GB／T 36626-2018  信息安全技术 信息系统安全运维管理指南

基于一定的时间间隔或当信息系统、信息系统环境或业务安全需求发生重大改变时，宜对信息系 全运维策略进行评审

指定专人负责策略的制定、评审和评价， 评估安全策略和信息系统安全运维方法的持续改进，以适应法律法规或技术环境、组织环境及业务 状况发生的变化。 策略的修订由管理层批准

1安全运维的角色和责任

明确运维团队中的角色和责任

水泥标准规范范本明确运维团队中的角色和责任。

义和分配信息系统安全运维的所有角色及其责任

GB/T 366262018

信息系统安全运维组织应与信息系统安全运维策略相一致，应明确定义信息系统运行安全风险管 里活动的责任，特别是可接受的残余风险的责任，还应定义信息系统保护和执行特定安全过程的责任。 明确运维人员负责的范围，包括下列工作： a）识别和定义信息系统面临的风险； b） 明确信息系统安全责任主体，并形成相应责任文件； C） 明确运维人员应具备的安全运维的能力，使其能够履行信息系统安全运维责任； 参照ITIL提出的运维团队组织模式，建立三线安全运维组织体系。一线负责安全事件处理， 快速恢复系统正常运行；二线负责安全问题查找，彻底解决存在的安全问题；三线负责修复设 备存在的深层漏洞

确保聘用人员具有符合其角色的要求和技能

按照岗位职责要求，宜对被任用者进行审查。

审查考虑以下内容： a）有效的可接受的推荐材料（例如，组织出具和个人出具的文字材料等）； b）申请人履历的验证（针对该履历的完备性和准确性）； c）声称的学历、专业资质的证实 d）其他的验证（例如，信用核查或犯罪记录核查等）

息系统安全运维人员理解并履行信息系统安全运

全运维人员宜接照已建立的策略、规程和工具进行

建立岗位手册作为安全运维指南。岗位手册内容包括： 岗位职责； b) 工作模板； 工作流程； d) 支撑工具

GB/T 366262018

进行信息安全意识教育和培训。信息安全意识教育和培训包括： a） 信息安全意识培训旨在使安全运维人员了解信息系统安全风险及安全运维责任； D 信息安全意识教育和技能培训方案按照组织的信息安全策略和相关规程建立。岗位技能培训 旨在使安全运维人员和团队具备相应的岗位技能。 有正式的违规处理过程对违规的安全运维人员进行处罚。内容包括： a）在没有最终确定违规之前，不能开始违规处理过程； 正式的违规处理过程宣确保对运维工程师给予了正确和公平的对待。无论违规是第一次或是 已发生过，无论违规者是否经过适当地培训

在聘用变更或终止过程中保护组织的利益。

确定聘用终止或变更后不会引发信息系统安全事件

聘用终止或变更意味着相应人员岗位职责和法律责任的终止。为了保护双方的权益，聘用终止或 变更后应及时终止或变更相关人员的相应职责、权限和内容， 终止或变更的职责、权限和内容包括但不限于以下事项： a）员工合同； b） 信息系统访问权限； 安全运维支撑系统访问权限

识别与信息系统相关的所有资产，构建以资产为核心的安全运维机制

及时识别资产及资产之间的关系

GB/T 366262018

全检查清单需要动态维护。 建立介质安全处置的正式规程，减小保密信息泄露给未授权人员的风险。包含保密信息介质的安 全处置规程要与信息的敏感性相一致。考虑下列条款： 包含有保密信息的介质被安全地存储和处置，例如利用焚化或粉碎的方法，或者将数据擦除 供组织内其他应用使用； b）有规程识别可能需要安全处置的项目； 将所有介质部件收集起来并进行安全处置，可能比试图分离出敏感部件更容易； 许多组织提供介质收集和处置服务，注意选择具有足够控制和经验的合适的外部方； 对处置的敏感项作记录，以便维护审核踪迹。 当大量处置介质时，考虑可导致大量不敏感信息成为敏感信息的集聚效应。 可能需要对包含敏感数据的已损坏设备进行风险评估以确定其部件是否可进行物理销毁，而不是 被送修或废弃

发现攻击线索，或用作责任追究或司法证据

全面收集并管理信息系统及相关设备的运行 东，包括系统日志、操作日志、错误日志等

全面收集信息系统的运行日志，并进行归一化预处理，以使后续存储和处理。 原始日志信息和归一化处理后的日志信息分别进行存储。原始日志信息存储应进行防篡改签名， 以便可以作为司法证据。已归一化的日志进行结构化存储，以便检索和深度处理。 对日志信息进行多种分析： a）攻击线索查找分析：在系统受到攻击后，需要通过日志分析找到攻击源和攻击路径，以便清除 木马和病毒，并恢复系统正常运行； b） 日志交叉深度分析：通过定期的交叉分析，以发现并阻断潜在攻击； 对攻击日志进行历史分析，发现攻击趋势，以实现早期防御

按照业务要求限制对信息和信息系统的访问，

信息系统安全责任者需要为特定用户角色确定适当的访问控制规则、访问权及限制，其详细程度 利的严格程度反映相关的信息安全风险 访问控制包括逻辑访问控制和物理访问控制。访问控制考虑下列内容：

GB/T 366262018

的和有效的密码技术，以保护信息的保密性、真实

基于信息资产的重要性，应选用不同复杂度密码

涉及密码算法的相关内容，按国家有关法规实施。涉及采用密码技术解决保密性、完整性 不可否认性需求的遵循密码相关国家标准和行业标准、 密码控制的使用策略按GB/T22081一2016中10.1.1的要求

涉及密码算法的相关内容，按国家有关法规实施。涉及采用密码技术解决保密性、完整性、真实 可否认性需求的遵循密码相关国家标准和行业标准、 密码控制的使用策略按GB/T22081一2016中10.1.1的要求

防止信息系统及其支撑软硬件系统的脆弱性被利用

GB/T 366262018

及其支撑软硬件系统存在的脆弱性，获取相关信 内措施来应对相关风险

可通过两种方式获取信息系统及其支撑软硬件系统存在的脆弱性或漏洞： a）借助漏洞扫描工具对信息系统及其软硬件系统存在的漏洞进行扫描，以发现存在的脆弱性 b）通过官方渠道及时了解信息系统及其支撑软硬件系统存在的脆弱性。 及时更新信息系统和相应的支撑软硬件设备，以保持系统处于安全状态。 先对更新进行测试，以避免更新出现间题导致业务中断。测试成功后.再正式部署系统更新包

基于信息安全策略.制定备份策略，并保证备份的有效性和可靠性

基于信息安全策略，制定备份策略，并保证备份的有效性和可靠性

可根据业务数据的重要程度设定相应的备份策略。可选择的备份方式有完全备份、差异备份或 备份；可选择的备份地点有同城备份或异地备份等。 对已备份的数据每月进行一次恢复演练，以保证备份的可用性和灾难恢复系统的可靠性

可根据业务数据的重要程度设定相应的备份策略。可选择的备份方式有完全备份、差异备份或增 量备份；可选择的备份地点有同城备份或异地备份等。 对已备份的数据每月进行一次恢复演练，以保证备份的可用性和灾难恢复系统的可靠性

8.7安全事件管理及响

确保快速、有效和有序地响应信息系统安全事件

采用一致和有效的方法对信息系统安全事件进行管理，包括对安全事态和弱点的通告，并能对安全 事件进行快速响应

信息系统安全事件管理责任和规程考虑下列因素： a 建立管理责任以确保以下规程被制定并在组织内得到充分的交流： 1 规划和准备事件响应的规程； 2） 监视、发现、分析、处理和报告信息安全事态和事件的规程； 3 记录事件管理活动的规程； 处理司法证据的规程； 5） 评估和决断信息系统安全事态以及评估安全弱点的规程； 包括升级、事件的受控恢复、与内外部人员或组织沟通在内的响应的规程。 b） 所建立的规程确保

信息系统安全事件管理责任和规程考虑下列因素： a 建立管理责任以确保以下规程被制定并在组织内得到充分的交流： 1 规划和准备事件响应的规程； 2 监视、发现、分析、处理和报告信息安全事态和事件的规程； 3 记录事件管理活动的规程； 处理司法证据的规程； 5） 评估和决断信息系统安全事态以及评估安全弱点的规程； 包括升级、事件的受控恢复、与内外部人员或组织沟通在内的响应的规程。 b) 所建立的规程确保

GB/T 366262018

1）胜任的人员处理组织内的信息系统安全事件相关问题； 2）建立安全事件发现和报告的联络点。 报告规程包含： 1）准备信息系统安全事态报告表格，以便在信息系统安全事态发生时支持报告行动和帮助 人员在报告时记住所有必要的行动； 2 在信息安全事态发生时所采取的规程，例如立刻注意到所有细节（诸如不合规或违规的类 型、发生的故障、屏幕上的消息），并立刻向联络点报告和仅采取协调行动； 3 根据已建立的正式纪律处罚制度处理安全违规的员工； 4）适宜的反馈过程，以确保信息系统安全事态报告人员在问题被处理并关闭后得到结果的 通知。 运维团队有责任尽可能快地报告信息系统安全事态。熟知报告信息安全事态的规程和联络点。可 进行信息系统安全事态报告的情况如下： a） 无效的安全控制； 违背信息完整性、保密性或可用性的预期； ） 人为差错； d） 不符合策略或指南； e 物理安全安排的违规； f 不受控的系统变更； g） 软件或硬件的故障； h）非法访问。 服务台使用已商定文件化的信息系统安全事态和事件分级尺度评估每个信息系统安全事态，并决 定该事态是否该归于信息系统安全事件。事件的分级和优先级有助于标识事件的影响和程度。 详细记录评估和决策的结果，供日后参考和验证 对信息系统安全事件的严重程度予以不同的响应，甚至启动应急响应。响应包括： 事件发生后尽快收集证据； b） 按要求进行信息安全取证分析； C 按要求升级： d） 确保所有涉及的响应活动被适当记录，便于日后分析； e） 处理发现的导致或促使事件发生的信息系统安全弱点； f 一且事件被成功处理，正式将其关闭并记录。 制定内部规程，并在收集与处理用于纪律和法律目的的证据时遵守。这些规程考虑： a） 证据的安全； b） 人员的安全； ） 所涉及人员的角色和责任； d） 人员的能力； 文件化，并有数字签名； 简报

9.1信息系统安全服务台

9.1信息系统安全服务台

对信息系统安全事件进行统一监控与处理 10

服务台具备以下功能： a）能够收集并处理信息系统运行信息； b）能够显示信息系统安全状态和安全事件： c）能够对信息系统安全事件进行报警。

GB/T 366262018

手工或借助自动化工具发现所有与信息系统运行相关的软硬件系统，

可以利用商业或开源系统自动发现资产。该系统具备以下功能： a） 资产特征库应持续更新； b 应具有较高的自动发现率； 支持手工录人未能自动发现的软硬件系统； d） 能够输出资产清单及资产配置清单； e) 能够对资产及其配置信息进行查询、增加、修改和删除； 能够与其他信息化工具进行信息共享

时修补信息系统存在的漏洞。

寸扫描信息系统相关资产脆弱性，并对发现的漏洞

系统具备以下功能： 能够及时更新漏洞库； b） 能够发现系统存在的1day漏洞； 能够发现不合规定的弱口令； d) 能够对发现的问题进行告警提醒； 能够对发现的漏洞进行补丁加固； ? f) 能够对脆弱性进行查询、增加、修改和删除等操作

）能够与其他系统共享信息

及时发现并阻断入侵攻击，降低业务

可以检测和阻断多种入侵方式。

可以检测和阻断多种侵方式

系统具备以下功能： 通过防火墙、SIEM、IPS、IDS、WAF等系统构建一个全方位入侵检测体系； b） 应能够与网络人侵检测系统的特征库互换信息； C） 能否有效检测并处置网络人侵、主机入侵、无线入侵等； d) 能够对发生的人侵事件进行查询； e) 能够与其他系统进行信息共享

9.5异常行为监测系统

及时发现存在的异常行为，以降低业务损失。

紧固件标准应及时发现存在的异常操作及行为

系统具备以下功能： a） 能够及时更新异常行为特征库； b) 能够监测异常行为，并报警提醒； c) 能够对异常行为进行必要的阻断； d) 能够对已发生的异常行为进行查询； 能够与其他系统进行信息共享

系统具备以下功能： a) 能够及时更新异常行为特征库； b) 能够监测异常行为，并报警提醒； c) 能够对异常行为进行必要的阻断； 能够对已发生的异常行为进行查询； 能够与其他系统进行信息共享

对安全信息与安全事件进行关联分析，以此发现单一安全设备发现不了的

关联分析系统具备以下功能 12

关联分析系统具备以下功能： 2

布线标准GB/T 366262018

能够对日志关联关系进行建模； b） 能够收集各种日志、事件等信息，形成汇聚的安全相关数据； ） 能够基于关联关系模型对安全大数据进行有效分析，以发现潜在威胁与攻击； 能够定时生成信息系统安全等级保护等相关标准符合性报告； e）能够与其他系统共享信息

GB/T 366262018