【文章內(nèi)容簡介】 需求，測試和演練進度表，以及計劃維護進度表。在應(yīng) 急計劃的制定中，應(yīng)該與包括物理安全、人力資源、系統(tǒng)操作和緊急事件等在內(nèi)的相關(guān)方面協(xié)調(diào)一致。應(yīng)經(jīng)常測試應(yīng)急計劃的每個部分，以確保計劃可以在真實環(huán)境中實施。應(yīng)急計劃的定期檢查和更新是至關(guān)重要的，應(yīng)該作為機構(gòu)變化管理過程的一部分，以確保新的信息能夠被添加進來，應(yīng)急措施能夠根據(jù)需要被修訂。 c) 聯(lián)動要求 應(yīng)急響應(yīng)與管理不僅僅是一個單位和部門的事，而是各個相關(guān)的單位和部門的聯(lián)動活動。 （ 5）建立 信息 安全管理平臺 。 安全管理平臺 的管理范圍盡可能地涵蓋安全技術(shù)體系中涉及的各種安全機制與安全設(shè)備，對這些安全機制和安全設(shè)備進行統(tǒng)一的管理和控制，負責(zé)管理和維護安全策略，配置管理相應(yīng)的安全機制，確保這些安全技術(shù)與設(shè)施能夠按照設(shè)計的要求協(xié)同運作，可靠運行。它在傳統(tǒng)的信息系統(tǒng)應(yīng)用體系與各類安全技術(shù)、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的信息系統(tǒng)應(yīng)用體系緊密的結(jié)合實現(xiàn)無縫連接，促成信息系統(tǒng)安全與信息系統(tǒng)應(yīng)用的真正的一體化，使得傳統(tǒng)的信息系統(tǒng)應(yīng)用體系逐步過渡到安全的信息系統(tǒng)應(yīng)用體系。 以信息系統(tǒng)安全管理中心為核心的 安全管理平臺，是對信息系統(tǒng)的各種安全機制進行管理使其發(fā)揮應(yīng)有安全作用的重要環(huán)節(jié)。信息系統(tǒng)安全管理平臺既是一個管理機構(gòu)，又具有濃厚的技術(shù)色彩，應(yīng)按要求配備必要的專業(yè)人員，明確分管職責(zé)，并有統(tǒng)一的領(lǐng)導(dǎo)協(xié)調(diào)各方面的工作 統(tǒng)一的安全管理平臺有助于各種安全管理技術(shù)手段的相互補充和有效發(fā)揮，也便于從系統(tǒng)整體的角度來進行安全的監(jiān)控和管理 ， 從而提高安全管理工作的效率，使人為的安全管理活動參與量大幅下降。 安全管理平臺擔(dān)負著對這些安全機制進行集中控制、統(tǒng)一配置管理和收集各類與安全有幫助用戶實現(xiàn) IT投資價值最大化 關(guān)信息的的責(zé)任，并對收集到的與安全有關(guān)的信息進 行匯集和分析和風(fēng)險評估，發(fā)現(xiàn)系統(tǒng)運行中與安全有關(guān)的問題，做相應(yīng)處理。必要時，可以在確定的安全域設(shè)置安全管理分中心，形成多層結(jié)構(gòu)的安全管理平臺，共同完成對信息安全系統(tǒng)的管理控制。 如 圖 2所示。 圖 2 信息系統(tǒng)安全管理中心示意圖 安全管理體系 建設(shè) 安全管理體系 是安全技術(shù)體系真正有效發(fā)揮保護作用的重要保障， 安全管理體系 的設(shè)計立足于總體安全策略，并與安全技術(shù)體系相互配合，增強技術(shù)防護體系的效率和效果，同時也彌補當(dāng)前技術(shù)無法完全解決的安全缺陷。 技術(shù)和管理是相互結(jié)合的，一方面，安全防護技術(shù)措施需要安全管理措施來加強，另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。 安全管理體系 由若干信息安全管理類組成，每項信息安全管理類可分解為多個安全目標和安全控制。每個安全目標都有若干安全控制與其相對應(yīng)，這些安全控制是為了達成相應(yīng)安全目標的管理工作和要求。 建立 信息安全管理體系一共包括了 12 項管理類： 幫助用戶實現(xiàn) IT投資價值最大化 （ 1）建立 安全策略與制度。 確保組織擁有明確的信息安全方針以及配套的策略和制度，以實現(xiàn)對信息安全工作的支持和承諾，保證信息安全的資金投入。 （ 2）建立 安全風(fēng)險管理。 信息安全建設(shè)不是避免風(fēng)險的過程，而是管理風(fēng)險的過程。信息安全體系建設(shè)的目標就是要把風(fēng)險控制在可以接受的范圍之內(nèi)。風(fēng)險管理同時也是一個動態(tài)持續(xù)的過程。 （ 3）建立人員和組織安全管理。 建立組織機構(gòu)，明確人員崗位職責(zé)，提供安全教育和培訓(xùn)，對第三方人員進行管理、協(xié)調(diào)信息安全監(jiān)管部門與行內(nèi)其它部門之間的關(guān)系，保證信息安全工作的人力資源要求，避免由于人員和組織上的錯誤產(chǎn)生的信息安全風(fēng)險。 （ 4）建立環(huán)境和設(shè)備安全管理。 控制由于物理環(huán)境和硬件設(shè)施的不當(dāng)所產(chǎn)生的風(fēng)險。管理內(nèi)容包括物理環(huán)境安全、設(shè)備安全、介質(zhì)安全等。 （ 5） 建立網(wǎng)絡(luò)和通信安全管理。 控制和保護網(wǎng)絡(luò)和通信系統(tǒng)，防止其受到破壞和濫用，避免和降低由于網(wǎng)絡(luò)和通信系統(tǒng)的問題對組織業(yè)務(wù)系統(tǒng)的損害。 （ 6）建立主機和系統(tǒng)安全管理。 控制和保護組織的計算機主機及其系統(tǒng)，防止其受到破壞和濫用，避免和降低由此對業(yè)務(wù)系統(tǒng)的損害。 （ 7）建立應(yīng)用和業(yè)務(wù)安全管理。 對各類應(yīng)用和業(yè)務(wù)系統(tǒng)進行安全管理，防止其受到破壞和濫用。 （ 8）建立數(shù)據(jù)安全和加密管理。 采用數(shù)據(jù)加密和完整性保護機制，防止數(shù)據(jù)被竊取和篡改，保護組織業(yè)務(wù)數(shù)據(jù)的安全。 （ 9）建立項目工程安全管理。 保護信息系統(tǒng)項目工程過程的安全，確保 項目的成果是可靠的安全系統(tǒng)。 （ 10）建立運行和維護安全管理。 保護信息系統(tǒng)在運行期間的安全，并確保系統(tǒng)維護工作的安全。 （ 11）建立業(yè)務(wù)連續(xù)性管理。 通過設(shè)計和執(zhí)行業(yè)務(wù)連續(xù)性計劃，確保信息系統(tǒng)在任何災(zāi)難和攻擊下，都能夠保證業(yè)務(wù)的連續(xù)性。 （ 12）建立 合規(guī)性 管理。 確保組織的信息安全保障工作符合國家法律、法規(guī)的要求；且組織的信息安全方針、規(guī)定和標準得到了遵循。 幫助用戶實現(xiàn) IT投資價值最大化 12項信息安全管理類之間的關(guān)系，如圖 3所示。 圖 3信息安全管理類之間的關(guān)系 技術(shù)和管理是相互結(jié)合的，一方面，安全防護技術(shù)措施需要安全管理措施來加強，另一方面技術(shù)也是對管理措施貫徹執(zhí)行的監(jiān)督手段。 安全運維體系 建設(shè) 信息 安全運維體系 由安全技術(shù)和安全管理緊密結(jié)合的內(nèi)容所組成，包括了系統(tǒng)可靠性設(shè)計、系統(tǒng)數(shù)據(jù)的備份計劃、安全事件的應(yīng)急響應(yīng)計劃、安全審計、災(zāi)難恢復(fù)計劃等，運行保障體系對于組織信息化的可持續(xù)性運營提供了重要的保障手段。 信息安全運維體系的內(nèi)容包括安全運維監(jiān)控中心、安全運維告警中心、安全運維事件響應(yīng)中心、安全運維審核評估中心、信息資產(chǎn)管理中心五個方面的內(nèi)容。并且，這五個方面的內(nèi)容也可以作為信息安全運維體系建立的五個步驟。同時，利用持續(xù)改進模型方法，把策劃、實施、檢查、改進（ＰＤＣＡ）貫穿于這五個基本步驟中。 第一步驟是建立安全運維監(jiān)控中心，基于關(guān)鍵業(yè)務(wù)點面向業(yè)務(wù)系統(tǒng)可用性和業(yè)務(wù)連續(xù)性進行合理布控和監(jiān)測，以關(guān)鍵績效指標指導(dǎo)和考核信息系統(tǒng)運行質(zhì)量和運維管理工作的實施和執(zhí)行，幫助用戶建立全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類事件做出 快速、準確的定位數(shù)據(jù) / 文檔 / 介質(zhì)管理方針和策略管理應(yīng)用與業(yè)務(wù)管理主機與系統(tǒng)管理網(wǎng)絡(luò)與通信管理環(huán)境與設(shè)備管理風(fēng)險管理業(yè)務(wù)連續(xù)性管理項目工程管理運行維護管理人員和組織管理合規(guī)性管理幫助用戶實現(xiàn) IT投資價值最大化 和展現(xiàn)。實現(xiàn)對信息系統(tǒng)運行動態(tài)的快速掌握，以及運行維護管理過程中的事前預(yù)警、事發(fā)時快速定位。 第二步驟是建立安全運維告警中心，基于規(guī)則配置和自動關(guān)聯(lián)，實現(xiàn)對監(jiān)控采集、同構(gòu)、歸并的信息的智能關(guān)聯(lián)判別，并綜合的展現(xiàn)信息系統(tǒng)中發(fā)生的預(yù)警和告警事件，幫助運維管理人員快速定位、排查問題所在。同時，告警中心提供多種告警響應(yīng)方式，內(nèi)置與事件響應(yīng)中心的工單和預(yù)案處理接口，可依據(jù)事件關(guān)聯(lián)和響應(yīng)規(guī)則的定義，觸發(fā)相應(yīng)的預(yù)案處理，實現(xiàn)運維管理過程中突發(fā)事件和問題處理的自動化和智能化。 第三步驟是建立安全運維事件響應(yīng)中心，借鑒并融合了 ITIL（信息系統(tǒng)基礎(chǔ)設(shè)施庫）/ITSM（ IT服務(wù)管理）的先進管理規(guī)范和最佳實踐指南，借助工作流模型參考等標準，開發(fā)圖形化、可配置的工作流程管理系統(tǒng)，將運維管理工作以任務(wù)和工作單傳遞的方式，通過科學(xué)的、符合用戶運維管理規(guī)范的工作流程進行處置，在處理過程中實現(xiàn)電子化的自動流轉(zhuǎn)，無需人工干預(yù)，縮短了流程周期，減少人工錯誤，并實現(xiàn)對事件、問題處理過程中的各個環(huán)節(jié)的追蹤、監(jiān)督和審計。 第四步驟是建立安全運維審核評估中心，該中心提供對信息系統(tǒng)運行質(zhì)量、服務(wù)水平、運維管理 工作績效的綜合評估、考核、審計管理功能。 第五步驟以信息資產(chǎn)管理為核心， IT資產(chǎn)管理是全面實現(xiàn)信息系統(tǒng)運行維護管理的基礎(chǔ)，提供的豐富的 IT資產(chǎn)信息屬性維護和備案管理，以及對業(yè)務(wù)應(yīng)用系統(tǒng)的備案和配置管理?；陉P(guān)鍵業(yè)務(wù)點配置關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施關(guān)聯(lián)，通過資產(chǎn)對象信息配置豐富業(yè)務(wù)應(yīng)用系統(tǒng)的運行維護內(nèi)容，實現(xiàn)各類 IT基礎(chǔ)設(shè)施與用戶關(guān)鍵業(yè)務(wù)的有機結(jié)合，以及全面的綜合監(jiān)控。 建立持續(xù)改進運行的長效機制 （ 1）建立完善的信息安全建設(shè)管理體制。 在進行信息安全體系建設(shè)時，伴隨著建設(shè)過程中的信息安全項目