《信息系统 安全运维管理规范》编制说明

昆明市网络安全协会

《信息系统安全运维管理规范》团体标准

编制说明

一、工作简介

（一）项目背景

网络安全在当今数字化时代扮演者重要角色，网络安全威胁不

断演变，对运营单位的信息资产和业务构成了严重威胁。网络安全

运维成为数字经济发展的重要保障。

昆明市网络安全协会在经过深入调查后发现众多机关、单位在

网络安全运维管理方面存在管理制度不健全、技术措施不完善、运

维实施不规范、运维目标难实现等问题，且在人员管理、资金支撑、

政策引导、指导建设、运维手段、操作规范等方面问题尤为突出。

为解决网络安全运维管理存在的问题，提升运维管理的能力和

管理的效果，经研究，决定组织《信息系统安全运维管理规范》

的编制工作。此规范旨在提供一个全面、系统的运维管理指南，确

保各机关和单位能够更有效地应对网络安全挑战，有效提升网络安

全运维的整体水平。该标准由昆明市网络安全协会归口。

（二）参编单位和起草人

此次参编单位和参编人源于昆明市网络安全协会关于征集《信

1

息系统安全运维管理规范》团体标准参编单位、参编人员的公告

发出后，各单位向协会提出参编申请的单位和人员。

本标准牵头单位：昆明市网络安全协会。

本标准参编单位主要包括：昆明市网络安全协会、中国南方电

网有限责任公司超高压输电公司、云南南天电子信息产业股份有限

公司、云南掌上春城科技有限责任公司、昆明市网络安全应急指挥

中心、昆明市信息中心、云南腾建科技有限公司。

标准起草人：姚绍文、杨建东、黄敏、傅戈、陆阳、屈旻、徐

杨子凡、张雪、李少森、孙豪、李国山、周昱、张曦文、李飒、刘

腊梅、张林宝、冯亚飞、衡利英、陈图腾、邱桂尧、王加磊、梁钰

华、李俊宇、乔柱桥、凌春丽、何雄、王树文、黄金粉、杨伦、张

海强、陈德辉、刘上朝、李易伦。

（三）主要起草过程

2023年3月21日，召开协会第一届2023年第一次理事会，

会上由协会提出编制网络安全运维方面团体标准，经理事会举手表

决同意编制，拟定团体标准名称为《昆明市网络安全运维管理技术

指南》，标准编号为“KMNSA-001-2023”。明确本标准技术归口单

位为昆明市网络安全协会。会后，在协会官网发出团体标准参编公

告。

2023年7月16日，协会召开第一届2023年第二次理事会，

会上组建团体标准工作小组，正式启动团体标准编制工作。

2

2023年10月20日，协会召开团体标准编制第一次会议。协

会参考GB/T36626-2018《信息安全技术信息系统安全运维管理指

南》内容拟定《昆明市网络安全运维管理技术指南》团体标准编制

纲要。并召集各小组组长对编制纲要及内容充分讨论。经讨论决定

将团体标准更名为《信息系统安全运维管理规范》。会后，根据

分组情况下发任务，明确各小组编撰内容，要求各组初次完成编制

后汇集至协会秘书处合稿。

2023年11月20日，协会召开团体标准编制工作第二次会议。

召集编制组组长对《信息系统安全运维管理规范》团体标准编制

过程中遇到的问题进行讨论，要求各组根据讨论结果进行修订，修

订完成后汇集至协会秘书处合稿。

2024年1月5日，协会召开团体标准编制工作第三次会议，

此次会议对《信息系统安全运维管理规范》团体标准第二次合稿

内容中存在的问题进行讨论，讨论结果为增加附录部分，将各章节

中细则在附录中展现出来。要求各组根据讨论结果进行修订，修订

完成后汇集至协会秘书处合稿。

2024年2月27日，协会召开团体标准编制工作第四次会议，

根据上一次会议要求完成修订、汇总后，召集组长进行讨论。经讨

论决定组织一次专家咨询会。

2024年3月15日，协会召开第一次关于《信息系统安全运

维管理规范》团体标准专家咨询会，根据专家的建议进行修订和完

善，专家建议完成修订后可形成征集意见稿，向相关机构和社会征

3

集意见。

二、标准制定原则和解决的主要问题

（一）标准编制原则

规范性原则：本标准严格按照GB/T1.1-2020《标准化工作导则

第1部分：标准化文件的结构和起草规则》给出的规则进行起草，

文本格式规范。

科学性和实用性原则：为保证本次团体标准的实用性，协会充

分与网络安全行业主管部门、运营单位、运维服务商、运维实施人

员进行反复沟通，根据行业监管难要求网络安全运维工作开展中遇

到的难点和痛点，结合国家网络安全相关法律法规要求进行编制。

标准构成严谨合理，层次划分符合逻辑与规定；内容详实，叙述正

确，在执行层面易理解和可操作，充分满足安全运维管理要求，适

用于政府及事业机构、企业机构以及公益性组织。

协调性原则：在编制过程中，凡国家现行的行业标准已有规定

的，本标准力求与其保持一致，力求使本标准有一定的先进性、通

用性和可操作性。

可扩展性原则：本标准在设计的时候，充分考虑标准的可扩展

性，以国家标准为指导，在遵循本标准规范的同时根据实际需求进

行个性化拓展。

（二）标准解决的主要问题

4

解决责任与责任人的问题：通过使用本团体标准指导工作开展，

明确组织架构及成员，明确责任与责任人。

解决资产不清晰带来的溯源和定位问题：通过使用本团体标准

指导工作开展，能够明确运维对象的范围、属性、状态等，当发生

网络安全事故的时候，能够精准定位事故发生的资产位置。

解决PDCA闭环问题：通过使用本团体标准指导工作开展，让

运维人员明确运维对象，悉知职责、权限、操作流程等，从而实现

业务流程闭环。当发生网络安全事故时，能够对事件进行溯源，明

确责任与责任人。

解决“预防”和“治疗”问题：通过使用本团体标准指导网络

安全运维工作的开展，有序地进行巡检，发现问题并及时解决问题，

避免重大网络安全事故的发生，避免因网络安全事故造成的经济、

财产损失。

解决应急响应问题：通过使用本团体标准指导网络安全运维工

作的开展，在统一的应急预案框架下针对性制定应急预案，包括应

急组织架构、应急处理流程、系统恢复流程等内容，并结合运营单

位的要求定期进行应急演练，检验应急预案的有效性，提高团队在

应对网络安全事件时的协同和反应能力，确保在网络安全事件发生

时，能够迅速、准确地进行响应。当发生网络安全事件时，能够井

然有序地进行应急响应，确保将损失降到最低，避免因误判事件等

级或指挥不当而导致事态复杂化。

解决合规性问题：此次团体标准是遵循国家相关法律法规和政

5

策要求编制的，使用本团体标准指导网络安全运维管理工作开展，

运营单位可以确保其业务操作始终符合法律法规的要求，从而有效

规避因不合规操作而引发的法律风险，保障运营单位的正常运营。

解决用户满意度问题：通过标准化和规范化的运维管理，运维

企业能够提供更稳定、可靠的网络安全运维服务，提升服务质量和

用户满意度。这有助于网络安全运维服务机构树立良好的品牌形象，

增强市场竞争力。

三、知识产权情况说明

无。

四、预期成效

整体提升运营单位网络安全防御能力：通过使用本团体标准指

导网络安全运维工作开展，制定符合运营单位业务需求和实际情况

的网络安全战略，明确网络安全的目标、原则、任务和措施。制定

网络安全建设、运维、应急等详细计划，确保各项工作有序开展。

定期对网络安全防御能力进行评估，根据评估结果及时调整和优化

防御策略，从而达到整体提升运营单位网络安全防御能力的效果。

提升网络安全运维负责人的管理能力：通过使用本团体标准指

导网络安全运维工作开展，建立明确的团队职责和分工，确保每个

成员都清楚自己的职责范围和工作目标，加强团队成员间的沟通与

协作。设立明确的网络安全管理目标和考核指标，对团队成员的工

6

作绩效进行定期评估和反馈，促进信息共享和经验交流，提升团队

整体效能。

提升网络安全运维人员的技术能力：通过使用本团体标准指导

网络安全运维工作开展，明确运维人员须具备的网络安全核心能力

和技能要求，通过建立完善的学习和培训体系，持续有效地开展学

习、认证培训，让网络安全运维人员的技术能力持续提升。

提升全员网络安全意识能力：通过使用本团体标准指导网络安

全运维工作开展，通过最小特权管理办法并结合网络安全意识相关

培训活动，有效提升全员网络安全意识能力，为网络安全运维工作

保驾护航。

五、转化为国际标准和国外先进标准情况

无。

六、标准制定的依据

GB/T1.1—2020标准化工作导则第1部分：标准化文件的结

构和起草规则

GB/T36626信息安全技术信息系统安全运维管理指南

GB/T25069信息安全技术术语

GB/T42446信息安全技术网络安全从业人员能力基本要求

GB/T32914信息安全技术网络安全服务能力要求

GB/T31722-2015信息安全技术信息安全风险管理

7

GB/T51314-2018数据中心基础设施运行维护标准

GB/T22081-2016信息技术安全技术信息安全控制实践指

南

GB/T17901.1-2020信息安全技术密钥管理第1部分：框架

GB/43207-2023信息安全技术信息系统密码应用设计指南

GB/T39786-2021信息安全技术信息系统密码应用基本要求

GB/T20986-2023信息安全技术网络安全事件分类分级指南

GB/T20984-2022信息安全技术信息安全风险评估方法

GB/T28453-2012信息安全技术信息系统安全管理评估要

求

GB/T30276-2020信息安全技术网络安全漏洞管理规范

GB/T22080信息技术安全技术信息安全管理体系要求

GB/T20984信息安全技术信息安全风险评估规范

GB/T30283信息安全技术信息安全服务分类与代码

GB/Z20985信息技术安全技术信息安全事件管理指南（所

有部分）

GB/Z20986信息安全技术信息安全事件分类分级指南

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T22240信息安全技术网络安全等级保护定级指南

GB/T25058信息安全技术网络安全等级保护实施指南

GB/T25070信息安全技术网络安全等级保护安全设计技术

要求

8

GB/T39786信息安全技术信息系统密码应用基本要求

GB/T31495信息安全技术信息安全保障指标体系及评价方

法

GB/T42250信息安全技术网络安全专用产品安全技术要求

GB/T42453信息安全技术网络安全态势感知通用技术要求

GA/T1545信息安全技术网络及安全设备配置检查产品安全

技术要求

GA/T1359信息安全技术信息资产安全管理产品安全技术要

求

GB/T28458信息安全技术网络安全漏洞标识与描述规范

GA/T911信息安全技术日志分析产品安全技术要求

GA/T1550信息安全技术网站安全监测产品安全技术要求

GB/T20945信息安全技术网络安全审计产品技术规范

GB/T36643信息安全技术网络安全威胁信息