《信息系統(tǒng) 安全運(yùn)維管理規(guī)范》

ICS

點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號(hào)

T/KMNSA

團(tuán)體標(biāo)準(zhǔn)

T/KMNSA001—2024

信息系統(tǒng)安全運(yùn)維管理規(guī)范

第1部分：通用系統(tǒng)

（征求意見稿）

2024-XX-XX發(fā)布2024-XX-XX實(shí)施

昆明市網(wǎng)絡(luò)安全協(xié)會(huì)發(fā)布

1

目??次

前??言...............................................................................3

信息系統(tǒng)安全運(yùn)維管理規(guī)范...............................................................1

1范圍.................................................................................1

2規(guī)范性引用文件.......................................................................1

3術(shù)語和定義...........................................................................2

4縮略語...............................................................................3

5安全運(yùn)維體系.........................................................................3

5.1安全運(yùn)維原則.....................................................................3

5.2安全運(yùn)維目標(biāo).....................................................................3

5.3安全運(yùn)維框架.....................................................................3

6安全運(yùn)維策略.........................................................................4

6.1安全運(yùn)維策略制定.................................................................4

6.2安全運(yùn)維策略評(píng)審.................................................................5

7安全運(yùn)維組織.........................................................................5

7.1崗位設(shè)置.........................................................................5

7.2人員配備.........................................................................5

7.3授權(quán)與審批.......................................................................5

7.4溝通和合作.......................................................................6

7.5教育和培訓(xùn).......................................................................6

7.6人員錄用.........................................................................7

7.7人員離崗.........................................................................7

7.8外包運(yùn)維安全管理.................................................................7

7.9外部人員訪問管理.................................................................7

7.10績效評(píng)估........................................................................8

8安全運(yùn)維規(guī)程.........................................................................8

8.1安全運(yùn)維管理.....................................................................8

8.2檢查............................................................................14

8.3外部協(xié)同........................................................................17

9安全運(yùn)維支撐系統(tǒng)....................................................................19

9.1檢測識(shí)別類系統(tǒng)..................................................................19

9.2防護(hù)管理類系統(tǒng)..................................................................19

9.3監(jiān)測審計(jì)類系統(tǒng)..................................................................19

9.4響應(yīng)協(xié)同類系統(tǒng)..................................................................20

9.5系統(tǒng)自身安全要求................................................................20

附錄A（資料性）網(wǎng)絡(luò)安全運(yùn)維人員資質(zhì)建議........................................21

附錄B（資料性）安全運(yùn)維規(guī)程涉及表單............................................22

B.1資產(chǎn)清單主要記錄元素..............................................................22

B.2信息系統(tǒng)訪問控制與操作............................................................22

B.3監(jiān)測體系內(nèi)容.......................................................................23

B.4監(jiān)測產(chǎn)品類別......................................................................24

1

B.5備份作業(yè)記錄元素..................................................................24

B.6變更控制規(guī)程......................................................................25

B.7應(yīng)急響應(yīng)工作審核..................................................................25

B.8安全配置檢查內(nèi)容..................................................................26

B.9服務(wù)類項(xiàng)目驗(yàn)收準(zhǔn)備文件............................................................26

附錄C（資料性）安全運(yùn)維支撐系統(tǒng)功能要求........................................27

C.1檢測識(shí)別類系統(tǒng)....................................................................27

C.1.1資產(chǎn)測繪系統(tǒng)..................................................................27

C.1.2安全配置核查系統(tǒng)..............................................................27

C.1.3漏洞掃描系統(tǒng)..................................................................28

C.1.4網(wǎng)站安全監(jiān)測系統(tǒng)..............................................................28

C.1.5違規(guī)外聯(lián)檢測系統(tǒng)..............................................................28

C.2防護(hù)管理類系統(tǒng)....................................................................29

C.2.1攻擊面管理系統(tǒng)................................................................29

C.2.2資產(chǎn)管理系統(tǒng)..................................................................29

C.2.3漏洞管理系統(tǒng)..................................................................30

C.2.4安全合規(guī)管理系統(tǒng)..............................................................30

C.2.5安全運(yùn)維流程管理系統(tǒng)..........................................................31

C.2.6安全運(yùn)維管理系統(tǒng)..............................................................31

C.3監(jiān)測審計(jì)類系統(tǒng)....................................................................32

C.3.1日志審計(jì)系統(tǒng)..................................................................32

C.3.2主機(jī)審計(jì)系統(tǒng)..................................................................32

C.3.3網(wǎng)絡(luò)審計(jì)系統(tǒng)..................................................................33

C.3.4數(shù)據(jù)庫審計(jì)系統(tǒng)................................................................33

C.3.5應(yīng)用審計(jì)系統(tǒng)..................................................................33

C.3.6防火墻策略審計(jì)系統(tǒng)............................................................33

C.3.7監(jiān)控系統(tǒng)......................................................................34

C.3.8威脅信息監(jiān)測系統(tǒng)..............................................................34

C.3.9態(tài)勢(shì)感知系統(tǒng)..................................................................35

C.4響應(yīng)協(xié)同類系統(tǒng)....................................................................35

C.4.1安全服務(wù)工作臺(tái)................................................................35

C.4.2信息通報(bào)系統(tǒng)..................................................................35

C.4.3安全編排與自動(dòng)化響應(yīng)..........................................................36

C.4.4安全中臺(tái)......................................................................36

2

信息系統(tǒng)安全運(yùn)維管理規(guī)范

1范圍

本文件針對(duì)運(yùn)營單位的業(yè)務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維的體系、規(guī)程、技術(shù)、團(tuán)隊(duì)、溝通協(xié)作、應(yīng)急

響應(yīng)及應(yīng)急演練做出了規(guī)定。本文件適用于企事業(yè)單位信息系統(tǒng)的網(wǎng)絡(luò)安全運(yùn)維，也可作為組織開展

網(wǎng)絡(luò)安全運(yùn)維的依據(jù)。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

GB/T1.1—2020標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則

GB/T36626信息安全技術(shù)信息系統(tǒng)安全運(yùn)維管理指南

GB/T25069信息安全技術(shù)術(shù)語

GB/T42446信息安全技術(shù)網(wǎng)絡(luò)安全從業(yè)人員能力基本要求

GB/T32914信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求

GB/T31722-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理

GB/T51314-2018數(shù)據(jù)中心基礎(chǔ)設(shè)施運(yùn)行維護(hù)標(biāo)準(zhǔn)

GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南

GB/T17901.1-2020信息安全技術(shù)密鑰管理第1部分：框架

GB/43207-2023信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)指南

GB/T39786-2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

GB/T20986-2023信息安全技術(shù)網(wǎng)絡(luò)安全事件分類分級(jí)指南

GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法

GB/T28453-2012信息安全技術(shù)信息系統(tǒng)安全管理評(píng)估要求

GB/T30276-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范

GB/T22080信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T30283信息安全技術(shù)信息安全服務(wù)分類與代碼

GB/Z20985信息技術(shù)安全技術(shù)信息安全事件管理指南（所有部分）

GB/Z20986信息安全技術(shù)信息安全事件分類分級(jí)指南

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T22240信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南

GB/T25058信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南

GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

GB/T31495信息安全技術(shù)信息安全保障指標(biāo)體系及評(píng)價(jià)方法

GB/T42250信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求

1

GB/T42453信息安全技術(shù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知通用技術(shù)要求

GA/T1545信息安全技術(shù)網(wǎng)絡(luò)及安全設(shè)備配置檢查產(chǎn)品安全技術(shù)要求

GA/T1359信息安全技術(shù)信息資產(chǎn)安全管理產(chǎn)品安全技術(shù)要求

GB/T28458信息安全技術(shù)網(wǎng)絡(luò)安全漏洞標(biāo)識(shí)與描述規(guī)范

GA/T911信息安全技術(shù)日志分析產(chǎn)品安全技術(shù)要求

GA/T1550信息安全技術(shù)網(wǎng)站安全監(jiān)測產(chǎn)品安全技術(shù)要求

GB/T20945信息安全技術(shù)網(wǎng)絡(luò)安全審計(jì)產(chǎn)品技術(shù)規(guī)范

GB/T36643信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范

GB/T43557信息安全技術(shù)網(wǎng)絡(luò)安全信息報(bào)送指南

3術(shù)語和定義

GB/T25069-2022、GB/T30283-2022、GB/T32914-2023界定的術(shù)語和定義適用于本文件。

GB/T25069中界定的以及下列術(shù)語和定義適用于本文件。

密鑰key

控制密碼變換操作的符號(hào)序列。

病毒virus

一種程序，即通過修改其他程序，使其他程序包含一個(gè)自身可能已發(fā)生變化的原程序副本，從而

完成傳播自身程序，當(dāng)調(diào)用受傳染的程序，該程序即被執(zhí)行。

APTadvancedpersistentthreat；高級(jí)持續(xù)性威脅

精通復(fù)雜技術(shù)的攻擊者利用多種攻擊方式對(duì)特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊。

安全漏洞cybersecurityvulnerability

網(wǎng)絡(luò)產(chǎn)品和服務(wù)在需求分析、設(shè)計(jì)、實(shí)現(xiàn)、配置、測試、運(yùn)行、維護(hù)等過程中，無意或有意產(chǎn)生

的、有可能被利用的缺陷或薄弱點(diǎn)。

安全配置cybersecurityconfiguration

能滿足網(wǎng)絡(luò)安全基本要求的一組或多組核心配置項(xiàng)。

拒絕服務(wù)denialofservice;DoS

阻止對(duì)系統(tǒng)資源的經(jīng)授權(quán)訪問或延遲系統(tǒng)的運(yùn)行和功能，并導(dǎo)致經(jīng)授權(quán)用戶可用性受損。

應(yīng)急響應(yīng)emergencyresponse

組織為應(yīng)對(duì)突發(fā)／重大信息安全事件發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施。

應(yīng)急演練emergencydrill

為訓(xùn)練有關(guān)人員和提高應(yīng)急響應(yīng)能力而根據(jù)應(yīng)急預(yù)案和應(yīng)急響應(yīng)計(jì)劃所開展的活動(dòng)。

泄露disclosure

違反信息安全策略，導(dǎo)致數(shù)據(jù)被未經(jīng)授權(quán)的實(shí)體使用的行為。

入侵檢測系統(tǒng)intrusiondetectionsystem;IDS

用于識(shí)別已嘗試、正在發(fā)生或已經(jīng)發(fā)生的入侵的信息系統(tǒng)。

入侵防御系統(tǒng)intrusionpreventionsystem;IPS

特別設(shè)計(jì)用來提供主動(dòng)響應(yīng)能力的入侵檢測系統(tǒng)的變體。

身份identity

與某一實(shí)體相關(guān)的一組屬性。

滲透測試penetrationtesting

以未經(jīng)授權(quán)的動(dòng)作繞過某一系統(tǒng)的安全機(jī)制來檢查信息系統(tǒng)的安全功能，以發(fā)現(xiàn)信息系統(tǒng)安全問

題的手段。

2

風(fēng)險(xiǎn)評(píng)估riskassessment

風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過程。

安全審計(jì)securityaudit

對(duì)信息系統(tǒng)記錄與活動(dòng)的獨(dú)立評(píng)審和考察，以測試系統(tǒng)控制的充分程度，確保對(duì)于既定安全策略

和運(yùn)行規(guī)程的符合性，發(fā)現(xiàn)安全違規(guī)，并在控制、安全策略和過程三方面提出改進(jìn)建議。

供應(yīng)鏈supplychain

將多個(gè)資源和過程聯(lián)系在一起，并根據(jù)服務(wù)協(xié)議或其他采購協(xié)議建立起連續(xù)供應(yīng)關(guān)系的組織系

列。其中每一組織充當(dāng)需方、供方或雙重角色。

流量分析trafficanalysis

通過觀察通信流量來推斷所關(guān)注信息的過程。

4縮略語

APT高級(jí)持續(xù)性威脅（advancedpersistentthreat）

Modem調(diào)制解調(diào)器（Modulator-Demodulator）

SD安全數(shù)字（securedigital）

USB通用串行總線（universalserialbus）

VPN虛擬專用網(wǎng)（virtualprivatenetwork）

5安全運(yùn)維體系

5.1安全運(yùn)維原則

信息系統(tǒng)運(yùn)營方應(yīng)根據(jù)信息系統(tǒng)的保護(hù)等級(jí)，建立網(wǎng)絡(luò)安全運(yùn)維管理體系，并符合等級(jí)保護(hù)、密

碼應(yīng)用、數(shù)據(jù)安全保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等要求。安全運(yùn)維管理體系的建立可參考GB/T36626

的要求開展。

5.2安全運(yùn)維目標(biāo)

安全運(yùn)維目標(biāo)應(yīng)以利益相關(guān)者的安全需求為導(dǎo)向，基本目標(biāo)應(yīng)包括：

——保障信息系統(tǒng)安全性、穩(wěn)定性、可靠性；

——防止信息系統(tǒng)遭到攻擊和破壞；

——保障信息系統(tǒng)數(shù)據(jù)的安全性。

5.3安全運(yùn)維框架

安全運(yùn)維框架（如圖1所示）中，安全運(yùn)維原則和目標(biāo)是核心，安全運(yùn)維策略、安全運(yùn)維組織、安

全運(yùn)維規(guī)程、安全運(yùn)維支撐系統(tǒng)是安全運(yùn)維工作開展的基礎(chǔ)保障。在安全運(yùn)維開展過程中，需要對(duì)所

有安全運(yùn)維要素進(jìn)行持續(xù)的監(jiān)測和改進(jìn)。

3

圖1安全運(yùn)維框架圖

6安全運(yùn)維策略

6.1安全運(yùn)維策略制定

安全運(yùn)維策略制定要求包括：

a)應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)、國家網(wǎng)絡(luò)安全法律法規(guī)、組織所屬行業(yè)政策要求、組織面臨的網(wǎng)絡(luò)安

全威脅等進(jìn)行調(diào)研和分析，為安全策略制定提供必要的支撐。

b)應(yīng)制定信息系統(tǒng)安全運(yùn)維工作的總體方針和安全策略，明確組織安全運(yùn)維工作的總體目標(biāo)、范

圍、原則和框架等，為信息系統(tǒng)安全運(yùn)維提供原則與指導(dǎo)。

c)信息系統(tǒng)安全運(yùn)維策略的制定應(yīng)關(guān)注來自業(yè)務(wù)安全戰(zhàn)略、安全運(yùn)維目標(biāo)、法律法規(guī)和合同、當(dāng)

前和預(yù)期的信息系統(tǒng)安全威脅環(huán)境等方面產(chǎn)生的要求。

d)信息系統(tǒng)安全運(yùn)維策略主要包括以下內(nèi)容：

1）信息系統(tǒng)安全運(yùn)維目標(biāo)和原則的定義；

2）分層防護(hù)、最小特權(quán)、分區(qū)隔離、隱私保護(hù)和日志記錄等技術(shù)內(nèi)容；

3）信息系統(tǒng)安全運(yùn)維管理相關(guān)的角色責(zé)任和權(quán)限分配情況；

4）處理信息系統(tǒng)安全運(yùn)維策略的落實(shí)出現(xiàn)偏差和意外的過程。

e)信息系統(tǒng)運(yùn)維策略應(yīng)由以下相關(guān)層面的運(yùn)維策略組成，包括但不限于：

1）資產(chǎn)管理；

2）物理環(huán)境管理；

3）密鑰與密碼設(shè)備管理；

4）介質(zhì)管理；

5）終端管理；

6）訪問與操作管理；

4

7）監(jiān)測管理；

8）日志管理；

9）備份管理；

10）變更管理；

11）事件及響應(yīng)管理；

12）安全評(píng)估管理；

13）安全漏洞管理；

14）安全配置管理；

15）第三方人員管理；

16）供應(yīng)鏈管理；

17）安全驗(yàn)收管理。

f)應(yīng)根據(jù)信息系統(tǒng)安全運(yùn)維策略及管理制度制定相應(yīng)的安全運(yùn)維流程，并對(duì)安全運(yùn)維的管理人員

和實(shí)施人員執(zhí)行的各項(xiàng)操作建立操作規(guī)程。

g)信息系統(tǒng)安全運(yùn)維策略應(yīng)由管理者批準(zhǔn)，并采用合適的、可訪問和可理解的形式傳達(dá)給安全運(yùn)

維團(tuán)隊(duì)、組織內(nèi)部人員和外部相關(guān)方。

6.2安全運(yùn)維策略評(píng)審

安全運(yùn)維策略評(píng)審要求包括：

a)應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)信息系統(tǒng)安全運(yùn)維策略的制定、評(píng)審和評(píng)價(jià)。

b)應(yīng)持續(xù)識(shí)別、記錄和更新與信息系統(tǒng)安全運(yùn)維相關(guān)的法律法規(guī)或技術(shù)環(huán)境、組織環(huán)境及業(yè)務(wù)狀

況發(fā)生的變化情況，作為信息系統(tǒng)安全運(yùn)維策略及方法持續(xù)改進(jìn)的依據(jù)。

c)應(yīng)定期或當(dāng)信息系統(tǒng)環(huán)境或業(yè)務(wù)安全需求發(fā)生重大改變時(shí)，對(duì)信息系統(tǒng)安全策略的適宜性、充

分性、有效性進(jìn)行評(píng)審，對(duì)安全策略進(jìn)行持續(xù)改進(jìn)。

d)信息系統(tǒng)安全運(yùn)維策略的修訂應(yīng)由管理層批準(zhǔn)。

7安全運(yùn)維組織

7.1崗位設(shè)置

崗位設(shè)置要求包括：

a)運(yùn)營單位應(yīng)設(shè)置網(wǎng)絡(luò)安全管理、審計(jì)、運(yùn)維等崗位，崗位可參照GB/T42446-2023中4.2、

4.3規(guī)定的工作類別以及工作任務(wù)進(jìn)行設(shè)置；

b)若網(wǎng)絡(luò)安全運(yùn)維組織包括外包組織的，應(yīng)設(shè)置現(xiàn)場項(xiàng)目負(fù)責(zé)人，負(fù)責(zé)項(xiàng)目的整體溝通協(xié)調(diào)；

c)各崗位應(yīng)權(quán)責(zé)分離，相互間不得兼任。

7.2人員配備

人員配備要求包括：

a)應(yīng)配備熟悉網(wǎng)絡(luò)安全政策法規(guī)、具有扎實(shí)網(wǎng)絡(luò)安全技能的人員開展網(wǎng)絡(luò)安全運(yùn)維，技能要求

可參照GB/T42446-2023中5、6的規(guī)定；

b)應(yīng)配備與安全運(yùn)維目標(biāo)相適應(yīng)的人員，重要運(yùn)維崗位宜配備AB角；

c)宜配備具有網(wǎng)絡(luò)安全技能資質(zhì)的人員，參考的資質(zhì)見附錄A。

7.3授權(quán)與審批

5

授權(quán)與審批要求包括：

a)應(yīng)建立安全運(yùn)維的授權(quán)機(jī)制，并對(duì)安全運(yùn)維人員的權(quán)限進(jìn)行統(tǒng)一管理和控制；

b)授權(quán)應(yīng)遵循最小權(quán)限原則，只授予安全運(yùn)維人員完成工作所需的最小權(quán)限；

c)安全運(yùn)維人員崗位發(fā)生變化時(shí)，應(yīng)及時(shí)收回或調(diào)整相應(yīng)權(quán)限；

d)應(yīng)建立安全運(yùn)維活動(dòng)的審批機(jī)制，安全運(yùn)維活動(dòng)主要包括運(yùn)維任務(wù)下達(dá)及執(zhí)行、重要區(qū)域訪

問、系統(tǒng)接入，以及對(duì)安全運(yùn)維對(duì)象及資源的變更管理等，變更包括：

——安全運(yùn)維組織、人員及權(quán)限的調(diào)整；

——安全運(yùn)維策略或規(guī)程的更改；

——軟硬件設(shè)備更換或參數(shù)調(diào)整；

——軟硬件設(shè)備版本升級(jí)或新功能開發(fā)；

——新技術(shù)運(yùn)用等。

e)應(yīng)建立突發(fā)、緊急事件的快速授權(quán)機(jī)制及審批流程，明確啟動(dòng)觸發(fā)條件，避免該機(jī)制被濫

用；

f)應(yīng)定期對(duì)授權(quán)和審批進(jìn)行審計(jì)，評(píng)估授權(quán)及審批管理的有效性和合規(guī)性。審計(jì)內(nèi)容包括權(quán)限

的授予、使用、變更和撤銷，以及運(yùn)維活動(dòng)對(duì)應(yīng)的審批流程等。

7.4溝通和合作

授權(quán)與審批要求包括：

a)應(yīng)建立安全運(yùn)維組織的內(nèi)外部溝通合作機(jī)制，方式包括：

——信息共享，如建立共享的信息平臺(tái)、知識(shí)庫等；

——定期總結(jié)和匯報(bào)；

——開展協(xié)同工作和應(yīng)急處置；

——組織或參加會(huì)議；

——組織或參加技術(shù)交流和競賽等。

b)應(yīng)建立與上級(jí)主管部門、內(nèi)外部網(wǎng)絡(luò)安全相關(guān)單位的溝通合作，并建立聯(lián)系列表。外部聯(lián)系

單位包括：

——網(wǎng)絡(luò)安全主管部門；

——行業(yè)主管部門、行業(yè)協(xié)會(huì)、同行業(yè)單位；

——業(yè)務(wù)系統(tǒng)涉及的相關(guān)機(jī)構(gòu)，如軟硬件廠商、外包服務(wù)商、網(wǎng)絡(luò)或云服務(wù)運(yùn)營商等；

——網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等。

7.5教育和培訓(xùn)

教育和培訓(xùn)要求包括：

a)應(yīng)建立安全運(yùn)維培訓(xùn)體系，保證必要的培訓(xùn)經(jīng)費(fèi)，并根據(jù)安全運(yùn)維目標(biāo)、策略或崗位設(shè)計(jì)相

應(yīng)的培訓(xùn)課程（培訓(xùn)內(nèi)容可參照GB/T42446-2023中5、6的規(guī)定）、制定培訓(xùn)計(jì)劃；

b)應(yīng)確保培訓(xùn)內(nèi)容具備針對(duì)性和實(shí)用性，內(nèi)容宜包括網(wǎng)絡(luò)安全基礎(chǔ)、專業(yè)技能、安全管理、實(shí)

踐案例等，并通過訓(xùn)后考試、隨機(jī)抽測、問卷調(diào)查等方式評(píng)估培訓(xùn)質(zhì)量；

c)應(yīng)采取多樣化培訓(xùn)方式，如線上下課程、研討分享、實(shí)操演練、攻防實(shí)戰(zhàn)等；

d)應(yīng)定期組織開展安全運(yùn)維培訓(xùn)，培訓(xùn)周期如下：

——日常安全培訓(xùn)列入工作計(jì)劃，每季度宜開展1次；

——專項(xiàng)安全培訓(xùn)應(yīng)列入培訓(xùn)計(jì)劃，每年宜開展1次；

——重要風(fēng)險(xiǎn)預(yù)警及處置、上級(jí)主管部門組織的專題培訓(xùn)實(shí)時(shí)開展；

——外部機(jī)構(gòu)組織的能力提升、資格認(rèn)證類培訓(xùn)列入培訓(xùn)計(jì)劃，每年宜開展1次。

6

7.6人員錄用

人員錄用的要求包括：

a)應(yīng)確保招聘錄用的安全運(yùn)維人員與崗位需求和職責(zé)相匹配；

a)安全運(yùn)維管理、審計(jì)崗位應(yīng)由內(nèi)部人員擔(dān)任；

b)應(yīng)對(duì)安全運(yùn)維人員的身份、背景、資質(zhì)進(jìn)行審查。當(dāng)人員的身份、安全背景等發(fā)生變化時(shí)，

應(yīng)重新進(jìn)行安全背景審查；

c)安全運(yùn)維人員應(yīng)在上崗前簽署網(wǎng)絡(luò)安全相關(guān)責(zé)任書和保密協(xié)議。

7.7人員離崗

人員離崗的要求包括：

a)重要安全運(yùn)維崗位人員離崗前，應(yīng)及時(shí)對(duì)離崗可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行評(píng)估，并制定相應(yīng)措施；

b)安全運(yùn)維人員離崗時(shí)，應(yīng)在完成工作交接后及時(shí)進(jìn)行敏感信息處理，如敏感資料、權(quán)限證

書、密鑰等，并收回權(quán)限，刪除或停用系統(tǒng)賬號(hào)；

c)應(yīng)對(duì)安全運(yùn)維人員進(jìn)行離崗前安全審查，簽署書面保密協(xié)議。如果有脫密要求的，應(yīng)在規(guī)定

的脫密期限后方可離崗；

d)應(yīng)留存安全運(yùn)維人員離崗的相關(guān)記錄。

7.8外包運(yùn)維安全管理

外包運(yùn)維安全管理的要求包括：

a)應(yīng)確保選定的外包運(yùn)維服務(wù)機(jī)構(gòu)符合GB/T32914的規(guī)定；

b)應(yīng)與選定的外包運(yùn)維服務(wù)商簽訂相關(guān)的協(xié)議，約定的內(nèi)容包括：

——外包運(yùn)維的范圍；

——工作內(nèi)容；

——安全要求；

——保密要求；

——考核機(jī)制等。

d)應(yīng)保證所選擇的外包運(yùn)維服務(wù)商，在安全技術(shù)和管理方面的能力均符合系統(tǒng)相應(yīng)等級(jí)的安全

要求，并將能力要求在簽訂的協(xié)議中明確，運(yùn)維外包服務(wù)商宜具備相應(yīng)的網(wǎng)絡(luò)安全服務(wù)資

質(zhì)，服務(wù)資質(zhì)可參見附錄表A.2。

c)應(yīng)對(duì)外包運(yùn)維過程進(jìn)行實(shí)時(shí)監(jiān)控，并定期對(duì)服務(wù)質(zhì)量進(jìn)行評(píng)價(jià)，評(píng)價(jià)內(nèi)容包括：

——項(xiàng)目管理，評(píng)價(jià)項(xiàng)目的執(zhí)行情況；

——組織和人員，評(píng)價(jià)崗位設(shè)置是否合理，運(yùn)維人員的能力素質(zhì)等；

——服務(wù)質(zhì)量，評(píng)價(jià)運(yùn)維目標(biāo)的實(shí)現(xiàn)、運(yùn)維策略的執(zhí)行情況等；

——技術(shù)和設(shè)備，評(píng)價(jià)在安全運(yùn)維過程中采用的技術(shù)和設(shè)備使用情況和運(yùn)用效果；

——事件響應(yīng)，評(píng)價(jià)安全事件的響應(yīng)和處置能力；

——成本效益，評(píng)價(jià)項(xiàng)目的成本支出以及所取得效益。

7.9外部人員訪問管理

外部人員訪問管理的要求包括：

a)外部人員訪問安全運(yùn)維相關(guān)的重要場所或系統(tǒng)應(yīng)通過審批；

b)應(yīng)對(duì)外部人員明確安全及保密要求，有必要的應(yīng)簽訂安全或保密協(xié)議；

c)應(yīng)對(duì)外部人員訪問做好記錄，并對(duì)訪問的全過程進(jìn)行監(jiān)督控制；

d)因工作需要為外部人員臨時(shí)開放的權(quán)限，應(yīng)在工作結(jié)束后立即收回。

7

7.10績效評(píng)估

績效評(píng)估的要求包括：

a)應(yīng)建立運(yùn)維組織績效評(píng)估指標(biāo)，包括：

——業(yè)務(wù)指標(biāo)，如運(yùn)維目標(biāo)達(dá)成、流程控制等；

——財(cái)務(wù)指標(biāo)，如費(fèi)用支出、效益及風(fēng)險(xiǎn)控制等；

——人力資源指標(biāo)，如團(tuán)隊(duì)協(xié)作、學(xué)習(xí)成長、人員激勵(lì)考核等。

b)績效評(píng)價(jià)方法可采用KPI（關(guān)鍵績效指標(biāo)）、OKR（目標(biāo)與關(guān)鍵成果）、BSC（平衡記分卡）

等方法；

c)應(yīng)定期開展績效評(píng)估，可采用自評(píng)估與外評(píng)估相結(jié)合的形式，并及時(shí)向運(yùn)維團(tuán)隊(duì)反饋評(píng)估結(jié)

果。

8安全運(yùn)維規(guī)程

8.1安全運(yùn)維管理

8.1.1資產(chǎn)管理

本項(xiàng)要求包括：

a)需要首先識(shí)別其資產(chǎn)，資產(chǎn)可分為以下兩個(gè)主要類別：

1）主要資產(chǎn)，主要資產(chǎn)包含業(yè)務(wù)過程、信息和數(shù)據(jù)資產(chǎn)。其中數(shù)據(jù)資產(chǎn)是組織擁有或者控

制的，能進(jìn)行計(jì)量，為組織帶來價(jià)值的數(shù)據(jù)資源。

2）支撐性資產(chǎn)，支撐性資產(chǎn)包含硬件、軟件、網(wǎng)絡(luò)、人員、場所及組織結(jié)構(gòu)。

b)可通過主動(dòng)探測、被動(dòng)分析，以及信息調(diào)研的方式對(duì)資產(chǎn)進(jìn)行測繪，發(fā)現(xiàn)網(wǎng)絡(luò)中的資產(chǎn)。

c)應(yīng)明確資產(chǎn)的重要性，可參考GB/T31722—2015中附錄B的方法計(jì)算資產(chǎn)的價(jià)值。

d)應(yīng)對(duì)資產(chǎn)進(jìn)行分類分級(jí)，根據(jù)資產(chǎn)類型分別建立詳細(xì)的資產(chǎn)清單并采用統(tǒng)一的資產(chǎn)編碼對(duì)資

產(chǎn)進(jìn)行標(biāo)識(shí)。

e)資產(chǎn)清單應(yīng)明確資產(chǎn)的類型、資產(chǎn)所屬關(guān)系、資產(chǎn)間依賴關(guān)系、資產(chǎn)維護(hù)關(guān)系、部署關(guān)系、

服務(wù)功能、基礎(chǔ)軟件版本、存放數(shù)據(jù)情況、與攻擊目標(biāo)相連情況、開放端口/服務(wù)、可訪問位

置與授權(quán)、覆蓋的防護(hù)手段等。資產(chǎn)清單宜包含的主要記錄元素見本規(guī)范附錄B中表B.1。

f)對(duì)于資產(chǎn)的變更應(yīng)根據(jù)組織安全策略及時(shí)對(duì)資產(chǎn)清單進(jìn)行更新。

g)應(yīng)通過技術(shù)手段實(shí)現(xiàn)對(duì)資產(chǎn)屬性變更的監(jiān)控、感知和預(yù)警。

h)應(yīng)根據(jù)組織安全策略定期對(duì)資產(chǎn)清單進(jìn)行更新和維護(hù)，保證資產(chǎn)與目標(biāo)保持一致，確保資產(chǎn)

記錄的真實(shí)性、一致性、正確性。

i)應(yīng)通過安全評(píng)估確認(rèn)資產(chǎn)全生命周期中的安全風(fēng)險(xiǎn)并采取相應(yīng)的安全措施保障資產(chǎn)完整性、

機(jī)密性和可用性。

8.1.2物理環(huán)境管理

本項(xiàng)要求包括：

a)物理環(huán)境的運(yùn)行維護(hù)范圍按GB/T51314-2018中3.1要求應(yīng)包括電氣系統(tǒng)、通風(fēng)空調(diào)系統(tǒng)、

消防系統(tǒng)和智能化系統(tǒng)。

b)物理環(huán)境運(yùn)行和維護(hù)的一般規(guī)定按GB/T51314-2018中4.1和5.1的要求。

c)物理環(huán)境電氣系統(tǒng)包括供配電系統(tǒng)、不間斷電源和后備電源系統(tǒng)以及照明系統(tǒng)，該系統(tǒng)的運(yùn)

行和維護(hù)按GB/T51314-2018中4.2和5.2的要求。

d)物理環(huán)境通風(fēng)空調(diào)系統(tǒng)包括冷源和水系統(tǒng)、機(jī)房空調(diào)和風(fēng)系統(tǒng)。該系統(tǒng)的運(yùn)行和維護(hù)按GB/T

8

51314-2018中4.3和5.3的要求。

e)物理環(huán)境消防系統(tǒng)包括各類滅火系統(tǒng)、支撐消防機(jī)制運(yùn)行的其它相關(guān)附屬設(shè)施，該系統(tǒng)的運(yùn)

行和維護(hù)按GB/T51314-2018中4.4和5.4的要求。

f)物理環(huán)境智能化系統(tǒng)包括環(huán)境和設(shè)備監(jiān)控系統(tǒng)、安全防范系統(tǒng)，該系統(tǒng)的運(yùn)行和維護(hù)按GB/T

51314-2018中4.5和5.5的要求。

g)辦公環(huán)境宜建立和具備防盜竊、防破壞、防火以及安全監(jiān)控的物理安全機(jī)制與措施。

h)消防安全重點(diǎn)單位應(yīng)當(dāng)按照滅火和應(yīng)急疏散預(yù)案，至少每半年進(jìn)行一次演練，并結(jié)合實(shí)際，

不斷完善預(yù)案。其他單位應(yīng)當(dāng)結(jié)合本單位實(shí)際，參照制定相應(yīng)的應(yīng)急方案，至少每年組織一次演

練。

8.1.3密鑰與密碼設(shè)備管理

本項(xiàng)要求包括：

a)應(yīng)指派經(jīng)受保密上崗培訓(xùn)的專人負(fù)責(zé)密鑰和密碼設(shè)備的管理。密鑰的管理按GB/T22081—

2016中10.1.2以及GB/T17901.1-2020的要求。

b)密鑰管理的策略設(shè)計(jì)必要時(shí)可參考或者應(yīng)達(dá)到GB/43207-2023中附錄C的要求。

c)密鑰生存周期管理可參考GB/T39786-2021中附錄B。

d)密碼設(shè)備應(yīng)放置在安全、保密的網(wǎng)絡(luò)環(huán)境中。網(wǎng)絡(luò)環(huán)境須采取有效隔離措施，避免無關(guān)人員

接觸。

e)密碼設(shè)備的操作和參數(shù)設(shè)置，應(yīng)在有專人監(jiān)督情況下由專業(yè)技術(shù)人專職進(jìn)行操作并作記錄。

f)密碼設(shè)備的維修、定期維護(hù)應(yīng)由專業(yè)技術(shù)人專職負(fù)責(zé)。

g)密碼設(shè)備的銷毀應(yīng)遵照相關(guān)法規(guī)及內(nèi)外部監(jiān)管要求。

8.1.4介質(zhì)管理

本項(xiàng)要求包括：

a)基本要求：

1）對(duì)脫機(jī)存放的各類介質(zhì)（包括信息資產(chǎn)和軟件資產(chǎn)的介質(zhì)）根據(jù)存儲(chǔ)信息的類別和重要

級(jí)別進(jìn)行分類分級(jí)與控制和保護(hù)，以防止被盜、被毀、被修改以及信息的非法泄漏。

2）介質(zhì)的歸檔和查詢應(yīng)有記錄，對(duì)存檔介質(zhì)的目錄清單應(yīng)定期盤點(diǎn)；介質(zhì)應(yīng)儲(chǔ)放在安全的

環(huán)境中防止損壞；查詢應(yīng)有審批，明確使用人和傳播范圍的限定。

3）應(yīng)采取安全措施對(duì)介質(zhì)的運(yùn)輸和傳遞過程進(jìn)行保護(hù)。

4）對(duì)于需要送出維修或銷毀的介質(zhì)，應(yīng)防止信息的非法泄漏。

5）移動(dòng)介質(zhì)應(yīng)要求專用。每次使用移動(dòng)介質(zhì)（含軟盤、U盤、移動(dòng)硬盤、存儲(chǔ)卡等）時(shí)，

應(yīng)先進(jìn)行病毒安全查殺后才可以進(jìn)行使用。

b)異地存放要求：

1)對(duì)介質(zhì)進(jìn)行標(biāo)識(shí)和分類，存放在由專人管理的介質(zhì)庫中，防止被盜、被毀以及信息的非

法泄漏。

2)對(duì)存儲(chǔ)保密性要求較高的信息的介質(zhì)，其借閱、拷貝、傳輸須經(jīng)相應(yīng)級(jí)別的領(lǐng)導(dǎo)批準(zhǔn)后

方可執(zhí)行，并登記在冊(cè)。

3)存儲(chǔ)介質(zhì)的銷毀必須經(jīng)批準(zhǔn)并按指定方式進(jìn)行，不得自行銷毀。

4)介質(zhì)應(yīng)保留2個(gè)以上的副本，而且要求介質(zhì)異地存儲(chǔ)，存儲(chǔ)地的環(huán)境要求和管理方法應(yīng)

與本地相同。

a)完整性要求：

1)對(duì)重要介質(zhì)的數(shù)據(jù)和軟件必要時(shí)可加密存儲(chǔ)。

2)對(duì)重要的信息介質(zhì)的借閱、拷貝、分發(fā)傳遞須經(jīng)相應(yīng)級(jí)別領(lǐng)導(dǎo)的書面審批后方可執(zhí)行，

9

各種處理過程應(yīng)登記在冊(cè)，介質(zhì)的分發(fā)傳遞采取保護(hù)措施。

3)對(duì)于需要送出維修或銷毀的介質(zhì)，應(yīng)首先刪除信息，再重復(fù)寫操作進(jìn)行覆蓋，防止數(shù)據(jù)

恢復(fù)和信息泄漏；對(duì)于存儲(chǔ)過重要信息的介質(zhì)宜進(jìn)行不低于3次包含全1、全0和隨機(jī)數(shù)

據(jù)的數(shù)據(jù)寫入覆蓋。

4)需要帶出工作環(huán)境的介質(zhì)，其信息應(yīng)受到保護(hù)；宜采用小型密碼箱存儲(chǔ)、信息加密、介

質(zhì)本身加密等保護(hù)措施。

5)對(duì)存放在介質(zhì)庫中的介質(zhì)應(yīng)定期進(jìn)行完整性和可用性檢查，確認(rèn)其數(shù)據(jù)或軟件沒有受到

損壞或丟失。

b)加密存儲(chǔ)的要求

1)對(duì)介質(zhì)中的重要數(shù)據(jù)必須使用符合加密強(qiáng)度要求的加密技術(shù)或數(shù)據(jù)隱藏技術(shù)進(jìn)行存儲(chǔ)。

2)介質(zhì)的保存和分發(fā)傳遞應(yīng)有嚴(yán)格的規(guī)定并進(jìn)行登記。

3)介質(zhì)受損但無法執(zhí)行刪除操作的，必須銷毀。

4)介質(zhì)銷毀在經(jīng)主管領(lǐng)導(dǎo)審批后應(yīng)由兩人完成，一人執(zhí)行銷毀一人負(fù)責(zé)監(jiān)銷，銷毀過程應(yīng)

做記錄。

8.1.5終端管理

本項(xiàng)要求包括：

a)用戶在使用自己的終端計(jì)算機(jī)時(shí)，應(yīng)設(shè)置開機(jī)、屏幕保護(hù)、目錄共享口令。

b)非組織機(jī)構(gòu)配備的終端計(jì)算機(jī)未獲批準(zhǔn)，不能在辦公、生產(chǎn)場所使用。因工作需要的情況，

應(yīng)在接入本地網(wǎng)絡(luò)進(jìn)行必要的安全檢查，確認(rèn)該終端計(jì)算機(jī)符合組織安全策略要求。

c)原則上組織機(jī)構(gòu)配備的終端計(jì)算機(jī)不可以接入非辦公生產(chǎn)用網(wǎng)絡(luò)環(huán)境。因工作需要的情況，

應(yīng)確認(rèn)終端計(jì)算機(jī)已滿足組織安全策略要求，具備相應(yīng)安全防護(hù)機(jī)制并得到批準(zhǔn)許可。

d)及時(shí)安裝經(jīng)過許可的軟件和補(bǔ)丁程序，不得自行安裝及使用其它軟件和自由下載軟件。

e)未獲批準(zhǔn)，嚴(yán)禁使用Modem撥號(hào)、無線網(wǎng)卡等方式或另辟通路接入其它網(wǎng)絡(luò)。

f)應(yīng)根據(jù)組織管理要求，合理合規(guī)使用終端自帶攝像頭、拾音硬件、集成無線網(wǎng)卡、藍(lán)牙通信

組件、紅外通訊組件、設(shè)備硬件擴(kuò)展塢、USB接口、SD讀卡器等嵌入式硬件及接口。

g)需設(shè)置開機(jī)口令和屏?？诹?，口令標(biāo)準(zhǔn)等身份鑒別機(jī)制參考8.1.6訪問與操作管理章節(jié)內(nèi)容。

h)重要部門的終端計(jì)算機(jī)應(yīng)要求對(duì)磁盤存儲(chǔ)采取加密措施保護(hù)存儲(chǔ)數(shù)據(jù)的機(jī)密性。

i)重要部門的終端計(jì)算機(jī)應(yīng)有措施對(duì)硬件本身實(shí)現(xiàn)物理保護(hù)，防止發(fā)生終端丟失、機(jī)箱違規(guī)開

啟、內(nèi)部組件的違規(guī)拆卸和添置安裝。

j)應(yīng)安裝統(tǒng)一的防病毒軟件使終端具備對(duì)惡意程序、代碼的檢測和清除機(jī)制。應(yīng)及時(shí)和定期升

級(jí)反病毒軟件。

k)應(yīng)定期對(duì)終端和相關(guān)軟件進(jìn)行安全漏洞掃描，并根據(jù)掃描結(jié)果及時(shí)安裝補(bǔ)丁程序。

l)應(yīng)定期對(duì)終端和相關(guān)軟件進(jìn)行安全配置基線檢查，并根據(jù)檢查結(jié)果及時(shí)進(jìn)行配置加固。

m)終端的使用、借用、維修和報(bào)廢應(yīng)遵循組織管理要求并做記錄。

n)終端的維修和報(bào)廢過程中應(yīng)對(duì)存儲(chǔ)的敏感信息進(jìn)行備份、刪除等操作，避免發(fā)生數(shù)據(jù)泄露的

風(fēng)險(xiǎn)。

8.1.6訪問與操作管理

本項(xiàng)要求包括：

a)應(yīng)為組織自有資源的所有訪問者確定適當(dāng)?shù)脑L問及操作控制規(guī)則、訪問與操作權(quán)及限制，其

詳細(xì)程度和控制的嚴(yán)格程度應(yīng)反映監(jiān)管及組織的安全要求，并能應(yīng)對(duì)相關(guān)的信息安全風(fēng)險(xiǎn)。

b)信息系統(tǒng)訪問控制與操作包括用戶ID管理，網(wǎng)絡(luò)及系統(tǒng)訪問控制以及數(shù)據(jù)訪問控制，具體要

10

求詳見本規(guī)范附錄B中B.2。

8.1.7監(jiān)測管理

本項(xiàng)要求包括：

a)應(yīng)根據(jù)資產(chǎn)情況，確定監(jiān)控管理的對(duì)象和級(jí)別，以發(fā)現(xiàn)異常行為實(shí)施有效預(yù)警，并采取適當(dāng)

措施評(píng)價(jià)潛在的信息安全事件。監(jiān)控對(duì)象可包括：

1）應(yīng)用系統(tǒng)。

2）支撐應(yīng)用系統(tǒng)運(yùn)行的系統(tǒng)軟件、工具軟件。

3）網(wǎng)絡(luò)及網(wǎng)絡(luò)設(shè)備。

4）安全設(shè)備。

5）主機(jī)、存儲(chǔ)、外設(shè)、終端等設(shè)備。

6）電力、空調(diào)、消防等基礎(chǔ)環(huán)境。

7）業(yè)務(wù)數(shù)據(jù)。

b)應(yīng)建立網(wǎng)絡(luò)安全監(jiān)測體系并滿足相關(guān)監(jiān)測需求，具體詳見本規(guī)范附錄B中表B.3：

c)應(yīng)具備和使用安全產(chǎn)品監(jiān)控工具作為監(jiān)控管理的技術(shù)支撐，主要的安全監(jiān)控產(chǎn)品分類和參考

見本規(guī)范附錄B中表B.4。

d)監(jiān)控工具應(yīng)具備預(yù)定義閾值功能，具備數(shù)據(jù)統(tǒng)計(jì)分析能力，根據(jù)預(yù)定義閾值生成告警信息，

可將告警信息通過管理控制臺(tái)、電子郵件或即時(shí)通信系統(tǒng)等方式發(fā)送給指定人員，工具宜包

括處理大量數(shù)據(jù)、適應(yīng)不斷變化的威脅形勢(shì)及允許實(shí)時(shí)通知的能力。

e)宜配置專人，開展實(shí)時(shí)或定期監(jiān)控，接收告警信息并做出響應(yīng)。宜建立識(shí)別和處理誤報(bào)的規(guī)

程，包括調(diào)整監(jiān)視軟件以減少未來誤報(bào)的數(shù)量。

f)宜建立含監(jiān)控、告警、處置、信息上報(bào)的工作機(jī)制。

8.1.8日志管理

本項(xiàng)要求包括：

a)設(shè)備、系統(tǒng)應(yīng)具備日志記錄功能，可記錄驗(yàn)證、修改、控制、傳輸?shù)热罩拘畔?，信息?yīng)至少

包括時(shí)間、事件類型、操作主體、事件內(nèi)容、操作結(jié)果（成功或失?。┑葍?nèi)容。對(duì)已記錄的

日志信息應(yīng)做好保護(hù)，用戶不宜有修改、刪除等權(quán)限，防止發(fā)生日志信息未經(jīng)授權(quán)變更和銷

毀等情況。

b)日志生成時(shí)間應(yīng)由唯一確定的時(shí)鐘產(chǎn)生，必要時(shí)需要配備NTP服務(wù)器，以保證各種數(shù)據(jù)的管

理和分析在時(shí)間上的一致性。

c)日志收集需保障及時(shí)性，避免過渡采集導(dǎo)致系統(tǒng)運(yùn)行異常，信息傳輸過程中要確保日志信息

的完整性和準(zhǔn)確性。對(duì)分散在各個(gè)設(shè)備上的日志數(shù)據(jù)宜進(jìn)行收集匯總和集中分析。

d)設(shè)備、系統(tǒng)應(yīng)配置足夠的日志存儲(chǔ)空間，保證信息存儲(chǔ)的安全性、完整性，日志記錄應(yīng)至少

保存6個(gè)月。包含敏感數(shù)據(jù)和個(gè)人可識(shí)別信息，宜采取適當(dāng)?shù)碾[私保護(hù)措施。

e)應(yīng)啟用日志審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)，

應(yīng)保證審計(jì)措施的有效性和時(shí)效性。審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、

事件是否成功及其他與審計(jì)相關(guān)的信息。應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)

期的刪除、修改或覆蓋等；審計(jì)記錄保存時(shí)長應(yīng)不少于6個(gè)月。

f)日志審計(jì)宜跟進(jìn)業(yè)務(wù)重要程度定期開展：

1）關(guān)鍵業(yè)務(wù)系統(tǒng)和設(shè)備，宜每周不少于1次審計(jì)。

2）一般業(yè)務(wù)系統(tǒng)和設(shè)備，宜每月不少于1次審計(jì)。

g)日志審計(jì)宜重點(diǎn)關(guān)注以下信息：

11

1）實(shí)時(shí)監(jiān)控和告警，關(guān)鍵業(yè)務(wù)系統(tǒng)和設(shè)備宜通過監(jiān)控和告警機(jī)制，及時(shí)發(fā)現(xiàn)安全事件并觸

發(fā)響應(yīng)。

2）異常行為分析，發(fā)現(xiàn)異常行為或可疑事件，如未經(jīng)授權(quán)的訪問、數(shù)據(jù)泄露等。

3）安全事件調(diào)查，當(dāng)發(fā)現(xiàn)安全事件時(shí)，進(jìn)行深入的調(diào)查和分析，以確定事件的原因、范圍

和影響。

4）修復(fù)和加固，對(duì)發(fā)現(xiàn)的安全問題進(jìn)行修復(fù)和加固，以消除安全隱患。

5）審計(jì)報(bào)告和記錄，對(duì)發(fā)生的安全事件進(jìn)行報(bào)告和記錄，以便對(duì)安全問題進(jìn)行跟蹤和管

理。

h)日志分析宜覆蓋對(duì)事態(tài)的分析和解釋，以幫助識(shí)別異常活動(dòng)或異常行為。宜通過日志審計(jì)系/

軟件、網(wǎng)絡(luò)安全管理平臺(tái)等工具輔助人工開展日志檢索、內(nèi)容關(guān)聯(lián)分析、圖表呈現(xiàn)、報(bào)告生

成與導(dǎo)出等功能提升日志分析工作效率。

i)日志的銷毀應(yīng)符合監(jiān)管要求及組織的安全策略要求。

8.1.9備份管理

本項(xiàng)要求包括：

a)制定備份計(jì)劃和時(shí)間表；

b)運(yùn)維備份的作業(yè)對(duì)象主要包括如下：

1）業(yè)務(wù)系統(tǒng)運(yùn)行產(chǎn)生的信息數(shù)據(jù)。

2）支撐業(yè)務(wù)系統(tǒng)運(yùn)行的外部信息數(shù)據(jù)。

3）支撐業(yè)務(wù)系統(tǒng)運(yùn)行的業(yè)務(wù)軟件本身及其它支撐應(yīng)用軟件（如操作系統(tǒng)、數(shù)據(jù)庫軟件、中

間件等）。

4）支撐業(yè)務(wù)系統(tǒng)運(yùn)行的其它支撐性設(shè)施的（如網(wǎng)絡(luò)設(shè)備、安全設(shè)備等）運(yùn)行配置信息。

c)應(yīng)根據(jù)備份對(duì)象、備份時(shí)間、備份頻率、備份方式、備份介質(zhì)、備份模式等制定備份策略。

d)應(yīng)根據(jù)數(shù)據(jù)大小、保留時(shí)間和恢復(fù)速度等因素進(jìn)行選擇合適的備份媒介。

e)應(yīng)制定數(shù)據(jù)備份、恢復(fù)規(guī)范和操作流程及管理指導(dǎo)文檔，保障不同數(shù)據(jù)存儲(chǔ)過程的保密性，

完整性、可用性和可追溯性。

f)應(yīng)針對(duì)備份過程及結(jié)果建立備份作業(yè)記錄表單。記錄表單主要記錄元素見本規(guī)范附錄B中表

B.5。

g)應(yīng)啟用數(shù)據(jù)備份產(chǎn)品存儲(chǔ)空間使用監(jiān)控功能，當(dāng)存儲(chǔ)空間已滿或達(dá)到閾值時(shí)，告警提示。

h)安全日志審計(jì)備份應(yīng)不少于180天。

i)應(yīng)考慮和提供足夠數(shù)量的備份拷貝，以確保在災(zāi)難和備份介質(zhì)本身故障之后仍可以恢復(fù)業(yè)務(wù)

信息和軟件。備份拷貝應(yīng)分別存儲(chǔ)在主要場地和備份場地。

j)備份拷貝要存儲(chǔ)在有足夠距離的遠(yuǎn)程地點(diǎn)，避免主要場地災(zāi)難時(shí)受到一并損壞。

k)對(duì)于重要的業(yè)務(wù)應(yīng)用至少要保留三代或若干周期的備份信息。對(duì)重要的業(yè)務(wù)信息數(shù)據(jù)可采取

存儲(chǔ)至少三份備份拷貝，使用兩種類型的存儲(chǔ)介質(zhì)，并將一份備份拷貝存放到遠(yuǎn)程地點(diǎn)的備

份方式。

l)應(yīng)對(duì)備份介質(zhì)提供包括防盜、防火、防潮、防電磁輻射等在內(nèi)的物理環(huán)境保護(hù)。

m)應(yīng)對(duì)備份拷貝進(jìn)行安全管理并宜采用加密機(jī)制防止未經(jīng)授權(quán)的訪問和篡改、避免由于管理不

善造成數(shù)據(jù)損壞、信息泄露等安全風(fēng)險(xiǎn)。

n)應(yīng)根據(jù)備份信息的重要性定期檢查和測試恢復(fù)規(guī)程，確保備份拷貝的有效性。

o)建立備份策略的監(jiān)控機(jī)制，及時(shí)發(fā)現(xiàn)備份故障和異常，生成備份報(bào)告，以供分析和改進(jìn)備份

策略。

p)安全應(yīng)急演練中應(yīng)包含數(shù)據(jù)安全演練內(nèi)容，檢驗(yàn)和保障備份與恢復(fù)機(jī)制和策略的有效性。

12

q)備份介質(zhì)的使用、利舊及報(bào)廢應(yīng)遵從組織的安全管理策略。

r)對(duì)于超出組織明確保存期的備份拷貝，應(yīng)根據(jù)組織的安全管理策略在進(jìn)行安全評(píng)估后及時(shí)恰

當(dāng)?shù)匿N毀這些備份拷貝。

8.1.10變更管理

本項(xiàng)要求包括：

a)宜將變更控制規(guī)程文件化，并強(qiáng)制實(shí)施，以確保從早期設(shè)計(jì)到后續(xù)維護(hù)中整個(gè)系統(tǒng)開發(fā)生存

周期內(nèi)，信息處理設(shè)施和信息系統(tǒng)中信息的保密性、完整性和可用性。

b)可納入變更管理的安全運(yùn)維工作主要包括：

1）IT基礎(chǔ)設(shè)施的擴(kuò)容或縮減。

2）軟件或硬件的升級(jí)或降級(jí)。

3）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的調(diào)整。

4）安全策略的調(diào)整。

5）軟件或硬件系統(tǒng)的配置更改。

6）應(yīng)用程序的代碼更改。

7）系統(tǒng)補(bǔ)丁更新。

8）外部接口的變更等。

c)應(yīng)建立變更控制規(guī)程，且嚴(yán)格按照規(guī)程執(zhí)行變更并對(duì)變更情況進(jìn)行記錄。建立變更控制的規(guī)

程的考慮、變更流程的環(huán)節(jié)以及變更記錄表的記錄元素見本規(guī)范附錄B中表B.6。

d)變更應(yīng)加強(qiáng)風(fēng)險(xiǎn)評(píng)估，評(píng)估應(yīng)考慮以下內(nèi)容：

1）數(shù)據(jù)泄露風(fēng)險(xiǎn)。

2）服務(wù)中斷風(fēng)險(xiǎn)。

3）安全漏洞風(fēng)險(xiǎn)。

4）配置錯(cuò)誤風(fēng)險(xiǎn)。

5）兼容性問題風(fēng)險(xiǎn)。

e)變更分級(jí)可分為4個(gè)級(jí)別：

1）初級(jí)變更，針對(duì)一些較低風(fēng)險(xiǎn)或影響較小的變更，可以由業(yè)務(wù)部分負(fù)責(zé)人審批以及運(yùn)維

團(tuán)隊(duì)中的初級(jí)成員或系統(tǒng)管理員進(jìn)行變更授權(quán)和執(zhí)行；

2）中級(jí)變更，針對(duì)一些中等風(fēng)險(xiǎn)或有一定影響的變更，需要由運(yùn)維團(tuán)隊(duì)中的中級(jí)成員或高

級(jí)系統(tǒng)管理員進(jìn)行變更授權(quán)和執(zhí)行；

3）高級(jí)變更，針對(duì)一些高風(fēng)險(xiǎn)或影響較大的變更，需要由運(yùn)維團(tuán)隊(duì)負(fù)責(zé)人或資深技術(shù)專家

進(jìn)行變更授權(quán)和執(zhí)行；

4）特別授權(quán)，針對(duì)一些特殊情況或緊急情況下的變更，可以由公司高層領(lǐng)導(dǎo)或跨部門協(xié)作

小組進(jìn)行特別授權(quán)和執(zhí)行。

8.1.11事件及響應(yīng)管理

本項(xiàng)要求包括：

a)網(wǎng)絡(luò)安全事件是由于人為原因、網(wǎng)絡(luò)遭受攻擊、網(wǎng)絡(luò)存在漏洞隱患、軟硬件缺陷或故障、不

可抗力等因素，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)或者其中的數(shù)據(jù)和業(yè)務(wù)應(yīng)用造成危害，對(duì)國家、社會(huì)、經(jīng)

濟(jì)造成負(fù)面影響的事件。

b)網(wǎng)絡(luò)安全事件的分類按GB/T20986-2023中5的規(guī)定。

c)網(wǎng)絡(luò)安全事件的級(jí)別按GB/T20986-2023中6.2的規(guī)定。

d)應(yīng)建立網(wǎng)絡(luò)安全事件預(yù)警、處置、上報(bào)的安全管理策略、制度、機(jī)制和流程。

13

e)應(yīng)建立事件響應(yīng)小組。事件響應(yīng)小組團(tuán)隊(duì)成員應(yīng)由組織領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人、以及外部響

應(yīng)支撐機(jī)構(gòu)相關(guān)人員組成?？善刚?qǐng)相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家組。

f)應(yīng)根據(jù)應(yīng)急事件的級(jí)別和應(yīng)急響應(yīng)的場景制定應(yīng)急響應(yīng)預(yù)案。應(yīng)急響應(yīng)預(yù)案可以分為總體預(yù)

案和針對(duì)某個(gè)核心系統(tǒng)、某個(gè)響應(yīng)場景的專項(xiàng)預(yù)案。應(yīng)急響應(yīng)預(yù)案應(yīng)包含以下主要內(nèi)容：

1）應(yīng)急響應(yīng)預(yù)案的編制目的、依據(jù)和適用范圍。

2）應(yīng)急響應(yīng)具體的組織體系結(jié)構(gòu)及人員職責(zé)。

3）應(yīng)急響應(yīng)的監(jiān)測和預(yù)警機(jī)制。

4）應(yīng)急響應(yīng)預(yù)案的啟動(dòng)。

5）應(yīng)急事件級(jí)別及對(duì)應(yīng)的處置流程、方法。

6）應(yīng)急響應(yīng)的保障措施。

7）應(yīng)急預(yù)案的附則。

g)應(yīng)制定應(yīng)急響應(yīng)培訓(xùn)計(jì)劃，并組織相關(guān)人員參與。培訓(xùn)應(yīng)使參訓(xùn)人員明確其在應(yīng)急響應(yīng)過程

中的責(zé)任范圍、接口關(guān)系，明確應(yīng)急處置的操作規(guī)范和操作流程。培訓(xùn)應(yīng)至少每年舉辦一

次。

h)為驗(yàn)證應(yīng)急響應(yīng)預(yù)案的有效性，使相關(guān)人員了解預(yù)案的目標(biāo)和內(nèi)容，熟悉應(yīng)急響應(yīng)的操作規(guī)

程，并檢測應(yīng)急響應(yīng)小組的處置能力，應(yīng)進(jìn)行應(yīng)急演練。演練至少每年舉行一次。演練應(yīng)：

1）預(yù)先制定符合演練目的的演練計(jì)劃、演練腳本。

2）演練開始前應(yīng)確認(rèn)演練活動(dòng)的開展和保障條件。

3）演練的整個(gè)過程應(yīng)進(jìn)行全程監(jiān)控，應(yīng)有詳細(xì)記錄，并形成報(bào)告。

4）演練應(yīng)不影響業(yè)務(wù)的正常運(yùn)行。對(duì)于確有可能影響業(yè)務(wù)正常運(yùn)行的情況，應(yīng)提前進(jìn)行風(fēng)

險(xiǎn)評(píng)估，并向相關(guān)利益方進(jìn)行預(yù)警或通告。

5）演練結(jié)束后應(yīng)進(jìn)行活動(dòng)總結(jié)，并將演練情況納入應(yīng)急響應(yīng)工作評(píng)審。

i)應(yīng)定期針對(duì)應(yīng)急響應(yīng)工作進(jìn)行評(píng)審，評(píng)審至少每年舉行一次。審核的內(nèi)容及審核時(shí)應(yīng)考慮的

因素見本規(guī)范附錄B中表B.7。

8.2檢查

8.2.1安全評(píng)估管理

本項(xiàng)要求包括：

a)運(yùn)行維護(hù)階段安全評(píng)估是掌握和控制信息系統(tǒng)及其支撐軟硬件系統(tǒng)運(yùn)行過程中的安全風(fēng)險(xiǎn)。

評(píng)估內(nèi)容包括在線運(yùn)行信息系統(tǒng)及其支撐軟硬件系統(tǒng)資產(chǎn)、面臨威脅、自身脆弱性以及已有

安全措施等各方面。

b)安全評(píng)估的評(píng)估形式包括自評(píng)估、第三方評(píng)估和檢查評(píng)估。

1）自評(píng)估：由信息系統(tǒng)所有者自身發(fā)起，組成組織機(jī)構(gòu)內(nèi)部的評(píng)估機(jī)構(gòu)，依據(jù)國家有關(guān)法

規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全管理進(jìn)行的評(píng)估活動(dòng)。

2）第三方評(píng)估：由信息系統(tǒng)所有者委托商業(yè)評(píng)估機(jī)構(gòu)或其它評(píng)估機(jī)構(gòu)，依據(jù)國家有關(guān)法規(guī)

與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全管理進(jìn)行的評(píng)估活動(dòng)。

3）檢查評(píng)估：由被評(píng)估信息系統(tǒng)所有者的上級(jí)主管部門、業(yè)務(wù)部門或國家相關(guān)監(jiān)管部門發(fā)

起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全管理進(jìn)行的評(píng)估活動(dòng)。

c)安全評(píng)估的范圍應(yīng)結(jié)合已確定的評(píng)估目標(biāo)和組織的信息系統(tǒng)建設(shè)情況，合理定義評(píng)估對(duì)象和

評(píng)估范圍邊界，可以參考以下依據(jù)作為評(píng)估范圍邊界的劃分原則：

1）業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界。

2）網(wǎng)絡(luò)及設(shè)備載體邊界。

14

3）物理環(huán)境邊界。

4）組織管理權(quán)限邊界。

5）其它。

d)安全評(píng)估的具體場景除傳統(tǒng)IT外，應(yīng)包括可能涉及的云計(jì)算、移動(dòng)互聯(lián)，物聯(lián)網(wǎng)、工業(yè)控

制、大數(shù)據(jù)應(yīng)用、跨國業(yè)務(wù)運(yùn)維等場景。

e)安全評(píng)估的方法主要包括：

1）文檔檢查：檢查被評(píng)估單位提交的有關(guān)文檔（如系統(tǒng)配置文檔、安全防護(hù)方案、自評(píng)估

報(bào)告等）是否符合相關(guān)標(biāo)準(zhǔn)和要求；

2）人工核查：根據(jù)評(píng)估方案和評(píng)估指導(dǎo)書，在合理的評(píng)估環(huán)境下，核查各項(xiàng)安全功能和防

護(hù)能力是否與提交文檔一致，是否符合相關(guān)標(biāo)準(zhǔn)和要求等；

3）工具檢查：根據(jù)評(píng)估方案，在被評(píng)估單位授權(quán)的前提下，選擇適用的評(píng)估工具實(shí)施評(píng)

估，工具可包括網(wǎng)絡(luò)評(píng)估工具、主機(jī)評(píng)估工具、資產(chǎn)識(shí)別工具等。

f)風(fēng)險(xiǎn)評(píng)估使用的工具可參考GB/T20984-2022中附錄C。

g)運(yùn)行維護(hù)的評(píng)估內(nèi)容包含：

1）運(yùn)行維護(hù)階段的組織及人員，安全管理文件體系等保障措施。

2）運(yùn)行維護(hù)階段的環(huán)境與資源管理、運(yùn)行操作管理、系統(tǒng)維護(hù)管理、安全狀態(tài)監(jiān)控、密碼

與數(shù)據(jù)安全管理、業(yè)務(wù)連續(xù)性管理、變更控制與外包管理（包括供應(yīng)鏈）、安全檢查和持

續(xù)改進(jìn)等日常措施。

3）運(yùn)行維護(hù)階段的監(jiān)管合規(guī)性符合、風(fēng)險(xiǎn)管理、監(jiān)督與檢查等監(jiān)督措施。

h)風(fēng)險(xiǎn)評(píng)估實(shí)施的階段性工作內(nèi)容按GB/T20984-2022中5的要求。

i)運(yùn)行維護(hù)階段的安全評(píng)估應(yīng)常態(tài)化開展。具體要求如下：

1）運(yùn)營單位對(duì)本單位安全保護(hù)等級(jí)為第三級(jí)和第四級(jí)的信息系統(tǒng)定期組織開展自評(píng)估，評(píng)

估周期原則上不超過一年；安全保