堡垒主机在信息中心运维管理制度中的建设与咨询指引

jwqqiqi

大型集团公司或是企事业单位的信息中心运维管理制度是信息安全管理体系中重要的组成部分，涉及到多个相关制度的整合和引用，并不是孤立执行的单个管理制度。从整个信息安全管理制度的构成来说，它应该包括四个部分的组成，分别为：信息安全管理框架、信息安全管理制度、信息安全管理流程以及信息安全管理记录表。

      信息安全管理框架包含了整个组织的安全管理方针、组织体系和职责。体现的是信息安全活动的总方向和总原则，根据本单位IT风险管理框架，建立和保持信息安全管理体系；信息安全管理制度则是在方针和原则指引下，符合各单位实际情况的各项基本管理制度；信息安全管理流程是根据各项基本管理制度所规定的流程以及相应的执行步骤，建立起来的简明可视的流程图；而最后的信息安全管理记录表，就是每个执行步骤和相关动作引起的变更、新增、删减等记录表。为最终的审计和管理执行提供真实可靠的依据。堡垒主机在信息中心运维管理制度中的建设与咨询指引
http://bbs.pldsec.com/forum.php?mod=viewthread&tid=58&fromuid=113


      对于信息中心运维管理制度来说，所包含的范围比较广，在运行维护职责、运行维护范围、运行维护等级划分、信息安全事件处理、应急响应计划等方面均需做出明确的规定，予以保护信息资产的安全、稳定运行以及在出现安全事件时所能做出的快速、准确的应对机制和恢复措施。

      运行维护职责明确了运维人员角色的划分、工作内容以及审批对象等；运行维护范围则包括信息中心（第三方运维单位）的管理内容。根据组织安全活动的总方针，可以制定对机房、网络设备、服务器、信息系统数据等等方面的运维管理。

      在运维管理制度中运行维护等级划分、信息安全事件处理、应急响应计划成为了重要的组成部分。运行维护内容随等级的增加，其可靠性及稳定性要求逐渐增强，安全性应达到组织相关规定的要求；如把运行维护等级划分为三个等级，即：一般运行维护级、重要基础级、关键保障级。不同的运维等级实施相应的运维工作和强度，保证信息资产的安全运维。信息安全事件的等级划分则为应急响应的级别提供标准。信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件等。不同类型的安全事件结合对组织影响的程度，划分为不同的安全事件级别。详细标准可参见《信息安全技术  信息安全事件分类分级指南》（GB/T 22239-2008）。应急响应计划是针对信息系统发生突发信息安全事件时而建立的一个完整的紧急救助计划，包括了现状描述、风险分析和评估、应急组织、技术应急措施、业务应急措施、测试和认证、培训和演练、修订和完善、启动和终止九个过程。详细标准可参见《信息安全技术 信息安全应急响应计划规范》(GBT 24363-2009)。

      针对于信息安全事件处理和应急响应计划两部分内容，各组织可以根据自己实际情况，把两部分内容结合在运维管理制度中；也可以独立成制度，然后再在运维管理制度中引用。

      帕拉迪堡垒机已制定《统一安全管理与综合审计系统应急预案v1.0》，其中日常维护方案中对硬件和软件的维护已做出规定，结合组织已有的制度可以共同制订运行维护的职责和范围，巡检内容和周期、缺陷处理等内容。应急预案v1.0中已做出不同级别的应急响应，这需要和组织已有的信息安全事件划分和应急响应规定相结合，在发生相应安全事件时启动相应的应急级别，为组织做出正确的应急相应。

      管理制度的执行是相关规定的统一协调和配合，在整体模块和框架的指引下，配合咨询完成制度的落地。制度并不是一层不变，生搬硬套，而是在总体方针和原则不变的情况下，和谐有机的组合，用来保障组织的信息安全、资产的安全稳定运行。