǎng)絡(luò)安全運維人員資質(zhì)建議........................................21

附錄B（資料性）安全運維規(guī)程涉及表單............................................22

B.1資產(chǎn)清單主要記錄元素..............................................................22

B.2信息系統(tǒng)訪問控制與操作............................................................22

B.3監(jiān)測體系內(nèi)容.......................................................................23

B.4監(jiān)測產(chǎn)品類別......................................................................24

1

B.5備份作業(yè)記錄元素..................................................................24

B.6變更控制規(guī)程......................................................................25

B.7應(yīng)急響應(yīng)工作審核..................................................................25

B.8安全配置檢查內(nèi)容..................................................................26

B.9服務(wù)類項目驗收準(zhǔn)備文件............................................................26

附錄C（資料性）安全運維支撐系統(tǒng)功能要求........................................27

C.1檢測識別類系統(tǒng)....................................................................27

C.1.1資產(chǎn)測繪系統(tǒng)..................................................................27

C.1.2安全配置核查系統(tǒng)..............................................................27

C.1.3漏洞掃描系統(tǒng)..................................................................28

C.1.4網(wǎng)站安全監(jiān)測系統(tǒng)..............................................................28

C.1.5違規(guī)外聯(lián)檢測系統(tǒng)..............................................................28

C.2防護管理類系統(tǒng)....................................................................29

C.2.1攻擊面管理系統(tǒng)................................................................29

C.2.2資產(chǎn)管理系統(tǒng)..................................................................29

C.2.3漏洞管理系統(tǒng)..................................................................30

C.2.4安全合規(guī)管理系統(tǒng)..............................................................30

C.2.5安全運維流程管理系統(tǒng)..........................................................31

C.2.6安全運維管理系統(tǒng)..............................................................31

C.3監(jiān)測審計類系統(tǒng)....................................................................32

C.3.1日志審計系統(tǒng)..................................................................32

C.3.2主機審計系統(tǒng)..................................................................32

C.3.3網(wǎng)絡(luò)審計系統(tǒng)..................................................................33

C.3.4數(shù)據(jù)庫審計系統(tǒng)................................................................33

C.3.5應(yīng)用審計系統(tǒng)..................................................................33

C.3.6防火墻策略審計系統(tǒng)............................................................33

C.3.7監(jiān)控系統(tǒng)......................................................................34

C.3.8威脅信息監(jiān)測系統(tǒng)..............................................................34

C.3.9態(tài)勢感知系統(tǒng)..................................................................35

C.4響應(yīng)協(xié)同類系統(tǒng)....................................................................35

C.4.1安全服務(wù)工作臺................................................................35

C.4.2信息通報系統(tǒng)..................................................................35

C.4.3安全編排與自動化響應(yīng)..........................................................36

C.4.4安全中臺......................................................................36

2

信息系統(tǒng)安全運維管理規(guī)范

1范圍

本文件針對運營單位的業(yè)務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全運維的體系、規(guī)程、技術(shù)、團隊、溝通協(xié)作、應(yīng)急

響應(yīng)及應(yīng)急演練做出了規(guī)定。本文件適用于企事業(yè)單位信息系統(tǒng)的網(wǎng)絡(luò)安全運維，也可作為組織開展

網(wǎng)絡(luò)安全運維的依據(jù)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

GB/T1.1—2020標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則

GB/T36626信息安全技術(shù)信息系統(tǒng)安全運維管理指南

GB/T25069信息安全技術(shù)術(shù)語

GB/T42446信息安全技術(shù)網(wǎng)絡(luò)安全從業(yè)人員能力基本要求

GB/T32914信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求

GB/T31722-2015信息安全技術(shù)信息安全風(fēng)險管理

GB/T51314-2018數(shù)據(jù)中心基礎(chǔ)設(shè)施運行維護標(biāo)準(zhǔn)

GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實踐指南

GB/T17901.1-2020信息安全技術(shù)密鑰管理第1部分：框架

GB/43207-2023信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計指南

GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

GB/T20986-2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級指南

GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險評估方法

GB/T28453-2012信息安全技術(shù)信息系統(tǒng)安全管理評估要求

GB/T30276-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范

GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T20984信息安全技術(shù)信息安全風(fēng)險評估規(guī)范

GB/T30283信息安全技術(shù)信息安全服務(wù)分類與代碼

GB/Z20985信息技術(shù)安全技術(shù)信息安全事件管理指南（所有部分）

GB/Z20986信息安全技術(shù)信息安全事件分類分級指南

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南

GB/T25058信息安全技術(shù)網(wǎng)絡(luò)安全等級保護實施指南

GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求

GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

GB/T31495信息安全技術(shù)信息安全保障指標(biāo)體系及評價方法

GB/T42250信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求

1

GB/T42453信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求

GA/T1545信息安全技術(shù)網(wǎng)絡(luò)及安全設(shè)備配置檢查產(chǎn)品安全技術(shù)要求

GA/T1359信息安全技術(shù)信息資產(chǎn)安全管理產(chǎn)品安全技術(shù)要求

GB/T28458信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識與描述規(guī)范

GA/T911信息安全技術(shù)日志分析產(chǎn)品安全技術(shù)要求

GA/T1550信息安全技術(shù)網(wǎng)站安全監(jiān)測產(chǎn)品安全技術(shù)要求

GB/T20945信息安全技術(shù)網(wǎng)絡(luò)安全審計產(chǎn)品技術(shù)規(guī)范

GB/T36643信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范

GB/T43557信息安全技術(shù)網(wǎng)絡(luò)安全信息報送指南

3術(shù)語和定義

GB/T25069-2022、GB/T30283-2022、GB/T32914-2023界定的術(shù)語和定義適用于本文件。

GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。

密鑰key

控制密碼變換操作的符號序列。

病毒virus

一種程序，即通過修改其他程序，使其他程序包含一個自身可能已發(fā)生變化的原程序副本，從而

完成傳播自身程序，當(dāng)調(diào)用受傳染的程序，該程序即被執(zhí)行。

APTadvancedpersistentthreat；高級持續(xù)性威脅

精通復(fù)雜技術(shù)的攻擊者利用多種攻擊方式對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊。

安全漏洞cybersecurityvulnerability

網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析、設(shè)計、實現(xiàn)、配置、測試、運行、維護等過程中，無意或有意產(chǎn)生

的、有可能被利用的缺陷或薄弱點。

安全配置cybersecurityconfiguration

能滿足網(wǎng)絡(luò)安全基本要求的一組或多組核心配置項。

拒絕服務(wù)denialofservice;DoS

阻止對系統(tǒng)資源的經(jīng)授權(quán)訪問或延遲系統(tǒng)的運行和功能，并導(dǎo)致經(jīng)授權(quán)用戶可用性受損。

應(yīng)急響應(yīng)emergencyresponse

組織為應(yīng)對突發(fā)／重大信息安全事件發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施。

應(yīng)急演練emergencydrill

為訓(xùn)練有關(guān)人員和提高應(yīng)急響應(yīng)能力而根據(jù)應(yīng)急預(yù)案和應(yīng)急響應(yīng)計劃所開展的活動。

泄露disclosure

違反信息安全策略，導(dǎo)致數(shù)據(jù)被未經(jīng)授權(quán)的實體使用的行為。

入侵檢測系統(tǒng)intrusiondetectionsystem;IDS

用于識別已嘗試、正在發(fā)生或已經(jīng)發(fā)生的入侵的信息系統(tǒng)。

入侵防御系統(tǒng)intrusionpreventionsystem;IPS

特別設(shè)計用來提供主動響應(yīng)能力的入侵檢測系統(tǒng)的變體。

身份identity

與某一實體相關(guān)的一組屬性。

滲透測試penetrationtesting

以未經(jīng)授權(quán)的動作繞過某一系統(tǒng)的安全機制來檢查信息系統(tǒng)的安全功能，以發(fā)現(xiàn)信息系統(tǒng)安全問

題的手段。

2

風(fēng)險評估riskassessment

風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的整個過程。

安全審計securityaudit

對信息系統(tǒng)記錄與活動的獨立評審和考察，以測試系統(tǒng)控制的充分程度，確保對于既定安全策略

和運行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程三方面提出改進(jìn)建議。

供應(yīng)鏈supplychain

將多個資源和過程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立起連續(xù)供應(yīng)關(guān)系的組織系

列。其中每一組織充當(dāng)需方、供方或雙重角色。

流量分析trafficanalysis

通過觀察通信流量來推斷所關(guān)注信息的過程。

4縮略語

APT高級持續(xù)性威脅（advancedpersistentthreat）

Modem調(diào)制解調(diào)器（Modulator-Demodulator）

SD安全數(shù)字（securedigital）

USB通用串行總線（universalserialbus）

VPN虛擬專用網(wǎng)（virtualprivatenetwork）

5安全運維體系

5.1安全運維原則

信息系統(tǒng)運營方應(yīng)根據(jù)信息系統(tǒng)的保護等級，建立網(wǎng)絡(luò)安全運維管理體系，并符合等級保護、密

碼應(yīng)用、數(shù)據(jù)安全保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護等要求。安全運維管理體系的建立可參考GB/T36626

的要求開展。

5.2安全運維目標(biāo)

安全運維目標(biāo)應(yīng)以利益相關(guān)者的安全需求為導(dǎo)向，基本目標(biāo)應(yīng)包括：

——保障信息系統(tǒng)安全性、穩(wěn)定性、可靠性；

——防止信息系統(tǒng)遭到攻擊和破壞；

——保障信息系統(tǒng)數(shù)據(jù)的安全性。

5.3安全運維框架

安全運維框架（如圖1所示）中，安全運維原則和目標(biāo)是核心，安全運維策略、安全運維組織、安

全運維規(guī)程、安全運維支撐系統(tǒng)是安全運維工作開展的基礎(chǔ)保障。在安全運維開展過程中，需要對所

有安全運維要素進(jìn)行持續(xù)的監(jiān)測和改進(jìn)。

3

圖1安全運維框架圖

6安全運維策略

6.1安全運維策略制定

安全運維策略制定要求包括：

a)應(yīng)對當(dāng)前網(wǎng)絡(luò)安全形勢、國家網(wǎng)絡(luò)安全法律法規(guī)、組織所屬行業(yè)政策要求、組織面臨的網(wǎng)絡(luò)安

全威脅等進(jìn)行調(diào)研和分析，為安全策略制定提供必要的支撐。

b)應(yīng)制定信息系統(tǒng)安全運維工作的總體方針和安全策略，明確組織安全運維工作的總體目標(biāo)、范

圍、原則和框架等，為信息系統(tǒng)安全運維提供原則與指導(dǎo)。

c)信息系統(tǒng)安全運維策略的制定應(yīng)關(guān)注來自業(yè)務(wù)安全戰(zhàn)略、安全運維目標(biāo)、法律法規(guī)和合同、當(dāng)

前和預(yù)期的信息系統(tǒng)安全威脅環(huán)境等方面產(chǎn)生的要求。

d)信息系統(tǒng)安全運維策略主要包括以下內(nèi)容：

1）信息系統(tǒng)安全運維目標(biāo)和原則的定義；

2）分層防護、最小特權(quán)、分區(qū)隔離、隱私保護和日志記錄等技術(shù)內(nèi)容；

3）信息系統(tǒng)安全運維管理相關(guān)的角色責(zé)任和權(quán)限分配情況；

4）處理信息系統(tǒng)安全運維策略的落實出現(xiàn)偏差和意外的過程。

e)信息系統(tǒng)運維策略應(yīng)由以下相關(guān)層面的運維策略組成，包括但不限于：

1）資產(chǎn)管理；

2）物理環(huán)境管理；

3）密鑰與密碼設(shè)備管理；

4）介質(zhì)管理；

5）終端管理；

6）訪問與操作管理；

4

7）監(jiān)測管理；

8）日志管理；

9）備份管理；

10）變更管理；

11）事件及響應(yīng)管理；

12）安全評估管理；

13）安全漏洞管理；

14）安全配置管理；

15）第三方人員管理；

16）供應(yīng)鏈管理；

17）安全驗收管理。

f)應(yīng)根據(jù)信息系統(tǒng)安全運維策略及管理制度制定相應(yīng)的安全運維流程，并對安全運維的管理人員

和實施人員執(zhí)行的各項操作建立操作規(guī)程。

g)信息系統(tǒng)安全運維策略應(yīng)由管理者批準(zhǔn)，并采用合適的、可訪問和可理解的形式傳達(dá)給安全運

維團隊、組織內(nèi)部人員和外部相關(guān)方。

6.2安全運維策略評審

安全運維策略評審要求包括：

a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)信息系統(tǒng)安全運維策略的制定、評審和評價。

b)應(yīng)持續(xù)識別、記錄和更新與信息系統(tǒng)安全運維相關(guān)的法律法規(guī)或技術(shù)環(huán)境、組織環(huán)境及業(yè)務(wù)狀

況發(fā)生的變化情況，作為信息系統(tǒng)安全運維策略及方法持續(xù)改進(jìn)的依據(jù)。

c)應(yīng)定期或當(dāng)信息系統(tǒng)環(huán)境或業(yè)務(wù)安全需求發(fā)生重大改變時，對信息系統(tǒng)安全策略的適宜性、充

分性、有效性進(jìn)行評審，對安全策略進(jìn)行持續(xù)改進(jìn)。

d)信息系統(tǒng)安全運維策略的修訂應(yīng)由管理層批準(zhǔn)。

7安全運維組織

7.1崗位設(shè)置

崗位設(shè)置要求包括：

a)運營單位應(yīng)設(shè)置網(wǎng)絡(luò)安全管理、審計、運維等崗位，崗位可參照GB/T42446-2023中4.2、

4.3規(guī)定的工作類別以及工作任務(wù)進(jìn)行設(shè)置；

b)若網(wǎng)絡(luò)安全運維組織包括外包組織的，應(yīng)設(shè)置現(xiàn)場項目負(fù)責(zé)人，負(fù)責(zé)項目的整體溝通協(xié)調(diào)；

c)各崗位應(yīng)權(quán)責(zé)分離，相互間不得兼任。

7.2人員配備

人員配備要求包括：

a)應(yīng)配備熟悉網(wǎng)絡(luò)安全政策法規(guī)、具有扎實網(wǎng)絡(luò)安全技能的人員開展網(wǎng)絡(luò)安全運維，技能要求

可參照GB/T42446-2023中5、6的規(guī)定；

b)應(yīng)配備與安全運維目標(biāo)相適應(yīng)的人員，重要運維崗位宜配備AB角；

c)宜配備具有網(wǎng)絡(luò)安全技能資質(zhì)的人員，參考的資質(zhì)見附錄A。

7.3授權(quán)與審批

5

授權(quán)與審批要求包括：

a)應(yīng)建立安全運維的授權(quán)機制，并對安全運維人員的權(quán)限進(jìn)行統(tǒng)一管理和控制；

b)授權(quán)應(yīng)遵循最小權(quán)限原則，只授予安全運維人員完成工作所需的最小權(quán)限；

c)安全運維人員崗位發(fā)生變化時，應(yīng)及時收回或調(diào)整相應(yīng)權(quán)限；

d)應(yīng)建立安全運維活動的審批機制，安全運維活動主要包括運維任務(wù)下達(dá)及執(zhí)行、重要區(qū)域訪

問、系統(tǒng)接入，以及對安全運維對象及資源的變更管理等，變更包括：

——安全運維組織、人員及權(quán)限的調(diào)整；

——安全運維策略或規(guī)程的更改；

——軟硬件設(shè)備更換或參數(shù)調(diào)整；

——軟硬件設(shè)備版本升級或新功能開發(fā)；

——新技術(shù)運用等。

e)應(yīng)建立突發(fā)、緊急事件的快速授權(quán)機制及審批流程，明確啟動觸發(fā)條件，避免該機制被濫

用；

f)應(yīng)定期對授權(quán)和審批進(jìn)行審計，評估授權(quán)及審批管理的有效性和合規(guī)性。審計內(nèi)容包括權(quán)限

的授予、使用、變更和撤銷，以及運維活動對應(yīng)的審批流程等。

7.4溝通和合作

授權(quán)與審批要求包括：

a)應(yīng)建立安全運維組織的內(nèi)外部溝通合作機制，方式包括：

——信息共享，如建立共享的信息平臺、知識庫等；

——定期總結(jié)和匯報；

——開展協(xié)同工作和應(yīng)急處置；

——組織或參加會議；

——組織或參加技術(shù)交流和競賽等。

b)應(yīng)建立與上級主管部門、內(nèi)外部網(wǎng)絡(luò)安全相關(guān)單位的溝通合作，并建立聯(lián)系列表。外部聯(lián)系

單位包括：

——網(wǎng)絡(luò)安全主管部門；

——行業(yè)主管部門、行業(yè)協(xié)會、同行業(yè)單位；

——業(yè)務(wù)系統(tǒng)涉及的相關(guān)機構(gòu)，如軟硬件廠商、外包服務(wù)商、網(wǎng)絡(luò)或云服務(wù)運營商等；

——網(wǎng)絡(luò)安全服務(wù)機構(gòu)等。

7.5教育和培訓(xùn)

教育和培訓(xùn)要求包括：

a)應(yīng)建立安全運維培訓(xùn)體系，保證必要的培訓(xùn)經(jīng)費，并根據(jù)安全運維目標(biāo)、策略或崗位設(shè)計相

應(yīng)的培訓(xùn)課程（培訓(xùn)內(nèi)容可參照GB/T42446-2023中5、6的規(guī)定）、制定培訓(xùn)計劃；

b)應(yīng)確保培訓(xùn)內(nèi)容具備針對性和實用性，內(nèi)容宜包括網(wǎng)絡(luò)安全基礎(chǔ)、專業(yè)技能、安全管理、實

踐案例等，并通過訓(xùn)后考試、隨機抽測、問卷調(diào)查等方式評估培訓(xùn)質(zhì)量；

c)應(yīng)采取多樣化培訓(xùn)方式，如線上下課程、研討分享、實操演練、攻防實戰(zhàn)等；

d)應(yīng)定期組織開展安全運維培訓(xùn)，培訓(xùn)周期如下：

——日常安全培訓(xùn)列入工作計劃，每季度宜開展1次；

——專項安全培訓(xùn)應(yīng)列入培訓(xùn)計劃，每年宜開展1次；

——重要風(fēng)險預(yù)警及處置、上級主管部門組織的專題培訓(xùn)實時開展；

——外部機構(gòu)組織的能力提升、資格認(rèn)證類培訓(xùn)列入培訓(xùn)計劃，每年宜開展1次。

6

7.6人員錄用

人員錄用的要求包括：

a)應(yīng)確保招聘錄用的安全運維人員與崗位需求和職責(zé)相匹配；

a)安全運維管理、審計崗位應(yīng)由內(nèi)部人員擔(dān)任；

b)應(yīng)對安全運維人員的身份、背景、資質(zhì)進(jìn)行審查。當(dāng)人員的身份、安全背景等發(fā)生變化時，

應(yīng)重新進(jìn)行安全背景審查；

c)安全運維人員應(yīng)在上崗前簽署網(wǎng)絡(luò)安全相關(guān)責(zé)任書和保密協(xié)議。

7.7人員離崗

人員離崗的要求包括：

a)重要安全運維崗位人員離崗前，應(yīng)及時對離崗可能產(chǎn)生的風(fēng)險進(jìn)行評估，并制定相應(yīng)措施；

b)安全運維人員離崗時，應(yīng)在完成工作交接后及時進(jìn)行敏感信息處理，如敏感資料、權(quán)限證

書、密鑰等，并收回權(quán)限，刪除或停用系統(tǒng)賬號；

c)應(yīng)對安全運維人員進(jìn)行離崗前安全審查，簽署書面保密協(xié)議。如果有脫密要求的，應(yīng)在規(guī)定

的脫密期限后方可離崗；

d)應(yīng)留存安全運維人員離崗的相關(guān)記錄。

7.8外包運維安全管理

外包運維安全管理的要求包括：

a)應(yīng)確保選定的外包運維服務(wù)機構(gòu)符合GB/T32914的規(guī)定；

b)應(yīng)與選定的外包運維服務(wù)商簽訂相關(guān)的協(xié)議，約定的內(nèi)容包括：

——外包運維的范圍；

——工作內(nèi)容；

——安全要求；

——保密要求；

——考核機制等。

d)應(yīng)保證所選擇的外包運維服務(wù)商，在安全技術(shù)和管理方面的能力均符合系統(tǒng)相應(yīng)等級的安全

要求，并將能力要求在簽訂的協(xié)議中明確，運維外包服務(wù)商宜具備相應(yīng)的網(wǎng)絡(luò)安全服務(wù)資

質(zhì)，服務(wù)資質(zhì)可參見附錄表A.2。

c)應(yīng)對外包運維過程進(jìn)行實時監(jiān)控，并定期對服務(wù)質(zhì)量進(jìn)行評價，評價內(nèi)容包括：

——項目管理，評價項目的執(zhí)行情況；

——組織和人員，評價崗位設(shè)置是否合理，運維人員的能力素質(zhì)等；

——服務(wù)質(zhì)量，評價運維目標(biāo)的實現(xiàn)、運維策略的執(zhí)行情況等；

——技術(shù)和設(shè)備，評價在安全運維過程中采用的技術(shù)和設(shè)備使用情況和運用效果；

——事件響應(yīng)，評價安全事件的響應(yīng)和處置能力；

——成本效益，評價項目的成本支出以及所取得效益。

7.9外部人員訪問管理

外部人員訪問管理的要求包括：

a)外部人員訪問安全運維相關(guān)的重要場所或系統(tǒng)應(yīng)通過審批；

b)應(yīng)對外部人員明確安全及保密要求，有必要的應(yīng)簽訂安全或保密協(xié)議；

c)應(yīng)對外部人員訪問做好記錄，并對訪問的全過程進(jìn)行監(jiān)督控制；

d)因工作需要為外部人員臨時開放的權(quán)限，應(yīng)在工作結(jié)束后立即收回。

7

7.10績效評估

績效評估的要求包括：

a)應(yīng)建立運維組織績效評估指標(biāo)，包括：

——業(yè)務(wù)指標(biāo)，如運維目標(biāo)達(dá)成、流程控制等；

——財務(wù)指標(biāo)，如費用支出、效益及風(fēng)險控制等；

——人力資源指標(biāo)，如團隊協(xié)作、學(xué)習(xí)成長、人員激勵考核等。

b)績效評價方法可采用KPI（關(guān)鍵績效指標(biāo)）、OKR（目標(biāo)與關(guān)鍵成果）、BSC（平衡記分卡）

等方法；

c)應(yīng)定期開展績效評估，可采用自評估與外評估相結(jié)合的形式，并及時向運維團隊反饋評估結(jié)

果。

8安全運維規(guī)程

8.1安全運維管理

8.1.1資產(chǎn)管理

本項要求包括：

a)需要首先識別其資產(chǎn)，資產(chǎn)可分為以下兩個主要類別：

1）主要資產(chǎn)，主要資產(chǎn)包含業(yè)務(wù)過程、信息和數(shù)據(jù)資產(chǎn)。其中數(shù)據(jù)資產(chǎn)是組織擁有或者控

制的，能進(jìn)行計量，為組織帶來價值的數(shù)據(jù)資源。

2）支撐性資產(chǎn)，支撐性資產(chǎn)包含硬件、軟件、網(wǎng)絡(luò)、人員、場所及組織結(jié)構(gòu)。

b)可通過主動探測、被動分析，以及信息調(diào)研的方式對資產(chǎn)進(jìn)行測繪，發(fā)現(xiàn)網(wǎng)絡(luò)中的資產(chǎn)。

c)應(yīng)明確資產(chǎn)的重要性，可參考GB/T31722—2015中附錄B的方法計算資產(chǎn)的價值。

d)應(yīng)對資產(chǎn)進(jìn)行分類分級，根據(jù)資產(chǎn)類型分別建立詳細(xì)的資產(chǎn)清單并采用統(tǒng)一的資產(chǎn)編碼對資

產(chǎn)進(jìn)行標(biāo)識。

e)資產(chǎn)清單應(yīng)明確資產(chǎn)的類型、資產(chǎn)所屬關(guān)系、資產(chǎn)間依賴關(guān)系、資產(chǎn)維護關(guān)系、部署關(guān)系、

服務(wù)功能、基礎(chǔ)軟件版本、存放數(shù)據(jù)情況、與攻擊目標(biāo)相連情況、開放端口/服務(wù)、可訪問位

置與授權(quán)、覆蓋的防護手段等。資產(chǎn)清單宜包含的主要記錄元素見本規(guī)范附錄B中表B.1。

f)對于資產(chǎn)的變更應(yīng)根據(jù)組織安全策略及時對資產(chǎn)清單進(jìn)行更新。

g)應(yīng)通過技術(shù)手段實現(xiàn)對資產(chǎn)屬性變更的監(jiān)控、感知和預(yù)警。

h)應(yīng)根據(jù)組織安全策略定期對資產(chǎn)清單進(jìn)行更新和維護，保證資產(chǎn)與目標(biāo)保持一致，確保資產(chǎn)

記錄的真實性、一致性、正確性。

i)應(yīng)通過安全評估確認(rèn)資產(chǎn)全生命周期中的安全風(fēng)險并采取相應(yīng)的安全措施保障資產(chǎn)完整性、

機密性和可用性。

8.1.2物理環(huán)境管理

本項要求包括：

a)物理環(huán)境的運行維護范圍按GB/T51314-2018中3.1要求應(yīng)包括電氣系統(tǒng)、通風(fēng)空調(diào)系統(tǒng)、

消防系統(tǒng)和智能化系統(tǒng)。

b)物理環(huán)境運行和維護的一般規(guī)定按GB/T51314-2018中4.1和5.1的要求。

c)物理環(huán)境電氣系統(tǒng)包括供配電系統(tǒng)、不間斷電源和后備電源系統(tǒng)以及照明系統(tǒng)，該系統(tǒng)的運

行和維護按GB/T51314-2018中4.2和5.2的要求。

d)物理環(huán)境通風(fēng)空調(diào)系統(tǒng)包括冷源和水系統(tǒng)、機房空調(diào)和風(fēng)系統(tǒng)。該系統(tǒng)的運行和維護按GB/T

8

51314-2018中4.3和5.3的要求。

e)物理環(huán)境消防系統(tǒng)包括各類滅火系統(tǒng)、支撐消防機制運行的其它相關(guān)附屬設(shè)施，該系統(tǒng)的運

行和維護按GB/T51314-2018中4.4和5.4的要求。

f)物理環(huán)境智能化系統(tǒng)包括環(huán)境和設(shè)備監(jiān)控系統(tǒng)、安全防范系統(tǒng)，該系統(tǒng)的運行和維護按GB/T

51314-2018中4.5和5.5的要求。

g)辦公環(huán)境宜建立和具備防盜竊、防破壞、防火以及安全監(jiān)控的物理安全機制與措施。

h)消防安全重點單位應(yīng)當(dāng)按照滅火和應(yīng)急疏散預(yù)案，至少每半年進(jìn)行一次演練，并結(jié)合實際，

不斷完善預(yù)案。其他單位應(yīng)當(dāng)結(jié)合本單位實際，參照制定相應(yīng)的應(yīng)急方案，至少每年組織一次演

練。

8.1.3密鑰與密碼設(shè)備管理

本項要求包括：

a)應(yīng)指派經(jīng)受保密上崗培訓(xùn)的專人負(fù)責(zé)密鑰和密碼設(shè)備的管理。密鑰的管理按GB/T22081—

2016中10.1.2以及GB/T17901.1-2020的要求。

b)密鑰管理的策略設(shè)計必要時可參考或者應(yīng)達(dá)到GB/43207-2023中附錄C的要求。

c)密鑰生存周期管理可參考GB/T39786-2021中附錄B。

d)密碼設(shè)備應(yīng)放置在安全、保密的網(wǎng)絡(luò)環(huán)境中。網(wǎng)絡(luò)環(huán)境須采取有效隔離措施，避免無關(guān)人員

接觸。

e)密碼設(shè)備的操作和參數(shù)設(shè)置，應(yīng)在有專人監(jiān)督情況下由專業(yè)技術(shù)人專職進(jìn)行操作并作記錄。

f)密碼設(shè)備的維修、定期維護應(yīng)由專業(yè)技術(shù)人專職負(fù)責(zé)。

g)密碼設(shè)備的銷毀應(yīng)遵照相關(guān)法規(guī)及內(nèi)外部監(jiān)管要求。

8.1.4介質(zhì)管理

本項要求包括：

a)基本要求：

1）對脫機存放的各類介質(zhì)（包括信息資產(chǎn)和軟件資產(chǎn)的介質(zhì)）根據(jù)存儲信息的類別和重要

級別進(jìn)行分類分級與控制和保護，以防止被盜、被毀、被修改以及信息的非法泄漏。

2）介質(zhì)的歸檔和查詢應(yīng)有記錄，對存檔介質(zhì)的目錄清單應(yīng)定期盤點；介質(zhì)應(yīng)儲放在安全的

環(huán)境中防止損壞；查詢應(yīng)有審批，明確使用人和傳播范圍的限定。

3）應(yīng)采取安全措施對介質(zhì)的運輸和傳遞過程進(jìn)行保護。

4）對于需要送出維修或銷毀的介質(zhì)，應(yīng)防止信息的非法泄漏。

5）移動介質(zhì)應(yīng)要求專用。每次使用移動介質(zhì)（含軟盤、U盤、移動硬盤、存儲卡等）時，

應(yīng)先進(jìn)行病毒安全查殺后才可以進(jìn)行使用。

b)異地存放要求：

1)對介質(zhì)進(jìn)行標(biāo)識和分類，存放在由專人管理的介質(zhì)庫中，防止被盜、被毀以及信息的非

法泄漏。

2)對存儲保密性要求較高的信息的介質(zhì)，其借閱、拷貝、傳輸須經(jīng)相應(yīng)級別的領(lǐng)導(dǎo)批準(zhǔn)后

方可執(zhí)行，并登記在冊。

3)存儲介質(zhì)的銷毀必須經(jīng)批準(zhǔn)并按指定方式進(jìn)行，不得自行銷毀。

4)介質(zhì)應(yīng)保留2個以上的副本，而且要求介質(zhì)異地存儲，存儲地的環(huán)境要求和管理方法應(yīng)

與本地相同。

a)完整性要求：

1)對重要介質(zhì)的數(shù)據(jù)和軟件必要時可加密存儲。

2)對重要的信息介質(zhì)的借閱、拷貝、分發(fā)傳遞須經(jīng)相應(yīng)級別領(lǐng)導(dǎo)的書面審批后方可執(zhí)行，

9

各種處理過程應(yīng)登記在冊，介質(zhì)的分發(fā)傳遞采取保護措施。

3)對于需要送出維修或銷毀的介質(zhì)，應(yīng)首先刪除信息，再重復(fù)寫操作進(jìn)行覆蓋，防止數(shù)據(jù)

恢復(fù)和信息泄漏；對于存儲過重要信息的介質(zhì)宜進(jìn)行不低于3次包含全1、全0和隨機數(shù)

據(jù)的數(shù)據(jù)寫入覆蓋。

4)需要帶出工作環(huán)境的介質(zhì)，其信息應(yīng)受到保護；宜采用小型密碼箱存儲、信息加密、介

質(zhì)本身加密等保護措施。

5)對存放在介質(zhì)庫中的介質(zhì)應(yīng)定期進(jìn)行完整性和可用性檢查，確認(rèn)其數(shù)據(jù)或軟件沒有受到

損壞或丟失。

b)加密存儲的要求

1)對介質(zhì)中的重要數(shù)據(jù)必須使用符合加密強度要求的加密技術(shù)或數(shù)據(jù)隱藏技術(shù)進(jìn)行存儲。

2)介質(zhì)的保存和分發(fā)傳遞應(yīng)有嚴(yán)格的規(guī)定并進(jìn)行登記。

3)介質(zhì)受損但無法執(zhí)行刪除操作的，必須銷毀。

4)介質(zhì)銷毀在經(jīng)主管領(lǐng)導(dǎo)審批后應(yīng)由兩人完成，一人執(zhí)行銷毀一人負(fù)責(zé)監(jiān)銷，銷毀過程應(yīng)

做記錄。

8.1.5終端管理

本項要求包括：

a)用戶在使用自己的終端計算機時，應(yīng)設(shè)置開機、屏幕保護、目錄共享口令。

b)非組織機構(gòu)配備的終端計算機未獲批準(zhǔn)，不能在辦公、生產(chǎn)場所使用。因工作需要的情況，

應(yīng)在接入本地網(wǎng)絡(luò)進(jìn)行必要的安全檢查，確認(rèn)該終端計算機符合組織安全策略要求。

c)原則上組織機構(gòu)配備的終端計算機不可以接入非辦公生產(chǎn)用網(wǎng)絡(luò)環(huán)境。因工作需要的情況，

應(yīng)確認(rèn)終端計算機已滿足組織安全策略要求，具備相應(yīng)安全防護機制并得到批準(zhǔn)許可。

d)及時安裝經(jīng)過許可的軟件和補丁程序，不得自行安裝及使用其它軟件和自由下載軟件。

e)未獲批準(zhǔn)，嚴(yán)禁使用Modem撥號、無線網(wǎng)卡等方式或另辟通路接入其它網(wǎng)絡(luò)。

f)應(yīng)根據(jù)組織管理要求，合理合規(guī)使用終端自帶攝像頭、拾音硬件、集成無線網(wǎng)卡、藍(lán)牙通信

組件、紅外通訊組件、設(shè)備硬件擴展塢、USB接口、SD讀卡器等嵌入式硬件及接口。

g)需設(shè)置開機口令和屏?？诹?，口令標(biāo)準(zhǔn)等身份鑒別機制參考8.1.6訪問與操作管理章節(jié)內(nèi)容。

h)重要部門的終端計算機應(yīng)要求對磁盤存儲采取加密措施保護存儲數(shù)據(jù)的機密性。

i)重要部門的終端計算機應(yīng)有措施對硬件本身實現(xiàn)物理保護，防止發(fā)生終端丟失、機箱違規(guī)開

啟、內(nèi)部組件的違規(guī)拆卸和添置安裝。

j)應(yīng)安裝統(tǒng)一的防病毒軟件使終端具備對惡意程序、代碼的檢測和清除機制。應(yīng)及時和定期升

級反病毒軟件。

k)應(yīng)定期對終端和相關(guān)軟件進(jìn)行安全漏洞掃描，并根據(jù)掃描結(jié)果及時安裝補丁程序。

l)應(yīng)定期對終端和相關(guān)軟件進(jìn)行安全配置基線檢查，并根據(jù)檢查結(jié)果及時進(jìn)行配置加固。

m)終端的使用、借用、維修和報廢應(yīng)遵循組織管理要求并做記錄。

n)終端的維修和報廢過程中應(yīng)對存儲的敏感信息進(jìn)行備份、刪除等操作，避免發(fā)生數(shù)據(jù)泄露的

風(fēng)險。

8.1.6訪問與操作管理

本項要求包括：

a)應(yīng)為組織自有資源的所有訪問者確定適當(dāng)?shù)脑L問及操作控制規(guī)則、訪問與操作權(quán)及限制，其

詳細(xì)程度和控制的嚴(yán)格程度應(yīng)反映監(jiān)管及組織的安全要求，并能應(yīng)對相關(guān)的信息安全風(fēng)險。

b)信息系統(tǒng)訪問控制與操作包括用戶ID管理，網(wǎng)絡(luò)及系統(tǒng)訪問控制以及數(shù)據(jù)訪問控制，具體要

10

求詳見本規(guī)范附錄B中B.2。

8.1.7監(jiān)測管理

本項要求包括：

a)應(yīng)根據(jù)資產(chǎn)情況，確定監(jiān)控管理的對象和級別，以發(fā)現(xiàn)異常行為實施有效預(yù)警，并采取適當(dāng)

措施評價潛在的信息安全事件。監(jiān)控對象可包括：

1）應(yīng)用系統(tǒng)。

2）支撐應(yīng)用系統(tǒng)運行的系統(tǒng)軟件、工具軟件。

3）網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備。

4）安全設(shè)備。

5）主機、存儲、外設(shè)、終端等設(shè)備。

6）電力、空調(diào)、消防等基礎(chǔ)環(huán)境。

7）業(yè)務(wù)數(shù)據(jù)。

b)應(yīng)建立網(wǎng)絡(luò)安全監(jiān)測體系并滿足相關(guān)監(jiān)測需求，具體詳見本規(guī)范附錄B中表B.3：

c)應(yīng)具備和使用安全產(chǎn)品監(jiān)控工具作為監(jiān)控管理的技術(shù)支撐，主要的安全監(jiān)控產(chǎn)品分類和參考

見本規(guī)范附錄B中表B.4。

d)監(jiān)控工具應(yīng)具備預(yù)定義閾值功能，具備數(shù)據(jù)統(tǒng)計分析能力，根據(jù)預(yù)定義閾值生成告警信息，

可將告警信息通過管理控制臺、電子郵件或即時通信系統(tǒng)等方式發(fā)送給指定人員，工具宜包

括處理大量數(shù)據(jù)、適應(yīng)不斷變化的威脅形勢及允許實時通知的能力。

e)宜配置專人，開展實時或定期監(jiān)控，接收告警信息并做出響應(yīng)。宜建立識別和處理誤報的規(guī)

程，包括調(diào)整監(jiān)視軟件以減少未來誤報的數(shù)量。

f)宜建立含監(jiān)控、告警、處置、信息上報的工作機制。

8.1.8日志管理

本項要求包括：

a)設(shè)備、系統(tǒng)應(yīng)具備日志記錄功能，可記錄驗證、修改、控制、傳輸?shù)热罩拘畔?，信息?yīng)至少

包括時間、事件類型、操作主體、事件內(nèi)容、操作結(jié)果（成功或失?。┑葍?nèi)容。對已記錄的

日志信息應(yīng)做好保護，用戶不宜有修改、刪除等權(quán)限，防止發(fā)生日志信息未經(jīng)授權(quán)變更和銷

毀等情況。

b)日志生成時間應(yīng)由唯一確定的時鐘產(chǎn)生，必要時需要配備NTP服務(wù)器，以保證各種數(shù)據(jù)的管

理和分析在時間上的一致性。

c)日志收集需保障及時性，避免過渡采集導(dǎo)致系統(tǒng)運行異常，信息傳輸過程中要確保日志信息

的完整性和準(zhǔn)確性。對分散在各個設(shè)備上的日志數(shù)據(jù)宜進(jìn)行收集匯總和集中分析。

d)設(shè)備、系統(tǒng)應(yīng)配置足夠的日志存儲空間，保證信息存儲的安全性、完整性，日志記錄應(yīng)至少

保存6個月。包含敏感數(shù)據(jù)和個人可識別信息，宜采取適當(dāng)?shù)碾[私保護措施。

e)應(yīng)啟用日志審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計，

應(yīng)保證審計措施的有效性和時效性。審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、

事件是否成功及其他與審計相關(guān)的信息。應(yīng)對審計記錄進(jìn)行保護，定期備份，避免受到未預(yù)

期的刪除、修改或覆蓋等；審計記錄保存時長應(yīng)不少于6個月。

f)日志審計宜跟進(jìn)業(yè)務(wù)重要程度定期開展：

1）關(guān)鍵業(yè)務(wù)系統(tǒng)和設(shè)備，宜每周不少于1次審計。

2）一般業(yè)務(wù)系統(tǒng)和設(shè)備，宜每月不少于1次審計。

g)日志審計宜重點關(guān)注以下信息：

11

1）實時監(jiān)控和告警，關(guān)鍵業(yè)務(wù)系統(tǒng)和設(shè)備宜通過監(jiān)控和告警機制，及時發(fā)現(xiàn)安全事件并觸

發(fā)響應(yīng)。

2）異常行為分析，發(fā)現(xiàn)異常行為或可疑事件，如未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露等。

3）安全事件調(diào)查，當(dāng)發(fā)現(xiàn)安全事件時，進(jìn)行深入的調(diào)查和分析，以確定事件的原因、范圍

和影響。

4）修復(fù)和加固，對發(fā)現(xiàn)的安全問題進(jìn)行修復(fù)和加固，以消除安全隱患。

5）審計報告和記錄，對發(fā)生的安全事件進(jìn)行報告和記錄，以便對安全問題進(jìn)行跟蹤和管

理。

h)日志分析宜覆蓋對事態(tài)的分析和解釋，以幫助識別異?；顒踊虍惓Ｐ袨椤Ｒ送ㄟ^日志審計系/

軟件、網(wǎng)絡(luò)安全管理平臺等工具輔助人工開展日志檢索、內(nèi)容關(guān)聯(lián)分析、圖表呈現(xiàn)、報告生

成與導(dǎo)出等功能提升日志分析工作效率。

i)日志的銷毀應(yīng)符合監(jiān)管要求及組織的安全策略要求。

8.1.9備份管理

本項要求包括：

a)制定備份計劃和時間表；

b)運維備份的作業(yè)對象主要包括如下：

1）業(yè)務(wù)系統(tǒng)運行產(chǎn)生的信息數(shù)據(jù)。

2）支撐業(yè)務(wù)系統(tǒng)運行的外部信息數(shù)據(jù)。

3）支撐業(yè)務(wù)系統(tǒng)運行的業(yè)務(wù)軟件本身及其它支撐應(yīng)用軟件（如操作系統(tǒng)、數(shù)據(jù)庫軟件、中

間件等）。

4）支撐業(yè)務(wù)系統(tǒng)運行的其它支撐性設(shè)施的（如網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）運行配置信息。

c)應(yīng)根據(jù)備份對象、備份時間、備份頻率、備份方式、備份介質(zhì)、備份模式等制定備份策略。

d)應(yīng)根據(jù)數(shù)據(jù)大小、保留時間和恢復(fù)速度等因素進(jìn)行選擇合適的備份媒介。

e)應(yīng)制定數(shù)據(jù)備份、恢復(fù)規(guī)范和操作流程及管理指導(dǎo)文檔，保障不同數(shù)據(jù)存儲過程的保密性，

完整性、可用性和可追溯性。

f)應(yīng)針對備份過程及結(jié)果建立備份作業(yè)記錄表單。記錄表單主要記錄元素見本規(guī)范附錄B中表

B.5。

g)應(yīng)啟用數(shù)據(jù)備份產(chǎn)品存儲空間使用監(jiān)控功能，當(dāng)存儲空間已滿或達(dá)到閾值時，告警提示。

h)安全日志審計備份應(yīng)不少于180天。

i)應(yīng)考慮和提供足夠數(shù)量的備份拷貝，以確保在災(zāi)難和備份介質(zhì)本身故障之后仍可以恢復(fù)業(yè)務(wù)

信息和軟件。備份拷貝應(yīng)分別存儲在主要場地和備份場地。

j)備份拷貝要存儲在有足夠距離的遠(yuǎn)程地點，避免主要場地災(zāi)難時受到一并損壞。

k)對于重要的業(yè)務(wù)應(yīng)用至少要保留三代或若干周期的備份信息。對重要的業(yè)務(wù)信息數(shù)據(jù)可采取

存儲至少三份備份拷貝，使用兩種類型的存儲介質(zhì)，并將一份備份拷貝存放到遠(yuǎn)程地點的備

份方式。

l)應(yīng)對備份介質(zhì)提供包括防盜、防火、防潮、防電磁輻射等在內(nèi)的物理環(huán)境保護。

m)應(yīng)對備份拷貝進(jìn)行安全管理并宜采用加密機制防止未經(jīng)授權(quán)的訪問和篡改、避免由于管理不

善造成數(shù)據(jù)損壞、信息泄露等安全風(fēng)險。

n)應(yīng)根據(jù)備份信息的重要性定期檢查和測試恢復(fù)規(guī)程，確保備份拷貝的有效性。

o)建立備份策略的監(jiān)控機制，及時發(fā)現(xiàn)備份故障和異常，生成備份報告，以供分析和改進(jìn)備份

策略。

p)安全應(yīng)急演練中應(yīng)包含數(shù)據(jù)安全演練內(nèi)容，檢驗和保障備份與恢復(fù)機制和策略的有效性。

12

q)備份介質(zhì)的使用、利舊及報廢應(yīng)遵從組織的安全管理策略。

r)對于超出組織明確保存期的備份拷貝，應(yīng)根據(jù)組織的安全管理策略在進(jìn)行安全評估后及時恰

當(dāng)?shù)匿N毀這些備份拷貝。

8.1.10變更管理

本項要求包括：

a)宜將變更控制規(guī)程文件化，并強制實施，以確保從早期設(shè)計到后續(xù)維護中整個系統(tǒng)開發(fā)生存

周期內(nèi)，信息處理設(shè)施和信息系統(tǒng)中信息的保密性、完整性和可用性。

b)可納入變更管理的安全運維工作主要包括：

1）IT基礎(chǔ)設(shè)施的擴容或縮減。

2）軟件或硬件的升級或降級。

3）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的調(diào)整。

4）安全策略的調(diào)整。

5）軟件或硬件系統(tǒng)的配置更改。

6）應(yīng)用程序的代碼更改。

7）系統(tǒng)補丁更新。

8）外部接口的變更等。

c)應(yīng)建立變更控制規(guī)程，且嚴(yán)格按照規(guī)程執(zhí)行變更并對變更情況進(jìn)行記錄。建立變更控制的規(guī)

程的考慮、變更流程的環(huán)節(jié)以及變更記錄表的記錄元素見本規(guī)范附錄B中表B.6。

d)變更應(yīng)加強風(fēng)險評估，評估應(yīng)考慮以下內(nèi)容：

1）數(shù)據(jù)泄露風(fēng)險。

2）服務(wù)中斷風(fēng)險。

3）安全漏洞風(fēng)險。

4）配置錯誤風(fēng)險。

5）兼容性問題風(fēng)險。

e)變更分級可分為4個級別：

1）初級變更，針對一些較低風(fēng)險或影響較小的變更，可以由業(yè)務(wù)部分負(fù)責(zé)人審批以及運維

團隊中的初級成員或系統(tǒng)管理員進(jìn)行變更授權(quán)和執(zhí)行；

2）中級變更，針對一些中等風(fēng)險或有一定影響的變更，需要由運維團隊中的中級成員或高

級系統(tǒng)管理員進(jìn)行變更授權(quán)和執(zhí)行；

3）高級變更，針對一些高風(fēng)險或影響較大的變更，需要由運維團隊負(fù)責(zé)人或資深技術(shù)專家

進(jìn)行變更授權(quán)和執(zhí)行；

4）特別授權(quán)，針對一些特殊情況或緊急情況下的變更，可以由公司高層領(lǐng)導(dǎo)或跨部門協(xié)作

小組進(jìn)行特別授權(quán)和執(zhí)行。

8.1.11事件及響應(yīng)管理

本項要求包括：

a)網(wǎng)絡(luò)安全事件是由于人為原因、網(wǎng)絡(luò)遭受攻擊、網(wǎng)絡(luò)存在漏洞隱患、軟硬件缺陷或故障、不

可抗力等因素，對網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造成危害，對國家、社會、經(jīng)

濟造成負(fù)面影響的事件。

b)網(wǎng)絡(luò)安全事件的分類按GB/T20986-2023中5的規(guī)定。

c)網(wǎng)絡(luò)安全事件的級別按GB/T20986-2023中6.2的規(guī)定。

d)應(yīng)建立網(wǎng)絡(luò)安全事件預(yù)警、處置、上報的安全管理策略、制度、機制和流程。

13

e)應(yīng)建立事件響應(yīng)小組。事件響應(yīng)小組團隊成員應(yīng)由組織領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人、以及外部響

應(yīng)支撐機構(gòu)相關(guān)人員組成?？善刚埾嚓P(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家組。

f)應(yīng)根據(jù)應(yīng)急事件的級別和應(yīng)急響應(yīng)的場景制定應(yīng)急響應(yīng)預(yù)案。應(yīng)急響應(yīng)預(yù)案可以分為總體預(yù)

案和針對某個核心系統(tǒng)、某個響應(yīng)場景的專項預(yù)案。應(yīng)急響應(yīng)預(yù)案應(yīng)包含以下主要內(nèi)容：

1）應(yīng)急響應(yīng)預(yù)案的編制目的、依據(jù)和適用范圍。

2）應(yīng)急響應(yīng)具體的組織體系結(jié)構(gòu)及人員職責(zé)。

3）應(yīng)急響應(yīng)的監(jiān)測和預(yù)警機制。

4）應(yīng)急響應(yīng)預(yù)案的啟動。

5）應(yīng)急事件級別及對應(yīng)的處置流程、方法。

6）應(yīng)急響應(yīng)的保障措施。

7）應(yīng)急預(yù)案的附則。

g)應(yīng)制定應(yīng)急響應(yīng)培訓(xùn)計劃，并組織相關(guān)人員參與。培訓(xùn)應(yīng)使參訓(xùn)人員明確其在應(yīng)急響應(yīng)過程

中的責(zé)任范圍、接口關(guān)系，明確應(yīng)急處置的操作規(guī)范和操作流程。培訓(xùn)應(yīng)至少每年舉辦一

次。

h)為驗證應(yīng)急響應(yīng)預(yù)案的有效性，使相關(guān)人員了解預(yù)案的目標(biāo)和內(nèi)容，熟悉應(yīng)急響應(yīng)的操作規(guī)

程，并檢測應(yīng)急響應(yīng)小組的處置能力，應(yīng)進(jìn)行應(yīng)急演練。演練至少每年舉行一次。演練應(yīng)：

1）預(yù)先制定符合演練目的的演練計劃、演練腳本。

2）演練開始前應(yīng)確認(rèn)演練活動的開展和保障條件。

3）演練的整個過程應(yīng)進(jìn)行全程監(jiān)控，應(yīng)有詳細(xì)記錄，并形成報告。

4）演練應(yīng)不影響業(yè)務(wù)的正常運行。對于確有可能影響業(yè)務(wù)正常運行的情況，應(yīng)提前進(jìn)行風(fēng)

險評估，并向相關(guān)利益方進(jìn)行預(yù)警或通告。

5）演練結(jié)束后應(yīng)進(jìn)行活動總結(jié)，并將演練情況納入應(yīng)急響應(yīng)工作評審。

i)應(yīng)定期針對應(yīng)急響應(yīng)工作進(jìn)行評審，評審至少每年舉行一次。審核的內(nèi)容及審核時應(yīng)考慮的

因素見本規(guī)范附錄B中表B.7。

8.2檢查

8.2.1安全評估管理

本項要求包括：

a)運行維護階段安全評估是掌握和控制信息系統(tǒng)及其支撐軟硬件系統(tǒng)運行過程中的安全風(fēng)險。

評估內(nèi)容包括在線運行信息系統(tǒng)及其支撐軟硬件系統(tǒng)資產(chǎn)、面臨威脅、自身脆弱性以及已有

安全措施等各方面。

b)安全評估的評估形式包括自評估、第三方評估和檢查評估。

1）自評估：由信息系統(tǒng)所有者自身發(fā)起，組成組織機構(gòu)內(nèi)部的評估機構(gòu)，依據(jù)國家有關(guān)法

規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)安全管理進(jìn)行的評估活動。

2）第三方評估：由信息系統(tǒng)所有者委托商業(yè)評估機構(gòu)或其它評估機構(gòu)，依據(jù)國家有關(guān)法規(guī)

與標(biāo)準(zhǔn)，對信息系統(tǒng)安全管理進(jìn)行的評估活動。

3）檢查評估：由被評估信息系統(tǒng)所有者的上級主管部門、業(yè)務(wù)部門或國家相關(guān)監(jiān)管部門發(fā)

起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)安全管理進(jìn)行的評估活動。

c)安全評估的范圍應(yīng)結(jié)合已確定的評估目標(biāo)和組織的信息系統(tǒng)建設(shè)情況，合理定義評估對象和

評估范圍邊界，可以參考以下依據(jù)作為評估范圍邊界的劃分原則：

1）業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界。

2）網(wǎng)絡(luò)及設(shè)備載體邊界。

14

3）物理環(huán)境邊界。

4）組織管理權(quán)限邊界。

5）其它。

d)安全評估的具體場景除傳統(tǒng)IT外，應(yīng)包括可能涉及的云計算、移動互聯(lián)，物聯(lián)網(wǎng)、工業(yè)控

制、大數(shù)據(jù)應(yīng)用、跨國業(yè)務(wù)運維等場景。

e)安全評估的方法主要包括：

1）文檔檢查：檢查被評估單位提交的有關(guān)文檔（如系統(tǒng)配置文檔、安全防護方案、自評估

報告等）是否符合相關(guān)標(biāo)準(zhǔn)和要求；

2）人工核查：根據(jù)評估方案和評估指導(dǎo)書，在合理的評估環(huán)境下，核查各項安全功能和防

護能力是否與提交文檔一致，是否符合相關(guān)標(biāo)準(zhǔn)和要求等；

3）工具檢查：根據(jù)評估方案，在被評估單位授權(quán)的前提下，選擇適用的評估工具實施評

估，工具可包括網(wǎng)絡(luò)評估工具、主機評估工具、資產(chǎn)識別工具等。

f)風(fēng)險評估使用的工具可參考GB/T20984-2022中附錄C。

g)運行維護的評估內(nèi)容包含：

1）運行維護階段的組織及人員，安全管理文件體系等保障措施。

2）運行維護階段的環(huán)境與資源管理、運行操作管理、系統(tǒng)維護管理、安全狀態(tài)監(jiān)控、密碼

與數(shù)據(jù)安全管理、業(yè)務(wù)連續(xù)性管理、變更控制與外包管理（包括供應(yīng)鏈）、安全檢查和持

續(xù)改進(jìn)等日常措施。

3）運行維護階段的監(jiān)管合規(guī)性符合、風(fēng)險管理、監(jiān)督與檢查等監(jiān)督措施。

h)風(fēng)險評估實施的階段性工作內(nèi)容按GB/T20984-2022中5的要求。

i)運行維護階段的安全評估應(yīng)常態(tài)化開展。具體要求如下：

1）運營單位對本單位安全保護等級為第三級和第四級的信息系統(tǒng)定期組織開展自評估，評

估周期原則上不超過一年；安全保