【原】系统运维中安全控制要求落地（上）

绝大部分安全策略与控制要求都需要与工作流程进行整合，将这些安全措施嵌入到各个关键的流程环节，最终通过流程驱动将安全要求进行落地。

本篇为系统运维中安全控制要求落地，包括系统备份、系统监控与变更管理。

一、系统备份控制措施落地 

1、提出系统数据备份需求

• 负责人：项目主管

• 落地工作：嵌入到项目管理办法-上线准备环节-活动及交付物，加入系统数据备份需求表。

• 时间点：上线准备阶段

• 输出：《系统数据备份需求申请表》

2、实施并更新系统数据备份汇总信息表

• 负责人：备份管理员

• 落地工作：接收数据备份需求，配置数据备份策略，更新备份汇总信息表。

• 时间点：收到备份需求后

• 输出：《备份汇总信息表》

3、系统数据备份监控检查，检查备份是否成功

• 负责人：备份管理员

• 落地工作：检查备份执行情况，记录到每周监控汇总表中

• 时间点：每天一次

• 输出：《每周监控汇总表》

4、系统备份数据送往异地

• 负责人：备份管理员

• 落地工作：利用技术手段传送到不同地点进行异地存放

• 时间点：每天一次

• 输出：NA

5、测试系统与生产系统数据同步

• 负责人：备份管理员、应用管理员

• 落地工作：设计测试系统与生产系统同步申请表（包括实施同步的结果）

• 时间点：应用管理员申请

• 输出：NA

6、重要系统、核心系统申请备份数据恢复测试

• 负责人：备份管理员
• 落地工作：安全管理员提出备份数据恢复测试时间要求，备份管理员发起备份数据恢复测试申请
• 时间点：每年一次

• 输出：《备份数据恢复测试申请表》

7、重要系统、核心系统执行系统备份数据恢复测试

• 负责人：备份管理员、应用管理员

• 落地工作：按备份数据恢复测试申请方案进行数据恢复测试，编制《备份数据恢复测试总结表》。

• 时间点：每年一次

• 输出：《备份数据恢复测试总结表》

二、系统监控控制措施落地

1、制定监控策略与监控技术方案

• 负责人：应用管理员、系统管理员

• 落地工作：设计监控策略、方案表，应用管理员先填写，系统管理员再补充。

• 时间点：新系统、新设备上线后

• 输出：《监控策略申请表》

2、制定监控策略与监控技术方案

• 负责人：监控系统负责人

• 落地工作：按监控策略申请表中的需求，配置监控策略，实施监控技术方案

• 时间点：监控策略、方案制定后

• 输出：《监控策略汇总表》

3、系统监控情况总结

• 负责人：监控系统负责人

• 落地工作：在每周运维总结含有监控总结

• 时间点：每周一次

• 输出：每周监控总结

4、修订并实施监控策略与监控方案，更新监控策略汇总表

• 负责人：监控系统负责人

• 落地工作：安全管理员提出监控策略更新时间要求，监控系统负责人收集监控需求并更新《监控策略汇总表》

• 时间点：每年一次

• 输出：《监控策略汇总表》

三、系统变更控制措施落地

1、编制变更方案计划

• 负责人：变更申请人
• 落地工作：按变更管理要求编制变更方案
• 时间点：涉及到生产环境变化时
• 输出：变更方案

2、提出变更申请

• 负责人：变更申请人、变更审核人员
• 落地工作：按变更管理流程提出变更申请，各相关人员进行审核
• 时间点：涉及到生产环境变化时
• 输出：《系统变更申请表》

3、变更实施

• 负责人：变更实施人

• 落地工作：按变更方案及变更申请实施变更，并记录变更实施过程

• 时间点：变更实施时

• 输出：《变更评审表、测试单、发布单》

4、变更实施总结

• 负责人：变更实施人

• 落地工作：变更实施结束后，对变更系统进行持续监控，无异常后编制《变更效果评估表》

• 时间点：变更实施后

• 输出：《变更效果评估表》

 扩展  ·  本文相关链接  

· 业务连续性管理策略

· 信息安全事件管理策略

· 访问控制安全管理策略

· 通信与操作安全控制要点与管理策略

· 信息系统开发与维护安全控制要点与管理策略