《信息安全技術(shù) 信息系統(tǒng)安全運維管理指南-編制說明》_第1頁
《信息安全技術(shù) 信息系統(tǒng)安全運維管理指南-編制說明》_第2頁
《信息安全技術(shù) 信息系統(tǒng)安全運維管理指南-編制說明》_第3頁
《信息安全技術(shù) 信息系統(tǒng)安全運維管理指南-編制說明》_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

一、任務(wù)來源

根據(jù)國家標(biāo)準(zhǔn)化管理委員會下達的2014年國家標(biāo)準(zhǔn)項目制修訂計劃,國家

標(biāo)準(zhǔn)《信息安全技術(shù)IT安全運維管理指南》由浙江遠(yuǎn)望信息股份有限公司負(fù)

責(zé)主辦,中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信

息中心等單位參與,標(biāo)準(zhǔn)計劃號為20141130-T-469,項目編號為

2013bzzd-WG7-004(全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2013年信息安全專項)。

二、標(biāo)準(zhǔn)必要性和意義

1、為信息系統(tǒng)安全運維相關(guān)標(biāo)準(zhǔn)應(yīng)用,提供統(tǒng)一應(yīng)用指南。

目前,存在著多個與信息系統(tǒng)安全運維相關(guān)的標(biāo)準(zhǔn),這些標(biāo)準(zhǔn)在內(nèi)容上各

有側(cè)重,但缺少針對安全運維的全面說明,對信息安全運維管理者來說應(yīng)用繁雜,

迫切需要透過整合,形成統(tǒng)一的安全運維應(yīng)用指南。

2、有效解決政府和企事業(yè)單位安全運維管理規(guī)范性問題。

政府部門和企事業(yè)單位業(yè)務(wù)的開展對信息系統(tǒng)的依賴越來越高,它們一旦出

現(xiàn)安全問題,不但影響會政府部門和企事業(yè)單位業(yè)務(wù)的正常運行,更可能造成業(yè)

務(wù)機密數(shù)據(jù)或個人隱私數(shù)據(jù)的泄露,造成嚴(yán)重的經(jīng)濟、政治和社會影響。本標(biāo)準(zhǔn)

旨在為政府部門和企事業(yè)單位的信息系統(tǒng)安全管理者構(gòu)建規(guī)范的安全運維體系

提供指導(dǎo)。

三、主要工作過程

1、2013年底-2014年3月,通過《2013年信息安全國家標(biāo)準(zhǔn)項目計劃第二

批》專家評審,同意標(biāo)準(zhǔn)立項,浙江遠(yuǎn)望信息股份有限公司負(fù)責(zé)牽頭實施。

2、2014年9月,結(jié)合公司當(dāng)前信息安全管理系列技術(shù)和產(chǎn)品,學(xué)習(xí)查閱我

國現(xiàn)有的安全運維相關(guān)的政策及規(guī)范性文件。調(diào)研我國政府和企事業(yè)單位信息網(wǎng)

絡(luò)安全運維管理現(xiàn)狀,提出標(biāo)準(zhǔn)初稿。

3、2014年10月至2015年4月,對已形成的《信息安全技術(shù)IT安全運維

管理指南》標(biāo)準(zhǔn)初稿,廣泛征求業(yè)界和專家意見,并且組織進行了一次標(biāo)準(zhǔn)專家

評審會,會上專家對標(biāo)準(zhǔn)內(nèi)容提出了修改意見,標(biāo)準(zhǔn)編制組根據(jù)意見進行了修改

完善。

4、2015年5月至2015年10月,參加了由信安標(biāo)委組織的標(biāo)準(zhǔn)檢查會議,

進行了第二次專家評審會,標(biāo)準(zhǔn)編制組根據(jù)專家意見對標(biāo)準(zhǔn)繼續(xù)進行修改完善。

5、2016年10月,參加了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2016年第二次

會議周”期間的信息安全管理工作組(WG7)會議,會上課題組做了標(biāo)準(zhǔn)草案的

全面匯報,并聽取了與會單位、企業(yè)提出的意見建議。此次會議決定該標(biāo)準(zhǔn)修訂

進入征求意見稿階段。

6、2016年11月,課題組成員根據(jù)會議周上的反饋意見,對標(biāo)準(zhǔn)草案進行

了研究修改形成了較完整的標(biāo)準(zhǔn)草案。

7、2016年12月上旬,根據(jù)會議周的決定,對標(biāo)準(zhǔn)草案做了進一步全面的

修改完善,形成了標(biāo)準(zhǔn)征求意見稿第1稿,并提交。

8、2016年12月22日,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG7組織了專家審

查會。12月25日,根據(jù)會上專家意見對征求意見稿第1稿進行了修改完善,形

成了征求意見(中英文對照)第2稿,同時更新編制說明和意見匯總表。本次會

議上,提出將標(biāo)準(zhǔn)名稱由原來的“IT安全運維管理指南”修改為“信息系統(tǒng)安

全運維管理指南”,現(xiàn)提請工作組成員全體會議時決議。

四、主要條款的說明,主要技術(shù)指標(biāo)、參數(shù)、實驗驗證的論述

本標(biāo)準(zhǔn)可作為政府部門和企事業(yè)單位在基于GB/T22080—2016《信息技術(shù)

安全技術(shù)信息安全控制實踐指南》、GB/T20269—2006《信息安全技術(shù)信息

系統(tǒng)安全管理要求》、GB/T24405.1—2009《信息技術(shù)服務(wù)管理第1部分:

規(guī)范》和GB/T24405.2—2010《信息技術(shù)服務(wù)管理第2部分:實踐規(guī)則》

建立信息系統(tǒng)安全運維管理體系過程中選擇控制時的參考,或作為政府部門或企

事業(yè)單位運維團隊在進行信息系統(tǒng)安全運維管理時的指南。

本標(biāo)準(zhǔn)為實現(xiàn)信息系統(tǒng)安全運維提供了一個控制集。該控制集涉及信息系統(tǒng)

安全運維策略、組織、規(guī)程和技術(shù)等方面,可以用于指導(dǎo)或評估政府和企事業(yè)單

位信息系統(tǒng)安全運維管理工作,也可以用于指導(dǎo)或評估信息系統(tǒng)安全運維產(chǎn)品和

方案廠商的研發(fā)工作,還可以規(guī)范或評估信息系統(tǒng)安全運維服務(wù)商提供的服務(wù)內(nèi)

容。主要標(biāo)準(zhǔn)內(nèi)容如下:

1、信息系統(tǒng)安全運維管理對象和內(nèi)容的標(biāo)準(zhǔn)化

明確了運維管理對象類別、管理內(nèi)容和管理指導(dǎo)。具體對象類別包括:信息

系統(tǒng)的安全運維策略、安全運維組織、安全運維流程和安全運維技術(shù)等,并且根

據(jù)不同管理對象,提出了安全運維的目標(biāo)、控制和實現(xiàn)指南。

2、資產(chǎn)管理標(biāo)準(zhǔn)化

明確了信息系統(tǒng)價值、安全分級和存儲介質(zhì)管理的規(guī)程和實施方法。

3、訪問控制標(biāo)準(zhǔn)化

明確了訪問控制的業(yè)務(wù)要求、用戶訪問管理、系統(tǒng)和應(yīng)用訪問控制的目標(biāo)、

控制和實施指南。

4、信息系統(tǒng)安全事件管理的標(biāo)準(zhǔn)化

確保采用一致和有效的方法對信息系統(tǒng)安全事件進行管理,包括對安全事態(tài)

和弱點的溝通,明確了安全事件的責(zé)任和規(guī)程,安全事態(tài)的報告、評估和決策,

事件響應(yīng)和證據(jù)收集的實現(xiàn)指南。

5、信息系統(tǒng)安全服務(wù)臺的標(biāo)準(zhǔn)化

明確了信息系統(tǒng)安全服務(wù)臺實現(xiàn)信息系統(tǒng)安全運行的統(tǒng)一監(jiān)控與處理;配置

管理平臺負(fù)責(zé)自動發(fā)現(xiàn)信息系統(tǒng)相關(guān)軟硬件資產(chǎn),為安全運維提供基礎(chǔ)數(shù)據(jù)。

6、信息系統(tǒng)安全運維管理實現(xiàn)工具

采用安全信息與事件管理(SIEM)平臺作為信息系統(tǒng)安全運維管理的實現(xiàn)工

具,包括資產(chǎn)發(fā)現(xiàn)與管理系統(tǒng)、脆弱性掃描與管理系統(tǒng)、入侵檢測系統(tǒng)、異常行

為監(jiān)測系統(tǒng)和關(guān)聯(lián)分析系統(tǒng)。

本標(biāo)準(zhǔn)對信息系統(tǒng)安全運維管理給出的指導(dǎo)有利于提高信息系統(tǒng)安全運維

管理的服務(wù)效率和服務(wù)質(zhì)量,促進信息系統(tǒng)安全運維的標(biāo)準(zhǔn)化建設(shè)和信息系統(tǒng)運

行的安全性。

五、采用國際標(biāo)準(zhǔn)和國外先進標(biāo)準(zhǔn)的,說明采標(biāo)程度,以及與國內(nèi)外同類標(biāo)準(zhǔn)水

平的對比情況

本標(biāo)準(zhǔn)是自主編制的國家標(biāo)準(zhǔn)。

六、作為推薦性標(biāo)準(zhǔn)或者強制性標(biāo)準(zhǔn)的建議及其理由

本標(biāo)準(zhǔn)以更好地指導(dǎo)政府和企事業(yè)單位信息系統(tǒng)的安全運維管理為目的,建

議將本標(biāo)準(zhǔn)作為推薦性標(biāo)準(zhǔn)發(fā)布實施。

七、貫徹標(biāo)準(zhǔn)的措施建議

為加強政府和企事業(yè)單位對信息系統(tǒng)的安全運維管理工作,結(jié)合我國情況,

建議相關(guān)主管部門通過舉辦培訓(xùn)班、講座形式進行信息系統(tǒng)安全運維內(nèi)容宣貫,

幫助各級政府機構(gòu)和企事業(yè)單位信息系統(tǒng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論