下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、任务来源
根据国家标准化管理委员会下达的2014年国家标准项目制修订计划,国家
标准《信息安全技术IT安全运维管理指南》由浙江远望信息股份有限公司负
责主办,中电长城网际系统应用有限公司、中国电子技术标准化研究院、国家信
息中心等单位参与,标准计划号为20141130-T-469,项目编号为
2013bzzd-WG7-004(全国信息安全标准化技术委员会2013年信息安全专项)。
二、标准必要性和意义
1、为信息系统安全运维相关标准应用,提供统一应用指南。
目前,存在着多个与信息系统安全运维相关的标准,这些标准在内容上各
有侧重,但缺少针对安全运维的全面说明,对信息安全运维管理者来说应用繁杂,
迫切需要透过整合,形成统一的安全运维应用指南。
2、有效解决政府和企事业单位安全运维管理规范性问题。
政府部门和企事业单位业务的开展对信息系统的依赖越来越高,它们一旦出
现安全问题,不但影响会政府部门和企事业单位业务的正常运行,更可能造成业
务机密数据或个人隐私数据的泄露,造成严重的经济、政治和社会影响。本标准
旨在为政府部门和企事业单位的信息系统安全管理者构建规范的安全运维体系
提供指导。
三、主要工作过程
1、2013年底-2014年3月,通过《2013年信息安全国家标准项目计划第二
批》专家评审,同意标准立项,浙江远望信息股份有限公司负责牵头实施。
2、2014年9月,结合公司当前信息安全管理系列技术和产品,学习查阅我
国现有的安全运维相关的政策及规范性文件。调研我国政府和企事业单位信息网
络安全运维管理现状,提出标准初稿。
3、2014年10月至2015年4月,对已形成的《信息安全技术IT安全运维
管理指南》标准初稿,广泛征求业界和专家意见,并且组织进行了一次标准专家
评审会,会上专家对标准内容提出了修改意见,标准编制组根据意见进行了修改
完善。
4、2015年5月至2015年10月,参加了由信安标委组织的标准检查会议,
进行了第二次专家评审会,标准编制组根据专家意见对标准继续进行修改完善。
5、2016年10月,参加了“全国信息安全标准化技术委员会2016年第二次
会议周”期间的信息安全管理工作组(WG7)会议,会上课题组做了标准草案的
全面汇报,并听取了与会单位、企业提出的意见建议。此次会议决定该标准修订
进入征求意见稿阶段。
6、2016年11月,课题组成员根据会议周上的反馈意见,对标准草案进行
了研究修改形成了较完整的标准草案。
7、2016年12月上旬,根据会议周的决定,对标准草案做了进一步全面的
修改完善,形成了标准征求意见稿第1稿,并提交。
8、2016年12月22日,全国信息安全标准化技术委员会WG7组织了专家审
查会。12月25日,根据会上专家意见对征求意见稿第1稿进行了修改完善,形
成了征求意见(中英文对照)第2稿,同时更新编制说明和意见汇总表。本次会
议上,提出将标准名称由原来的“IT安全运维管理指南”修改为“信息系统安
全运维管理指南”,现提请工作组成员全体会议时决议。
四、主要条款的说明,主要技术指标、参数、实验验证的论述
本标准可作为政府部门和企事业单位在基于GB/T22080—2016《信息技术
安全技术信息安全控制实践指南》、GB/T20269—2006《信息安全技术信息
系统安全管理要求》、GB/T24405.1—2009《信息技术服务管理第1部分:
规范》和GB/T24405.2—2010《信息技术服务管理第2部分:实践规则》
建立信息系统安全运维管理体系过程中选择控制时的参考,或作为政府部门或企
事业单位运维团队在进行信息系统安全运维管理时的指南。
本标准为实现信息系统安全运维提供了一个控制集。该控制集涉及信息系统
安全运维策略、组织、规程和技术等方面,可以用于指导或评估政府和企事业单
位信息系统安全运维管理工作,也可以用于指导或评估信息系统安全运维产品和
方案厂商的研发工作,还可以规范或评估信息系统安全运维服务商提供的服务内
容。主要标准内容如下:
1、信息系统安全运维管理对象和内容的标准化
明确了运维管理对象类别、管理内容和管理指导。具体对象类别包括:信息
系统的安全运维策略、安全运维组织、安全运维流程和安全运维技术等,并且根
据不同管理对象,提出了安全运维的目标、控制和实现指南。
2、资产管理标准化
明确了信息系统价值、安全分级和存储介质管理的规程和实施方法。
3、访问控制标准化
明确了访问控制的业务要求、用户访问管理、系统和应用访问控制的目标、
控制和实施指南。
4、信息系统安全事件管理的标准化
确保采用一致和有效的方法对信息系统安全事件进行管理,包括对安全事态
和弱点的沟通,明确了安全事件的责任和规程,安全事态的报告、评估和决策,
事件响应和证据收集的实现指南。
5、信息系统安全服务台的标准化
明确了信息系统安全服务台实现信息系统安全运行的统一监控与处理;配置
管理平台负责自动发现信息系统相关软硬件资产,为安全运维提供基础数据。
6、信息系统安全运维管理实现工具
采用安全信息与事件管理(SIEM)平台作为信息系统安全运维管理的实现工
具,包括资产发现与管理系统、脆弱性扫描与管理系统、入侵检测系统、异常行
为监测系统和关联分析系统。
本标准对信息系统安全运维管理给出的指导有利于提高信息系统安全运维
管理的服务效率和服务质量,促进信息系统安全运维的标准化建设和信息系统运
行的安全性。
五、采用国际标准和国外先进标准的,说明采标程度,以及与国内外同类标准水
平的对比情况
本标准是自主编制的国家标准。
六、作为推荐性标准或者强制性标准的建议及其理由
本标准以更好地指导政府和企事业单位信息系统的安全运维管理为目的,建
议将本标准作为推荐性标准发布实施。
七、贯彻标准的措施建议
为加强政府和企事业单位对信息系统的安全运维管理工作,结合我国情况,
建议相关主管部门通过举办培训班、讲座形式进行信息系统安全运维内容宣贯,
帮助各级政府机构和企事业单位信息系统
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024-2030年促进生育的治疗行业市场现状供需分析及投资评估规划分析研究报告
- 2024-2030年传统伤口护理产品行业市场现状供需分析及投资评估规划分析研究报告
- 2024-2030年互联网汽车产业市场深度调研及发展现状与投资前景研究报告
- 2024-2030年乡镇影院产业发展分析及发展趋势与投资前景预测报告
- 2024-2030年中老年服装行业市场发展分析及竞争格局与投资战略研究报告
- 2024-2030年中国黄腐酸钾行业竞争力优势与投资可行性研究报告
- 2024-2030年中国鹦鹉玩具行业前景预判与营销策略预测研究报告
- 2024-2030年中国鲍鱼市场需求规模与行业产销状况分析报告
- 2024-2030年中国高纯氧化镥行业发展动态及应用趋势预测报告
- 2024-2030年中国高端机械设备行业市场全景调研及投资价值评估咨询报告
- 热敏灸技术操作规范
- 2023北京八十中高一10月月考数学试卷和答案
- 人教版一年级英语教案分享
- 2024年中考语文复习分类训练:说明类文本阅读
- 2023-2024学年北京市东城区德胜中学九年级(上)期中数学试卷【含解析】
- 七年级上册历史第21课《让我们共同来感受历史》教学设计
- 医院医务科完善出入院服务流程PDCA持续质量改进记录表PDCA模板
- 医疗机构工作人员廉洁从业九项准则自查自纠报告
- 小学学校2024-2026年三年发展规划
- 北师大版四年级数学平移与平行
- 2024年度中学生交通安全教育
评论
0/150
提交评论