第8章安全管理安全管理體系安全應(yīng)急響應(yīng)安全運(yùn)營(yíng)管理安全管理體系8.1保障工業(yè)云平臺(tái)的安全，“三分靠技術(shù)，七分靠管理”。加強(qiáng)信息安全安全管理是提升工業(yè)企業(yè)信息安全防護(hù)能力、補(bǔ)齊信息安全防護(hù)短板的一種切實(shí)有效、必不可缺的途徑。建立科學(xué)規(guī)范、可操作性強(qiáng)、防護(hù)效果好、兼顧企業(yè)運(yùn)營(yíng)管理效率的安全管理體系，是幫助工業(yè)企業(yè)解決工業(yè)云平臺(tái)發(fā)展和應(yīng)用過(guò)程中面臨的安全風(fēng)險(xiǎn)和挑戰(zhàn)的重要方法。工業(yè)云平臺(tái)安全管理要打破被動(dòng)防御的安全思維，應(yīng)充分意識(shí)針對(duì)工業(yè)云平臺(tái)、工業(yè)控制系統(tǒng)的攻擊是隨時(shí)發(fā)生的、持續(xù)的、不可能完全攔截的，工業(yè)云平臺(tái)時(shí)刻處于被攻擊狀態(tài)，對(duì)工業(yè)云平臺(tái)的信息安全防護(hù)要保持“持續(xù)響應(yīng)”。構(gòu)建工業(yè)云平臺(tái)安全管理體系，要依據(jù)有關(guān)法律法規(guī)和政策文件，以及相關(guān)標(biāo)準(zhǔn)。通過(guò)建立安全管理組織，明確相關(guān)管理職責(zé)，完善安全管理制度，制定安全方針策略，規(guī)范安全管理流程和相關(guān)技術(shù)操作行為，提升工業(yè)云平臺(tái)安全防護(hù)能力。有關(guān)法律法規(guī)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，2017年6月起正式實(shí)施《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》，2016年12月27日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《中國(guó)制造2025》，2015年5月19日，國(guó)務(wù)院正式印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，2016年10月，工業(yè)和信息化部發(fā)布《工業(yè)互聯(lián)網(wǎng)平臺(tái)建設(shè)及推廣指南》和《工業(yè)互聯(lián)網(wǎng)平臺(tái)評(píng)價(jià)方法》，2018年7月，工業(yè)和信息化部印發(fā)此外，國(guó)務(wù)院，以及工業(yè)和信息化部、國(guó)家能源局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)等部委還陸續(xù)發(fā)布了很多政策文件及相關(guān)標(biāo)準(zhǔn)，這些法律法規(guī)、政策文件和相關(guān)標(biāo)準(zhǔn)為推動(dòng)工業(yè)云平臺(tái)安全體系和管理制度建設(shè)提供了依據(jù)，奠定了基礎(chǔ)。安全管理組織安全管理組織是確保落實(shí)工業(yè)云平臺(tái)的信息安全決策、支撐信息安全工作開(kāi)展的基礎(chǔ)。安全管理制度完善的安全管理制度是工業(yè)云平臺(tái)信息安全的基石，具體包括與平臺(tái)業(yè)務(wù)相適應(yīng)的安全方針策略、管理制度和技術(shù)規(guī)范等。平臺(tái)安全方針策略是安全領(lǐng)導(dǎo)小組對(duì)平臺(tái)安全防護(hù)目標(biāo)的具體表述，為安全管理體系的運(yùn)行提供指引。工業(yè)云平臺(tái)安全管理制度主要包括設(shè)備管理制度、操作人員管理制度、數(shù)據(jù)安全管理制度和安全技術(shù)規(guī)范。設(shè)備管理制度操作人員管理制度數(shù)據(jù)安全管理制度安全技術(shù)規(guī)范安全運(yùn)營(yíng)管理8.2安全管理流程安全管理流程規(guī)范了安全運(yùn)營(yíng)管理的過(guò)程。建立信息安全管理流程，需重點(diǎn)考慮三個(gè)方面的因素：應(yīng)系統(tǒng)梳理工業(yè)云平臺(tái)的安全需求，確定平臺(tái)安全管理要達(dá)到的目標(biāo)，在此基礎(chǔ)上建立與目標(biāo)相一致的安全管理體系，確保安全管理流程能夠順利落實(shí)；對(duì)工業(yè)云平臺(tái)安全管理體系中的各個(gè)角色進(jìn)行詳細(xì)說(shuō)明，將安全管理流程可視化；將人力資源與角色關(guān)系進(jìn)行對(duì)應(yīng)，明確管理流程中所需的資源，確保流程能夠有條不紊地執(zhí)行。依據(jù)國(guó)家相關(guān)法律法規(guī)、政策文件和標(biāo)準(zhǔn)，考慮工業(yè)云平臺(tái)規(guī)劃設(shè)計(jì)、開(kāi)發(fā)建設(shè)、運(yùn)行等各個(gè)環(huán)節(jié)，梳理安全管理流程。在平臺(tái)規(guī)劃設(shè)計(jì)環(huán)節(jié)，主要涉及風(fēng)險(xiǎn)評(píng)估、安全管理、系統(tǒng)安全規(guī)劃等；安全管理流程在平臺(tái)開(kāi)發(fā)建設(shè)環(huán)節(jié)，主要涉及設(shè)備采購(gòu)、系統(tǒng)設(shè)計(jì)、性能測(cè)試等；在平臺(tái)運(yùn)行環(huán)節(jié)，需做好日常的安全保障和運(yùn)維工作，主要涉及安全預(yù)警、安全監(jiān)控和處置、安全變更與訪問(wèn)控制、安全審計(jì)等?？蓞⒖及踩芾砹鞒腆w系：風(fēng)險(xiǎn)評(píng)估管理流程安全策略管理流程安全規(guī)劃流程安全事件管理流程安全變更管理流程安全配置管理流程安全審計(jì)流程日常安全運(yùn)營(yíng)日常安全運(yùn)營(yíng)的主要工作包括安全事件管理、環(huán)境和資產(chǎn)管理、可移動(dòng)介質(zhì)管理、網(wǎng)絡(luò)和系統(tǒng)管理、惡意代碼防護(hù)管理、變更管理、補(bǔ)丁管理、安全監(jiān)控管理、日志安全管理等。安全事件管理環(huán)境和資產(chǎn)管理可移動(dòng)介質(zhì)管理網(wǎng)絡(luò)和系統(tǒng)管理惡意代碼防護(hù)管理變更管理補(bǔ)丁管理安全監(jiān)控管理日志安全管理安全應(yīng)急響應(yīng)8.3安全應(yīng)急響應(yīng)是指針對(duì)已經(jīng)發(fā)生或可能發(fā)生的安全事件進(jìn)行監(jiān)控、分析、協(xié)調(diào)、處理、保護(hù)資產(chǎn)安全屬性的活動(dòng)。工業(yè)云平臺(tái)的安全應(yīng)急響應(yīng)主要針對(duì)工業(yè)設(shè)備、平臺(tái)、數(shù)據(jù)安全等，在實(shí)踐中從技術(shù)、設(shè)備、管理、法律等各角度綜合應(yīng)用，保證突發(fā)網(wǎng)絡(luò)安全事件應(yīng)急處理有序、有效、有力，確保涉事企業(yè)損失降到最低，同時(shí)威懾肇事者。根據(jù)安全事件的影響范圍、危害程度、商業(yè)價(jià)值等幾個(gè)維度進(jìn)行綜合評(píng)分，確定網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件的等級(jí)。特別重大事件重大事件較大事件一般事件安全事件等級(jí)劃分安全應(yīng)急