建设信息安全运维体系,完成信息安全任务

建设信息安全运维体系，完成信息安全任务近年来，随着我国信息化建设的不断推进及信息技术的广泛应用，在促进经济发展、社会进步、科技创新的同时，也带来了十分突出的安全问题。面对我国网络信息安全问题日益严重的现状，国家层面在陆续出台相关专门网络信息安全保护法律法规。

网络系统规模的扩大，各种应用系统不断完善，对各类业务数据的安全提出了新的要求——如何加强网络信息安全管理？如何使运维服务行之有效？

山东省软件评测中心根据多年工作经验，总结如下。

一、网络信息安全运维管理体系化、平台化

网络安全管理不是管理一台防火墙、路由器、交换机那么简单，需要从以体系化的设计思路进行通盘考虑，需要统一和规范网络安全管理的内容和流程，提升风险运行维护的自动化程度，实现风险可视化、风险可管理、风险可处置、风险可量化。使日常的风险管理由被动管理向主动的流程化管理转变，最终真正实现网络信息安全管理理念上质的飞跃，初步建立起真正实用并且合规的网络信息安全运维体系。

网络信息安全运维体系作为管理的工具，其核心理念是管理，网络信息安全运维体系围绕此开展设计，最终形成信息安全工作的工作规范，通过不断完善的工作规范，通过安全工作能力的不断提升，通过对工作内容及结果的工作考核，形成安全建设螺旋上升的建设效果。

二、通过信息安全运维体系完成所需要的安全任务

信息安全运维体系随着对安全认知的不同、随着风险攻防的不同、随着后续能力的提升，运维体系的建设也是一个动态的过程，一定要机人结合、要与服务结合。建立在单一的安全产品建设的基础上，通过更加细化的运维服务，指导产品真正的发挥作用，将服务与产品深度融合是信息安全技术发展的趋势。

运维服务的从客户战略出发、以客户需求为中心，以风险管控为主线、以安全效益为导向、以风险相关法律、法规和理论方法为依据，以安全信息化、自动

化技术为手段，通过安全平台完成安全保障日常运维工作有序、有效的开展。

主要任务如下：

1) 建立完整的运维体系。通过梳理运行服务管理现状流程，并对运行管理提出症结分析与改良建议，依照行业化建设标准，建立起完整可实施的运维体系。

2) 建立服务规范。针对现在的运行系统管理体系进行改良，订立满足业务需求的完成运行服务管理规范的修订、试行、发布与宣贯。

3) 充分利用安全管理类平台，提高办公区域内的软、硬件、业务应用软件的运行维护效率，确保信息系统正常运行。

4) 运维服务实施和管理。按照编制的服务管理规范监督各项服务实施。负责运维服务水平管理，及时调整服务级别、问题管理、发布管理等流程;

信息安全管理与运维服务相辅相成，实现网络安全管理全局一盘棋。运维体系可以对各类风险予以完整、全面的识别、管控和分析，结合风险展示，分析管理效果和不足，发现网络安全管控中的隐患，更有效地揭示网络安全风险的发生规律，对各类风险和事件进行关联分析，实现风险和事件分类统计、风险趋势分析，产生各类报表，提供预警信息，指导运维服务人员如何有效的开展保障工作。在此，运维体系从安全角度来考量，只有将工具化的体系平台与人员服务进行有效的整合，才能形成安全建设螺旋上升的建设效果。