信息系統安全運維服務精選(五篇)

發布時間：2023-10-09 17:41:22

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇信息系統安全運維服務，期待它們能激發您的靈感。

信息系統安全運維服務

篇1

1引言

地處亞歐大陸地理中心的新疆，不僅是“一帶一路”向西開放的橋頭堡，而且是“絲綢之路經濟帶”上的重要節點及核心區。新疆周邊同中亞區域8個國家接壤，與周邊的中亞國家環境相近、經濟相融、人文相親，具有向西開放的獨特優勢。作為我國輻射中亞地區政治、經濟、科技、教育、交通、醫療科的戰略高地，利用北斗導航國家科技重大專項在新疆開展應用示范、合作與服務，不僅能夠發揮絲綢之路經濟帶核心區的特殊作用，更有利于國家建設“絲綢之路經濟帶”，以點帶面，從線到片，逐步形成區域大合作。本文探討了國產北斗衛星導航系統開發的社會與生產安全過程監控管理服務系統在新疆區域社會與生產安全國產中的應用，為北斗導航系統進一步在西北地區的安全生產應急指揮中的應用奠定了基礎。

2北斗導航與位置服務

北斗衛星導航系統（BeiDou（COMPASS）Navigation Satellite System）是我國正在自主研發、獨立運行的全球衛星導航系統，始于20世紀80年代，建于90年代，成于21世紀。目前，三號乙運載火箭已成功將我國第4顆“新一代北斗導航衛星”送入太空，系我國第20顆北斗導航衛星。隨著北斗導航系統全球組網覆蓋面積的進一步提升，其已成為國家重要戰略基礎設施，是國家科技水平和綜合國力的重要體現，是社會信息化、數字化的重要支撐，是國家經濟社會安全運行的重要保障。

位置服務（LBS，Location Based Services）又稱定位服務，LBS是由移動通信網絡和衛星定位系統結合在一起提供的一種增值業務，通過一組定位技術獲得移動終端的位置信息（如經緯度坐標數據），提供給移動用戶本人或他人以及通信系統，實現各種與位置相關的業務，實質上是一種概念較為寬泛的與空間位置有關的新型服務業務。

3現狀概述

新疆交通運輸行業具有點多、線長、面廣、移動的特點，對新疆安全生產與運輸過程的監控管理具有重要的現實意義和典型意義。新疆高速公路和一級公路里程已突破4 000 km，高速公路里程達2 728 km。近3年來，新疆機動車及駕駛人保有量年均增長分別達到17%和15%，新疆公路總里程突破16萬km，城鄉道路運輸完成客運量30.37億人次，全區經營性道路運輸完成貨運量達4.65億t，并以每年6.7%的速度增長。至2015年，預計全區機動車保有量將超過600萬輛。

新疆車輛動態監控中心目前運行的系統僅有車輛實時定位（更新頻率約8 s/次）、簡單報警（信號丟失，超速等）、軌跡存儲與回放等較為簡單的監控管理功能，需要進一步增強衛星導航定位與位置服務及其增值服務的能力，提升衛星導航應用的綜合分析與決策支持水平；另外新疆地域廣闊，地形復雜，手機信號差，使用衛星電話成本高，道橋建設、礦山開發、地質勘探、建筑施工等工程區域很多涉及無人區和無線通信盲區，而新疆的野外工程車均未安裝衛星定位系統。近年來，新疆已有多起重大生產、運輸事故發生在無線通信盲區，由于安全事故信息上報不夠及時，難以及時了解事故現場情況，影響了應急救援工作，對安全生產過程和社會穩定造成較大影響。

3.1日常業務的需求

新疆安全生產與運輸過程監督管理的主要日常業務對北斗衛星導航系統的具體應用有車輛的日常管理（車輛和人員的基礎信息）；定位精度優于15 m、測速精度為1～2 m/s的車輛日常運行狀態監控，包括：定車行程跟蹤、分組查詢、車輛顯示狀態控制等信息；定位精度優于15 m、測速精度為1～2 m/s的重點車輛運輸全程監控，包括：“兩客一?！边\輸車輛、普貨載重貨運車輛、應急運輸保障車輛、野外工程車等運輸車輛的重點運輸過程日常全程監控與通訊調度；定位精度優于15 m、測速精度為1～2 m/s 的車輛監控中心的日常通信保障，包括：與全疆安全生產與運輸過程車輛和人員進行語音和文字通信，包括發送文字信息、單向監聽和雙向通話；通信記錄管理、事務管理（違章、事故、報警）等。

3.2典型業務的需求

新疆安全生產與運輸過程監督管理的主要典型業務對北斗衛星導航系統的具體應用有定位精度優于15 m、短報文80個漢字的突發事件實時；定位精度優于15 m、測速精度為1～2 m/s、短報文80個漢字的野外生產態勢實時；定位精度優于15 m、測速精度為1～2 m/s的車輛遇險報警與監控管理；定位精度優于15 m、測速精度為1～2 m/s、短報文80個漢字的突發性野外生產事故快速定位與應急指揮等。

4北斗導航與位置服務在安全生產與

運輸過程中的應用4.1為重點業務管理部門提供位置管理服務

新疆安全生產與運輸過程監督管理示范系統主要是面向各行業需重點監控各型車輛及其主管調度部門的基于位置綜合信息服務，其目標是：通過管理控制中心，管理部門能夠實時掌握下級管理部門及車輛的位置、速度、行駛狀態等信息，通過多種通信手段能夠實現調度、遇險報警和求救報警。

4.2為野外安全生產提供信息服務

通過北斗短報文功能和衛星網絡，在新疆包括城市、農村、沙漠、戈壁和高原山區在內的廣闊疆域實現全天候網絡無縫覆蓋獲取車輛、人員的地理位置、運行方向、運行速度及各種狀態信息，對持有終端設備的野外工作個人進行實時監控、調度、服務信息、受理各種類型的報警信息等，實時保持大后方對前方工作人員的監控指揮，從而提升工作效率及保障工作人員的生命安全。

4.3針對重點車輛提供預警、救援信息服務

通過北斗終端可以內設若干區域，當接口目標靠近（或駛出）區域時，向監控中心發送預警或報警信息。當車輛行駛速度超過最高限速的時候，監控中心軟件自動發出報警信息，提示中心值班員，并自動向超速的車輛發出超速警告短消息；當車輛運行狀態發生異常時，如高等級公路突然停車、發動機溫度過高、油量不足時，監控中心軟件自動發出報警信息，提示中心值班員，并自動向車輛發出警告短消息。如狀態為高等級公路突然停車，監控中心將自動接通司機手機進行詢問。

4.4實現安全生產與運輸業務的可擴展性

隨著新疆安全生產與運輸過程監督管理業務需求的不斷變化和新業務的出現，可靈活、高效地在原有北斗導航位置信息服務的基礎上配置和構建新的信息服務，以滿足安全生產與運輸過程監督管理的新需求；可為其它相關業務體系提供信息服務接口，通過提升相關業務系統構建效率；可通過北斗短報文信息服務調用、集成、互操作和聚合，有效建立行業內不同業務系統和行業間信息系統間的信息服務互聯互通模式。

篇2

【關鍵詞】電力信息系統安全管理

1 管理的目標

1.1 管理理念

通過電力信息系統安全管理來確保信息系統的持續、可靠、穩定運行。隨著公司信息系統與各項生產經營業務的緊密融合，信息系統故障停運直接影響公司生產經營業務的正常開展。加強安全管理，防止信息系統故障，及早發現信息系統的各類隱患，及時消缺或阻止各類違章，避免發生故障停運，提升信息系統安全運行風險可控、能控、在控能力。

1.2 管理范圍和目標

信息安全管理范圍涵蓋公司系統各單位人員、設備和各類應用系統。

信息安全管理的目標在于通過對網絡安全風險的分析，制定相應的管理制度、安全策略和技術措施，提高使用人員的安全防護意識、運維人員的技能水平和網絡自身的安全，不發生系統停運事故和不發生重大信息泄露事故等。

1.3 主要管理指標

通過信息安全管理，以防止信息網絡癱瘓、應用系統破壞、業務數據丟失、公司信息泄密、終端病毒感染、有害信息傳播和防惡意滲透攻擊，旨在降低信息網絡的故障率和故障時間、提高人員的安全意識和信息系統運行率。

2 管理方法

2.1人員組織設置

海門市供電公司電力信息系統安全管理組織機構由職能管理部門和生產實施部門相關領導、專職、信息專業人員和部門兼職信息員組成。公司信息系統安全管理由職能公司管理部門統一指揮、統一調度、統一實施。

職能管理部門負責信息系統安全管理工作，主要職責為：1）負責建立公司信息系統安全管理制度、標準和規范體系；2）負責監督信息系統安全理制度的執行情況，協調、督促支撐實施機構及時處理相關信息安全分析、培訓、運維等；3）負責信息系統安全管理的監督、檢查、考核和評價工作。

生產實施部門負責安全管理的具體工作，主要職責為：1）負責信息系統安全風險分析；2）負責編寫安全管理方案、建議，并提交職能部門；3）負責對信息系統安全風險進行處理；4）負責安全風險的整理、反饋匯總、統計、分析工作。4）負責人員的培訓。

公司各部門負責協助信息通信職能管理部門做好信息安全管理工作的監督、檢查和評價工作。

2.2 信息安全管理流程

信息安全管理流程兩個主要流程：1）被動性流程：包含風險的發現和上報、風險的定性、風險的審核和分析、風險的處理、風險處理后驗收。2）主動性流程：安全加固、加固處理、安全驗收。

1）風險的發現：生產實施部門相關信息專業人員和部門兼職信息員應加強對信息系統的定時巡視，及時發現潛在風險，并根據風險現象進行分類和判別，準確詳細地做好風險記錄，并通知運維人員。

2）風險的分析和定性：生產實施部門根據上報風險進行初步的分析，并根據實際情況進行風險初步定性，報信息通信職能管理部門備案。

3）風險的審核：信息職能管理部門對上報的風險重新審核，并作出相應的處置意見。

4）風險處理安排：生產實施部門應安排專業人員及時了解、審核相關風險，是設備風險還是人員風險，是一般風險還是緊急風險，對風險處理工作做好及時的安排。對緊急風險應在緊急處理的同時匯報上級領導，必要時可啟動應急預案。

5）風險的處理：生產實施部門專業人員在接受務時必須了解清楚信息系統存在的風險，并根據風險準備相關的資料和工具，認真執行相關制度，并及時匯報處理結果風險處理要求閉環管理。

6）驗收：生產實施部門根據規定對風險處理進行驗收，并填寫風險記錄中的處理情況，并完成風險流程的終結手續驗收。未完全處理的，重新啟動風險流程。

2.3 關鍵工作

（1）生產實施部門關鍵人員技能培訓和員工信息安全知識宣傳。信息安全的整個活動過程核心是人員。提高信息安全管理水平，人員是必不可少的環節。為普及員工的信息安全知識，公司編寫了《員工操作手冊》和《信息設備管理辦法》，并進行了宣貫。針對實施機構關鍵人員，采用送出去和內部培訓相結合的方式進行了技能培訓，包括：信息設備和系統的安裝、網絡安全技術、信息系統故障判斷、系統加固、系統的調試和配置等，大大提高了關鍵人員的管理水平。

（2）生產實施部門關鍵人員運維標準化。公司建立了部門兼職信息員的《標準化工作手冊》，分析了系統內可能存在的風險和相關風險的現象，明確了一系列操作流程，建立了操作指導書，對工作中的具體要求和步驟做了具體的文檔說明，便于兼職信息員日常運維。

（3）優化信息系統網絡和硬件設施。對信息系統網絡進行優化配置，對信息網的鏈路進行重新設計，采用環路設計來增強冗余和安全性。同時對使用年限長、老化的設備進行更換，對備品備件進行梳理，確保硬件設施的安全。

（4）采用多樣化的安全技術。整個過程中，對網絡設備和服務器等進行了安全加固和加固檢查，進行定期漏洞掃描，安裝補丁。終端設備采用專人負責，要求注冊率和防病毒安裝率為100%，網絡端口采用IP/MAC地址綁定。內網設備嚴禁接入其他網絡設備，同時關閉不必要的端口服務，來保證信息系統的安全。

（5）構建風險庫。風險管理是信息系統運行維護人員高度關注的工作。然而風險管理經常出現不規范的現象，影響了風險管理，也增加了風險的分析和處理難度。海門市供電公司，從風險分類、風險定性、風險現象、風險原因等4個方面建立初步的標準風險庫。覆蓋了業務應用系統、網絡系統、服務器、數據庫、終端設備和人員等，明確相關風險的定性標準，使各級人員對同一風險有唯一定性，便于風險處理，促進風險管理的標準化和規范化。

（6）加強信息設備入網驗收管理。在進行信息設備的入網工作上，海門市供電公司在工程建設期間就提前介入，對系統設計和設備選型進行技術建議，并對到貨設備進行現場和上電驗收，力爭在初級階段減少風險的發生可能性。

（7）加強設備定期、日常巡檢和維護管理。根據相關要求制定有效的信息系統運維管理制度，并要求運維人員嚴格按要求進行巡檢和維護，將風險消除在萌芽。

（8）加強風險統計分析。為盡早發現設備風險，預防風險造成的危害，提高信息人員風險管理水平，海門市供電公司定期進行風險分析。對新產生或者預測的信息系統風險產生原因進行分析，重點從設備本身、運行維護、人員、設備運行環境等方面進行主觀和客現的分析。對風險舉一反三進行分析，讓信息運維每個成員清楚風險發生的原因、對設備可能造成的危害、解決的具體方法、哪些設備還可能發生類似風險。根據分析結果有針對性的巡視維護，防患于未然。

（9）信息安全管理考核。把風險管理制度、措施、責任細化到考核考核辦法中，在具體考核中體現獎罰并存、激勵為主，提高信息人員風險管理積極性。

3 結束語

信息系統安全管理是技術與管理的綜合，完善信息安全保障體系，實現信息系統的“可控、能控、在控”，是信息系統安全的根本目標。加強人員培訓、制定切實有效的管理制度、完善軟硬件技術和風險控制流程是信息系統安全的有效措施。信息運維常態化和流程規范化，通過信息運維的標準化作業、開展定期巡檢、維護規范化和風險流程統一化，使信息安全管理工作步入了有序化管理。海門市供電公司將在此基礎上繼續完善和探索信息系統安全管理的制度和標準化流程，推動公司信息化管理水平的進一步提升。

篇3

作為政府部門的對外服務窗口，政府網站隨著電子政務的不斷發展，正在扮演著愈來愈重要的角色。同時，網站作為組織信息系統的一種邊界，與生俱來就是外部攻擊的首選，其面臨的安全形勢在智慧城市建設階段更為復雜嚴峻。2011年底，國務院辦公廳和工信部分別了《關于進一步加強政府網站管理工作的通知》（國辦函［2011］40號）和《委托開展政府網站安全管理試點工作的通知》（工信廳協函［2011］416號），要求提高政府網站的安全保障水平。據此，上海三零衛士信息安全有限公司在上海市網安辦的指導下，在前期參與信安標委《政府網站系統安全指南》國家標準和長期從事信息安全服務的基礎上，提出了“三位一體”的政府網站安全保障體系。

所謂“三位一體”，就是從“技術”、“管理”和“運維”三個方面來構建完整的政府網站安全保障體系，主要遵循信息安全“技術與管理并重”、“建設與運維并重”兩大原則。從現有的國家《信息系統安全等級保護基本要求》來看，也是分為技術和管理兩大類，技術類按信息系統的層次結構再細分，管理類則強調管理體系、建設管理和運維管理。因此，一個有效的信息安全保障體系不是安全產品的堆砌，而是需要建立完善的安全管理體系，并通過專業的安全服務來實現的。就目前政府網站的安全保障而言，管理體系主要應由政府網站主管部門負責，安全服務可以采用可控可信的服務外包的方式實現。

相關信息安全標準

目前，與電子政務相關的信息安全政策要求，主要有國家信息安全等級保護制度（2007年之后普遍開始推行）和工信部政府信息系統安全檢查（2009年起每年一次）兩項：前者是針對所有計算機和信息系統均需要實施的，主要參照《信息系統安全等級保護實施指南》和《信息系統安全等級保護基本要求》等國家標準，通過自查、測評和整改的方式落實；后者是針對政府部門的信息系統進行年度整體檢查，主要參照《政府信息系統安全檢查指南》，通過自查和監督的方式落實。具體來看，等級保護的相關標準是面向網絡信息系統的通用技術架構（物理環境網絡主機應用數據）來設置的，并沒有體現網站類信息系統特有的體系架構（如IIS、Apache等Web應用服務，網站腳本源代碼等），在管理要求上也缺乏對網站運行中普遍的托管、外包和內容等控制條款，而政府信息系統安全檢查中與網站直接相關的檢查項更是寥寥幾筆。

在美國NIST（國家標準和技術研究所）的SP800系列（關于計算機安全的特殊出版物）中，有一份專門針對公共服務網站的安全指南：SP800-44（Guidelines on Securing Public Web Servers）。該指南從網站服務器的規劃和管理、網絡基礎設施安全、操作系統安全、Web服務安全、Web內容安全、認證和加密、運維管理等方面提出了安全要求，并提供了一套非常翔實實用的檢查表，已作為聯邦政府部門和機構實施網站安全保障的推薦標準。

由此可見，目前國內并沒有完全針對政府網站這類電子政務信息系統的信息安全標準，而國外的SP800-44所提供的詳細的安全規范，還需要和等級保護制度、電子政務管理辦法等國情相結合，這也是信安標委進行相關標準研究和工信部開展相關試點的原因。目的是希望能研究制定適合我國各類各級政府網站的信息安全保障標準，從而切實指導政府網站的建設、運行和管理，提高政府網站防篡改、防病毒、防攻擊、防癱瘓、防泄密能力。

為政府網站安裝保障之門

“三位一體”的政府網站安全保障體系是基于《信息系統安全等級保護基本要求》國家標準，并結合SP800-44和國內信息安全服務企業的最佳實踐提出來的，由技術防護、管理機制和運行維護三大部分組成，共計16個控制點，下圖給出了本體系結構以及與等級保護、SP800-44的對應關系。事實上，該體系不僅適用于政府網站，對于其他服務性和商業性網站同樣可以參照使用。

安全技術防護

技術防護部分主要基于等級保護的系統分層概念和IATF（信息保障技術框架）縱深防御理念，給出了網站基本架構，如下圖所示。為保證網站安全各相關方語義上的一致，這里的網站基本架構統一將網站系統分為網站基礎設施、網站應用系統和網站數據三大層次，事實上不同層次的安全保障手段也各不相同。

基于這一基本架構，就要求在各層面均滿足安全保障的基本要求。首先，應在網絡邊界部署防火墻、入侵防護和檢測等安全網關產品；其次，應將不同的服務器部署在不同的安全區域，并采用合適的隔離措施，保證服務器操作系統和網站系統平臺滿足最小安裝原則；第三，針對網絡及安全設備、服務器操作系統和網站系統平臺、網站管理平臺等，均需要建立身份鑒別、訪問控制和安全審計三大安全技術措施；最后，針對網站數據庫文件、系統日志文件、設備配置文件和安全審計記錄等數據，應采取有區別且合適的備份策略，確保數據可用性和業務連續性。

除了上述基本要求，針對網站系統特定的技術架構，還需要根據實際情況，部署網頁防篡改、防拒絕服務攻擊、Web應用防火墻、遠程加密維護、管理終端IP地址限制等安全設備或安全機制，并充分考慮網站帶寬、鏈路冗余、訪問流量和連接數等可用性指標。

安全管理機制

等級保護中對信息安全管理的要求，基本是基于ISO27K的要求，并結合國情增加了建設安全管理和運維安全管理的內容，重點是建立完整的信息安全管理體系，落實各項信息安全管理制度。本體系在此基礎上針對政府網站管理的實際情況：在管理責任方面，分別明確了安全責任部門和內容審核部門；在管理制度方面，強調了對網站建設、運維、內容保障、應急預案和服務外包（含托管）的要求。上述管理機制和管理制度，將通過各部門自身的培訓考核、年度信息安全檢查、定期等保測評和整改等方式予以落實。本次試點工作中，上海市還提出了政府網站開辦備案和實名認證的兩項管理機制，目的在于統一管理和避免政府網站仿冒釣魚。

安全運行維護

運行維護是任何信息系統生命周期中耗時最長、投入最大的階段，但受制于以往信息化工作“重建設、重產品”指導思想的慣性，信息系統擁有者對長期運行維護及專業人力投入的理解還不深刻，等級保護和政府信息系統安全檢查中也沒有專門涉及安全運維的要求。

因此，本體系特別增加了這一大類的保障要求。一方面，在網站的日常運維中，要求通過“準實時”的監控平臺監控網站的安全性和可用性，要求通過定期的本地安全檢查確保網站各層面的配置安全，通過定期的網站安全掃描及時發現并修復安全漏洞，并將網站源代碼掃描和滲透性測試也列為運維工作的“規定項目”。另一方面，在網站的應急管理中，要求針對網站癱瘓、網頁篡改或掛馬、DDOS攻擊、域名劫持、信息泄漏等重大事件建立應急預案，明確事件級別和啟動條件、應急處置流程和系統恢復時限，并定期進行演練和修訂。

值得注意的是，本體系在關注網絡信息系統安全的同時，還特別關注了服務外包的安全。針對政府網站設計、開發、部署和運維中普遍的信息技術服務外包（可以理解為ITO），重點應在服務合同中明確安全責任、服務內容、服務方式和服務級別，并要求網站安全責任部門對外包方的資質、人員、流程、工具和文檔等服務要素進行安全管控。針對政府網站內容編輯和的服務外包（可以理解為BPO），也要求網站內容審核部門通過加強審核進行安全管控。

讓信息安全“總體可控”

篇4

對于進一步提高信息安全的保障能力和防護水平來說，實行信息安全等級保護無疑是一種好的方法，因為它能充分調動國家、法人和其他組織及公民的積極性，增強安全保護的整體性、針對性和實效性，使信息系統安全建設重點更加突出、規范，更加統一。

但是，電子政務重在政務，由于政務部門的職能不同，信息系統的結構、功能和安全要求也不盡相同，信息安全等級保護工作的側重點也不同。然而從總體上來說，都需要做好以下幾點：

落實好“四個把握”

把握等級保護的建設進程。按照等級保護程序規定，做好定級、備案、整改、評測與監管工作。

把握等級劃分的合理性和準確性。要認真分析電子政務系統在國家安全、經濟建設、社會生活中的重要性程度，即電子政務系統遭受破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度等因素，合理準確地確定系統安全等級。具體來說，安全等級的確定要根據信息系統的綜合價值和綜合能力保證的要求不同以及安全性被破壞造成的損失大小，綜合考慮信息系統的經濟價值、社會價值以及信息服務的服務范圍和連續性。

把握好不同等級的基本安全要求?；疽笫轻槍Σ煌踩Ｗo等級信息系統，應該具有的基本安全保護能力提出的安全要求。例如：第三級信息系統要具有抵御來自外部組織的惡意攻擊能力和防內部人員攻擊能力，不僅要對安全事件有審計記錄，還要能追蹤與響應處理，要實現多重保護制度。

把握好基本技術要求和基本管理要求。基本技術要求包括物理安全、網絡安全、主機安全、應用安全與數據安全等方面?；竟芾硪笫峭ㄟ^控制信息系統中各種角色參與的活動，包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等方面，從政策、制度、規范、流程以及記錄等方面做出規定。對于電子政務系統要特別關注基礎設施監控與管理、網絡安全監控與管理、業務應用系統的監控與管理、應急響應與備份恢復管理。

引入風險評估機制

信息安全等級保護必須樹立風險管理的思想，而風險評估是風險管理的基礎，因此，三級以上電子政務系統必須定期進行信息安全風險評估。風險評估貫穿于等級保護周期的系統定級、安全實施和安全運維三個階段：

系統定級。由于不同的電子政務系統具有自身的行業和業務特點，且所受到的安全威脅均有所不同。因此，可以依據信息安全風險評估國家標準對所評估資產的重要性、客觀威脅發生的頻率、系統自身脆弱性的嚴重程度進行識別和關聯分析，判斷信息系統應采取什么強度的安全措施，然后將安全事件一旦發生后可能造成的影響控制在可接受的范圍內。即將風險評估的結果作為確定信息系統安全措施的保護級別的一個參考依據。

安全實施。安全實施是根據信息安全等級保護國家標準的要求，從管理與技術兩個方面選擇不同強度的安全措施，來確保建設的安全措施滿足相應的等級要求。風險評估在安全實施階段就可以直接發揮作用，那就是對現有電子政務系統進行評估和加固，然后再進行安全設備部署等。在安全實施過程中也會發生安全事件并可能帶來長期的安全隱患，如安全集成過程中設置的超級用戶和口令沒有完全移交給用戶、防火墻部署后長時間保持透明策略等都會帶來嚴重的問題，風險評估能夠及早發現并解決這些問題。

安全運維。安全運維是指按照系統等級進行安全實施后開展運行維護的安全工作。安全運維包括兩方面：一是維護現有安全措施等級的有效性。二是根據客觀情況的變化以及系統內部建設的實際需要，對等級進行定期調整，以防止過度保護或保護不足。在安全運維的過程中，通過信息安全風險評估工作可以對已有信息系統的安全等級保護情況進行評估，依據已確定等級的相關保護要求，對系統的保護效果、潛在風險進行評價，評估是否達到等級保護的要求；當信息系統或外部環境發生變更時，可以通過風險評估工作了解和確定風險的變更，為再次定級和等級保護措施的調整提供依據。

建立有效的信息安全管理組織

信息安全管理組織是建立信息安全保障體系，做好信息安全等級保護工作的必要條件。當前很多政務部門的信息安全工作均有信息化部門兼任，沒有足夠的權威性。等級保護工作的開展，要求在組織內部建立信息系統安全方面的最高權力組織，并有明確的安全目標，目的是在管理層的承諾和擁有足夠資源的情況下開展信息安全工作。因此，建立有效的信息安全管理組織必須明確以下內容：

要遵循分權制衡原則。制度的建立、制度的執行、執行情況的檢查與監督要分開考慮。在目前的等級保護測評工作中，時常發現有系統管理員、網絡管理員、安全員與審計員兼任的情況，甚至一人包攬所有的信息系統運維工作。但從等級保護的基本要求來看，依據分權制衡的原則，建議在電子政務系統中，系統管理員與審計員不得兼任，審計員不能從事所有日常信息的維護與管理工作，系統管理員不能從事審計日志的查看與處理工作。

要堅持從上而下的垂直管理原則。上一級機關信息系統的安全管理組織指導下一級機關信息系統的安全管理組織的工作，下一級機關信息系統的安全管理組織接受并執行上一級機關信息系統的安全管理組織的安全策略。

應常設信息系統安全管理組織辦公機構，負責信息安全的日常事務工作。信息系統安全管理組織應由系統管理、系統分析、軟硬件維護、安全保衛、系統稽核、人事與通信等有關方面的人員組成。

信息安全管理組織部門不能隸屬于技術部門或運行部門，各級信息系統的安全組織不能隸屬于同級信息系統管理和業務機構。信息安全管理組織部門只有不隸屬于技術或運維部門，才能站在較高的層次上制定信息安全的整體框架與策略、有效的處理安全事件，啟動應急預案。