國家標準《信息安全技術(shù) 安全運維系統(tǒng)技術(shù)規(guī)范》（征求意見稿）編制說明

一、工作簡況1.1任務(wù)來源根據(jù)國家標準化管理委員會2022年下達的國家標準制修訂計劃，《信息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司負責(zé)承辦，計劃號：20230260-T-469。該標準由全國信息安全標準化技術(shù)委員會（SAC/TC260）歸口管理。1.2主要起草單位和工作組成員《信息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》由上海辰銳信息科技公司牽頭制定，參與起草單位包括：公安部第三研究所、中國科學(xué)院軟件研究所、華為技術(shù)有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、國家工業(yè)信息安全發(fā)展研究中心、浙江齊治科技股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司、北京神州綠盟科技有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、杭州中爾網(wǎng)絡(luò)科技有限公司、北京藍象標準咨詢服務(wù)有限公司、長楊科技（北京)股份有限公司、杭州安恒信息技術(shù)股份有限公司、北京時代新威信息技術(shù)有限公司、北京啟明星辰信息安全技術(shù)有限公司、上海三零衛(wèi)士信息安全有限公司、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、上海觀安信息技術(shù)股份有限公司、廣東安創(chuàng)信息科技開發(fā)有限公司、北京神州綠盟科技有限公司、遠江盛邦（北京）網(wǎng)絡(luò)安全科技股份有限公司、藍盾信息安全技術(shù)股份有限公司、北京智游網(wǎng)安科技有限公司、深信服科技股份有限公司、陜西省網(wǎng)絡(luò)與信息安全測評中心、北京信安世紀科技股份有限公司、河南中科安永科技有限公司、國網(wǎng)區(qū)塊鏈科技（北京）有限公司、廣東省信息安全測評中心、國網(wǎng)新疆電力有限公司電力科學(xué)研究院、廣電計量檢測集團股份有限公司。本文件主要起草人：張艷、鄒春明、胡津銘、沈亮、晏敏、王峰、申永波、王沖華、于遨洋、安高峰、楊春鵬、周進、何建鋒、葛方雋、張德保、趙華、田麗丹、俞政臣、周瑞群、劉彪、鄢昱恒、謝江、鐘英南、周進、劉強、韓云、劉晨、馮燕飛、付軍、郭軍武、石竹玉、葉勁宏、加依達爾.金格斯、唐迪。在編制本文件的過程中，起草單位的主要分工如下：上海辰銳信息科技公司牽頭組織項目的修訂工作，制定修訂思路，組織召開項目評審，匯總各參與單位的編制內(nèi)容、擬制項目編制說明、匯總意見匯總表等。參與起草的單位中，研發(fā)生產(chǎn)和運維服務(wù)廠商主要承擔(dān)應(yīng)用場景及運維技術(shù)跟蹤、安全功能要求的編制及應(yīng)用試點，以及推進標準在產(chǎn)品研發(fā)中的應(yīng)用；檢測、認證機構(gòu)主要負責(zé)安全保障要求及測試評價方法的編制、測評方法的試點驗證，以及推進標準在認證、檢測中的應(yīng)用；科研院所機構(gòu)主要負責(zé)安全運維技術(shù)發(fā)展跟蹤、自身安全功能要求的編制，以及測評技術(shù)方法研究；咨詢服務(wù)機構(gòu)主要負責(zé)行業(yè)用戶需求的收集、運營企業(yè)側(cè)標準試點驗證，以及后續(xù)標準的宣傳、推廣。1.3制定背景隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)環(huán)境變得日趨復(fù)雜，特別是重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施中的資產(chǎn)數(shù)量和類型均急劇增長。誤操作、違規(guī)運維操作可能會直接導(dǎo)致這些重要業(yè)務(wù)系統(tǒng)的宕機、數(shù)據(jù)丟失等風(fēng)險，對安全運維的規(guī)范化管理已和外部安全防護同等重要。安全運維系統(tǒng)已廣泛應(yīng)用于各行業(yè)信息化內(nèi)控管理，隨著云、工控等應(yīng)用場景和安全產(chǎn)品的發(fā)展，運維管理和審計的范疇和技術(shù)形態(tài)都有了新的變化，云安全運維、便攜式移動運維、工控運維等新形態(tài)和新特性不斷呈現(xiàn)。此外，近年來相關(guān)法律法規(guī)及行業(yè)規(guī)范對于系統(tǒng)的運維管理提出了諸多合規(guī)要求：網(wǎng)絡(luò)安全法對于網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)服務(wù)提供者提出了制定內(nèi)網(wǎng)操作規(guī)程、持續(xù)提供安全維護、采取技術(shù)措施保障網(wǎng)絡(luò)安全穩(wěn)定運行、留存相關(guān)網(wǎng)絡(luò)日志不少于六個月等安全保護義務(wù)；ISO27001標準中要求組織必須記錄用戶訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證；國家網(wǎng)絡(luò)安全等級保護要求中對重要信息系統(tǒng)、云租戶業(yè)務(wù)應(yīng)用系統(tǒng)等保護對象的集中身份認證、運維操作審計和細粒度的權(quán)限管控也提出了諸多要求。安全運維系統(tǒng)由于其安全功能屬性，成為系統(tǒng)的核心安全管控樞紐，存儲著資產(chǎn)管理賬號、具備重要資源的訪問權(quán)限等，一旦其自身存在安全短板將會為重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施引入極大的安全風(fēng)險。因此，本標準的制定一方面支撐安全運維系統(tǒng)的規(guī)范化管理，同時也緊密貼合重要信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施安全運維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為等保和關(guān)基相關(guān)要求的技術(shù)實現(xiàn)規(guī)范化提供重要參考，降低運維管理安全風(fēng)險。此外，2022年3月6日全國信息安全標準化技術(shù)委員會發(fā)布的“《關(guān)于發(fā)布2022年度網(wǎng)絡(luò)安全國家標準需求的通知》（信安秘字〔2022〕47號）”中將《信息安全技術(shù)安全運維系統(tǒng)技術(shù)規(guī)范》列為支持的國家標準制定項目之一。1.4起草過程標準制定的主要工作過程如下：申報立項階段2021年11月至2022年3月，成立了標準編制組，對安全運維系統(tǒng)的產(chǎn)品技術(shù)文檔、解決方案等材料進行調(diào)研梳理，查閱有關(guān)資料，編寫標準編制提綱，起草了標準草案初稿，形成了申報材料;2022年4月，標準編制組在2022年信安標委WG5第一次工作組會議上進行了立項匯報。草案階段2022年4月，標準編制組根據(jù)工作組成員單位專家意見組織標準編制組討論并修改了草案內(nèi)容；2022年5月至11月，標準編制組通過內(nèi)部研討、交流，對標準草案文本進行了進一步的修改完善。2022年12月7日，標準編制組在2022年信安標準周工作組會議上進行了標準草案的匯報，征集了成員單位專家代表的意見，并通過投票，同意修改后推進為征求意見稿。征求意見稿階段標準編制組根據(jù)2022年12月7日會議周上專家代表的意見，于2022年12月8日~2023年1月5日期間對標準草案文本進行了多次編制組內(nèi)部的線上會議討論、修改和完善，并提交責(zé)任專家和標委會專家進行審閱；標準編制組根據(jù)專家意見進行了進一步修改，形成征求意見稿第一稿。2023年2月3日，WG5工作組召開了專家研討會，對征求意見稿進行了研討并提出了修改意見，會后編制組根據(jù)專家意見進行了修改完善，形成征求意見稿第二稿。2023年4月4日，信安標委會秘書處召開了專家評審會，對征求意見稿進行了評審并提出了修改意見，會后編制組根據(jù)專家意見進行了修改完善，并在編制組內(nèi)部進行了集中討論，最終形成征求意見稿第三稿。2023年6月1日，在昆明召開的2023年第一次“標準周”會上，編制組代表在WG5分會場上，面向全體與會人員、會員單位代表匯報了該標準的編制情況以及標準內(nèi)容重點；會后，編制組對標準文稿再次進行了審查，對部分文字表述等進行了修訂完善。試點驗證階段為提升標準質(zhì)量，檢驗標準適用性和可操作性，全國信息安全標準化技術(shù)委員會秘書處于2023年4月13日在北京組織召開了網(wǎng)絡(luò)安全國家標準試點工作部署會。會后標準編制組依據(jù)《2023年度網(wǎng)絡(luò)安全國家標準試點工作方案》的工作要求，征集了試點驗證參與單位，并制定了試點工作方案。WG5工作組于4月26日在線上組織召開了標準試點工作方案討論會。會后標準編制組根據(jù)專家意見修改完善了試點工作方案，在編制組內(nèi)部進行了宣貫，明確了試點內(nèi)容、計劃及分工，自5月至6月開展了標準試點驗證工作。二、標準編制原則、主要內(nèi)容及其確定依據(jù)2.1標準編制原則為了使本標準與現(xiàn)有其他國家標準保持協(xié)調(diào)一致，本標準的制定參考了現(xiàn)行的其他國家標準，主要有GB/T25066-2020、GB/T18336-2015、GB/T22239-2019、GB/T36626-2018等。本標準符合我國的實際情況，遵從我國有關(guān)法律、法規(guī)的規(guī)定。具體原則與要求如下：實用性原則標準必須是可用的，才有實際意義，本標準在制定過程中嚴格按照流程對產(chǎn)品的現(xiàn)狀、技術(shù)等相關(guān)領(lǐng)域展開系統(tǒng)的、全面的調(diào)研工作，注重與相關(guān)產(chǎn)品生產(chǎn)單位的交流，使得標準更貼近產(chǎn)品實際情況，保證操作性。先進性原則標準是先進經(jīng)驗的總結(jié)，同時也是技術(shù)的發(fā)展趨勢。要制定出先進的國家標準，必須廣泛了解市場上主流產(chǎn)品的功能，吸收其精華，制定出具有先進水平的標準。本標準的編寫始終遵循這一原則。兼容性原則本標準既要與國際接軌，更要與我國現(xiàn)有的政策、法規(guī)、標準、規(guī)范等相一致。編制組在對標準起草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有關(guān)政策、法律和法規(guī)。2.2主要內(nèi)容及其確定依據(jù)本項目標準規(guī)范的安全運維系統(tǒng)，是針對系統(tǒng)內(nèi)控合規(guī)、降低運維管理風(fēng)險、提升內(nèi)部風(fēng)險控制水平等需求而形成的安全產(chǎn)品，為企業(yè)針對服務(wù)器、虛擬機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等系統(tǒng)資產(chǎn)、云計算資源的安全運維與審計提供集中的帳號、授權(quán)、認證和審計等管理服務(wù)。標準擬規(guī)范安全運維系統(tǒng)的安全技術(shù)要求（安全功能要求、自身安全要求、安全保障要求）和測試評價方法，適用于該類產(chǎn)品的研發(fā)、采購、使用、維護、管理及檢測。標準結(jié)構(gòu)本標準的編寫格式和方法依照GB/T1.1-2020標準化工作導(dǎo)則第一部分：標準的結(jié)構(gòu)和編寫規(guī)則，主要結(jié)構(gòu)包括：范圍規(guī)范性引用文件術(shù)語和定義縮略語概述安全技術(shù)要求測試評價方法附錄A范圍、規(guī)范性引用文件、術(shù)語和定義和縮略語該部分定義了本標準適應(yīng)的范圍，所引用的其它標準情況及以何種方式引用，術(shù)語和定義部分明確了該標準所涉及的一些術(shù)語。在術(shù)語中明確了“安全運維系統(tǒng)”、“運維用戶”、“運維對象”、“授權(quán)管理員”、“運維服務(wù)協(xié)議”等重要概念?？s略語部分主要列出本標準中用的縮略語全稱及中文解釋。概述對安全運維系統(tǒng)的安全目的、保護的對象以及安全技術(shù)要求分類及等級劃分進行了概要描述，對安全技術(shù)要求的分類、主要的指標項、等級劃分的原則等進行了說明。安全運維系統(tǒng)為運維用戶提供統(tǒng)一資源訪問入口，借助身份認證接口實現(xiàn)對運維用戶的身份鑒別，對資產(chǎn)及其賬號等進行集中管理和授權(quán)，監(jiān)控和審計運維操作過程，并對違規(guī)操作行為進行報警、阻斷。該類產(chǎn)品保護的對象是服務(wù)器、虛擬機、網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品、數(shù)據(jù)庫、云平臺等信息系統(tǒng)重要資產(chǎn)。此外，安全運維系統(tǒng)本身及其內(nèi)部的重要數(shù)據(jù)也是受保護的對象。本文件將安全運維系統(tǒng)的安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三類。本文件按照安全運維系統(tǒng)安全功能要求強度劃分級別，按照GB/T18336.3-2015劃分安全保障要求的級別。安全等級突出安全特性，分為基本級和增強級，安全功能、自身安全強弱和安全保障要求高低是等級劃分的具體依據(jù)。此外說明了與基本級安全技術(shù)要求相比，本文件中增強級內(nèi)容有所增加或變更的內(nèi)容在正文中通過“宋體加粗”表示。安全運維系統(tǒng)的安全功能要求、自身安全要求、安全保障要求應(yīng)符合GB42250-2022《信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》的相關(guān)要求。另外，以表格形式對本標準中涉及的管理員及用戶角色進行了詳細描述：表1角色描述表角色角色描述運維用戶通過安全運維系統(tǒng)對信息資產(chǎn)進行運行維護和管理的用戶（人員或自動化運維工具），通常以賬號作為用戶標識，賬號由安全運維系統(tǒng)進行管理管理賬戶（運維對象）受安全運維系統(tǒng)保護的信息資產(chǎn)的各類管理賬戶，該賬戶由受保護的信息資產(chǎn)進行維護，運維用戶登錄安全運維系統(tǒng)后通過該賬戶對受保護的信息資產(chǎn)進行運維和管理管理員對安全運維系統(tǒng)進行維護和管理的用戶角色，包括操作員、安全員、審計員或其他自定義角色，通常不具備受保護資產(chǎn)的運維管理權(quán)限操作員管理員角色的一種，具有系統(tǒng)配置管理權(quán)限，如產(chǎn)品IP地址、運維用戶、運維對象管理等安全員管理員角色的一種，具有安全管理權(quán)限，如訪問控制策略管理等審計員管理員角色的一種，具有審計管理權(quán)限，如審計日志的查閱、分析、管理等安全技術(shù)要求安全技術(shù)要求分為安全功能要求、自身安全要求、安全保障要求三類。其中，安全功能要求是對安全運維系統(tǒng)應(yīng)具備的安全功能提出具體要求，包括運維用戶管理、運維對象管理、運維服務(wù)協(xié)議支持、運維訪問控制、告警、遠程訪問加密、運維審計、運維會話管理、高可用性、設(shè)備虛擬化、IPv6支持等；自身安全要求是對安全運維系統(tǒng)的自身安全保護提出具體要求，包括標識與鑒別、安全管理、審計日志等；安全保障要求針對安全運維系統(tǒng)的開發(fā)和使用文檔的內(nèi)容提出具體的要求，例如開發(fā)、指導(dǎo)性文檔、生命周期支持、測試和脆弱性評定等。測試評價方法本文件針對安全運維系統(tǒng)的安全技術(shù)要求提出對應(yīng)的測試評價方法，為使用本文件的人員提供一個測試評價安全運維系統(tǒng)的技術(shù)準則。測評方法部分包括了安全功能要求測評、自身安全要求測評、安全保障要求測評等，其內(nèi)容是針對安全技術(shù)要求中的基本級安全要求和增強級安全要求逐項制定的測試評價方法，可用于指導(dǎo)和規(guī)范安全運維系統(tǒng)的檢測工作。附錄A針對安全運維系統(tǒng)的典型應(yīng)用場景、部署方式進行了描述。2.3修訂前后技術(shù)內(nèi)容的對比[僅適用于國家標準修訂項目]標準制定項目，不涉及。三、主要試驗[或驗證]情況分析3.1試驗驗證的分析、綜述報告為了更全面地了解企業(yè)在攻擊面管理上的現(xiàn)狀以及所面臨的困難與挑戰(zhàn)，Randori與ESG日前開展了一項調(diào)查，對398位企業(yè)安全團隊負責(zé)人進行了訪談和調(diào)研，并發(fā)布了《2022年攻擊面管理現(xiàn)狀報告》，報告數(shù)據(jù)顯示：67%的受訪組織表示，他們的外部攻擊面在過去12個月中擴大了；69%的組織因未知、未受管理或管理不善的面向互聯(lián)網(wǎng)的資產(chǎn)而受到威脅。報告調(diào)研發(fā)現(xiàn)，在過去一年中，隨著遠程辦公人員數(shù)量、云解決方案和SaaS應(yīng)用程序使用量的不斷增加，企業(yè)組織的外部攻擊面進一步擴大。近幾年運維安全事故的不斷發(fā)生讓越來越多的政企客戶意識到組織內(nèi)部人員以及第三方運維人員的違規(guī)操作將給組織帶來巨大的甚至難以逆轉(zhuǎn)的經(jīng)濟利益損失，政企運維過程中的安全也成為了近兩年眾多客戶所關(guān)注的重點領(lǐng)域，安全運維管理市場呈現(xiàn)強勢發(fā)展的態(tài)勢。在《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》、“等保2.0”以及各行業(yè)規(guī)范的推動下，安全運維系統(tǒng)的應(yīng)用市場迎來了新的發(fā)展機遇，市場規(guī)模整體呈持續(xù)增長趨勢。2022年3月31日，安全牛發(fā)布了行業(yè)廣泛關(guān)注的《中國網(wǎng)絡(luò)安全行業(yè)全景圖（第九版）》，涉及二級細分領(lǐng)域2609項。其中，堡壘機位列收錄企業(yè)數(shù)量最多的細分領(lǐng)域TOP10。經(jīng)調(diào)研近兩年內(nèi)國內(nèi)安全運維系統(tǒng)相關(guān)的產(chǎn)品近300款，涉及230余家不同廠商，包括華為、騰訊、阿里云、安恒、齊治科技、天融信、奇安信、360、杭州美創(chuàng)、華軟金盾、山東兆物、西安交大捷普、網(wǎng)神、格爾軟件、安天、山石網(wǎng)科、神州綠盟、啟明星辰、網(wǎng)御星云等等安全廠商。3.2技術(shù)經(jīng)濟論證本標準的實施將有助于為國內(nèi)相關(guān)研發(fā)廠商、安全運維系統(tǒng)部署單位和檢驗檢測機構(gòu)的測評工作提供支持，確保要求、方法的一致性，提高測評的準確性、規(guī)范性、公平性，產(chǎn)品的合規(guī)性，以及重要信息系統(tǒng)安全運維保障能力，從而降低第三方測評機構(gòu)的測評開銷和企業(yè)自身的合規(guī)投入。3.3預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益根據(jù)中共中央、國務(wù)院印發(fā)的《國家標準化發(fā)展綱要》中的要求，強化標準實施應(yīng)用。為此，本項目將遵循國家“完善認證認可、檢驗檢測、政府采購、招投標等活動中應(yīng)用先進標準機制，推進以標準為依據(jù)開展宏觀調(diào)控、產(chǎn)業(yè)推進、行業(yè)管理、市場準入和質(zhì)量監(jiān)管”的思路，結(jié)合牽頭單位和參與單位的優(yōu)勢，開展標準的實施應(yīng)用。本標準的制定一方面支撐安全運維系統(tǒng)的規(guī)范化管理，同時也緊密貼合重要信息系統(tǒng)及關(guān)鍵信息基礎(chǔ)設(shè)施安全運維和資產(chǎn)內(nèi)控管理的合規(guī)性需求，為等保和關(guān)基相關(guān)要求的技術(shù)實現(xiàn)規(guī)范化提供重要參考，降低運維管理安全風(fēng)險。標準的適用對象包括安全運維系統(tǒng)的生產(chǎn)廠商、部署安全運維系統(tǒng)的系統(tǒng)運營單位、網(wǎng)絡(luò)安全主管部門以及進行安全檢測評估的檢驗檢測機構(gòu)。本項目標準發(fā)布后，首先，能夠指導(dǎo)產(chǎn)品的生產(chǎn)廠商對產(chǎn)品進行研發(fā)、生產(chǎn)和銷售；其次、能夠指導(dǎo)檢測認證機構(gòu)對該類型產(chǎn)品進行測評認證工作，標準可應(yīng)用于幾乎所有的網(wǎng)絡(luò)安全專用產(chǎn)品管理領(lǐng)域；此外，還能夠?qū)τ脩魡挝坏膽?yīng)用部署進行有效指導(dǎo)，形成部署方案并落地，滿足等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護等相關(guān)法律法規(guī)的合規(guī)性要求。四、與國際、國外同類標準技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況目前國際上無相關(guān)標準。五、以國際標準為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標準，并說明未采用國際標準的原因未采用國際標準。六、與有關(guān)法律、行政法規(guī)及相關(guān)標準的關(guān)系本標準與現(xiàn)行法律、法規(guī)以及國家標準不存在沖突與矛盾，且與《中華人民共和國網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護等合規(guī)性要求保持一致：《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任；（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。網(wǎng)絡(luò)安全等級保護基本要求在技術(shù)層面對安全運維提出了身份鑒別、訪問控制、操作審計等相關(guān)要求；在安全管理層面提出了系統(tǒng)運維管理、安全管理制度、安全事件處置等的相關(guān)要求。ISO27001標準中要求組織必須記錄用戶訪問、意外和信息安全事件的日志，并保留一定期限，以便為安全事件的調(diào)查和取證。相關(guān)的國家標準有GB/T36626-2018《信息安全技術(shù)信息系統(tǒng)安全運維管理指南》、GB/T34990-2017《信息安全技術(shù)信息系統(tǒng)安全管理平臺技術(shù)要求和測試評價方法》，但上述標準與本項目擬制定標準存在較大差異：1）從適用的對象和范圍來說：GB/T36626-2018是為信息系統(tǒng)運營者針對信息系統(tǒng)安全運維管理體系的建設(shè)提出指導(dǎo)；GB/T34990-2017中規(guī)范的對象是安全管理平臺，是基于等保要求對信息系統(tǒng)安全機制進行集中管理的平臺，管理對象是管理對象是計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡(luò)。而本項目標準規(guī)范的對象是針對內(nèi)控合規(guī)、降低運維管理風(fēng)險、提升內(nèi)部風(fēng)險控制水平等需求而形成的安全產(chǎn)品，并覆蓋傳統(tǒng)信息系統(tǒng)以及云、工控等應(yīng)用場景，是對系統(tǒng)重要