GB∕T 36626-2018
基本信息
标准号: GB∕T 36626-2018
中文名称:信息安全技术 信息系统安全运维管理指南
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1598KB
相关标签: 信息安全 技术 信息系统 安全 运维 管理 指南
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB∕T 36626-2018 信息安全技术 信息系统安全运维管理指南
GB∕T36626-2018
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T36626—2018
信息安全技术
信息系统安全运维管理指南
Information security technologyManagement guide for secure operation andmaintenance of information systems2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
GB/T36626—2018
规范性引用文件
3术语和定义
缩略语
信息系统安全运维体系
安全运维模型
安全运维活动分类
5.3安全运维活动要素
安全运维管理原则
6安全运维策略
安全运维策略制定
安全运维策略评审
7安全运维组织的管理
安全运维的角色和责任
聘用前审查
工作履行职责
聘用终止和变更
安全运维规程
资产管理
日志管理
访问控制
密码管理
漏洞管理
安全事件管理及响应
安全运维支撑系统
信息系统安全服务台
资产管理系统
漏洞管理系统
人侵检测系统
异常行为监测系统
关联分析系统
参考文献
本标准按照GB/T1.1一2009给出的规则起草GB/T36626—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:浙江远望信息股份有限公司、中电长城网际系统应用有限公司、中国电子技术标准化研究院、国家信息中心、北京立思辰新技术有限公司、西安未来国际信息股份有限公司、广州赛宝认证中心服务有限公司。
本标准主要起草人:傅如毅、蒋行杰、上官晓丽、马洪军、闵京华、王惠莅、刘蓓、傅刚、白峰、邵森龙,金江焕、姚龙飞、刘京玲、赵伟、赵拓、陈盈、刘海迪1
1范围
信息安全技术
信息系统安全运维管理指南
GB/T36626—2018
本标准提供了信息系统安全运维管理体系的指导和建议,给出了安全运维策略、安全运维组织的管理、安全运维规程和安全运维支撑系统等方面相关活动的目的、要求和实施指南。本标准可用于指导各组织信息系统安全运维管理体系的建立和运行规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T22081—2016信息技术安全技术信息安全控制实践指南GB/T29246—2017
安全技术信息安全管理体系
信息技术
概述和词汇
GB/T31722—2015
安全技术信息安全风险管理
信息技术
3术语和定义
GB/T292462017界定的以及下列术语和定义适用于本文件。3.1
威胁threat
对资产或组织可能导致负面结果的一个事件的潜在源[GB/T25069—2010,定义2.3.94]3.2
信息系统安全运维
secure operation and maintenance of information systems在信息系统经过授权投人运行之后,确保信息系统免受各种安全威胁所采取的一系列预先定义的活动。
securitypolicy
安全策略
用于治理组织及其系统内在安全上如何管理、保护和分发资产(包括敏感信息)的一组规则、指导和实践,特别是那些对系统安全及相关元素具有影响的资产。[GB/T25069—2010.定义2.3.2]3.4
procedure
对执行一个给定任务所采取动作历程的书面描述【GB/T250692010.定义2.1.7
信息系统安全运维支撑系统
Esupportsystemforsecureoperationandmaintenanceofinformationsystems
用于支撑信息系统安全运维的辅助性系统工具。包括但不限于资产自动发现系统、配置管理系统、1
GB/T36626—2018
脆弱性扫描系统、补丁管理系统、入侵检测系统、异常行为监测系统、日志管理系统及大数据安全系统等。
4缩略语
下列缩略语适用于本文件。
ITIL:信息技术基础架构库(InformationTechnologyInfrastructureLibrary)SIEM:安全信息和事件管理(SecurityInformationandEventManagement)IPS:人侵防御系统(IntrusionPreventionSystem)IDS:入侵检测系统(IntrusionDetectionSystems)WAF:Web应用防护系统(WebApplicationFirewall)5信息系统安全运维体系
安全运维模型
信息系统安全运维体系是一个以业务安全为目的的信息系统安全运行保障体系。通过该体系,能够及时发现并处置信息资产及其运行环境存在的脆弱性、人侵行为和异常行为。信息系统安全运维模型如图1所示。持续改进
安全运维策略
,策略制定
·策略评审
安全运维支撑系统
·服务台
·资产管理系统
·漏洞管理系统
·入侵检测系统
·异常行为监控系统
·关联分析系统
目的、要求、实施指南
持续改进
安全运维组织
·运维的角色和责任
·聘用前审查
·工作履行职责
·聘用终止和变更
安全运维规程
·资产管理
,日志管理bzxZ.net
·访间控制
·密码管理
·漏润管理
·备份
·安全事件管理
·安全事件应急响应
图1信息系统安全运维模型
5.2安全运维活动分类
GB/T36626—2018
安全运维体系涉及安全运维策略确定、安全运维组织管理、安全运维规程制定和安全运维支撑系统建设等四类活动。
安全运维策略明确了安全运维的目的和方法,主要包括策略制定和策略评审两个活动,安全运维组织明确了安全运维团队的管理,包括运维的角色和责任、聘用前审查、工作履行职责、聘用终止和变更
安全运维规程明确了安全运维的实施活动,包括资产管理、日志管理、访问控制、密码管理、漏洞管理、备份、安全事件管理、安全事件应急响应等安全运维支撑系统给出了主要的安全运维辅助性系统的工具5.3安全运维活动要素
安全运维活动要素包含了目的、要求和实施指南三个方面。自的部分描述了安全运维活动的意义要求部分描述了安全运维活动的指标要求,实施指南描述了达成安全运维活动自标、实现安全运维要求的方法和手段5.4安全运维管理原则
为了保证安全运维体系的可靠性和有效性,安全运维体系建设应遵循以下内容:a)基于策划、实施、检查和改进的过程进行持续完善。可以根据信息系统的安全保护等级要求,对控制实施情况进行定期评估;b)
安全运维体系建设应兼顾成本与安全。根据业务安全需要,制定相应的安全运维策略、建立相应的安全运维组织、制定相应的安全运维规程及建设相应的安全运维支撑系统。6安全运维策略
安全运维策略制定
6.1.1自的
依据业务要求和相关法律法规,为信息系统安全运维提供原则与指导。6.1.2要求
信息系统安全运维策略制定完成后,宜由管理者批准:并发布、传达给安全运维团队和其他相关人员。
6.1.3实施指南
在组织层面定义“信息系统安全运维策略”,用以明确信息系统安全运维的目标和方法。该策略由管理层批准,并指定机构管理其信息系统安全运维的目标和方法。信息系统安全运维策略主要关注来自业务安全战略、安全运维目标、法律法规和合同、当前和预期的信息系统安全威胁环境等方面产生的要求信息系统安全运维策略主要涉及以下内容:a)信息系统安全运维目标和原则的定义:1)确定利益相关者的安全需求;3
GB/T36626—2018
确定组织的安全目标;
进一步确定信息系统的安全目标:4)确定信息系统安全运维目标
根据已确定的信息系统安全运维目标,制定相应的安全运维策略,包括分层防护、最小特权、分b)
区隔离、保护隐私和日志记录等把信息系统安全运维管理方面的一般和特定责任分配给已定义的角色。d)
处理偏差和意外的过程。
信息系统安全运维策略由以下相关的运维策略组成,包括但不限于:a)
资产管理;
信息系统安全分级;
访问控制;
物理和环境安全;
备份:
信息传输;
恶意软件防范;
脆弱性管理;
入侵管理;
异常行为管理;
密码控制;
通信安全。
这些策略采用适合的、可访问和可理解的形式传达给安全运维团队、组织内人员和外部相关方6.2
安全运维策略评审
确保安全运维策略的适宜性、充分性和有效性。6.2.2要求
基于一定的时间间隔或当信息系统、信息系统环境或业务安全需求发生重大改变时,宜对信息系统安全运维策略进行评审。
6.2.3实施指南
指定专人负责策略的制定、评审和评价。评估安全策略和信息系统安全运维方法的持续改进,以适应法律法规或技术环境、组织环境及业务状况发生的变化。
策略的修订由管理层批准。
7安全运维组织的管理
安全运维的角色和责任
7.1.1目的
明确运维团队中的角色和责任。7.1.2要求
定义和分配信息系统安全运维的所有角色及其责任7.1.3实施指南
GB/T36626—2018
信息系统安全运维组织应与信息系统安全运维策略相一致,应明确定义信息系统运行安全风险管理活动的责任,特别是可接受的残余风险的责任,还应定义信息系统保护和执行特定安全过程的责任明确运维人员负责的范围,包括下列工作:识别和定义信息系统面临的风险;a
明确信息系统安全责任主体,并形成相应责任文件;b)
明确运维人员应具备的安全运维的能力,使其能够履行信息系统安全运维责任;d)
参照ITIL提出的运维团队组织模式,建立三线安全运维组织体系。一线负责安全事件处理,快速恢复系统正常运行;二线负责安全问题查找,彻底解决存在的安全问题,三线负责修复设备存在的深层漏洞
7.2聘用前审查
确保聘用人员具有符合其角色的要求和技能7.2.2要求
按照岗位职责要求,宜对被任用者进行审查。7.2.3
实施指南
审查考虑以下内容:
有效的可接受的推荐材料(例如,组织出具和个人出具的文字材料等);a)
申请人履历的验证(针对该履历的完备性和准确性):b)
声称的学历、专业资质的证实;其他的验证(例如,信用核查或犯罪记录核查等)。7.3工作履行职责
7.3.1目的
确保信息系统安全运维人员理解并履行信息系统安全运维职责7.3.2要求
安全运维人员宜按照已建立的策略、规程和工具进行安全运维工作7.3.3
实施指南
建立岗位手册作为安全运维指南。岗位手册内容包括岗位职责;
工作模板;
工作流程;
d)支撑工具。
GB/T36626—2018
进行信息安全意识教育和培训。信息安全意识教育和培训包括:信息安全意识培训旨在使安全运维人员了解信息系统安全风险及安全运维责任:a)
信息安全意识教育和技能培训方案按照组织的信息安全策略和相关规程建立。岗位技能培训b)
旨在使安全运维人员和团队具备相应的岗位技能有正式的违规处理过程对违规的安全运维人员进行处罚。内容包括:a)在没有最终确定违规之前,不能开始违规处理过程;正式的违规处理过程宜确保对运维工程师给予了正确和公平的对待。无论违规是第一次或是by
已发生过,无论违规者是否经过适当地培训。7.4聘用终止和变更
7.4.1目的
在聘用变更或终止过程中保护组织的利益。7.4.2要求
确定聘用终止或变更后不会引发信息系统安全事件7.4.3实施指南
聘用终止或变更意味着相应人员岗位职责和法律责任的终止。为了保护双方的权益,聘用终止或变更后应及时终止或变更相关人员的相应职责、权限和内容。终止或变更的职责、权限和内容包括但不限于以下事项:员工合同:
b)信息系统访问权限;
安全运维支撑系统访问权限。
8安全运维规程
资产管理
8.1.1目的
识别与信息系统相关的所有资产,构建以资产为核心的安全运维机制。8.1.2要求
及时识别资产及资产之间的关系。8.1.3实施指南
将信息系统相关软硬件资产进行登记,形成资产清单文件并持续维护。资产清单要准确,实时更新并与其他清单一致。
为每项已识别的资产指定所属关系并分级。明确资产(包括软硬件、数据等)之间的关系,包括部署关系、支撑关系、依赖关系,确保实现及时分配资产所属关系的过程。资产在创立或转移到组织时分配其所有权并指定责任者。资产责任者对资产的整个生命周期负有适当的管理责任。基于资产对业务的重要性,按GB/T317222015中附录B的方法计算资产的价值基于已发现的安全漏洞或已发生的安全事件,总结并形成每一个设备或系统的安全检查清单。安6
全检查清单需要动态维护。
GB/T36626—2018
建立介质安全处置的正式规程,减小保密信息泄露给未授权人员的风险。包含保密信息介质的安全处置规程要与信息的敏感性相一致。考虑下列条款:a)包含有保密信息的介质被安全地存储和处置,例如利用化或粉碎的方法,或者将数据擦除,供组织内其他应用使用;
b)有规程识别可能需要安全处置的项目;将所有介质部件收集起来并进行安全处置,可能比试图分离出敏感部件更容易;c
d)许多组织提供介质收集和处置服务,注意选择具有足够控制和经验的合适的外部方:对处置的敏感项作记录,以便维护审核踪迹。e
当大量处置介质时,考虑可导致大量不敏感信息成为敏感信息的集聚效应可能需要对包含敏感数据的已损坏设备进行风险评估以确定其部件是否可进行物理销毁,而不是被送修或废弃。
2日志管理
8.2.1自的
发现攻击线索,或用作责任追究或司法证据。8.2.2要求
全面收集并管理信息系统及相关设备的运行日志,包括系统日志、操作日志、错误日志等。8.2.3实施指南
全面收集信息系统的运行日志,并进行归一化预处理,以便后续存储和处理原始日志信息和归一化处理后的日志信息分别进行存储。原始日志信息存储应进行防篡改签名,以便可以作为司法证据。已归一化的日志进行结构化存储,以便检索和深度处理。对日志信息进行多种分析:
a)攻击线索查找分析:在系统受到攻击后.需要通过日志分析找到攻击源和攻击路径,以便清除木马和病毒,并恢复系统正常运行;日志交叉深度分析:通过定期的交叉分析,以发现并阻断潜在攻击;b)
对攻击日志进行历史分析,发现攻击趋势,以实现早期防御。c)
8.3访问控制
8.3.1目的
按照业务要求限制对信息和信息系统的访问8.3.2要求
基于业务和信息系统安全要求,应建立物理环境、设备、信息系统的访问控制策略,形成文件并进行评审。
8.3.3实施指南
信息系统安全责任者需要为特定用户角色确定适当的访问控制规则、访问权及限制,其详细程度和控制的严格程度反映相关的信息安全风险。访间控制包括逻辑访问控制和物理访问控制。访问控制考虑下列内容:7
GB/T36626—2018
业务应用的安全要求:
信息传播和授权的策略,例如:“需要知道”的原则和信息安全级别以及信息分级的需要;系统和网络的访问权限和信息分级策略之间的一致性:关于限制访问数据或服务的相关法律和合同业务:;在了解各种可用的连接类型的分布式和网络化环境中,访问权的管理;访问控制角色的分离,例如访同请求、访问授权、访问管理;访问请求的正式授权要求,
制定一个有关网络和网络服务使用的策略。该策略包括:a)
允许被访问的网络和网络服务;确定允许哪些人访问哪些网络和网络服务的授权规程;保护访问网络连接和网络服务的管理控制和规程;访问网络和网络服务使用的手段;访问各种网络服务的用户鉴别要求:监视网络服务的使用。
实现正式的用户注册及注销过程,以便分配访问权。管理用户ID过程包括:
使用唯一用户ID,使得用户与其行为链接起来,并对其行为负责,在对于业务或操作而言,必a
要时,才允许使用共享ID,并经过批准和形成文件;b)
立即禁用已离开组织的用户ID,并在禁用一段时间后视情况进行删除:定期识别并删除或禁用完余的用户ID;确保允余的用户ID不会分发给其他用户。用于对用户ID访间权进行分配或撤销的配置过程包括:a)
针对信息系统或服务的使用,从系统或服务的责任者那里获得授权;验证所授予的访间程度是否与访问策略相适宜,是否与职责分离等要求相一致;确保授权过程完成之前,访问权未被激活;维护一份集中式的访问权记录,记载所授予的用户ID要访问的信息系统和服务。d)
对访问的限制基于各个业务应用要求,并符合已制定的组织访问控制策略8.4
密码管理
使用适当的和有效的密码技术,以保护信息的保密性、真实性和完整性。8.4.2要求
基于信息资产的重要性,应选用不同复杂度密码,8.4.3实施指南
涉及密码算法的相关内容,按国家有关法规实施。涉及采用密码技术解决保密性、完整性,真实性、不可否认性需求的遵循密码相关国家标准和行业标准。密码控制的使用策略按GB/T22081—2016中10.1.1的要求。8.5漏洞管理
8.5.1目的
防止信息系统及其支撑软硬件系统的脆弱性被利用8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T36626—2018
信息安全技术
信息系统安全运维管理指南
Information security technologyManagement guide for secure operation andmaintenance of information systems2018-09-17发布
国家市场监督管理总局
中国国家标准化管理委员会
2019-04-01实施
GB/T36626—2018
规范性引用文件
3术语和定义
缩略语
信息系统安全运维体系
安全运维模型
安全运维活动分类
5.3安全运维活动要素
安全运维管理原则
6安全运维策略
安全运维策略制定
安全运维策略评审
7安全运维组织的管理
安全运维的角色和责任
聘用前审查
工作履行职责
聘用终止和变更
安全运维规程
资产管理
日志管理
访问控制
密码管理
漏洞管理
安全事件管理及响应
安全运维支撑系统
信息系统安全服务台
资产管理系统
漏洞管理系统
人侵检测系统
异常行为监测系统
关联分析系统
参考文献
本标准按照GB/T1.1一2009给出的规则起草GB/T36626—2018
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:浙江远望信息股份有限公司、中电长城网际系统应用有限公司、中国电子技术标准化研究院、国家信息中心、北京立思辰新技术有限公司、西安未来国际信息股份有限公司、广州赛宝认证中心服务有限公司。
本标准主要起草人:傅如毅、蒋行杰、上官晓丽、马洪军、闵京华、王惠莅、刘蓓、傅刚、白峰、邵森龙,金江焕、姚龙飞、刘京玲、赵伟、赵拓、陈盈、刘海迪1
1范围
信息安全技术
信息系统安全运维管理指南
GB/T36626—2018
本标准提供了信息系统安全运维管理体系的指导和建议,给出了安全运维策略、安全运维组织的管理、安全运维规程和安全运维支撑系统等方面相关活动的目的、要求和实施指南。本标准可用于指导各组织信息系统安全运维管理体系的建立和运行规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T22081—2016信息技术安全技术信息安全控制实践指南GB/T29246—2017
安全技术信息安全管理体系
信息技术
概述和词汇
GB/T31722—2015
安全技术信息安全风险管理
信息技术
3术语和定义
GB/T292462017界定的以及下列术语和定义适用于本文件。3.1
威胁threat
对资产或组织可能导致负面结果的一个事件的潜在源[GB/T25069—2010,定义2.3.94]3.2
信息系统安全运维
secure operation and maintenance of information systems在信息系统经过授权投人运行之后,确保信息系统免受各种安全威胁所采取的一系列预先定义的活动。
securitypolicy
安全策略
用于治理组织及其系统内在安全上如何管理、保护和分发资产(包括敏感信息)的一组规则、指导和实践,特别是那些对系统安全及相关元素具有影响的资产。[GB/T25069—2010.定义2.3.2]3.4
procedure
对执行一个给定任务所采取动作历程的书面描述【GB/T250692010.定义2.1.7
信息系统安全运维支撑系统
Esupportsystemforsecureoperationandmaintenanceofinformationsystems
用于支撑信息系统安全运维的辅助性系统工具。包括但不限于资产自动发现系统、配置管理系统、1
GB/T36626—2018
脆弱性扫描系统、补丁管理系统、入侵检测系统、异常行为监测系统、日志管理系统及大数据安全系统等。
4缩略语
下列缩略语适用于本文件。
ITIL:信息技术基础架构库(InformationTechnologyInfrastructureLibrary)SIEM:安全信息和事件管理(SecurityInformationandEventManagement)IPS:人侵防御系统(IntrusionPreventionSystem)IDS:入侵检测系统(IntrusionDetectionSystems)WAF:Web应用防护系统(WebApplicationFirewall)5信息系统安全运维体系
安全运维模型
信息系统安全运维体系是一个以业务安全为目的的信息系统安全运行保障体系。通过该体系,能够及时发现并处置信息资产及其运行环境存在的脆弱性、人侵行为和异常行为。信息系统安全运维模型如图1所示。持续改进
安全运维策略
,策略制定
·策略评审
安全运维支撑系统
·服务台
·资产管理系统
·漏洞管理系统
·入侵检测系统
·异常行为监控系统
·关联分析系统
目的、要求、实施指南
持续改进
安全运维组织
·运维的角色和责任
·聘用前审查
·工作履行职责
·聘用终止和变更
安全运维规程
·资产管理
,日志管理bzxZ.net
·访间控制
·密码管理
·漏润管理
·备份
·安全事件管理
·安全事件应急响应
图1信息系统安全运维模型
5.2安全运维活动分类
GB/T36626—2018
安全运维体系涉及安全运维策略确定、安全运维组织管理、安全运维规程制定和安全运维支撑系统建设等四类活动。
安全运维策略明确了安全运维的目的和方法,主要包括策略制定和策略评审两个活动,安全运维组织明确了安全运维团队的管理,包括运维的角色和责任、聘用前审查、工作履行职责、聘用终止和变更
安全运维规程明确了安全运维的实施活动,包括资产管理、日志管理、访问控制、密码管理、漏洞管理、备份、安全事件管理、安全事件应急响应等安全运维支撑系统给出了主要的安全运维辅助性系统的工具5.3安全运维活动要素
安全运维活动要素包含了目的、要求和实施指南三个方面。自的部分描述了安全运维活动的意义要求部分描述了安全运维活动的指标要求,实施指南描述了达成安全运维活动自标、实现安全运维要求的方法和手段5.4安全运维管理原则
为了保证安全运维体系的可靠性和有效性,安全运维体系建设应遵循以下内容:a)基于策划、实施、检查和改进的过程进行持续完善。可以根据信息系统的安全保护等级要求,对控制实施情况进行定期评估;b)
安全运维体系建设应兼顾成本与安全。根据业务安全需要,制定相应的安全运维策略、建立相应的安全运维组织、制定相应的安全运维规程及建设相应的安全运维支撑系统。6安全运维策略
安全运维策略制定
6.1.1自的
依据业务要求和相关法律法规,为信息系统安全运维提供原则与指导。6.1.2要求
信息系统安全运维策略制定完成后,宜由管理者批准:并发布、传达给安全运维团队和其他相关人员。
6.1.3实施指南
在组织层面定义“信息系统安全运维策略”,用以明确信息系统安全运维的目标和方法。该策略由管理层批准,并指定机构管理其信息系统安全运维的目标和方法。信息系统安全运维策略主要关注来自业务安全战略、安全运维目标、法律法规和合同、当前和预期的信息系统安全威胁环境等方面产生的要求信息系统安全运维策略主要涉及以下内容:a)信息系统安全运维目标和原则的定义:1)确定利益相关者的安全需求;3
GB/T36626—2018
确定组织的安全目标;
进一步确定信息系统的安全目标:4)确定信息系统安全运维目标
根据已确定的信息系统安全运维目标,制定相应的安全运维策略,包括分层防护、最小特权、分b)
区隔离、保护隐私和日志记录等把信息系统安全运维管理方面的一般和特定责任分配给已定义的角色。d)
处理偏差和意外的过程。
信息系统安全运维策略由以下相关的运维策略组成,包括但不限于:a)
资产管理;
信息系统安全分级;
访问控制;
物理和环境安全;
备份:
信息传输;
恶意软件防范;
脆弱性管理;
入侵管理;
异常行为管理;
密码控制;
通信安全。
这些策略采用适合的、可访问和可理解的形式传达给安全运维团队、组织内人员和外部相关方6.2
安全运维策略评审
确保安全运维策略的适宜性、充分性和有效性。6.2.2要求
基于一定的时间间隔或当信息系统、信息系统环境或业务安全需求发生重大改变时,宜对信息系统安全运维策略进行评审。
6.2.3实施指南
指定专人负责策略的制定、评审和评价。评估安全策略和信息系统安全运维方法的持续改进,以适应法律法规或技术环境、组织环境及业务状况发生的变化。
策略的修订由管理层批准。
7安全运维组织的管理
安全运维的角色和责任
7.1.1目的
明确运维团队中的角色和责任。7.1.2要求
定义和分配信息系统安全运维的所有角色及其责任7.1.3实施指南
GB/T36626—2018
信息系统安全运维组织应与信息系统安全运维策略相一致,应明确定义信息系统运行安全风险管理活动的责任,特别是可接受的残余风险的责任,还应定义信息系统保护和执行特定安全过程的责任明确运维人员负责的范围,包括下列工作:识别和定义信息系统面临的风险;a
明确信息系统安全责任主体,并形成相应责任文件;b)
明确运维人员应具备的安全运维的能力,使其能够履行信息系统安全运维责任;d)
参照ITIL提出的运维团队组织模式,建立三线安全运维组织体系。一线负责安全事件处理,快速恢复系统正常运行;二线负责安全问题查找,彻底解决存在的安全问题,三线负责修复设备存在的深层漏洞
7.2聘用前审查
确保聘用人员具有符合其角色的要求和技能7.2.2要求
按照岗位职责要求,宜对被任用者进行审查。7.2.3
实施指南
审查考虑以下内容:
有效的可接受的推荐材料(例如,组织出具和个人出具的文字材料等);a)
申请人履历的验证(针对该履历的完备性和准确性):b)
声称的学历、专业资质的证实;其他的验证(例如,信用核查或犯罪记录核查等)。7.3工作履行职责
7.3.1目的
确保信息系统安全运维人员理解并履行信息系统安全运维职责7.3.2要求
安全运维人员宜按照已建立的策略、规程和工具进行安全运维工作7.3.3
实施指南
建立岗位手册作为安全运维指南。岗位手册内容包括岗位职责;
工作模板;
工作流程;
d)支撑工具。
GB/T36626—2018
进行信息安全意识教育和培训。信息安全意识教育和培训包括:信息安全意识培训旨在使安全运维人员了解信息系统安全风险及安全运维责任:a)
信息安全意识教育和技能培训方案按照组织的信息安全策略和相关规程建立。岗位技能培训b)
旨在使安全运维人员和团队具备相应的岗位技能有正式的违规处理过程对违规的安全运维人员进行处罚。内容包括:a)在没有最终确定违规之前,不能开始违规处理过程;正式的违规处理过程宜确保对运维工程师给予了正确和公平的对待。无论违规是第一次或是by
已发生过,无论违规者是否经过适当地培训。7.4聘用终止和变更
7.4.1目的
在聘用变更或终止过程中保护组织的利益。7.4.2要求
确定聘用终止或变更后不会引发信息系统安全事件7.4.3实施指南
聘用终止或变更意味着相应人员岗位职责和法律责任的终止。为了保护双方的权益,聘用终止或变更后应及时终止或变更相关人员的相应职责、权限和内容。终止或变更的职责、权限和内容包括但不限于以下事项:员工合同:
b)信息系统访问权限;
安全运维支撑系统访问权限。
8安全运维规程
资产管理
8.1.1目的
识别与信息系统相关的所有资产,构建以资产为核心的安全运维机制。8.1.2要求
及时识别资产及资产之间的关系。8.1.3实施指南
将信息系统相关软硬件资产进行登记,形成资产清单文件并持续维护。资产清单要准确,实时更新并与其他清单一致。
为每项已识别的资产指定所属关系并分级。明确资产(包括软硬件、数据等)之间的关系,包括部署关系、支撑关系、依赖关系,确保实现及时分配资产所属关系的过程。资产在创立或转移到组织时分配其所有权并指定责任者。资产责任者对资产的整个生命周期负有适当的管理责任。基于资产对业务的重要性,按GB/T317222015中附录B的方法计算资产的价值基于已发现的安全漏洞或已发生的安全事件,总结并形成每一个设备或系统的安全检查清单。安6
全检查清单需要动态维护。
GB/T36626—2018
建立介质安全处置的正式规程,减小保密信息泄露给未授权人员的风险。包含保密信息介质的安全处置规程要与信息的敏感性相一致。考虑下列条款:a)包含有保密信息的介质被安全地存储和处置,例如利用化或粉碎的方法,或者将数据擦除,供组织内其他应用使用;
b)有规程识别可能需要安全处置的项目;将所有介质部件收集起来并进行安全处置,可能比试图分离出敏感部件更容易;c
d)许多组织提供介质收集和处置服务,注意选择具有足够控制和经验的合适的外部方:对处置的敏感项作记录,以便维护审核踪迹。e
当大量处置介质时,考虑可导致大量不敏感信息成为敏感信息的集聚效应可能需要对包含敏感数据的已损坏设备进行风险评估以确定其部件是否可进行物理销毁,而不是被送修或废弃。
2日志管理
8.2.1自的
发现攻击线索,或用作责任追究或司法证据。8.2.2要求
全面收集并管理信息系统及相关设备的运行日志,包括系统日志、操作日志、错误日志等。8.2.3实施指南
全面收集信息系统的运行日志,并进行归一化预处理,以便后续存储和处理原始日志信息和归一化处理后的日志信息分别进行存储。原始日志信息存储应进行防篡改签名,以便可以作为司法证据。已归一化的日志进行结构化存储,以便检索和深度处理。对日志信息进行多种分析:
a)攻击线索查找分析:在系统受到攻击后.需要通过日志分析找到攻击源和攻击路径,以便清除木马和病毒,并恢复系统正常运行;日志交叉深度分析:通过定期的交叉分析,以发现并阻断潜在攻击;b)
对攻击日志进行历史分析,发现攻击趋势,以实现早期防御。c)
8.3访问控制
8.3.1目的
按照业务要求限制对信息和信息系统的访问8.3.2要求
基于业务和信息系统安全要求,应建立物理环境、设备、信息系统的访问控制策略,形成文件并进行评审。
8.3.3实施指南
信息系统安全责任者需要为特定用户角色确定适当的访问控制规则、访问权及限制,其详细程度和控制的严格程度反映相关的信息安全风险。访间控制包括逻辑访问控制和物理访问控制。访问控制考虑下列内容:7
GB/T36626—2018
业务应用的安全要求:
信息传播和授权的策略,例如:“需要知道”的原则和信息安全级别以及信息分级的需要;系统和网络的访问权限和信息分级策略之间的一致性:关于限制访问数据或服务的相关法律和合同业务:;在了解各种可用的连接类型的分布式和网络化环境中,访问权的管理;访问控制角色的分离,例如访同请求、访问授权、访问管理;访问请求的正式授权要求,
制定一个有关网络和网络服务使用的策略。该策略包括:a)
允许被访问的网络和网络服务;确定允许哪些人访问哪些网络和网络服务的授权规程;保护访问网络连接和网络服务的管理控制和规程;访问网络和网络服务使用的手段;访问各种网络服务的用户鉴别要求:监视网络服务的使用。
实现正式的用户注册及注销过程,以便分配访问权。管理用户ID过程包括:
使用唯一用户ID,使得用户与其行为链接起来,并对其行为负责,在对于业务或操作而言,必a
要时,才允许使用共享ID,并经过批准和形成文件;b)
立即禁用已离开组织的用户ID,并在禁用一段时间后视情况进行删除:定期识别并删除或禁用完余的用户ID;确保允余的用户ID不会分发给其他用户。用于对用户ID访间权进行分配或撤销的配置过程包括:a)
针对信息系统或服务的使用,从系统或服务的责任者那里获得授权;验证所授予的访间程度是否与访问策略相适宜,是否与职责分离等要求相一致;确保授权过程完成之前,访问权未被激活;维护一份集中式的访问权记录,记载所授予的用户ID要访问的信息系统和服务。d)
对访问的限制基于各个业务应用要求,并符合已制定的组织访问控制策略8.4
密码管理
使用适当的和有效的密码技术,以保护信息的保密性、真实性和完整性。8.4.2要求
基于信息资产的重要性,应选用不同复杂度密码,8.4.3实施指南
涉及密码算法的相关内容,按国家有关法规实施。涉及采用密码技术解决保密性、完整性,真实性、不可否认性需求的遵循密码相关国家标准和行业标准。密码控制的使用策略按GB/T22081—2016中10.1.1的要求。8.5漏洞管理
8.5.1目的
防止信息系统及其支撑软硬件系统的脆弱性被利用8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。