《信息系统 安全运维管理规范》

ICS

点击此处添加中国标准文献分类号

T/KMNSA

团体标准

T/KMNSA001—2024

信息系统安全运维管理规范

第1部分：通用系统

（征求意见稿）

2024-XX-XX发布2024-XX-XX实施

昆明市网络安全协会发布

1

目  次

前  言...............................................................................3

信息系统安全运维管理规范...............................................................1

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................2

4缩略语...............................................................................3

5安全运维体系.........................................................................3

5.1安全运维原则.....................................................................3

5.2安全运维目标.....................................................................3

5.3安全运维框架.....................................................................3

6安全运维策略.........................................................................4

6.1安全运维策略制定.................................................................4

6.2安全运维策略评审.................................................................5

7安全运维组织.........................................................................5

7.1岗位设置.........................................................................5

7.2人员配备.........................................................................5

7.3授权与审批.......................................................................5

7.4沟通和合作.......................................................................6

7.5教育和培训.......................................................................6

7.6人员录用.........................................................................7

7.7人员离岗.........................................................................7

7.8外包运维安全管理.................................................................7

7.9外部人员访问管理.................................................................7

7.10绩效评估........................................................................8

8安全运维规程.........................................................................8

8.1安全运维管理.....................................................................8

8.2检查............................................................................14

8.3外部协同........................................................................17

9安全运维支撑系统....................................................................19

9.1检测识别类系统..................................................................19

9.2防护管理类系统..................................................................19

9.3监测审计类系统..................................................................19

9.4响应协同类系统..................................................................20

9.5系统自身安全要求................................................................20

附录A（资料性）网络安全运维人员资质建议........................................21

附录B（资料性）安全运维规程涉及表单............................................22

B.1资产清单主要记录元素..............................................................22

B.2信息系统访问控制与操作............................................................22

B.3监测体系内容.......................................................................23

B.4监测产品类别......................................................................24

1

B.5备份作业记录元素..................................................................24

B.6变更控制规程......................................................................25

B.7应急响应工作审核..................................................................25

B.8安全配置检查内容..................................................................26

B.9服务类项目验收准备文件............................................................26

附录C（资料性）安全运维支撑系统功能要求........................................27

C.1检测识别类系统....................................................................27

C.1.1资产测绘系统..................................................................27

C.1.2安全配置核查系统..............................................................27

C.1.3漏洞扫描系统..................................................................28

C.1.4网站安全监测系统..............................................................28

C.1.5违规外联检测系统..............................................................28

C.2防护管理类系统....................................................................29

C.2.1攻击面管理系统................................................................29

C.2.2资产管理系统..................................................................29

C.2.3漏洞管理系统..................................................................30

C.2.4安全合规管理系统..............................................................30

C.2.5安全运维流程管理系统..........................................................31

C.2.6安全运维管理系统..............................................................31

C.3监测审计类系统....................................................................32

C.3.1日志审计系统..................................................................32

C.3.2主机审计系统..................................................................32

C.3.3网络审计系统..................................................................33

C.3.4数据库审计系统................................................................33

C.3.5应用审计系统..................................................................33

C.3.6防火墙策略审计系统............................................................33

C.3.7监控系统......................................................................34

C.3.8威胁信息监测系统..............................................................34

C.3.9态势感知系统..................................................................35

C.4响应协同类系统....................................................................35

C.4.1安全服务工作台................................................................35

C.4.2信息通报系统..................................................................35

C.4.3安全编排与自动化响应..........................................................36

C.4.4安全中台......................................................................36

2

信息系统安全运维管理规范

1范围

本文件针对运营单位的业务信息系统网络安全运维的体系、规程、技术、团队、沟通协作、应急

响应及应急演练做出了规定。本文件适用于企事业单位信息系统的网络安全运维，也可作为组织开展

网络安全运维的依据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适

用于本文件。

GB/T1.1—2020标准化工作导则第1部分：标准化文件的结构和起草规则

GB/T36626信息安全技术信息系统安全运维管理指南

GB/T25069信息安全技术术语

GB/T42446信息安全技术网络安全从业人员能力基本要求

GB/T32914信息安全技术网络安全服务能力要求

GB/T31722-2015信息安全技术信息安全风险管理

GB/T51314-2018数据中心基础设施运行维护标准

GB/T22081-2016信息技术安全技术信息安全控制实践指南

GB/T17901.1-2020信息安全技术密钥管理第1部分：框架

GB/43207-2023信息安全技术信息系统密码应用设计指南

GB/T39786-2021信息安全技术信息系统密码应用基本要求

GB/T20986-2023信息安全技术网络安全事件分类分级指南

GB/T20984-2022信息安全技术信息安全风险评估方法

GB/T28453-2012信息安全技术信息系统安全管理评估要求

GB/T30276-2020信息安全技术网络安全漏洞管理规范

GB/T22080信息技术安全技术信息安全管理体系要求

GB/T20984信息安全技术信息安全风险评估规范

GB/T30283信息安全技术信息安全服务分类与代码

GB/Z20985信息技术安全技术信息安全事件管理指南（所有部分）

GB/Z20986信息安全技术信息安全事件分类分级指南

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T22240信息安全技术网络安全等级保护定级指南

GB/T25058信息安全技术网络安全等级保护实施指南

GB/T25070信息安全技术网络安全等级保护安全设计技术要求

GB/T39786信息安全技术信息系统密码应用基本要求

GB/T31495信息安全技术信息安全保障指标体系及评价方法

GB/T42250信息安全技术网络安全专用产品安全技术要求

1

GB/T42453信息安全技术网络安全态势感知通用技术要求

GA/T1545信息安全技术网络及安全设备配置检查产品安全技术要求

GA/T1359信息安全技术信息资产安全管理产品安全技术要求

GB/T28458信息安全技术网络安全漏洞标识与描述规范

GA/T911信息安全技术日志分析产品安全技术要求

GA/T1550信息安全技术网站安全监测产品安全技术要求

GB/T20945信息安全技术网络安全审计产品技术规范

GB/T36643信息安全技术网络安全威胁信息格式规范

GB/T43557信息安全技术网络安全信息报送指南

3术语和定义

GB/T25069-2022、GB/T30283-2022、GB/T32914-2023界定的术语和定义适用于本文件。

GB/T25069中界定的以及下列术语和定义适用于本文件。

密钥key

控制密码变换操作的符号序列。

病毒virus

一种程序，即通过修改其他程序，使其他程序包含一个自身可能已发生变化的原程序副本，从而

完成传播自身程序，当调用受传染的程序，该程序即被执行。

APTadvancedpersistentthreat；高级持续性威胁

精通复杂技术的攻击者利用多种攻击方式对特定目标进行长期持续性网络攻击。

安全漏洞cybersecurityvulnerability

网络产品和服务在需求分析、设计、实现、配置、测试、运行、维护等过程中，无意或有意产生

的、有可能被利用的缺陷或薄弱点。

安全配置cybersecurityconfiguration

能满足网络安全基本要求的一组或多组核心配置项。

拒绝服务denialofservice;DoS

阻止对系统资源的经授权访问或延迟系统的运行和功能，并导致经授权用户可用性受损。

应急响应emergencyresponse

组织为应对突发／重大信息安全事件发生所做的准备，以及在事件发生后所采取的措施。

应急演练emergencydrill

为训练有关人员和提高应急响应能力而根据应急预案和应急响应计划所开展的活动。

泄露disclosure

违反信息安全策略，导致数据被未经授权的实体使用的行为。

入侵检测系统intrusiondetectionsystem;IDS

用于识别已尝试、正在发生或已经发生的入侵的信息系统。

入侵防御系统intrusionpreventionsystem;IPS

特别设计用来提供主动响应能力的入侵检测系统的变体。

身份identity

与某一实体相关的一组属性。

渗透测试penetrationtesting

以未经授权的动作绕过某一系统的安全机制来检查信息系统的安全功能，以发现信息系统安全问

题的手段。

2

风险评估riskassessment

风险识别、风险分析和风险评价的整个过程。

安全审计securityaudit

对信息系统记录与活动的独立评审和考察，以测试系统控制的充分程度，确保对于既定安全策略

和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。

供应链supplychain

将多个资源和过程联系在一起，并根据服务协议或其他采购协议建立起连续供应关系的组织系

列。其中每一组织充当需方、供方或双重角色。

流量分析trafficanalysis

通过观察通信流量来推断所关注信息的过程。

4缩略语

APT高级持续性威胁（advancedpersistentthreat）

Modem调制解调器（Modulator-Demodulator）

SD安全数字（securedigital）

USB通用串行总线（universalserialbus）

VPN虚拟专用网（virtualprivatenetwork）

5安全运维体系

5.1安全运维原则

信息系统运营方应根据信息系统的保护等级，建立网络安全运维管理体系，并符合等级保护、密

码应用、数据安全保护、关键信息基础设施保护等要求。安全运维管理体系的建立可参考GB/T36626

的要求开展。

5.2安全运维目标

安全运维目标应以利益相关者的安全需求为导向，基本目标应包括：

——保障信息系统安全性、稳定性、可靠性；

——防止信息系统遭到攻击和破坏；

——保障信息系统数据的安全性。

5.3安全运维框架

安全运维框架（如图1所示）中，安全运维原则和目标是核心，安全运维策略、安全运维组织、安

全运维规程、安全运维支撑系统是安全运维工作开展的基础保障。在安全运维开展过程中，需要对所

有安全运维要素进行持续的监测和改进。

3

图1安全运维框架图

6安全运维策略

6.1安全运维策略制定

安全运维策略制定要求包括：

a)应对当前网络安全形势、国家网络安全法律法规、组织所属行业政策要求、组织面临的网络安

全威胁等进行调研和分析，为安全策略制定提供必要的支撑。

b)应制定信息系统安全运维工作的总体方针和安全策略，明确组织安全运维工作的总体目标、范

围、原则和框架等，为信息系统安全运维提供原则与指导。

c)信息系统安全运维策略的制定应关注来自业务安全战略、安全运维目标、法律法规和合同、当

前和预期的信息系统安全威胁环境等方面产生的要求。

d)信息系统安全运维策略主要包括以下内容：

1）信息系统安全运维目标和原则的定义；

2）分层防护、最小特权、分区隔离、隐私保护和日志记录等技术内容；

3）信息系统安全运维管理相关的角色责任和权限分配情况；

4）处理信息系统安全运维策略的落实出现偏差和意外的过程。

e)信息系统运维策略应由以下相关层面的运维策略组成，包括但不限于：

1）资产管理；

2）物理环境管理；

3）密钥与密码设备管理；

4）介质管理；

5）终端管理；

6）访问与操作管理；

4

7）监测管理；

8）日志管理；

9）备份管理；

10）变更管理；

11）事件及响应管理；

12）安全评估管理；

13）安全漏洞管理；

14）安全配置管理；

15）第三方人员管理；

16）供应链管理；

17）安全验收管理。

f)应根据信息系统安全运维策略及管理制度制定相应的安全运维流程，并对安全运维的管理人员

和实施人员执行的各项操作建立操作规程。

g)信息系统安全运维策略应由管理者批准，并采用合适的、可访问和可理解的形式传达给安全运

维团队、组织内部人员和外部相关方。

6.2安全运维策略评审

安全运维策略评审要求包括：

a)应指定或授权专门的部门或人员负责信息系统安全运维策略的制定、评审和评价。

b)应持续识别、记录和更新与信息系统安全运维相关的法律法规或技术环境、组织环境及业务状

况发生的变化情况，作为信息系统安全运维策略及方法持续改进的依据。

c)应定期或当信息系统环境或业务安全需求发生重大改变时，对信息系统安全策略的适宜性、充

分性、有效性进行评审，对安全策略进行持续改进。

d)信息系统安全运维策略的修订应由管理层批准。

7安全运维组织

7.1岗位设置

岗位设置要求包括：

a)运营单位应设置网络安全管理、审计、运维等岗位，岗位可参照GB/T42446-2023中4.2、

4.3规定的工作类别以及工作任务进行设置；

b)若网络安全运维组织包括外包组织的，应设置现场项目负责人，负责项目的整体沟通协调；

c)各岗位应权责分离，相互间不得兼任。

7.2人员配备

人员配备要求包括：

a)应配备熟悉网络安全政策法规、具有扎实网络安全技能的人员开展网络安全运维，技能要求

可参照GB/T42446-2023中5、6的规定；

b)应配备与安全运维目标相适应的人员，重要运维岗位宜配备AB角；

c)宜配备具有网络安全技能资质的人员，参考的资质见附录A。

7.3授权与审批

5

授权与审批要求包括：

a)应建立安全运维的授权机制，并对安全运维人员的权限进行统一管理和控制；

b)授权应遵循最小权限原则，只授予安全运维人员完成工作所需的最小权限；

c)安全运维人员岗位发生变化时，应及时收回或调整相应权限；

d)应建立安全运维活动的审批机制，安全运维活动主要包括运维任务下达及执行、重要区域访

问、系统接入，以及对安全运维对象及资源的变更管理等，变更包括：

——安全运维组织、人员及权限的调整；

——安全运维策略或规程的更改；

——软硬件设备更换或参数调整；

——软硬件设备版本升级或新功能开发；

——新技术运用等。

e)应建立突发、紧急事件的快速授权机制及审批流程，明确启动触发条件，避免该机制被滥

用；

f)应定期对授权和审批进行审计，评估授权及审批管理的有效性和合规性。审计内容包括权限

的授予、使用、变更和撤销，以及运维活动对应的审批流程等。

7.4沟通和合作

授权与审批要求包括：

a)应建立安全运维组织的内外部沟通合作机制，方式包括：

——信息共享，如建立共享的信息平台、知识库等；

——定期总结和汇报；

——开展协同工作和应急处置；

——组织或参加会议；

——组织或参加技术交流和竞赛等。

b)应建立与上级主管部门、内外部网络安全相关单位的沟通合作，并建立联系列表。外部联系

单位包括：

——网络安全主管部门；

——行业主管部门、行业协会、同行业单位；

——业务系统涉及的相关机构，如软硬件厂商、外包服务商、网络或云服务运营商等；

——网络安全服务机构等。

7.5教育和培训

教育和培训要求包括：

a)应建立安全运维培训体系，保证必要的培训经费，并根据安全运维目标、策略或岗位设计相

应的培训课程（培训内容可参照GB/T42446-2023中5、6的规定）、制定培训计划；

b)应确保培训内容具备针对性和实用性，内容宜包括网络安全基础、专业技能、安全管理、实

践案例等，并通过训后考试、随机抽测、问卷调查等方式评估培训质量；

c)应采取多样化培训方式，如线上下课程、研讨分享、实操演练、攻防实战等；

d)应定期组织开展安全运维培训，培训周期如下：

——日常安全培训列入工作计划，每季度宜开展1次；

——专项安全培训应列入培训计划，每年宜开展1次；

——重要风险预警及处置、上级主管部门组织的专题培训实时开展；

——外部机构组织的能力提升、资格认证类培训列入培训计划，每年宜开展1次。

6

7.6人员录用

人员录用的要求包括：

a)应确保招聘录用的安全运维人员与岗位需求和职责相匹配；

a)安全运维管理、审计岗位应由内部人员担任；

b)应对安全运维人员的身份、背景、资质进行审查。当人员的身份、安全背景等发生变化时，

应重新进行安全背景审查；

c)安全运维人员应在上岗前签署网络安全相关责任书和保密协议。

7.7人员离岗

人员离岗的要求包括：

a)重要安全运维岗位人员离岗前，应及时对离岗可能产生的风险进行评估，并制定相应措施；

b)安全运维人员离岗时，应在完成工作交接后及时进行敏感信息处理，如敏感资料、权限证

书、密钥等，并收回权限，删除或停用系统账号；

c)应对安全运维人员进行离岗前安全审查，签署书面保密协议。如果有脱密要求的，应在规定

的脱密期限后方可离岗；

d)应留存安全运维人员离岗的相关记录。

7.8外包运维安全管理

外包运维安全管理的要求包括：

a)应确保选定的外包运维服务机构符合GB/T32914的规定；

b)应与选定的外包运维服务商签订相关的协议，约定的内容包括：

——外包运维的范围；

——工作内容；

——安全要求；

——保密要求；

——考核机制等。

d)应保证所选择的外包运维服务商，在安全技术和管理方面的能力均符合系统相应等级的安全

要求，并将能力要求在签订的协议中明确，运维外包服务商宜具备相应的网络安全服务资

质，服务资质可参见附录表A.2。

c)应对外包运维过程进行实时监控，并定期对服务质量进行评价，评价内容包括：

——项目管理，评价项目的执行情况；

——组织和人员，评价岗位设置是否合理，运维人员的能力素质等；

——服务质量，评价运维目标的实现、运维策略的执行情况等；

——技术和设备，评价在安全运维过程中采用的技术和设备使用情况和运用效果；

——事件响应，评价安全事件的响应和处置能力；

——成本效益，评价项目的成本支出以及所取得效益。

7.9外部人员访问管理

外部人员访问管理的要求包括：

a)外部人员访问安全运维相关的重要场所或系统应通过审批；

b)应对外部人员明确安全及保密要求，有必要的应签订安全或保密协议；

c)应对外部人员访问做好记录，并对访问的全过程进行监督控制；

d)因工作需要为外部人员临时开放的权限，应在工作结束后立即收回。

7

7.10绩效评估

绩效评估的要求包括：

a)应建立运维组织绩效评估指标，包括：

——业务指标，如运维目标达成、流程控制等；

——财务指标，如费用支出、效益及风险控制等；

——人力资源指标，如团队协作、学习成长、人员激励考核等。

b)绩效评价方法可采用KPI（关键绩效指标）、OKR（目标与关键成果）、BSC（平衡记分卡）

等方法；

c)应定期开展绩效评估，可采用自评估与外评估相结合的形式，并及时向运维团队反馈评估结

果。

8安全运维规程

8.1安全运维管理

8.1.1资产管理

本项要求包括：

a)需要首先识别其资产，资产可分为以下两个主要类别：

1）主要资产，主要资产包含业务过程、信息和数据资产。其中数据资产是组织拥有或者控

制的，能进行计量，为组织带来价值的数据资源。

2）支撑性资产，支撑性资产包含硬件、软件、网络、人员、场所及组织结构。

b)可通过主动探测、被动分析，以及信息调研的方式对资产进行测绘，发现网络中的资产。

c)应明确资产的重要性，可参考GB/T31722—2015中附录B的方法计算资产的价值。

d)应对资产进行分类分级，根据资产类型分别建立详细的资产清单并采用统一的资产编码对资

产进行标识。

e)资产清单应明确资产的类型、资产所属关系、资产间依赖关系、资产维护关系、部署关系、

服务功能、基础软件版本、存放数据情况、与攻击目标相连情况、开放端口/服务、可访问位

置与授权、覆盖的防护手段等。资产清单宜包含的主要记录元素见本规范附录B中表B.1。

f)对于资产的变更应根据组织安全策略及时对资产清单进行更新。

g)应通过技术手段实现对资产属性变更的监控、感知和预警。

h)应根据组织安全策略定期对资产清单进行更新和维护，保证资产与目标保持一致，确保资产

记录的真实性、一致性、正确性。

i)应通过安全评估确认资产全生命周期中的安全风险并采取相应的安全措施保障资产完整性、

机密性和可用性。

8.1.2物理环境管理

本项要求包括：

a)物理环境的运行维护范围按GB/T51314-2018中3.1要求应包括电气系统、通风空调系统、

消防系统和智能化系统。

b)物理环境运行和维护的一般规定按GB/T51314-2018中4.1和5.1的要求。

c)物理环境电气系统包括供配电系统、不间断电源和后备电源系统以及照明系统，该系统的运

行和维护按GB/T51314-2018中4.2和5.2的要求。

d)物理环境通风空调系统包括冷源和水系统、机房空调和风系统。该系统的运行和维护按GB/T

8

51314-2018中4.3和5.3的要求。

e)物理环境消防系统包括各类灭火系统、支撑消防机制运行的其它相关附属设施，该系统的运

行和维护按GB/T51314-2018中4.4和5.4的要求。

f)物理环境智能化系统包括环境和设备监控系统、安全防范系统，该系统的运行和维护按GB/T

51314-2018中4.5和5.5的要求。

g)办公环境宜建立和具备防盗窃、防破坏、防火以及安全监控的物理安全机制与措施。

h)消防安全重点单位应当按照灭火和应急疏散预案，至少每半年进行一次演练，并结合实际，

不断完善预案。其他单位应当结合本单位实际，参照制定相应的应急方案，至少每年组织一次演

练。

8.1.3密钥与密码设备管理

本项要求包括：

a)应指派经受保密上岗培训的专人负责密钥和密码设备的管理。密钥的管理按GB/T22081—

2016中10.1.2以及GB/T17901.1-2020的要求。

b)密钥管理的策略设计必要时可参考或者应达到GB/43207-2023中附录C的要求。

c)密钥生存周期管理可参考GB/T39786-2021中附录B。

d)密码设备应放置在安全、保密的网络环境中。网络环境须采取有效隔离措施，避免无关人员

接触。

e)密码设备的操作和参数设置，应在有专人监督情况下由专业技术人专职进行操作并作记录。

f)密码设备的维修、定期维护应由专业技术人专职负责。

g)密码设备的销毁应遵照相关法规及内外部监管要求。

8.1.4介质管理

本项要求包括：

a)基本要求：

1）对脱机存放的各类介质（包括信息资产和软件资产的介质）根据存储信息的类别和重要

级别进行分类分级与控制和保护，以防止被盗、被毁、被修改以及信息的非法泄漏。

2）介质的归档和查询应有记录，对存档介质的目录清单应定期盘点；介质应储放在安全的

环境中防止损坏；查询应有审批，明确使用人和传播范围的限定。

3）应采取安全措施对介质的运输和传递过程进行保护。

4）对于需要送出维修或销毁的介质，应防止信息的非法泄漏。

5）移动介质应要求专用。每次使用移动介质（含软盘、U盘、移动硬盘、存储卡等）时，

应先进行病毒安全查杀后才可以进行使用。

b)异地存放要求：

1)对介质进行标识和分类，存放在由专人管理的介质库中，防止被盗、被毁以及信息的非

法泄漏。

2)对存储保密性要求较高的信息的介质，其借阅、拷贝、传输须经相应级别的领导批准后

方可执行，并登记在册。

3)存储介质的销毁必须经批准并按指定方式进行，不得自行销毁。

4)介质应保留2个以上的副本，而且要求介质异地存储，存储地的环境要求和管理方法应

与本地相同。

a)完整性要求：

1)对重要介质的数据和软件必要时可加密存储。

2)对重要的信息介质的借阅、拷贝、分发传递须经相应级别领导的书面审批后方可执行，

9

各种处理过程应登记在册，介质的分发传递采取保护措施。

3)对于需要送出维修或销毁的介质，应首先删除信息，再重复写操作进行覆盖，防止数据

恢复和信息泄漏；对于存储过重要信息的介质宜进行不低于3次包含全1、全0和随机数

据的数据写入覆盖。

4)需要带出工作环境的介质，其信息应受到保护；宜采用小型密码箱存储、信息加密、介

质本身加密等保护措施。

5)对存放在介质库中的介质应定期进行完整性和可用性检查，确认其数据或软件没有受到

损坏或丢失。

b)加密存储的要求

1)对介质中的重要数据必须使用符合加密强度要求的加密技术或数据隐藏技术进行存储。

2)介质的保存和分发传递应有严格的规定并进行登记。

3)介质受损但无法执行删除操作的，必须销毁。

4)介质销毁在经主管领导审批后应由两人完成，一人执行销毁一人负责监销，销毁过程应

做记录。

8.1.5终端管理

本项要求包括：

a)用户在使用自己的终端计算机时，应设置开机、屏幕保护、目录共享口令。

b)非组织机构配备的终端计算机未获批准，不能在办公、生产场所使用。因工作需要的情况，

应在接入本地网络进行必要的安全检查，确认该终端计算机符合组织安全策略要求。

c)原则上组织机构配备的终端计算机不可以接入非办公生产用网络环境。因工作需要的情况，

应确认终端计算机已满足组织安全策略要求，具备相应安全防护机制并得到批准许可。

d)及时安装经过许可的软件和补丁程序，不得自行安装及使用其它软件和自由下载软件。

e)未获批准，严禁使用Modem拨号、无线网卡等方式或另辟通路接入其它网络。

f)应根据组织管理要求，合理合规使用终端自带摄像头、拾音硬件、集成无线网卡、蓝牙通信

组件、红外通讯组件、设备硬件扩展坞、USB接口、SD读卡器等嵌入式硬件及接口。

g)需设置开机口令和屏保口令，口令标准等身份鉴别机制参考8.1.6访问与操作管理章节内容。

h)重要部门的终端计算机应要求对磁盘存储采取加密措施保护存储数据的机密性。

i)重要部门的终端计算机应有措施对硬件本身实现物理保护，防止发生终端丢失、机箱违规开

启、内部组件的违规拆卸和添置安装。

j)应安装统一的防病毒软件使终端具备对恶意程序、代码的检测和清除机制。应及时和定期升

级反病毒软件。

k)应定期对终端和相关软件进行安全漏洞扫描，并根据扫描结果及时安装补丁程序。

l)应定期对终端和相关软件进行安全配置基线检查，并根据检查结果及时进行配置加固。

m)终端的使用、借用、维修和报废应遵循组织管理要求并做记录。

n)终端的维修和报废过程中应对存储的敏感信息进行备份、删除等操作，避免发生数据泄露的

风险。

8.1.6访问与操作管理

本项要求包括：

a)应为组织自有资源的所有访问者确定适当的访问及操作控制规则、访问与操作权及限制，其

详细程度和控制的严格程度应反映监管及组织的安全要求，并能应对相关的信息安全风险。

b)信息系统访问控制与操作包括用户ID管理，网络及系统访问控制以及数据访问控制，具体要

10

求详见本规范附录B中B.2。

8.1.7监测管理

本项要求包括：

a)应根据资产情况，确定监控管理的对象和级别，以发现异常行为实施有效预警，并采取适当

措施评价潜在的信息安全事件。监控对象可包括：

1）应用系统。

2）支撑应用系统运行的系统软件、工具软件。

3）网络及网络设备。

4）安全设备。

5）主机、存储、外设、终端等设备。

6）电力、空调、消防等基础环境。

7）业务数据。

b)应建立网络安全监测体系并满足相关监测需求，具体详见本规范附录B中表B.3：

c)应具备和使用安全产品监控工具作为监控管理的技术支撑，主要的安全监控产品分类和参考

见本规范附录B中表B.4。

d)监控工具应具备预定义阈值功能，具备数据统计分析能力，根据预定义阈值生成告警信息，

可将告警信息通过管理控制台、电子邮件或即时通信系统等方式发送给指定人员，工具宜包

括处理大量数据、适应不断变化的威胁形势及允许实时通知的能力。

e)宜配置专人，开展实时或定期监控，接收告警信息并做出响应。宜建立识别和处理误报的规

程，包括调整监视软件以减少未来误报的数量。

f)宜建立含监控、告警、处置、信息上报的工作机制。

8.1.8日志管理

本项要求包括：

a)设备、系统应具备日志记录功能，可记录验证、修改、控制、传输等日志信息，信息应至少

包括时间、事件类型、操作主体、事件内容、操作结果（成功或失败）等内容。对已记录的

日志信息应做好保护，用户不宜有修改、删除等权限，防止发生日志信息未经授权变更和销

毁等情况。

b)日志生成时间应由唯一确定的时钟产生，必要时需要配备NTP服务器，以保证各种数据的管

理和分析在时间上的一致性。

c)日志收集需保障及时性，避免过渡采集导致系统运行异常，信息传输过程中要确保日志信息

的完整性和准确性。对分散在各个设备上的日志数据宜进行收集汇总和集中分析。

d)设备、系统应配置足够的日志存储空间，保证信息存储的安全性、完整性，日志记录应至少

保存6个月。包含敏感数据和个人可识别信息，宜采取适当的隐私保护措施。

e)应启用日志审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，

应保证审计措施的有效性和时效性。审计记录应包括事件的日期和时间、用户、事件类型、

事件是否成功及其他与审计相关的信息。应对审计记录进行保护，定期备份，避免受到未预

期的删除、修改或覆盖等；审计记录保存时长应不少于6个月。

f)日志审计宜跟进业务重要程度定期开展：

1）关键业务系统和设备，宜每周不少于1次审计。

2）一般业务系统和设备，宜每月不少于1次审计。

g)日志审计宜重点关注以下信息：

11

1）实时监控和告警，关键业务系统和设备宜通过监控和告警机制，及时发现安全事件并触

发响应。

2）异常行为分析，发现异常行为或可疑事件，如未经授权的访问、数据泄露等。

3）安全事件调查，当发现安全事件时，进行深入的调查和分析，以确定事件的原因、范围

和影响。

4）修复和加固，对发现的安全问题进行修复和加固，以消除安全隐患。

5）审计报告和记录，对发生的安全事件进行报告和记录，以便对安全问题进行跟踪和管

理。

h)日志分析宜覆盖对事态的分析和解释，以帮助识别异常活动或异常行为。宜通过日志审计系/

软件、网络安全管理平台等工具辅助人工开展日志检索、内容关联分析、图表呈现、报告生

成与导出等功能提升日志分析工作效率。

i)日志的销毁应符合监管要求及组织的安全策略要求。

8.1.9备份管理

本项要求包括：

a)制定备份计划和时间表；

b)运维备份的作业对象主要包括如下：

1）业务系统运行产生的信息数据。

2）支撑业务系统运行的外部信息数据。

3）支撑业务系统运行的业务软件本身及其它支撑应用软件（如操作系统、数据库软件、中

间件等）。

4）支撑业务系统运行的其它支撑性设施的（如网络设备、安全设备等）运行配置信息。

c)应根据备份对象、备份时间、备份频率、备份方式、备份介质、备份模式等制定备份策略。

d)应根据数据大小、保留时间和恢复速度等因素进行选择合适的备份媒介。

e)应制定数据备份、恢复规范和操作流程及管理指导文档，保障不同数据存储过程的保密性，

完整性、可用性和可追溯性。

f)应针对备份过程及结果建立备份作业记录表单。记录表单主要记录元素见本规范附录B中表

B.5。

g)应启用数据备份产品存储空间使用监控功能，当存储空间已满或达到阈值时，告警提示。

h)安全日志审计备份应不少于180天。

i)应考虑和提供足够数量的备份拷贝，以确保在灾难和备份介质本身故障之后仍可以恢复业务

信息和软件。备份拷贝应分别存储在主要场地和备份场地。

j)备份拷贝要存储在有足够距离的远程地点，避免主要场地灾难时受到一并损坏。

k)对于重要的业务应用至少要保留三代或若干周期的备份信息。对重要的业务信息数据可采取

存储至少三份备份拷贝，使用两种类型的存储介质，并将一份备份拷贝存放到远程地点的备

份方式。

l)应对备份介质提供包括防盗、防火、防潮、防电磁辐射等在内的物理环境保护。

m)应对备份拷贝进行安全管理并宜采用加密机制防止未经授权的访问和篡改、避免由于管理不

善造成数据损坏、信息泄露等安全风险。

n)应根据备份信息的重要性定期检查和测试恢复规程，确保备份拷贝的有效性。

o)建立备份策略的监控机制，及时发现备份故障和异常，生成备份报告，以供分析和改进备份

策略。

p)安全应急演练中应包含数据安全演练内容，检验和保障备份与恢复机制和策略的有效性。

12

q)备份介质的使用、利旧及报废应遵从组织的安全管理策略。

r)对于超出组织明确保存期的备份拷贝，应根据组织的安全管理策略在进行安全评估后及时恰

当的销毁这些备份拷贝。

8.1.10变更管理

本项要求包括：

a)宜将变更控制规程文件化，并强制实施，以确保从早期设计到后续维护中整个系统开发生存

周期内，信息处理设施和信息系统中信息的保密性、完整性和可用性。

b)可纳入变更管理的安全运维工作主要包括：

1）IT基础设施的扩容或缩减。

2）软件或硬件的升级或降级。

3）网络拓扑结构的调整。

4）安全策略的调整。

5）软件或硬件系统的配置更改。

6）应用程序的代码更改。

7）系统补丁更新。

8）外部接口的变更等。

c)应建立变更控制规程，且严格按照规程执行变更并对变更情况进行记录。建立变更控制的规

程的考虑、变更流程的环节以及变更记录表的记录元素见本规范附录B中表B.6。

d)变更应加强风险评估，评估应考虑以下内容：

1）数据泄露风险。

2）服务中断风险。

3）安全漏洞风险。

4）配置错误风险。

5）兼容性问题风险。

e)变更分级可分为4个级别：

1）初级变更，针对一些较低风险或影响较小的变更，可以由业务部分负责人审批以及运维

团队中的初级成员或系统管理员进行变更授权和执行；

2）中级变更，针对一些中等风险或有一定影响的变更，需要由运维团队中的中级成员或高

级系统管理员进行变更授权和执行；

3）高级变更，针对一些高风险或影响较大的变更，需要由运维团队负责人或资深技术专家

进行变更授权和执行；

4）特别授权，针对一些特殊情况或紧急情况下的变更，可以由公司高层领导或跨部门协作

小组进行特别授权和执行。

8.1.11事件及响应管理

本项要求包括：

a)网络安全事件是由于人为原因、网络遭受攻击、网络存在漏洞隐患、软硬件缺陷或故障、不

可抗力等因素，对网络和信息系统或者其中的数据和业务应用造成危害，对国家、社会、经

济造成负面影响的事件。

b)网络安全事件的分类按GB/T20986-2023中5的规定。

c)网络安全事件的级别按GB/T20986-2023中6.2的规定。

d)应建立网络安全事件预警、处置、上报的安全管理策略、制度、机制和流程。

13

e)应建立事件响应小组。事件响应小组团队成员应由组织领导、相关部门负责人、以及外部响

应支撑机构相关人员组成。可聘请相关专业的技术专家和技术骨干组成专家组。

f)应根据应急事件的级别和应急响应的场景制定应急响应预案。应急响应预案可以分为总体预

案和针对某个核心系统、某个响应场景的专项预案。应急响应预案应包含以下主要内容：

1）应急响应预案的编制目的、依据和适用范围。

2）应急响应具体的组织体系结构及人员职责。

3）应急响应的监测和预警机制。

4）应急响应预案的启动。

5）应急事件级别及对应的处置流程、方法。

6）应急响应的保障措施。

7）应急预案的附则。

g)应制定应急响应培训计划，并组织相关人员参与。培训应使参训人员明确其在应急响应过程

中的责任范围、接口关系，明确应急处置的操作规范和操作流程。培训应至少每年举办一

次。

h)为验证应急响应预案的有效性，使相关人员了解预案的目标和内容，熟悉应急响应的操作规

程，并检测应急响应小组的处置能力，应进行应急演练。演练至少每年举行一次。演练应：

1）预先制定符合演练目的的演练计划、演练脚本。

2）演练开始前应确认演练活动的开展和保障条件。

3）演练的整个过程应进行全程监控，应有详细记录，并形成报告。

4）演练应不影响业务的正常运行。对于确有可能影响业务正常运行的情况，应提前进行风

险评估，并向相关利益方进行预警或通告。

5）演练结束后应进行活动总结，并将演练情况纳入应急响应工作评审。

i)应定期针对应急响应工作进行评审，评审至少每年举行一次。审核的内容及审核时应考虑的

因素见本规范附录B中表B.7。

8.2检查

8.2.1安全评估管理

本项要求包括：

a)运行维护阶段安全评估是掌握和控制信息系统及其支撑软硬件系统运行过程中的安全风险。

评估内容包括在线运行信息系统及其支撑软硬件系统资产、面临威胁、自身脆弱性以及已有

安全措施等各方面。

b)安全评估的评估形式包括自评估、第三方评估和检查评估。

1）自评估：由信息系统所有者自身发起，组成组织机构内部的评估机构，依据国家有关法

规与标准，对信息系统安全管理进行的评估活动。

2）第三方评估：由信息系统所有者委托商业评估机构或其它评估机构，依据国家有关法规

与标准，对信息系统安全管理进行的评估活动。

3）检查评估：由被评估信息系统所有者的上级主管部门、业务部门或国家相关监管部门发

起的，依据国家有关法规与标准，对信息系统安全管理进行的评估活动。

c)安全评估的范围应结合已确定的评估目标和组织的信息系统建设情况，合理定义评估对象和

评估范围边界，可以参考以下依据作为评估范围边界的划分原则：

1）业务系统的业务逻辑边界。

2）网络及设备载体边界。

14

3）物理环境边界。

4）组织管理权限边界。

5）其它。

d)安全评估的具体场景除传统IT外，应包括可能涉及的云计算、移动互联，物联网、工业控

制、大数据应用、跨国业务运维等场景。

e)安全评估的方法主要包括：

1）文档检查：检查被评估单位提交的有关文档（如系统配置文档、安全防护方案、自评估

报告等）是否符合相关标准和要求；

2）人工核查：根据评估方案和评估指导书，在合理的评估环境下，核查各项安全功能和防

护能力是否与提交文档一致，是否符合相关标准和要求等；

3）工具检查：根据评估方案，在被评估单位授权的前提下，选择适用的评估工具实施评

估，工具可包括网络评估工具、主机评估工具、资产识别工具等。

f)风险评估使用的工具可参考GB/T20984-2022中附录C。

g)运行维护的评估内容包含：

1）运行维护阶段的组织及人员，安全管理文件体系等保障措施。

2）运行维护阶段的环境与资源管理、运行操作管理、系统维护管理、安全状态监控、密码

与数据安全管理、业务连续性管理、变更控制与外包管理（包括供应链）、安全检查和持

续改进等日常措施。

3）运行维护阶段的监管合规性符合、风险管理、监督与检查等监督措施。

h)风险评估实施的阶段性工作内容按GB/T20984-2022中5的要求。

i)运行维护阶段的安全评估应常态化开展。具体要求如下：

1）运营单位对本单位安全保护等级为第三级和第四级的信息系统定期组织开展自评估，评

估周期原则上不超过一年；安全保