文章正式开始前我们要知道等保2.0中安全通用要求的十个方面包括物理环境、通信网络、区域边界、计算环境、管理中心、管理制度、管理机构、管理人员、建设管理、运维管理。
本文来了解一下等保2.0中安全通用要求中对于第二级别的安全运维管理要求,首先我们出示一张对比表格,看看要求中第二级别和第一级别的区别。
| 控制点 | 第一级要求 | 第二级要求 | 变化类型 |
|---|---|---|---|
| 环境管理 | 有专人、有规定 | + 办公环境管理(不在重要区域接待来访人员,不随意放置敏感文件和介质) | 增强 |
| 资产管理 | ❌ 无 | ✅ 新增:建立资产清单 + 标识管理 + 信息分类方法 | 新增控制点 |
| 介质管理 | 存放安全、专人、盘点 | + 介质物理传输过程控制(人员选择、打包、交付、登记) | 增强 |
| 设备维护管理 | 指定专人定期维护 | + 建立维修维护管理制度(责任、审批、监督) | 增强 |
| 漏洞和风险管理 | 识别漏洞并及时修补 | + 定期开展安全测评 + 形成报告 | 增强 |
| 网络和系统安全管理 | 角色划分 + 账户管理 | + 建立制度 + 制定操作手册 + 详细记录运维日志 | 增强 |
| 恶意代码防范管理 | 意识教育 + 制度规定 + 外设检查 | + 定期检查升级情况 + 分析处理捕获的恶意代码 | 增强 |
| 配置管理 | ❌ 无 | ✅ 新增:记录保存基本配置信息(网络拓扑、软件组件、版本、补丁、配置参数等) | 新增控制点 |
| 密码管理 | ❌ 无 | ✅ 新增:遵循密码国标 + 使用国密产品 | 新增控制点 |
| 变更管理 | ❌ 无 | ✅ 新增:明确变更需求 + 制定方案 + 评审审批后实施 | 新增控制点 |
| 备份与恢复管理 | 识别备份对象 + 规定策略 | + 制定备份策略和恢复策略(含程序和流程) | 增强 |
| 安全事件处置 | 报告机制 + 处置流程 | + 分析原因 + 收集证据 + 记录过程 + 总结经验 | 增强 |
| 应急预案管理 | ❌ 无 | ✅ 新增:制定应急预案 + 培训 + 演练 | 新增控制点 |
| 外包运维管理 | ❌ 无 | ✅ 新增:选择合规服务商 + 签订协议明确范围和内容 | 新增控制点 |
我们可以看到第二级别"安全运维管理"共包含14个控制点。相比第一级,新增了6个控制点,分别是资产管理、配置管理、密码管理、变更管理、应急预案管理、外包运维管理。同时对于其他控制点都有增强。
首先是环境管理,增强的是办公环境安全管理------规定不在重要区域接待来访人员,员工离开座位时应收起敏感文件、锁好介质。
简单说就是机房和办公环境都要管:机房进出要登记、设施要定期检查;办公区不能随便接待访客,敏感文件不能乱放。
这是因为第一级只管"机房";第二级要管"人"的办公环境。人员流动大,且第二级系统服务企业,办公环境的人为疏忽可能导致敏感信息泄露(如文件忘收、访客偷看)。办公区是其薄弱环节,同样需要纳入管理。
要求是对物理环境和办公环境的安全管理进行规范,包括机房基础设施维护和办公区的信息安全行为规范。
最低底线是1. 指定专人负责机房安全;2. 定期维护供配电、空调、消防等设施;3. 有机房安全管理规定;4. 办公区不得在重要区域接待来访人员;5. 不随意放置敏感文件和移动介质。
第二点是资产管理,这是个新增控制点。原文是a)编制并保存资产清单(责任部门、重要程度、位置);b)根据资产重要程度进行标识管理,选择相应的管理措施;c)对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。
简单说就是把系统相关的所有资产(服务器、网络设备、软件、数据等)列成清单,标明谁管、多重要、在哪里,并且根据重要程度贴上标签,采取不同的保护措施。
对比来说,第一级靠'心里有数'就行;第二级必须'白纸黑字'------资产清单是实施差异化防护和事件定损的基础。
这是因为第一级系统简单,"有什么资产"基本心里有数。第二级系统规模扩大,资产分散(可能分布在多个机房、云上),必须建立资产清单和标识制度,否则无法实施针对性的重点保护,也不知道攻击事件受损范围。
要求是建立资产管理制度,对信息资产进行分类分级,实现资产的可视化管理和差异化防护。
最低底线是1. 编制并保存资产清单;2. 对资产进行标识管理(如标签);3. 制定信息分类与标识方法;4. 对信息的使用、传输、存储进行规范管理。
第三点是介质管理,增强的是介质物理传输过程控制------包括经手人员选择、打包方式、交付签收等,并要求登记归档和查询记录。
简单点说就是介质(U盘、光盘、移动硬盘)不仅要锁好、专人管,在邮寄、送修、异地备份等运输过程中,也要控制谁经手、怎么打包、怎么交付,并且要有登记记录。
这是因为第一级只"存放安全";第二级要求 "运输过程也要管" 。介质在运输环节(如返厂维修、异地备份运输)风险最大,容易丢失、被替换或被植入恶意软件。运输过程管控是"全生命周期"闭环的关键,不留"盲区"。
要求是对存储介质进行全生命周期管理,包括存放、使用、传输、销毁等环节,特别加强物理传输过程中的安全控制。
最低底线是 1. 介质存放安全环境,专人管理,定期盘点;2. 对介质物理传输过程(人员选择、打包、交付等)进行控制;3. 对介质的归档和查询进行登记记录。
第四点是设备维护管理,增强的是建立维修维护管理制度 ------ 明确维护人员责任、维修审批流程、维修过程监督控制。
简单说就是设备坏了要修,但不能随便修。要建立维修管理制度:谁申请、谁批准、谁监督、谁维修,维修过程要有记录。
这是因为第一级 "有人修就行";第二级要求 "维修要报批、过程要监督、责任要明确"。维修环节是恶意代码植入(如维修人员偷偷加装后门硬件)或数据泄露(如更换硬盘时带走数据)的高发时段。需要审批流程和过程监督,防止维修人员违规操作或窃取数据。
要求是规范设备维护流程,通过审批和监督机制防止维护过程中引入安全风险。
最低底线是 1. 指定专人定期维护设备、线路;2. 建立维护管理制度(含责任、审批、监督);3. 维修过程有记录。
第五点是漏洞和风险管理,增强的是定期开展安全测评并形成报告,且要求针对问题采取措施。
简单说就是不能只靠日常发现漏洞就补,要定期(如每季度)请内部或外部团队做一次全面的安全测评(如漏洞扫描、渗透测试),并出具报告,根据报告整改。
这是因为第一级只能 "事后补";第二级要求 "主动预防"。单纯靠日常发现远远不够,很多漏洞是扫描才知道的。通过定期测评进行 "系统性体检",是发现潜在未知风险的有效手段,确保漏洞管理体系化。
要求是建立主动的漏洞管理机制,通过定期安全测评发现潜在风险,并推动闭环整改。
最低底线是 1. 识别漏洞并及时修补;2. 定期开展安全测评(如漏洞扫描、渗透测试);3. 形成安全测评报告;4. 针对发现的问题采取措施。
第六点是网络和系统安全管理,增强的是建立制度、制定操作手册、详细记录运维日志。
简单说就是不能仅靠 "经验" 来操作。要写出书面的运维制度、操作手册,所有操作都要记录日志,做到 "有章可循、有据可查"。
这是因为操作不能仅凭 "经验"。当运维人员离职或发生事故时,没有制度、手册和日志,新来的人不知道该怎么做,也无法追溯问题。制度规范行为,手册指导操作,日志提供证据,三者共同保障 "规范运维、可追溯"。
要求是建立标准化的网络和系统运维管理体系,包括制度文件、操作手册和完整的操作日志,确保运维活动的规范性和可追溯性。
最低底线是 1. 划分管理员角色,明确权限;2. 指定专人管理账户;3. 建立网络和系统安全管理制度;4. 制定重要设备的配置和操作手册;5. 详细记录运维操作日志(含日常巡检、运行维护记录、参数修改等)。
第七点是恶意代码防范管理,增强的是定期检查恶意代码库升级情况,并对截获的恶意代码进行分析处理。
简单说就是杀毒软件不能 "装了就不管"。要定期检查病毒库有没有自动更新,如果发现病毒被拦截,要分析是什么病毒、从哪里来的,以便加强防御。
这是因为单纯安装杀毒软件无法保证效果(如病毒库过期、被禁用)。第二级强调通过检查确保措施落地。分析捕获的病毒样本有助于了解攻击意图、追溯攻击源头,从而改进防御策略。
要求是对恶意代码防范措施进行有效性检查和事件分析,确保防护措施持续有效并不断改进。
最低底线是 1. 用户防病毒意识教育;2. 外来设备接入前检查;3. 制定防恶意代码管理规定;4. 定期检查恶意代码库升级情况;5. 对截获的恶意代码进行分析处理。
第八点是配置管理,这是个新增控制点。原文是应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。
简单说就是要有一份 "系统配置说明书",记录清楚:网络怎么连接的、每台服务器装了什么软件、什么版本、打了哪些补丁、配置文件参数是什么。
这是因为如果没有配置基线信息,系统配置就像 "黑盒",不知道当前是否安全。一旦系统被入侵,很难判断哪些配置被篡改,也无法快速恢复到安全状态。配置信息是变更管理、应急恢复、安全审计的基础。
要求是建立配置基线,对系统的基本配置信息进行记录和保存,为系统恢复、变更管理和安全审计提供依据。
最低底线是记录并保存:网络拓扑、设备软件组件及版本、补丁信息、配置参数等。
第九点是密码管理,这是个新增控制点。原文是 a)应遵循密码相关国家标准和行业标准;b)应使用国家密码管理主管部门认证核准的密码技术和产品。
简单说就是用密码(如加密算法、数字签名)时必须使用国家批准的算法(如国密 SM2、SM3、SM4),不能用国外过时或不安全的算法。
这是因为等保 2.0 强化了密码技术应用。第二级系统要求密码技术和产品必须 "合规",否则数据加密形同虚设(如使用已被攻破的 MD5、DES),测评无法通过。国密算法是国家对密码技术自主可控的要求。
要求是确保密码技术的合规性,采用国家密码管理局批准的密码算法和产品,保障密码应用的安全性和自主可控。
最低底线是 1. 遵循密码相关国家标准和行业标准;2. 使用国家密码管理主管部门认证核准的密码技术和产品(如国密算法)。
第十点是变更管理,这是个新增控制点。原文是应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。
简单说就是任何系统变更(如升级软件、改配置、加硬件)都不能直接动手。要先提需求、写方案、经过技术负责人审批后才能实施。
这是因为没有规范的变更流程,未经审批就改配置,极易引发事故(如配置错误导致业务中断)或引入漏洞(如临时开放高危端口忘记关闭)。流程确保风险可控,审批记录也为事后追溯责任提供依据。
要求是建立变更控制流程,对系统变更进行计划、评审和授权,防止未授权变更引入安全风险或导致系统故障。
最低底线是 1. 明确变更需求;2. 制定变更方案;3. 变更方案经评审、审批后实施。
第十一点是备份与恢复管理,增强的是制定备份策略和恢复策略(包括具体的备份程序和恢复程序)。
简单说就是不仅要 "备份",还要 "能恢复"。要根据数据的重要性制定不同的备份策略(如核心数据库每小时备一次)和恢复策略(如 4 小时内恢复),并且要定期演练恢复。
这是因为第一级只有 "备份什么 + 怎么备";第二级要求 "不仅要考虑怎么备,还要考虑怎么恢复"。备份是数据安全最后一道防线。但备份只是第一步,没有经过演练的恢复策略,关键时刻可能无法恢复数据。恢复策略明确了恢复时间目标(RTO)和恢复点目标(RPO),是 "可恢复" 的保障。
要求是建立完整的备份和恢复管理机制,包括备份策略(何时备、怎么备)和恢复策略(如何恢复、多久恢复),确保数据可恢复性。
最低底线是 1. 识别需要备份的重要数据;2. 规定备份方式、频度、介质、保存期;3. 根据数据重要性和影响,制定备份策略和恢复策略(含备份程序、恢复程序)。
第十二点是安全事件处置,增强的是分析事件原因、收集证据、记录处理过程、总结经验教训。
简单说就是出事了不仅要 "救火",还要 "查火源"。要分析原因、收集证据(日志、截图等)、记录处理过程,最后总结教训,防止再次发生。
这是因为第一级只有 "报告 + 流程";第二级要求 "溯源、取证、复盘"。仅仅处理事件而没有复盘,无法找到根本问题并改进(是配置错误?人员失误?还是漏洞?)。收集证据也为后续法律追责和合规审计提供依据,形成 "闭环" 管理。
要求是建立完整的安全事件管理闭环,包括事件发现、报告、处置、分析、证据保全和事后改进。
最低底线是 1. 建立报告机制和处置流程;2. 分析事件原因;3. 收集证据;4. 记录处理过程;5. 总结经验教训。
第十三点是应急预案管理,这是个新增控制点。原文是 a)应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;b)应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。
简单说就是要提前写好 "灾难应对手册",写明发生重大事件(如勒索病毒、机房火灾)时怎么处理、怎么恢复系统,并且要定期培训、模拟演练,确保真出事时大家不慌。
这是因为必须提前制定计划,才能在真正发生重大安全事件时有序应对(如断网、隔离、恢复)。通过演练检验预案有效性,培训相关人员,减少应急响应混乱带来的损失。
要求是建立应急响应机制,制定应急预案并定期演练,提高组织应对突发事件的能力。
最低底线是 1. 制定重要事件的应急预案(含处理流程、系统恢复流程);2. 定期对相关人员进行应急预案培训;3. 进行应急预案演练。
第十四点是外包运维管理,这是个新增控制点。原文是 a)应确保外包运维服务商的选择符合国家的有关规定;b)应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。
简单说就是如果把系统运维外包给第三方公司(如云服务商、IT 外包公司),必须选合规的服务商,并且签合同明确:他们负责什么、我们的要求是什么、出了问题谁负责。
这是因为外包公司可能接触到核心数据和系统。若不严格约束,外包人员的不当操作可能造成严重损失(如删库、数据泄露)。合同中必须明确安全义务,是风险转嫁和合规要求。
要求是规范外包运维服务商的选择和管理,通过合同明确双方安全责任,降低外包风险。
最低底线是 1. 选择符合国家规定的服务商(如具有相应资质);2. 签订协议,明确外包运维的范围、工作内容。
汇总表格如下
| 控制点(原文) | 通俗解释 | 第二级最低要求(底线) | 为什么新增(后果维度) |
|---|---|---|---|
| 环境管理 7.1.10.1 a)指定专门部门/人员负责机房安全,管理出入,定期维护设施; b)对机房安全管理做出规定(物理访问、物品进出、环境安全); c)应不在重要区域接待来访人员,不随意放置含有敏感信息的纸档文件和移动介质等。 | 机房和办公环境都要管:机房进出要登记、设施要定期检查;办公区不能随便接待访客,敏感文件不能乱放。 | 1. 指定专人负责机房安全; 2. 定期维护供配电、空调、消防等设施; 3. 有机房安全管理规定; 4. 办公区不得在重要区域接待来访人员; 5. 不随意放置敏感文件和移动介质。 | 第一级只管"机房";第二级要管"人"的办公环境。人员流动大,且第二级系统服务企业,办公环境的人为疏忽可能导致敏感信息泄露(如文件忘收、访客偷看)。办公区是其薄弱环节,同样需要纳入管理。 |
| 资产管理 7.1.10.2 a)编制并保存资产清单(责任部门、重要程度、位置); b)根据资产重要程度进行标识管理,选择相应的管理措施; c)对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理。 | 把系统相关的所有资产(服务器、网络设备、软件、数据等)列成清单,标明谁管、多重要、在哪里,并且根据重要程度贴上标签,采取不同的保护措施。 | 1. 编制并保存资产清单; 2. 对资产进行标识管理(如标签); 3. 制定信息分类与标识方法; 4. 对信息的使用、传输、存储进行规范管理。 | 第一级系统简单,"有什么资产"基本心里有数。第二级系统规模扩大,资产分散(可能分布在多个机房、云上),必须建立资产清单和标识制度,否则无法实施针对性的重点保护,也不知道攻击事件受损范围。 |
| 介质管理 7.1.10.3 a)介质存放安全环境,专人管理,根据目录清单定期盘点; b)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归档和查询等进行登记记录。 | 介质(U盘、光盘、移动硬盘)不仅要锁好、专人管,在邮寄、送修、异地备份等运输过程中,也要控制谁经手、怎么打包、怎么交付,并且要有登记记录。 | 1. 介质存放安全环境,专人管理,定期盘点; 2. 对介质物理传输过程(人员选择、打包、交付等)进行控制; 3. 对介质的归档和查询进行登记记录。 | 第一级只"存放安全";第二级要求 "运输过程也要管" 。介质在运输环节(如返厂维修、异地备份运输)风险最大,容易丢失、被替换或被植入恶意软件。运输过程管控是"全生命周期"闭环的关键,不留"盲区"。 |
| 设备维护管理 7.1.10.4 a)指定专门部门/人员定期维护设备、线路; b)应建立配套设施、软硬件维护方面的管理制度,明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。 | 设备坏了要修,但不能随便修。要建立维修管理制度:谁申请、谁批准、谁监督、谁维修,维修过程要有记录。 | 1. 指定专人定期维护设备、线路; 2. 建立维护管理制度(含责任、审批、监督); 3. 维修过程有记录。 | 第一级"有人修就行";第二级要求 "维修要报批、过程要监督、责任要明确" 。维修环节是恶意代码植入(如维修人员偷偷加装后门硬件)或数据泄露(如更换硬盘时带走数据)的高发时段。需要审批流程和过程监督,防止维修人员违规操作或窃取数据。 |
| 漏洞和风险管理 7.1.10.5 a)采取必要措施识别安全漏洞和隐患,及时修补; b)应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。 | 不能只靠日常发现漏洞就补,要定期(如每季度)请内部或外部团队做一次全面的安全测评(如漏洞扫描、渗透测试),并出具报告,根据报告整改。 | 1. 识别漏洞并及时修补; 2. 定期开展安全测评(如漏洞扫描、渗透测试); 3. 形成安全测评报告; 4. 针对发现的问题采取措施。 | 第一级只能"事后补";第二级要求"主动预防"。单纯靠日常发现远远不够,很多漏洞是扫描才知道的。通过定期测评进行"系统性体检",是发现潜在未知风险的有效手段,确保漏洞管理体系化。 |
| 网络和系统安全管理 7.1.10.6 a)划分管理员角色,明确责任权限; b)指定专人管理账户; c)应建立网络和系统安全管理制度(安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等); d)应制定重要设备的配置和操作手册; e)应详细记录运维操作日志(日常巡检、运行维护记录、参数设置修改等)。 | 不能仅靠"经验"来操作。要写出书面的运维制度、操作手册,所有操作都要记录日志,做到"有章可循、有据可查"。 | 1. 划分管理员角色,明确权限; 2. 指定专人管理账户; 3. 建立网络和系统安全管理制度; 4. 制定重要设备的配置和操作手册; 5. 详细记录运维操作日志(含日常巡检、运行维护记录、参数修改等)。 | 操作不能仅凭"经验"。当运维人员离职或发生事故时,没有制度、手册和日志,新来的人不知道该怎么做,也无法追溯问题。制度规范行为,手册指导操作,日志提供证据,三者共同保障"规范运维、可追溯"。 |
| 恶意代码防范管理 7.1.10.7 a)提高用户防病毒意识,外来设备接入前检查; b)制定防恶意代码管理规定(授权使用、库升级、定期查杀); c)应定期检查恶意代码库的升级情况,对截获的恶意代码进行及时分析处理。 | 杀毒软件不能"装了就不管"。要定期检查病毒库有没有自动更新,如果发现病毒被拦截,要分析是什么病毒、从哪里来的,以便加强防御。 | 1. 用户防病毒意识教育; 2. 外来设备接入前检查; 3. 制定防恶意代码管理规定; 4. 定期检查恶意代码库升级情况; 5. 对截获的恶意代码进行分析处理。 | 单纯安装杀毒软件无法保证效果(如病毒库过期、被禁用)。第二级强调通过检查确保措施落地。分析捕获的病毒样本有助于了解攻击意图、追溯攻击源头,从而改进防御策略。 |
| 配置管理 7.1.10.8 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。 | 要有一份"系统配置说明书",记录清楚:网络怎么连接的、每台服务器装了什么软件、什么版本、打了哪些补丁、配置文件参数是什么。 | 记录并保存:网络拓扑、设备软件组件及版本、补丁信息、配置参数等。 | 如果没有配置基线信息,系统配置就像"黑盒",不知道当前是否安全。一旦系统被入侵,很难判断哪些配置被篡改,也无法快速恢复到安全状态。配置信息是变更管理、应急恢复、安全审计的基础。 |
| 密码管理 7.1.10.9 a)应遵循密码相关国家标准和行业标准; b)应使用国家密码管理主管部门认证核准的密码技术和产品。 | 用密码(如加密算法、数字签名)时必须使用国家批准的算法(如国密SM2、SM3、SM4),不能用国外过时或不安全的算法。 | 1. 遵循密码相关国家标准和行业标准; 2. 使用国家密码管理主管部门认证核准的密码技术和产品(如国密算法)。 | 等保2.0强化了密码技术应用。第二级系统要求密码技术和产品必须"合规",否则数据加密形同虚设(如使用已被攻破的MD5、DES),测评无法通过。国密算法是国家对密码技术自主可控的要求。 |
| 变更管理 7.1.10.10 应明确变更需求,变更前根据变更需求制定变更方案,变更方案经过评审、审批后方可实施。 | 任何系统变更(如升级软件、改配置、加硬件)都不能直接动手。要先提需求、写方案、经过技术负责人审批后才能实施。 | 1. 明确变更需求; 2. 制定变更方案; 3. 变更方案经评审、审批后实施。 | 没有规范的变更流程,未经审批就改配置,极易引发事故(如配置错误导致业务中断)或引入漏洞(如临时开放高危端口忘记关闭)。流程确保风险可控,审批记录也为事后追溯责任提供依据。 |
| 备份与恢复管理 7.1.10.11 a)识别需要定期备份的重要数据; b)规定备份方式、频度、存储介质、保存期; c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 | 不仅要"备份",还要"能恢复"。要根据数据的重要性制定不同的备份策略(如核心数据库每小时备一次)和恢复策略(如4小时内恢复),并且要定期演练恢复。 | 1. 识别需要备份的重要数据; 2. 规定备份方式、频度、介质、保存期; 3. 根据数据重要性和影响,制定备份策略和恢复策略(含备份程序、恢复程序)。 | 第一级只有"备份什么+怎么备";第二级要求 "不仅要考虑怎么备,还要考虑怎么恢复" 。备份是数据安全最后一道防线。但备份只是第一步,没有经过演练的恢复策略,关键时刻可能无法恢复数据。恢复策略明确了恢复时间目标(RTO)和恢复点目标(RPO),是"可恢复"的保障。 |
| 安全事件处置 7.1.10.12 a)及时报告安全弱点和可疑事件; b)制定安全事件报告和处置管理制度,明确流程和职责; c)应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训。 | 出事了不仅要"救火",还要"查火源"。要分析原因、收集证据(日志、截图等)、记录处理过程,最后总结教训,防止再次发生。 | 1. 建立报告机制和处置流程; 2. 分析事件原因; 3. 收集证据; 4. 记录处理过程; 5. 总结经验教训。 | 第一级只有"报告+流程";第二级要求 "溯源、取证、复盘" 。仅仅处理事件而没有复盘,无法找到根本问题并改进(是配置错误?人员失误?还是漏洞?)。收集证据也为后续法律追责和合规审计提供依据,形成"闭环"管理。 |
| 应急预案管理 7.1.10.13 a)应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; b)应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。 | 要提前写好"灾难应对手册",写明发生重大事件(如勒索病毒、机房火灾)时怎么处理、怎么恢复系统,并且要定期培训、模拟演练,确保真出事时大家不慌。 | 1. 制定重要事件的应急预案(含处理流程、系统恢复流程); 2. 定期对相关人员进行应急预案培训; 3. 进行应急预案演练。 | 必须提前制定计划,才能在真正发生重大安全事件时有序应对(如断网、隔离、恢复)。通过演练检验预案有效性,培训相关人员,减少应急响应混乱带来的损失。 |
| 外包运维管理 7.1.10.14 a)应确保外包运维服务商的选择符合国家的有关规定; b)应与选定的外包运维服务商签订相关的协议,明确约定外包运维的范围、工作内容。 | 如果把系统运维外包给第三方公司(如云服务商、IT外包公司),必须选合规的服务商,并且签合同明确:他们负责什么、我们的要求是什么、出了问题谁负责。 | 1. 选择符合国家规定的服务商(如具有相应资质); 2. 签订协议,明确外包运维的范围、工作内容。 | 外包公司可能接触到核心数据和系统。若不严格约束,外包人员的不当操作可能造成严重损失(如删库、数据泄露)。合同中必须明确安全义务,是风险转嫁和合规要求。 |
总结:"安全运维管理"这个安全层面如果说第一级是"有人管、有记录",那么第二级就是在第一级的基础上,扩展到"全生命周期、全流程、全供应链"的规范化管理------从"有人做"到"有制度做",从"局部管"到"全面管"。
一句话,管好系统上线后从日常巡检到应急处置的全过程安全运维活动------不仅要"做",还要"制度化、有记录、可追溯"。