信息系統(tǒng)安全運維體系是一個以業(yè)務(wù)安全為目的的信息系統(tǒng)安全運行保障體系。通過該體系，能夠及時發(fā)現(xiàn)并處置信息資產(chǎn)及其運行環(huán)境存在的脆弱性、入侵行為和異常行為。

　　安全運維活動分類

　　安全運維體系涉及安全運維策略確定、安全運維組織管理、安全運維規(guī)程制定和安全運維支撐系統(tǒng)建設(shè)等四類活動。

　　安全運維策略明確了安全運維的目的和方法， 主要包括策略制定和策略評審兩個活動；安全運維組織明確了安全運維團隊的管理，包括運維的角色和責(zé)任、聘用前審查、工作履行職責(zé)、聘用終止和變更；安全運維規(guī)程明確了安全運維的實施活動，包括資產(chǎn)管理、日志管理、訪問控制、密碼管理、漏洞管理、備份、安全事件管理、安全事件應(yīng)急響應(yīng)等；安全運維支撐系統(tǒng)給出了主要的安全運維輔助性系統(tǒng)的工具。

　　安全運維活動要素

　　安全運維活動要素包含了目的、要求和實施指南三個方面。目的部分描述安全運維活動的意義；要求部分描述了安全運維活動的指標要求；實施指南描述達成安全運維活動目標、實現(xiàn)安全運維要求的方法和手段。

　　安全運維管理原則

　　為了保證安全運維體系的可靠性和有效性，安全運維體系建設(shè)應(yīng)遵循以下內(nèi)容：

　　a） 基于策劃、實施、檢查和改進的過程進行持續(xù)完善?？梢愿鶕?jù)信息系統(tǒng)的安全保護等級要求，對控制實施情況進行定期評估；

　　b ） 安全運維體系建設(shè)應(yīng)兼顧成本與安全。根據(jù)業(yè)務(wù)安全需要，制定相應(yīng)的安全運維策略、建立相應(yīng)的安全運維組織、制定相應(yīng)的安全運維規(guī)程及建設(shè)相應(yīng)的安全運維支撐系統(tǒng)。

　　安全運行維護本身是提供安全運維企業(yè)的工作，等級保護測評人員是否也要有所了解呢？答案是肯定的！

　　當(dāng)測評師針對安全運維管理層面進行測評時，如果對安全運維有個清晰的認知，那么一方面他可以很好的獲取測評證據(jù)和撰寫測評記錄；另一方面也可以科學(xué)的進行訪談、核查工作，更好的把握《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》測評的含義。

　　第一個方面是在完善測評記錄的維度來談，這個最終是落到測評報告上去的，也更能顯示測評結(jié)果的客觀、公正、科學(xué)性，也就是這個維度在于充實完善。第二個方面則是不過分放大測評內(nèi)容與范圍，不以自己主觀的見解解讀測評項，學(xué)習(xí)了解運維知識有助于精準把控測評項的范圍。不少也別多，少則不足，過猶不及，河南話正“中”最好！

　　在測評過程中，不止一次聽到配合測評師工作的運維人員抱怨測評師訪談的內(nèi)容稀奇古怪，甚至訪談的內(nèi)容根本不是安全從業(yè)人員能理解的。究其原因，還是對運維工作的不了解不理解，有時會問一些非專業(yè)性的問題，使專業(yè)運維的配合人員感覺莫名其妙。等級保護測評也是一項安全服務(wù)，和其他安全服務(wù)之間是相輔相成的關(guān)系，只有充分理解掌握了自己負責(zé)的部分，才能夠更好的配合工作。這時，就需要“共同語言”，就是具備共同的信息安全知識。

　　共同的安全知識，需要共同標準。那么國家標準是最好的參考，也是大家工作中最常見的遵循。切不可，主觀臆斷或望文生義，自己胡亂解讀一通，最終將被人質(zhì)疑專業(yè)水平，客戶現(xiàn)場價值將會變得一文不值。

　　今天，時間有限。本來可以就這個問題，把基本要求幾個測評項進行展開的，待以后有時間再慢慢探討。再次聲明，本人粗鄙見解純屬班門弄斧，聊作引玉之磚，期待方家批評指正，共同探討，共同解決彼此配合中存在的異議和問題。