CISAW安全运维试听课：信息系统安全运维模型详解！

#试听课程 ·2025-10-10 14:11:55

安全运维模型:

1、要求

了解并掌握信息系统安全运维模型的对象、模式、环节以及模型的各类保证措施。

2、重点

正确理解“安全运维”和“运维安全”两类模式的联系和区区别

安全运维模型目前并无统一的国家标准或行业规范。本课程依据信息安全保障人员（CISAW）体系进行阐述，因此安全运维模型也以该体系为基础构建。该模型结合“安全运维”与“运维安全”两大概念，从业务核心出发，形成完整的安全运维逻辑框架。

模型整体呈同心圆结构，最核心为业务。业务周围分布三个要素：数据、载体、环境边界，统称为“实体”。围绕实体的一圈是信息安全的五大属性：可用性、完整性、真实性、机密性与不可否认性。这些属性构成系统内部的安全环境，也明确了安全保护的对象与目标。

在核心层之外，模型分为左右两部分：左侧为安全运维，右侧为运维安全。外层环形文字“合规要求”与“持续改进”贯穿两部分，代表该模型的双循环结构——无论安全运维还是运维安全，均从合规出发，以持续改进收尾，形成闭环管理体系。

左侧“安全运维”部分包括四个阶段：策略、准备、实施、评审。这对应教材的第4至第6章及第8章，分别涵盖安全策略制定、安全准备、实施过程与评审改进。右侧“运维安全”对应第7章，涵盖风险评估、风险处置、过程监控等环节，同样以评审和改进作为总结，实现持续优化。

最外层设有两个支撑环：资源与管理。资源指人力、财力及技术资源，是安全运维活动的基础条件；管理则指与安全运维相配套的管理体系，如ISO 27001等标准，为整个模型的实施提供制度保障。

综上，安全运维模型以业务为核心、以实体为保护对象、以安全属性为约束条件，通过策略制定、风险控制与持续改进，构建起一个可实施、可评估、可优化的安全运维体系。