国家标准《信息安全技术 安全运维系统技术规范》（征求意见稿）编制说明.docx

PAGE 2 一、工作简况 1.1 任务来源 根据国家标准化管理委员会2022年下达的国家标准制修订计划，《信息安全技术 安全运维系统技术规范》由上海辰锐信息科技公司负责承办，计划号T-469。该标准由全国信息安全标准化技术委员会（SAC/TC260）归口管理。 1.2 主要起草单位和工作组成员 《信息安全技术 安全运维系统技术规范》由上海辰锐信息科技公司牵头制定，参与起草单位包括：公安部第三研究所、中国科学院软件研究所、华为技术有限公司、中国网络安全审查技术与认证中心、国家工业信息安全发展研究中心、浙江齐治科技股份有限公司、北京天融信网络安全技术有限公司、奇安信网神信息技术（北京）股份有限公司、北京神州绿盟科技有限公司、西安交大捷普网络科技有限公司、杭州中尔网络科技有限公司、北京蓝象标准咨询服务有限公司、长杨科技（北京)股份有限公司、杭州安恒信息技术股份有限公司、北京时代新威信息技术有限公司、北京启明星辰信息安全技术有限公司、上海三零卫士信息安全有限公司、成都卫士通信息产业股份有限公司、上海观安信息技术股份有限公司、广东安创信息科技开发有限公司、北京神州绿盟科技有限公司、远江盛邦（北京）网络安全科技股份有限公司、蓝盾信息安全技术股份有限公司、北京智游网安科技有限公司、深信服科技股份有限公司、陕西省网络与信息安全测评中心、北京信安世纪科技股份有限公司、河南中科安永科技有限公司、国网区块链科技（北京）有限公司、广东省信息安全测评中心、国网新疆电力有限公司电力科学研究院、广电计量检测集团股份有限公司。 本文件主要起草人：张艳、邹春明、胡津铭、沈亮、晏敏、王峰、申永波、王冲华、于遨洋、安高峰、杨春鹏、周进、何建锋、葛方隽、张德保、赵华、田丽丹、俞政臣、周瑞群、刘彪、鄢昱恒、谢江、钟英南、周进、刘强、韩云、刘晨、冯燕飞、付军、郭军武、石竹玉、叶劲宏、加依达尔.金格斯、唐迪。 在编制本文件的过程中，起草单位的主要分工如下：上海辰锐信息科技公司牵头组织项目的修订工作，制定修订思路，组织召开项目评审，汇总各参与单位的编制内容、拟制项目编制说明、汇总意见汇总表等。参与起草的单位中，研发生产和运维服务厂商主要承担应用场景及运维技术跟踪、安全功能要求的编制及应用试点，以及推进标准在产品研发中的应用；检测、认证机构主要负责安全保障要求及测试评价方法的编制、测评方法的试点验证，以及推进标准在认证、检测中的应用；科研院所机构主要负责安全运维技术发展跟踪、自身安全功能要求的编制，以及测评技术方法研究；咨询服务机构主要负责行业用户需求的收集、运营企业侧标准试点验证，以及后续标准的宣传、推广。 1.3 制定背景 随着网络技术的迅速发展，网络环境变得日趋复杂，特别是重要信息系统和关键信息基础设施中的资产数量和类型均急剧增长。误操作、违规运维操作可能会直接导致这些重要业务系统的宕机、数据丢失等风险，对安全运维的规范化管理已和外部安全防护同等重要。安全运维系统已广泛应用于各行业信息化内控管理，随着云、工控等应用场景和安全产品的发展，运维管理和审计的范畴和技术形态都有了新的变化，云安全运维、便携式移动运维、工控运维等新形态和新特性不断呈现。此外，近年来相关法律法规及行业规范对于系统的运维管理提出了诸多合规要求：网络安全法对于网络运营者、网络服务提供者提出了制定内网操作规程、持续提供安全维护、采取技术措施保障网络安全稳定运行、留存相关网络日志不少于六个月等安全保护义务；ISO 27001标准中要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便为安全事件的调查和取证；国家网络安全等级保护要求中对重要信息系统、云租户业务应用系统等保护对象的集中身份认证、运维操作审计和细粒度的权限管控也提出了诸多要求。安全运维系统由于其安全功能属性，成为系统的核心安全管控枢纽，存储着资产管理账号、具备重要资源的访问权限等，一旦其自身存在安全短板将会为重要信息系统和关键信息基础设施引入极大的安全风险。 因此，本标准的制定一方面支撑安全运维系统的规范化管理，同时也紧密贴合重要信息系统及关键信息基础设施安全运维和资产内控管理的合规性需求，为等保和关基相关要求的技术实现规范化提供重要参考，降低运维管理安全风险。 此外，2022年3月6日全国信息安全标准化技术委员会发布的“《关于发布2022年度网络安全国家标准需求的通知》（信安秘字〔2022〕47号）”中将《信息安全技术 安全运维系统技术规范》列为支持的国家标准制定项目之一。 1.4 起草过程 标准制定的主要工作过程如下： 申报立项阶段 2021年11月至2022年3月，成立了标准编制组，对安全运维系统的产品技术文档、解决方案等材料进行调研梳理，查阅有关资料，编写标准编制提纲，起草了标准草案初稿，形成了