《信息安全技术 信息系统安全运维管理指南-编制说明》.pdfVIP

一、任务来源 根据国家标准化管理委员会下达的2014年国家标准项目制修订计划，国家 标准 《信息安全技术 IT安全运维管理指南》由浙江远望信息股份有限公司负 责主办，中电长城网际系统应用有限公司、中国电子技术标准化研究院、国家信 息 中心等单位参与 ，标准计划 号为T-469 ，项 目编号为 2013bzzd-WG7-004 （全国信息安全标准化技术委员会2013年信息安全专项）。 二、标准必要性和意义 1、为信息系统安全运维相关标准应用，提供统一应用指南。 目前，存在着多个与信息系统安全运维相关的标准，这些标准在内容上各 有侧重，但缺少针对安全运维的全面说明，对信息安全运维管理者来说应用繁杂， 迫切需要透过整合，形成统一的安全运维应用指南。 2、有效解决政府和企事业单位安全运维管理规范性问题。 政府部门和企事业单位业务的开展对信息系统的依赖越来越高，它们一旦出 现安全问题，不但影响会政府部门和企事业单位业务的正常运行，更可能造成业 务机密数据或个人隐私数据的泄露，造成严重的经济、政治和社会影响。本标准 旨在为政府部门和企事业单位的信息系统安全管理者构建规范的安全运维体系 提供指导。 三、主要工作过程 1、2013年底-2014年3月，通过 《2013年信息安全国家标准项目计划第二 批》专家评审，同意标准立项，浙江远望信息股份有限公司负责牵头实施。 2、2014年9月,结合公司当前信息安全管理系列技术和产品，学习查阅我 国现有的安全运维相关的政策及规范性文件。调研我国政府和企事业单位信息网 络安全运维管理现状，提出标准初稿。 3、2014年10月至2015年4月，对已形成的《信息安全技术 IT安全运维 管理指南》标准初稿，广泛征求业界和专家意见，并且组织进行了一次标准专家 评审会，会上专家对标准内容提出了修改意见，标准编制组根据意见进行了修改 完善。 4、2015年5月至2015年10月，参加了由信安标委组织的标准检查会议， 进行了第二次专家评审会，标准编制组根据专家意见对标准继续进行修改完善。 5、2016年10月，参加了“全国信息安全标准化技术委员会2016年第二次 会议周”期间的信息安全管理工作组 （WG7）会议，会上课题组做了标准草案的 全面汇报，并听取了与会单位、企业提出的意见建议。此次会议决定该标准修订 进入征求意见稿阶段。 6、2016年 11月，课题组成员根据会议周上的反馈意见，对标准草案进行 了研究修改形成了较完整的标准草案。 7、2016年 12月上旬，根据会议周的决定，对标准草案做了进一步全面的 修改完善，形成了标准征求意见稿第1稿，并提交。 8、2016年12月22 日，全国信息安全标准化技术委员会WG7组织了专家审 查会。12月25 日，根据会上专家意见对征求意见稿第1稿进行了修改完善，形 成了征求意见 （中英文对照）第2稿，同时更新编制说明和意见汇总表。本次会 议上，提出将标准名称由原来的 “IT安全运维管理指南”修改为 “信息系统安 全运维管理指南”，现提请工作组成员全体会议时决议。 四、主要条款的说明，主要技术指标、参数、实验验证的论述 本标准可作为政府部门和企事业单位在基于GB/T 22080—2016 《信息技术 安全技术 信息安全控制实践指南》、GB/T 20269—2006 《信息安全技术 信息 系统安全管理要求》、GB/T 24405.1—2009 《信息技术 服务管理 第 1部分： 规范》和GB/T 24405.2—2010 《信息技术 服务管理 第2部分：实践规则》 建立信息系统安全运维管理体系过程中选择控制时的参考，或作为政府部门或企 事业单位运维团队在进行信息系统安全运维管理时的指南。 本标准为实现信息系统安全运维提供了一个控制集。该控制集涉及信息系统 安全运维策略、组织、规程和技术等方面，可以用于指导或评估政府和企事业单 位信息系统安全运维管理工作，也可以用于指导或评估信息系统安全运维产品和 方案厂商的研发工作，还可以规范或评估信息系统安全运维服务商提供的服务内 容。主要标准内容如下： 1、信息系统安全运维管理对象和内容的标准化 明确了运维管理对象类别、管理内容和管理指导。具体对象类别包括：信息 系统的安全运维策略、安全运维组织、安全运维流程和安全运维技术等，并且根 据不同管理对象，提出了安全运维的目标、控制和实现指南。 2、资产管理标准化 明确了信息系统价值、安全分级和存