【文章內容簡介】 需求，測試和演練進度表，以及計劃維護進度表。在應 急計劃的制定中，應該與包括物理安全、人力資源、系統操作和緊急事件等在內的相關方面協調一致。應經常測試應急計劃的每個部分，以確保計劃可以在真實環(huán)境中實施。應急計劃的定期檢查和更新是至關重要的，應該作為機構變化管理過程的一部分，以確保新的信息能夠被添加進來，應急措施能夠根據需要被修訂。 c) 聯動要求 應急響應與管理不僅僅是一個單位和部門的事，而是各個相關的單位和部門的聯動活動。 （ 5）建立 信息 安全管理平臺 。 安全管理平臺 的管理范圍盡可能地涵蓋安全技術體系中涉及的各種安全機制與安全設備，對這些安全機制和安全設備進行統一的管理和控制，負責管理和維護安全策略，配置管理相應的安全機制，確保這些安全技術與設施能夠按照設計的要求協同運作，可靠運行。它在傳統的信息系統應用體系與各類安全技術、安全產品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現有的信息系統應用體系緊密的結合實現無縫連接，促成信息系統安全與信息系統應用的真正的一體化，使得傳統的信息系統應用體系逐步過渡到安全的信息系統應用體系。 以信息系統安全管理中心為核心的 安全管理平臺，是對信息系統的各種安全機制進行管理使其發(fā)揮應有安全作用的重要環(huán)節(jié)。信息系統安全管理平臺既是一個管理機構，又具有濃厚的技術色彩，應按要求配備必要的專業(yè)人員，明確分管職責，并有統一的領導協調各方面的工作 統一的安全管理平臺有助于各種安全管理技術手段的相互補充和有效發(fā)揮，也便于從系統整體的角度來進行安全的監(jiān)控和管理 ， 從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。 安全管理平臺擔負著對這些安全機制進行集中控制、統一配置管理和收集各類與安全有幫助用戶實現 IT投資價值最大化 關信息的的責任，并對收集到的與安全有關的信息進 行匯集和分析和風險評估，發(fā)現系統運行中與安全有關的問題，做相應處理。必要時，可以在確定的安全域設置安全管理分中心，形成多層結構的安全管理平臺，共同完成對信息安全系統的管理控制。 如 圖 2所示。 圖 2 信息系統安全管理中心示意圖 安全管理體系 建設 安全管理體系 是安全技術體系真正有效發(fā)揮保護作用的重要保障， 安全管理體系 的設計立足于總體安全策略，并與安全技術體系相互配合，增強技術防護體系的效率和效果，同時也彌補當前技術無法完全解決的安全缺陷。 技術和管理是相互結合的，一方面，安全防護技術措施需要安全管理措施來加強，另一方面技術也是對管理措施貫徹執(zhí)行的監(jiān)督手段。 安全管理體系 由若干信息安全管理類組成，每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應，這些安全控制是為了達成相應安全目標的管理工作和要求。 建立 信息安全管理體系一共包括了 12 項管理類： 幫助用戶實現 IT投資價值最大化 （ 1）建立 安全策略與制度。 確保組織擁有明確的信息安全方針以及配套的策略和制度，以實現對信息安全工作的支持和承諾，保證信息安全的資金投入。 （ 2）建立 安全風險管理。 信息安全建設不是避免風險的過程，而是管理風險的過程。信息安全體系建設的目標就是要把風險控制在可以接受的范圍之內。風險管理同時也是一個動態(tài)持續(xù)的過程。 （ 3）建立人員和組織安全管理。 建立組織機構，明確人員崗位職責，提供安全教育和培訓，對第三方人員進行管理、協調信息安全監(jiān)管部門與行內其它部門之間的關系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產生的信息安全風險。 （ 4）建立環(huán)境和設備安全管理。 控制由于物理環(huán)境和硬件設施的不當所產生的風險。管理內容包括物理環(huán)境安全、設備安全、介質安全等。 （ 5） 建立網絡和通信安全管理。 控制和保護網絡和通信系統，防止其受到破壞和濫用，避免和降低由于網絡和通信系統的問題對組織業(yè)務系統的損害。 （ 6）建立主機和系統安全管理。 控制和保護組織的計算機主機及其系統，防止其受到破壞和濫用，避免和降低由此對業(yè)務系統的損害。 （ 7）建立應用和業(yè)務安全管理。 對各類應用和業(yè)務系統進行安全管理，防止其受到破壞和濫用。 （ 8）建立數據安全和加密管理。 采用數據加密和完整性保護機制，防止數據被竊取和篡改，保護組織業(yè)務數據的安全。 （ 9）建立項目工程安全管理。 保護信息系統項目工程過程的安全，確保 項目的成果是可靠的安全系統。 （ 10）建立運行和維護安全管理。 保護信息系統在運行期間的安全，并確保系統維護工作的安全。 （ 11）建立業(yè)務連續(xù)性管理。 通過設計和執(zhí)行業(yè)務連續(xù)性計劃，確保信息系統在任何災難和攻擊下，都能夠保證業(yè)務的連續(xù)性。 （ 12）建立 合規(guī)性 管理。 確保組織的信息安全保障工作符合國家法律、法規(guī)的要求；且組織的信息安全方針、規(guī)定和標準得到了遵循。 幫助用戶實現 IT投資價值最大化 12項信息安全管理類之間的關系，如圖 3所示。 圖 3信息安全管理類之間的關系 技術和管理是相互結合的，一方面，安全防護技術措施需要安全管理措施來加強，另一方面技術也是對管理措施貫徹執(zhí)行的監(jiān)督手段。 安全運維體系 建設 信息 安全運維體系 由安全技術和安全管理緊密結合的內容所組成，包括了系統可靠性設計、系統數據的備份計劃、安全事件的應急響應計劃、安全審計、災難恢復計劃等，運行保障體系對于組織信息化的可持續(xù)性運營提供了重要的保障手段。 信息安全運維體系的內容包括安全運維監(jiān)控中心、安全運維告警中心、安全運維事件響應中心、安全運維審核評估中心、信息資產管理中心五個方面的內容。并且，這五個方面的內容也可以作為信息安全運維體系建立的五個步驟。同時，利用持續(xù)改進模型方法，把策劃、實施、檢查、改進（ＰＤＣＡ）貫穿于這五個基本步驟中。 第一步驟是建立安全運維監(jiān)控中心，基于關鍵業(yè)務點面向業(yè)務系統可用性和業(yè)務連續(xù)性進行合理布控和監(jiān)測，以關鍵績效指標指導和考核信息系統運行質量和運維管理工作的實施和執(zhí)行，幫助用戶建立全面覆蓋信息系統的監(jiān)測中心，并對各類事件做出 快速、準確的定位數據 / 文檔 / 介質管理方針和策略管理應用與業(yè)務管理主機與系統管理網絡與通信管理環(huán)境與設備管理風險管理業(yè)務連續(xù)性管理項目工程管理運行維護管理人員和組織管理合規(guī)性管理幫助用戶實現 IT投資價值最大化 和展現。實現對信息系統運行動態(tài)的快速掌握，以及運行維護管理過程中的事前預警、事發(fā)時快速定位。 第二步驟是建立安全運維告警中心，基于規(guī)則配置和自動關聯，實現對監(jiān)控采集、同構、歸并的信息的智能關聯判別，并綜合的展現信息系統中發(fā)生的預警和告警事件，幫助運維管理人員快速定位、排查問題所在。同時，告警中心提供多種告警響應方式，內置與事件響應中心的工單和預案處理接口，可依據事件關聯和響應規(guī)則的定義，觸發(fā)相應的預案處理，實現運維管理過程中突發(fā)事件和問題處理的自動化和智能化。 第三步驟是建立安全運維事件響應中心，借鑒并融合了 ITIL（信息系統基礎設施庫）/ITSM（ IT服務管理）的先進管理規(guī)范和最佳實踐指南，借助工作流模型參考等標準，開發(fā)圖形化、可配置的工作流程管理系統，將運維管理工作以任務和工作單傳遞的方式，通過科學的、符合用戶運維管理規(guī)范的工作流程進行處置，在處理過程中實現電子化的自動流轉，無需人工干預，縮短了流程周期，減少人工錯誤，并實現對事件、問題處理過程中的各個環(huán)節(jié)的追蹤、監(jiān)督和審計。 第四步驟是建立安全運維審核評估中心，該中心提供對信息系統運行質量、服務水平、運維管理 工作績效的綜合評估、考核、審計管理功能。 第五步驟以信息資產管理為核心， IT資產管理是全面實現信息系統運行維護管理的基礎，提供的豐富的 IT資產信息屬性維護和備案管理，以及對業(yè)務應用系統的備案和配置管理。基于關鍵業(yè)務點配置關鍵業(yè)務的基礎設施關聯，通過資產對象信息配置豐富業(yè)務應用系統的運行維護內容，實現各類 IT基礎設施與用戶關鍵業(yè)務的有機結合，以及全面的綜合監(jiān)控。 建立持續(xù)改進運行的長效機制 （ 1）建立完善的信息安全建設管理體制。 在進行信息安全體系建設時，伴隨著建設過程中的信息安全項目