ICS

點擊此處添加中國標準文獻分類號

T/KMNSA

團體標準

T/KMNSA001—2024

信息系統安全運維管理規范

第1部分：通用系統

（征求意見稿）

2024-XX-XX發布2024-XX-XX實施

昆明市網絡安全協會發布

1

目??次

前??言...............................................................................3

信息系統安全運維管理規范...............................................................1

1范圍.................................................................................1

2規范性引用文件.......................................................................1

3術語和定義...........................................................................2

4縮略語...............................................................................3

5安全運維體系.........................................................................3

5.1安全運維原則.....................................................................3

5.2安全運維目標.....................................................................3

5.3安全運維框架.....................................................................3

6安全運維策略.........................................................................4

6.1安全運維策略制定.................................................................4

6.2安全運維策略評審.................................................................5

7安全運維組織.........................................................................5

7.1崗位設置.........................................................................5

7.2人員配備.........................................................................5

7.3授權與審批.......................................................................5

7.4溝通和合作.......................................................................6

7.5教育和培訓.......................................................................6

7.6人員錄用.........................................................................7

7.7人員離崗.........................................................................7

7.8外包運維安全管理.................................................................7

7.9外部人員訪問管理.................................................................7

7.10績效評估........................................................................8

8安全運維規程.........................................................................8

8.1安全運維管理.....................................................................8

8.2檢查............................................................................14

8.3外部協同........................................................................17

9安全運維支撐系統....................................................................19

9.1檢測識別類系統..................................................................19

9.2防護管理類系統..................................................................19

9.3監測審計類系統..................................................................19

9.4響應協同類系統..................................................................20

9.5系統自身安全要求................................................................20

附錄A（資料性）網絡安全運維人員資質建議........................................21

附錄B（資料性）安全運維規程涉及表單............................................22

B.1資產清單主要記錄元素..............................................................22

B.2信息系統訪問控制與操作............................................................22

B.3監測體系內容.......................................................................23

B.4監測產品類別......................................................................24

1

B.5備份作業記錄元素..................................................................24

B.6變更控制規程......................................................................25

B.7應急響應工作審核..................................................................25

B.8安全配置檢查內容..................................................................26

B.9服務類項目驗收準備文件............................................................26

附錄C（資料性）安全運維支撐系統功能要求........................................27

C.1檢測識別類系統....................................................................27

C.1.1資產測繪系統..................................................................27

C.1.2安全配置核查系統..............................................................27

C.1.3漏洞掃描系統..................................................................28

C.1.4網站安全監測系統..............................................................28

C.1.5違規外聯檢測系統..............................................................28

C.2防護管理類系統....................................................................29

C.2.1攻擊面管理系統................................................................29

C.2.2資產管理系統..................................................................29

C.2.3漏洞管理系統..................................................................30

C.2.4安全合規管理系統..............................................................30

C.2.5安全運維流程管理系統..........................................................31

C.2.6安全運維管理系統..............................................................31

C.3監測審計類系統....................................................................32

C.3.1日志審計系統..................................................................32

C.3.2主機審計系統..................................................................32

C.3.3網絡審計系統..................................................................33

C.3.4數據庫審計系統................................................................33

C.3.5應用審計系統..................................................................33

C.3.6防火墻策略審計系統............................................................33

C.3.7監控系統......................................................................34

C.3.8威脅信息監測系統..............................................................34

C.3.9態勢感知系統..................................................................35

C.4響應協同類系統....................................................................35

C.4.1安全服務工作臺................................................................35

C.4.2信息通報系統..................................................................35

C.4.3安全編排與自動化響應..........................................................36

C.4.4安全中臺......................................................................36

2

信息系統安全運維管理規范

1范圍

本文件針對運營單位的業務信息系統網絡安全運維的體系、規程、技術、團隊、溝通協作、應急

響應及應急演練做出了規定。本文件適用于企事業單位信息系統的網絡安全運維，也可作為組織開展

網絡安全運維的依據。

2規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文

件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適

用于本文件。

GB/T1.1—2020標準化工作導則第1部分：標準化文件的結構和起草規則

GB/T36626信息安全技術信息系統安全運維管理指南

GB/T25069信息安全技術術語

GB/T42446信息安全技術網絡安全從業人員能力基本要求

GB/T32914信息安全技術網絡安全服務能力要求

GB/T31722-2015信息安全技術信息安全風險管理

GB/T51314-2018數據中心基礎設施運行維護標準

GB/T22081-2016信息技術安全技術信息安全控制實踐指南

GB/T17901.1-2020信息安全技術密鑰管理第1部分：框架

GB/43207-2023信息安全技術信息系統密碼應用設計指南

GB/T39786-2021信息安全技術信息系統密碼應用基本要求

GB/T20986-2023信息安全技術網絡安全事件分類分級指南

GB/T20984-2022信息安全技術信息安全風險評估方法

GB/T28453-2012信息安全技術信息系統安全管理評估要求

GB/T30276-2020信息安全技術網絡安全漏洞管理規范

GB/T22080信息技術安全技術信息安全管理體系要求

GB/T20984信息安全技術信息安全風險評估規范

GB/T30283信息安全技術信息安全服務分類與代碼

GB/Z20985信息技術安全技術信息安全事件管理指南（所有部分）

GB/Z20986信息安全技術信息安全事件分類分級指南

GB/T22239信息安全技術網絡安全等級保護基本要求

GB/T22240信息安全技術網絡安全等級保護定級指南

GB/T25058信息安全技術網絡安全等級保護實施指南

GB/T25070信息安全技術網絡安全等級保護安全設計技術要求

GB/T39786信息安全技術信息系統密碼應用基本要求

GB/T31495信息安全技術信息安全保障指標體系及評價方法

GB/T42250信息安全技術網絡安全專用產品安全技術要求

1

GB/T42453信息安全技術網絡安全態勢感知通用技術要求

GA/T1545信息安全技術網絡及安全設備配置檢查產品安全技術要求

GA/T1359信息安全技術信息資產安全管理產品安全技術要求

GB/T28458信息安全技術網絡安全漏洞標識與描述規范

GA/T911信息安全技術日志分析產品安全技術要求

GA/T1550信息安全技術網站安全監測產品安全技術要求

GB/T20945信息安全技術網絡安全審計產品技術規范

GB/T36643信息安全技術網絡安全威脅信息格式規范

GB/T43557信息安全技術網絡安全信息報送指南

3術語和定義

GB/T25069-2022、GB/T30283-2022、GB/T32914-2023界定的術語和定義適用于本文件。

GB/T25069中界定的以及下列術語和定義適用于本文件。

密鑰key

控制密碼變換操作的符號序列。

病毒virus

一種程序，即通過修改其他程序，使其他程序包含一個自身可能已發生變化的原程序副本，從而

完成傳播自身程序，當調用受傳染的程序，該程序即被執行。

APTadvancedpersistentthreat；高級持續性威脅

精通復雜技術的攻擊者利用多種攻擊方式對特定目標進行長期持續性網絡攻擊。

安全漏洞cybersecurityvulnerability

網絡產品和服務在需求分析、設計、實現、配置、測試、運行、維護等過程中，無意或有意產生

的、有可能被利用的缺陷或薄弱點。

安全配置cybersecurityconfiguration

能滿足網絡安全基本要求的一組或多組核心配置項。

拒絕服務denialofservice;DoS

阻止對系統資源的經授權訪問或延遲系統的運行和功能，并導致經授權用戶可用性受損。

應急響應emergencyresponse

組織為應對突發／重大信息安全事件發生所做的準備，以及在事件發生后所采取的措施。

應急演練emergencydrill

為訓練有關人員和提高應急響應能力而根據應急預案和應急響應計劃所開展的活動。

泄露disclosure

違反信息安全策略，導致數據被未經授權的實體使用的行為。

入侵檢測系統intrusiondetectionsystem;IDS

用于識別已嘗試、正在發生或已經發生的入侵的信息系統。

入侵防御系統intrusionpreventionsystem;IPS

特別設計用來提供主動響應能力的入侵檢測系統的變體。

身份identity

與某一實體相關的一組屬性。

滲透測試penetrationtesting

以未經授權的動作繞過某一系統的安全機制來檢查信息系統的安全功能，以發現信息系統安全問

題的手段。

2

風險評估riskassessment

風險識別、風險分析和風險評價的整個過程。

安全審計securityaudit

對信息系統記錄與活動的獨立評審和考察，以測試系統控制的充分程度，確保對于既定安全策略

和運行規程的符合性，發現安全違規，并在控制、安全策略和過程三方面提出改進建議。

供應鏈supplychain

將多個資源和過程聯系在一起，并根據服務協議或其他采購協議建立起連續供應關系的組織系

列。其中每一組織充當需方、供方或雙重角色。

流量分析trafficanalysis

通過觀察通信流量來推斷所關注信息的過程。

4縮略語

APT高級持續性威脅（advancedpersistentthreat）

Modem調制解調器（Modulator-Demodulator）

SD安全數字（securedigital）

USB通用串行總線（universalserialbus）

VPN虛擬專用網（virtualprivatenetwork）

5安全運維體系

5.1安全運維原則

信息系統運營方應根據信息系統的保護等級，建立網絡安全運維管理體系，并符合等級保護、密

碼應用、數據安全保護、關鍵信息基礎設施保護等要求。安全運維管理體系的建立可參考GB/T36626

的要求開展。

5.2安全運維目標

安全運維目標應以利益相關者的安全需求為導向，基本目標應包括：

——保障信息系統安全性、穩定性、可靠性；

——防止信息系統遭到攻擊和破壞；

——保障信息系統數據的安全性。

5.3安全運維框架

安全運維框架（如圖1所示）中，安全運維原則和目標是核心，安全運維策略、安全運維組織、安

全運維規程、安全運維支撐系統是安全運維工作開展的基礎保障。在安全運維開展過程中，需要對所

有安全運維要素進行持續的監測和改進。

3

圖1安全運維框架圖

6安全運維策略

6.1安全運維策略制定

安全運維策略制定要求包括：

a)應對當前網絡安全形勢、國家網絡安全法律法規、組織所屬行業政策要求、組織面臨的網絡安

全威脅等進行調研和分析，為安全策略制定提供必要的支撐。

b)應制定信息系統安全運維工作的總體方針和安全策略，明確組織安全運維工作的總體目標、范

圍、原則和框架等，為信息系統安全運維提供原則與指導。

c)信息系統安全運維策略的制定應關注來自業務安全戰略、安全運維目標、法律法規和合同、當

前和預期的信息系統安全威脅環境等方面產生的要求。

d)信息系統安全運維策略主要包括以下內容：

1）信息系統安全運維目標和原則的定義；

2）分層防護、最小特權、分區隔離、隱私保護和日志記錄等技術內容；

3）信息系統安全運維管理相關的角色責任和權限分配情況；

4）處理信息系統安全運維策略的落實出現偏差和意外的過程。

e)信息系統運維策略應由以下相關層面的運維策略組成，包括但不限于：

1）資產管理；

2）物理環境管理；

3）密鑰與密碼設備管理；

4）介質管理；

5）終端管理；

6）訪問與操作管理；

4

7）監測管理；

8）日志管理；

9）備份管理；

10）變更管理；

11）事件及響應管理；

12）安全評估管理；

13）安全漏洞管理；

14）安全配置管理；

15）第三方人員管理；

16）供應鏈管理；

17）安全驗收管理。

f)應根據信息系統安全運維策略及管理制度制定相應的安全運維流程，并對安全運維的管理人員

和實施人員執行的各項操作建立操作規程。

g)信息系統安全運維策略應由管理者批準，并采用合適的、可訪問和可理解的形式傳達給安全運

維團隊、組織內部人員和外部相關方。

6.2安全運維策略評審

安全運維策略評審要求包括：

a)應指定或授權專門的部門或人員負責信息系統安全運維策略的制定、評審和評價。

b)應持續識別、記錄和更新與信息系統安全運維相關的法律法規或技術環境、組織環境及業務狀

況發生的變化情況，作為信息系統安全運維策略及方法持續改進的依據。

c)應定期或當信息系統環境或業務安全需求發生重大改變時，對信息系統安全策略的適宜性、充

分性、有效性進行評審，對安全策略進行持續改進。

d)信息系統安全運維策略的修訂應由管理層批準。

7安全運維組織

7.1崗位設置

崗位設置要求包括：

a)運營單位應設置網絡安全管理、審計、運維等崗位，崗位可參照GB/T42446-2023中4.2、

4.3規定的工作類別以及工作任務進行設置；

b)若網絡安全運維組織包括外包組織的，應設置現場項目負責人，負責項目的整體溝通協調；

c)各崗位應權責分離，相互間不得兼任。

7.2人員配備

人員配備要求包括：

a)應配備熟悉網絡安全政策法規、具有扎實網絡安全技能的人員開展網絡安全運維，技能要求

可參照GB/T42446-2023中5、6的規定；

b)應配備與安全運維目標相適應的人員，重要運維崗位宜配備AB角；

c)宜配備具有網絡安全技能資質的人員，參考的資質見附錄A。

7.3授權與審批

5

授權與審批要求包括：

a)應建立安全運維的授權機制，并對安全運維人員的權限進行統一管理和控制；

b)授權應遵循最小權限原則，只授予安全運維人員完成工作所需的最小權限；

c)安全運維人員崗位發生變化時，應及時收回或調整相應權限；

d)應建立安全運維活動的審批機制，安全運維活動主要包括運維任務下達及執行、重要區域訪

問、系統接入，以及對安全運維對象及資源的變更管理等，變更包括：

——安全運維組織、人員及權限的調整；

——安全運維策略或規程的更改；

——軟硬件設備更換或參數調整；

——軟硬件設備版本升級或新功能開發；

——新技術運用等。

e)應建立突發、緊急事件的快速授權機制及審批流程，明確啟動觸發條件，避免該機制被濫

用；

f)應定期對授權和審批進行審計，評估授權及審批管理的有效性和合規性。審計內容包括權限

的授予、使用、變更和撤銷，以及運維活動對應的審批流程等。

7.4溝通和合作

授權與審批要求包括：

a)應建立安全運維組織的內外部溝通合作機制，方式包括：

——信息共享，如建立共享的信息平臺、知識庫等；

——定期總結和匯報；

——開展協同工作和應急處置；

——組織或參加會議；

——組織或參加技術交流和競賽等。

b)應建立與上級主管部門、內外部網絡安全相關單位的溝通合作，并建立聯系列表。外部聯系

單位包括：

——網絡安全主管部門；

——行業主管部門、行業協會、同行業單位；

——業務系統涉及的相關機構，如軟硬件廠商、外包服務商、網絡或云服務運營商等；

——網絡安全服務機構等。

7.5教育和培訓

教育和培訓要求包括：

a)應建立安全運維培訓體系，保證必要的培訓經費，并根據安全運維目標、策略或崗位設計相

應的培訓課程（培訓內容可參照GB/T42446-2023中5、6的規定）、制定培訓計劃；

b)應確保培訓內容具備針對性和實用性，內容宜包括網絡安全基礎、專業技能、安全管理、實

踐案例等，并通過訓后考試、隨機抽測、問卷調查等方式評估培訓質量；

c)應采取多樣化培訓方式，如線上下課程、研討分享、實操演練、攻防實戰等；

d)應定期組織開展安全運維培訓，培訓周期如下：

——日常安全培訓列入工作計劃，每季度宜開展1次；

——專項安全培訓應列入培訓計劃，每年宜開展1次；

——重要風險預警及處置、上級主管部門組織的專題培訓實時開展；

——外部機構組織的能力提升、資格認證類培訓列入培訓計劃，每年宜開展1次。

6

7.6人員錄用

人員錄用的要求包括：

a)應確保招聘錄用的安全運維人員與崗位需求和職責相匹配；

a)安全運維管理、審計崗位應由內部人員擔任；

b)應對安全運維人員的身份、背景、資質進行審查。當人員的身份、安全背景等發生變化時，

應重新進行安全背景審查；

c)安全運維人員應在上崗前簽署網絡安全相關責任書和保密協議。

7.7人員離崗

人員離崗的要求包括：

a)重要安全運維崗位人員離崗前，應及時對離崗可能產生的風險進行評估，并制定相應措施；

b)安全運維人員離崗時，應在完成工作交接后及時進行敏感信息處理，如敏感資料、權限證

書、密鑰等，并收回權限，刪除或停用系統賬號；

c)應對安全運維人員進行離崗前安全審查，簽署書面保密協議。如果有脫密要求的，應在規定

的脫密期限后方可離崗；

d)應留存安全運維人員離崗的相關記錄。

7.8外包運維安全管理

外包運維安全管理的要求包括：

a)應確保選定的外包運維服務機構符合GB/T32914的規定；

b)應與選定的外包運維服務商簽訂相關的協議，約定的內容包括：

——外包運維的范圍；

——工作內容；

——安全要求；

——保密要求；

——考核機制等。

d)應保證所選擇的外包運維服務商，在安全技術和管理方面的能力均符合系統相應等級的安全

要求，并將能力要求在簽訂的協議中明確，運維外包服務商宜具備相應的網絡安全服務資

質，服務資質可參見附錄表A.2。

c)應對外包運維過程進行實時監控，并定期對服務質量進行評價，評價內容包括：

——項目管理，評價項目的執行情況；

——組織和人員，評價崗位設置是否合理，運維人員的能力素質等；

——服務質量，評價運維目標的實現、運維策略的執行情況等；

——技術和設備，評價在安全運維過程中采用的技術和設備使用情況和運用效果；

——事件響應，評價安全事件的響應和處置能力；

——成本效益，評價項目的成本支出以及所取得效益。

7.9外部人員訪問管理

外部人員訪問管理的要求包括：

a)外部人員訪問安全運維相關的重要場所或系統應通過審批；

b)應對外部人員明確安全及保密要求，有必要的應簽訂安全或保密協議；

c)應對外部人員訪問做好記錄，并對訪問的全過程進行監督控制；

d)因工作需要為外部人員臨時開放的權限，應在工作結束后立即收回。

7

7.10績效評估

績效評估的要求包括：

a)應建立運維組織績效評估指標，包括：

——業務指標，如運維目標達成、流程控制等；

——財務指標，如費用支出、效益及風險控制等；

——人力資源指標，如團隊協作、學習成長、人員激勵考核等。

b)績效評價方法可采用KPI（關鍵績效指標）、OKR（目標與關鍵成果）、BSC（平衡記分卡）

等方法；

c)應定期開展績效評估，可采用自評估與外評估相結合的形式，并及時向運維團隊反饋評估結

果。

8安全運維規程

8.1安全運維管理

8.1.1資產管理

本項要求包括：

a)需要首先識別其資產，資產可分為以下兩個主要類別：

1）主要資產，主要資產包含業務過程、信息和數據資產。其中數據資產是組織擁有或者控

制的，能進行計量，為組織帶來價值的數據資源。

2）支撐性資產，支撐性資產包含硬件、軟件、網絡、人員、場所及組織結構。

b)可通過主動探測、被動分析，以及信息調研的方式對資產進行測繪，發現網絡中的資產。

c)應明確資產的重要性，可參考GB/T31722—2015中附錄B的方法計算資產的價值。

d)應對資產進行分類分級，根據資產類型分別建立詳細的資產清單并采用統一的資產編碼對資

產進行標識。

e)資產清單應明確資產的類型、資產所屬關系、資產間依賴關系、資產維護關系、部署關系、

服務功能、基礎軟件版本、存放數據情況、與攻擊目標相連情況、開放端口/服務、可訪問位

置與授權、覆蓋的防護手段等。資產清單宜包含的主要記錄元素見本規范附錄B中表B.1。

f)對于資產的變更應根據組織安全策略及時對資產清單進行更新。

g)應通過技術手段實現對資產屬性變更的監控、感知和預警。

h)應根據組織安全策略定期對資產清單進行更新和維護，保證資產與目標保持一致，確保資產

記錄的真實性、一致性、正確性。

i)應通過安全評估確認資產全生命周期中的安全風險并采取相應的安全措施保障資產完整性、

機密性和可用性。

8.1.2物理環境管理

本項要求包括：

a)物理環境的運行維護范圍按GB/T51314-2018中3.1要求應包括電氣系統、通風空調系統、

消防系統和智能化系統。

b)物理環境運行和維護的一般規定按GB/T51314-2018中4.1和5.1的要求。

c)物理環境電氣系統包括供配電系統、不間斷電源和后備電源系統以及照明系統，該系統的運

行和維護按GB/T51314-2018中4.2和5.2的要求。

d)物理環境通風空調系統包括冷源和水系統、機房空調和風系統。該系統的運行和維護按GB/T

8

51314-2018中4.3和5.3的要求。

e)物理環境消防系統包括各類滅火系統、支撐消防機制運行的其它相關附屬設施，該系統的運

行和維護按GB/T51314-2018中4.4和5.4的要求。

f)物理環境智能化系統包括環境和設備監控系統、安全防范系統，該系統的運行和維護按GB/T

51314-2018中4.5和5.5的要求。

g)辦公環境宜建立和具備防盜竊、防破壞、防火以及安全監控的物理安全機制與措施。

h)消防安全重點單位應當按照滅火和應急疏散預案，至少每半年進行一次演練，并結合實際，

不斷完善預案。其他單位應當結合本單位實際，參照制定相應的應急方案，至少每年組織一次演

練。

8.1.3密鑰與密碼設備管理

本項要求包括：

a)應指派經受保密上崗培訓的專人負責密鑰和密碼設備的管理。密鑰的管理按GB/T22081—

2016中10.1.2以及GB/T17901.1-2020的要求。

b)密鑰管理的策略設計必要時可參考或者應達到GB/43207-2023中附錄C的要求。

c)密鑰生存周期管理可參考GB/T39786-2021中附錄B。

d)密碼設備應放置在安全、保密的網絡環境中。網絡環境須采取有效隔離措施，避免無關人員

接觸。

e)密碼設備的操作和參數設置，應在有專人監督情況下由專業技術人專職進行操作并作記錄。

f)密碼設備的維修、定期維護應由專業技術人專職負責。

g)密碼設備的銷毀應遵照相關法規及內外部監管要求。

8.1.4介質管理

本項要求包括：

a)基本要求：

1）對脫機存放的各類介質（包括信息資產和軟件資產的介質）根據存儲信息的類別和重要

級別進行分類分級與控制和保護，以防止被盜、被毀、被修改以及信息的非法泄漏。

2）介質的歸檔和查詢應有記錄，對存檔介質的目錄清單應定期盤點；介質應儲放在安全的

環境中防止損壞；查詢應有審批，明確使用人和傳播范圍的限定。

3）應采取安全措施對介質的運輸和傳遞過程進行保護。

4）對于需要送出維修或銷毀的介質，應防止信息的非法泄漏。

5）移動介質應要求專用。每次使用移動介質（含軟盤、U盤、移動硬盤、存儲卡等）時，

應先進行病毒安全查殺后才可以進行使用。

b)異地存放要求：

1)對介質進行標識和分類，存放在由專人管理的介質庫中，防止被盜、被毀以及信息的非

法泄漏。

2)對存儲保密性要求較高的信息的介質，其借閱、拷貝、傳輸須經相應級別的領導批準后

方可執行，并登記在冊。

3)存儲介質的銷毀必須經批準并按指定方式進行，不得自行銷毀。

4)介質應保留2個以上的副本，而且要求介質異地存儲，存儲地的環境要求和管理方法應

與本地相同。

a)完整性要求：

1)對重要介質的數據和軟件必要時可加密存儲。

2)對重要的信息介質的借閱、拷貝、分發傳遞須經相應級別領導的書面審批后方可執行，

9

各種處理過程應登記在冊，介質的分發傳遞采取保護措施。

3)對于需要送出維修或銷毀的介質，應首先刪除信息，再重復寫操作進行覆蓋，防止數據

恢復和信息泄漏；對于存儲過重要信息的介質宜進行不低于3次包含全1、全0和隨機數

據的數據寫入覆蓋。

4)需要帶出工作環境的介質，其信息應受到保護；宜采用小型密碼箱存儲、信息加密、介

質本身加密等保護措施。

5)對存放在介質庫中的介質應定期進行完整性和可用性檢查，確認其數據或軟件沒有受到

損壞或丟失。

b)加密存儲的要求

1)對介質中的重要數據必須使用符合加密強度要求的加密技術或數據隱藏技術進行存儲。

2)介質的保存和分發傳遞應有嚴格的規定并進行登記。

3)介質受損但無法執行刪除操作的，必須銷毀。

4)介質銷毀在經主管領導審批后應由兩人完成，一人執行銷毀一人負責監銷，銷毀過程應

做記錄。

8.1.5終端管理

本項要求包括：

a)用戶在使用自己的終端計算機時，應設置開機、屏幕保護、目錄共享口令。

b)非組織機構配備的終端計算機未獲批準，不能在辦公、生產場所使用。因工作需要的情況，

應在接入本地網絡進行必要的安全檢查，確認該終端計算機符合組織安全策略要求。

c)原則上組織機構配備的終端計算機不可以接入非辦公生產用網絡環境。因工作需要的情況，

應確認終端計算機已滿足組織安全策略要求，具備相應安全防護機制并得到批準許可。

d)及時安裝經過許可的軟件和補丁程序，不得自行安裝及使用其它軟件和自由下載軟件。

e)未獲批準，嚴禁使用Modem撥號、無線網卡等方式或另辟通路接入其它網絡。

f)應根據組織管理要求，合理合規使用終端自帶攝像頭、拾音硬件、集成無線網卡、藍牙通信

組件、紅外通訊組件、設備硬件擴展塢、USB接口、SD讀卡器等嵌入式硬件及接口。

g)需設置開機口令和屏保口令，口令標準等身份鑒別機制參考8.1.6訪問與操作管理章節內容。

h)重要部門的終端計算機應要求對磁盤存儲采取加密措施保護存儲數據的機密性。

i)重要部門的終端計算機應有措施對硬件本身實現物理保護，防止發生終端丟失、機箱違規開

啟、內部組件的違規拆卸和添置安裝。

j)應安裝統一的防病毒軟件使終端具備對惡意程序、代碼的檢測和清除機制。應及時和定期升

級反病毒軟件。

k)應定期對終端和相關軟件進行安全漏洞掃描，并根據掃描結果及時安裝補丁程序。

l)應定期對終端和相關軟件進行安全配置基線檢查，并根據檢查結果及時進行配置加固。

m)終端的使用、借用、維修和報廢應遵循組織管理要求并做記錄。

n)終端的維修和報廢過程中應對存儲的敏感信息進行備份、刪除等操作，避免發生數據泄露的

風險。

8.1.6訪問與操作管理

本項要求包括：

a)應為組織自有資源的所有訪問者確定適當的訪問及操作控制規則、訪問與操作權及限制，其

詳細程度和控制的嚴格程度應反映監管及組織的安全要求，并能應對相關的信息安全風險。

b)信息系統訪問控制與操作包括用戶ID管理，網絡及系統訪問控制以及數據訪問控制，具體要

10

求詳見本規范附錄B中B.2。

8.1.7監測管理

本項要求包括：

a)應根據資產情況，確定監控管理的對象和級別，以發現異常行為實施有效預警，并采取適當

措施評價潛在的信息安全事件。監控對象可包括：

1）應用系統。

2）支撐應用系統運行的系統軟件、工具軟件。

3）網絡及網絡設備。

4）安全設備。

5）主機、存儲、外設、終端等設備。

6）電力、空調、消防等基礎環境。

7）業務數據。

b)應建立網絡安全監測體系并滿足相關監測需求，具體詳見本規范附錄B中表B.3：

c)應具備和使用安全產品監控工具作為監控管理的技術支撐，主要的安全監控產品分類和參考

見本規范附錄B中表B.4。

d)監控工具應具備預定義閾值功能，具備數據統計分析能力，根據預定義閾值生成告警信息，

可將告警信息通過管理控制臺、電子郵件或即時通信系統等方式發送給指定人員，工具宜包

括處理大量數據、適應不斷變化的威脅形勢及允許實時通知的能力。

e)宜配置專人，開展實時或定期監控，接收告警信息并做出響應。宜建立識別和處理誤報的規

程，包括調整監視軟件以減少未來誤報的數量。

f)宜建立含監控、告警、處置、信息上報的工作機制。

8.1.8日志管理

本項要求包括：

a)設備、系統應具備日志記錄功能，可記錄驗證、修改、控制、傳輸等日志信息，信息應至少

包括時間、事件類型、操作主體、事件內容、操作結果（成功或失敗）等內容。對已記錄的

日志信息應做好保護，用戶不宜有修改、刪除等權限，防止發生日志信息未經授權變更和銷

毀等情況。

b)日志生成時間應由唯一確定的時鐘產生，必要時需要配備NTP服務器，以保證各種數據的管

理和分析在時間上的一致性。

c)日志收集需保障及時性，避免過渡采集導致系統運行異常，信息傳輸過程中要確保日志信息

的完整性和準確性。對分散在各個設備上的日志數據宜進行收集匯總和集中分析。

d)設備、系統應配置足夠的日志存儲空間，保證信息存儲的安全性、完整性，日志記錄應至少

保存6個月。包含敏感數據和個人可識別信息，宜采取適當的隱私保護措施。

e)應啟用日志審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計，

應保證審計措施的有效性和時效性。審計記錄應包括事件的日期和時間、用戶、事件類型、

事件是否成功及其他與審計相關的信息。應對審計記錄進行保護，定期備份，避免受到未預

期的刪除、修改或覆蓋等；審計記錄保存時長應不少于6個月。

f)日志審計宜跟進業務重要程度定期開展：

1）關鍵業務系統和設備，宜每周不少于1次審計。

2）一般業務系統和設備，宜每月不少于1次審計。

g)日志審計宜重點關注以下信息：

11

1）實時監控和告警，關鍵業務系統和設備宜通過監控和告警機制，及時發現安全事件并觸

發響應。

2）異常行為分析，發現異常行為或可疑事件，如未經授權的訪問、數據泄露等。

3）安全事件調查，當發現安全事件時，進行深入的調查和分析，以確定事件的原因、范圍

和影響。

4）修復和加固，對發現的安全問題進行修復和加固，以消除安全隱患。

5）審計報告和記錄，對發生的安全事件進行報告和記錄，以便對安全問題進行跟蹤和管

理。

h)日志分析宜覆蓋對事態的分析和解釋，以幫助識別異常活動或異常行為。宜通過日志審計系/

軟件、網絡安全管理平臺等工具輔助人工開展日志檢索、內容關聯分析、圖表呈現、報告生

成與導出等功能提升日志分析工作效率。

i)日志的銷毀應符合監管要求及組織的安全策略要求。

8.1.9備份管理

本項要求包括：

a)制定備份計劃和時間表；

b)運維備份的作業對象主要包括如下：

1）業務系統運行產生的信息數據。

2）支撐業務系統運行的外部信息數據。

3）支撐業務系統運行的業務軟件本身及其它支撐應用軟件（如操作系統、數據庫軟件、中

間件等）。

4）支撐業務系統運行的其它支撐性設施的（如網絡設備、安全設備等）運行配置信息。

c)應根據備份對象、備份時間、備份頻率、備份方式、備份介質、備份模式等制定備份策略。

d)應根據數據大小、保留時間和恢復速度等因素進行選擇合適的備份媒介。

e)應制定數據備份、恢復規范和操作流程及管理指導文檔，保障不同數據存儲過程的保密性，

完整性、可用性和可追溯性。

f)應針對備份過程及結果建立備份作業記錄表單。記錄表單主要記錄元素見本規范附錄B中表

B.5。

g)應啟用數據備份產品存儲空間使用監控功能，當存儲空間已滿或達到閾值時，告警提示。

h)安全日志審計備份應不少于180天。

i)應考慮和提供足夠數量的備份拷貝，以確保在災難和備份介質本身故障之后仍可以恢復業務

信息和軟件。備份拷貝應分別存儲在主要場地和備份場地。

j)備份拷貝要存儲在有足夠距離的遠程地點，避免主要場地災難時受到一并損壞。

k)對于重要的業務應用至少要保留三代或若干周期的備份信息。對重要的業務信息數據可采取

存儲至少三份備份拷貝，使用兩種類型的存儲介質，并將一份備份拷貝存放到遠程地點的備

份方式。

l)應對備份介質提供包括防盜、防火、防潮、防電磁輻射等在內的物理環境保護。

m)應對備份拷貝進行安全管理并宜采用加密機制防止未經授權的訪問和篡改、避免由于管理不

善造成數據損壞、信息泄露等安全風險。

n)應根據備份信息的重要性定期檢查和測試恢復規程，確保備份拷貝的有效性。

o)建立備份策略的監控機制，及時發現備份故障和異常，生成備份報告，以供分析和改進備份

策略。

p)安全應急演練中應包含數據安全演練內容，檢驗和保障備份與恢復機制和策略的有效性。

12

q)備份介質的使用、利舊及報廢應遵從組織的安全管理策略。

r)對于超出組織明確保存期的備份拷貝，應根據組織的安全管理策略在進行安全評估后及時恰

當的銷毀這些備份拷貝。

8.1.10變更管理

本項要求包括：

a)宜將變更控制規程文件化，并強制實施，以確保從早期設計到后續維護中整個系統開發生存

周期內，信息處理設施和信息系統中信息的保密性、完整性和可用性。

b)可納入變更管理的安全運維工作主要包括：

1）IT基礎設施的擴容或縮減。

2）軟件或硬件的升級或降級。

3）網絡拓撲結構的調整。

4）安全策略的調整。

5）軟件或硬件系統的配置更改。

6）應用程序的代碼更改。

7）系統補丁更新。

8）外部接口的變更等。

c)應建立變更控制規程，且嚴格按照規程執行變更并對變更情況進行記錄。建立變更控制的規

程的考慮、變更流程的環節以及變更記錄表的記錄元素見本規范附錄B中表B.6。

d)變更應加強風險評估，評估應考慮以下內容：

1）數據泄露風險。

2）服務中斷風險。

3）安全漏洞風險。

4）配置錯誤風險。

5）兼容性問題風險。

e)變更分級可分為4個級別：

1）初級變更，針對一些較低風險或影響較小的變更，可以由業務部分負責人審批以及運維

團隊中的初級成員或系統管理員進行變更授權和執行；

2）中級變更，針對一些中等風險或有一定影響的變更，需要由運維團隊中的中級成員或高

級系統管理員進行變更授權和執行；

3）高級變更，針對一些高風險或影響較大的變更，需要由運維團隊負責人或資深技術專家

進行變更授權和執行；

4）特別授權，針對一些特殊情況或緊急情況下的變更，可以由公司高層領導或跨部門協作

小組進行特別授權和執行。

8.1.11事件及響應管理

本項要求包括：

a)網絡安全事件是由于人為原因、網絡遭受攻擊、網絡存在漏洞隱患、軟硬件缺陷或故障、不

可抗力等因素，對網絡和信息系統或者其中的數據和業務應用造成危害，對國家、社會、經

濟造成負面影響的事件。

b)網絡安全事件的分類按GB/T20986-2023中5的規定。

c)網絡安全事件的級別按GB/T20986-2023中6.2的規定。

d)應建立網絡安全事件預警、處置、上報的安全管理策略、制度、機制和流程。

13

e)應建立事件響應小組。事件響應小組團隊成員應由組織領導、相關部門負責人、以及外部響

應支撐機構相關人員組成。可聘請相關專業的技術專家和技術骨干組成專家組。

f)應根據應急事件的級別和應急響應的場景制定應急響應預案。應急響應預案可以分為總體預

案和針對某個核心系統、某個響應場景的專項預案。應急響應預案應包含以下主要內容：

1）應急響應預案的編制目的、依據和適用范圍。

2）應急響應具體的組織體系結構及人員職責。

3）應急響應的監測和預警機制。

4）應急響應預案的啟動。

5）應急事件級別及對應的處置流程、方法。

6）應急響應的保障措施。

7）應急預案的附則。

g)應制定應急響應培訓計劃，并組織相關人員參與。培訓應使參訓人員明確其在應急響應過程

中的責任范圍、接口關系，明確應急處置的操作規范和操作流程。培訓應至少每年舉辦一

次。

h)為驗證應急響應預案的有效性，使相關人員了解預案的目標和內容，熟悉應急響應的操作規

程，并檢測應急響應小組的處置能力，應進行應急演練。演練至少每年舉行一次。演練應：

1）預先制定符合演練目的的演練計劃、演練腳本。

2）演練開始前應確認演練活動的開展和保障條件。

3）演練的整個過程應進行全程監控，應有詳細記錄，并形成報告。

4）演練應不影響業務的正常運行。對于確有可能影響業務正常運行的情況，應提前進行風

險評估，并向相關利益方進行預警或通告。

5）演練結束后應進行活動總結，并將演練情況納入應急響應工作評審。

i)應定期針對應急響應工作進行評審，評審至少每年舉行一次。審核的內容及審核時應考慮的

因素見本規范附錄B中表B.7。

8.2檢查

8.2.1安全評估管理

本項要求包括：

a)運行維護階段安全評估是掌握和控制信息系統及其支撐軟硬件系統運行過程中的安全風險。

評估內容包括在線運行信息系統及其支撐軟硬件系統資產、面臨威脅、自身脆弱性以及已有

安全措施等各方面。

b)安全評估的評估形式包括自評估、第三方評估和檢查評估。

1）自評估：由信息系統所有者自身發起，組成組織機構內部的評估機構，依據國家有關法

規與標準，對信息系統安全管理進行的評估活動。

2）第三方評估：由信息系統所有者委托商業評估機構或其它評估機構，依據國家有關法規

與標準，對信息系統安全管理進行的評估活動。

3）檢查評估：由被評估信息系統所有者的上級主管部門、業務部門或國家相關監管部門發

起的，依據國家有關法規與標準，對信息系統安全管理進行的評估活動。

c)安全評估的范圍應結合已確定的評估目標和組織的信息系統建設情況，合理定義評估對象和

評估范圍邊界，可以參考以下依據作為評估范圍邊界的劃分原則：

1）業務系統的業務邏輯邊界。

2）網絡及設備載體邊界。

14

3）物理環境邊界。

4）組織管理權限邊界。

5）其它。

d)安全評估的具體場景除傳統IT外，應包括可能涉及的云計算、移動互聯，物聯網、工業控

制、大數據應用、跨國業務運維等場景。

e)安全評估的方法主要包括：

1）文檔檢查：檢查被評估單位提交的有關文檔（如系統配置文檔、安全防護方案、自評估

報告等）是否符合相關標準和要求；

2）人工核查：根據評估方案和評估指導書，在合理的評估環境下，核查各項安全功能和防

護能力是否與提交文檔一致，是否符合相關標準和要求等；

3）工具檢查：根據評估方案，在被評估單位授權的前提下，選擇適用的評估工具實施評

估，工具可包括網絡評估工具、主機評估工具、資產識別工具等。

f)風險評估使用的工具可參考GB/T20984-2022中附錄C。

g)運行維護的評估內容包含：

1）運行維護階段的組織及人員，安全管理文件體系等保障措施。

2）運行維護階段的環境與資源管理、運行操作管理、系統維護管理、安全狀態監控、密碼

與數據安全管理、業務連續性管理、變更控制與外包管理（包括供應鏈）、安全檢查和持

續改進等日常措施。

3）運行維護階段的監管合規性符合、風險管理、監督與檢查等監督措施。

h)風險評估實施的階段性工作內容按GB/T20984-2022中5的要求。

i)運行維護階段的安全評估應常態化開展。具體要求如下：

1）運營單位對本單位安全保護等級為第三級和第四級的信息系統定期組織開展自評估，評

估周期原則上不超過一年；安全保