GB/T 28827系列标準,通過六個部分,對資訊技術服務運作維護進行了闡釋,這套标準對應着我們ITSS的認證工作,很多機關取得了ITSS認證,但隻停留在資質本身,而實際參與工作的人并沒有被宣貫,參與實際工作的對此知之甚少,依然是我行我素的主觀性開展工作,究竟是否“達标”全憑感覺,因為在這些從業人員心理,不知道标準在哪裡,是以無所謂達标不達标,或者有些人能力很強卻使偏了勁。
GB/T 28827共有六部分分别是:
——第1 部分:通用要求;
——第2 部分:傳遞規範;
——第3 部分:應急響應規範;
——第4 部分:資料中心服務規範;
——第5 部分:桌面及外圍裝置服務規範;
——第6 部分:應用系統服務規範。
而《資訊安全技術 資訊系統安全運維管理指南》在制定中,也必然參考GB/T 28827系列标準,該标準提供了資訊系統安全運維管理體系的指導和建議,給出了安全運維政策、安全運維組織的管理、安全運維規程和安全運維支撐系統等方面相關活動的目的、要求和實施指南。标準定位可用于指導各組織資訊系統安全運維管理體系的建立和運作。
标準中給出了安全運維體系,資訊系統安全運維體系是一個以業務安全為目的的資訊系統安全運作保陷體系。通過該體系,能夠及時發現并處置資訊資産及其運作環境存在的脆弱性、入侵行為和異常行為。體系裡提供了一個安全運維模型,如下圖:
進而進行安全運維活動分類,安全運維體系涉及安全運維政策确定、安全運維組織管理、安全運維規程制定和安全運維支撐系統建設等四類活動。
安全運維政策明确了安全運維的目的和方法, 主要包括政策制定和政策評審兩個活動。
安全運維組織明确了安全運維團隊的管理,包括運維的角色和責任、聘用前審查、工作履行職責、聘用終止和變更。
安全運維規程明确了安全運維的實施活動,包括資産管理、日志管理、通路控制、密碼管理、漏洞管理、備份、安全事件管理、安全事件應急響應等。
安全運維支撐系統給出了主要的安全運維輔助性系統的工具。
在安全運維活動要素方面,提及安全運維活動要素包含了目的、要求和實施指南三個方面。
目的部分描述了安全運維活動的意義。
要求部分描述了安全運維活動的名額要求。
實施指南描述了達成安全運維活動目标、實作安全運維要求的方法和手段。
在安全運維管理原則方面,為了保證安全運維體系的可靠性和有效性,安全運維體系建設要求遵循以下内容:
基于策劃、實施、檢查和改進的過程進行持續完善。可以根據資訊系統的安全保護等級要求,對控制實施情況進行定期評估;
安全運維體系建設應兼顧成本與安全。根據業務安全需要,制定相應的安全運維政策、建立相應的安全運維組織、制定相應的安全運維規程及建設相應的安全運維支撐系統。
從整個安全運維管理看,我們可以結合《資訊安全技術 網絡安全等級保護基本要求》中有關運維安全管理相關要求,我們會發現其各種活動的要求與本标準實作的一緻性,而我一直在重複一個觀點就是《資訊安全技術 網絡安全等級保護基本要求》給出了我們的目标,而其他标準給出了我們實踐路徑和方法論,而更細緻的标準和知識給出了具體詳細的落地舉措。
比照《資訊安全技術 資訊系統安全運維管理指南》,我們不難發現其可以對應到《資訊安全技術 網絡安全等級保護基本要求》安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理中的一些要求項,以《資訊安全技術 網絡安全等級保護基本要求》中安全運維管理,我們不難發現其中可以對照的地方。如資産管理、漏洞和風險管理、安全事件管理和響應等,都是可以參考的内容。
| 層面 | 對應名額 |
| 安全運維管理 | 環境管理 |
| 資産管理 | |
| 媒體管理 | |
| 裝置維護管理 | |
| 漏洞和風險管理 | |
| 網絡和系統安全管理 | |
| 惡意代碼防範管理 | |
| 配置管理 | |
| 密碼管理 | |
| 變更管理 | |
| 備份與恢複管理 | |
| 安全事件處置 | |
| 應急預案管理 | |
| 外包運維管理 |
再結合該标準參考的《 資訊安全技術 資訊系統安全管理要求》、《資訊技術服務管理第1 部分: 規範》《資訊技術服務管理第2 部分:實踐規則》等标準,不難發現若要做好資訊系統安全運維管理,還需要拓展的标準和知識還很多。