引言

信息系統及其運行環境都存在著脆弱性，易受到各種安全威脅，影響業務正常運行。有效的安全運維管理，可以規范組織的安全運維行為，降低系統受攻擊的概率，提升安全事件的應對效率，保障信息系統的安全運行。
GB/T 22081—2016《信息技術　安全技術　信息安全控制實踐指南》、GB/T 28827.1—2012 《信息技術服務 運行維護 第1部分：通用要求》、GB/T 28827.3—2012 《信息技術服務 運行維護 第3部分：應急響應規范》、GB/T 25058—2010《信息安全技術　信息系統安全等級保護實施指南》、GB/T 31722—2015《信息技術　安全技術　信息安全風險管理（ISO/IEC 27005:2008，IDT）》等國家標準對信息系統安全運維都有所涉及，但每個標準只給出了安全運維的部分內容，系統性不夠。為有效指導信息系統安全運維，本標準從安全運維策略、安全運維組織、安全運維規程和安全運維支撐系統四個方面，系統性的描述了信息系統安全運維管理體系，給出了安全運維活動的目的、要求和實施指南。
本標準為政府部門和企事業單位在安全運維領域實施GB/T22081—2016《信息技術　安全技術　信息安全控制實踐指南》、GB/T 20269—2006《信息安全技術　信息系統安全管理要求》、GB/T 24405.1—2009《信息技術　服務管理　第1部分：規范》和GB/T 24405.2—2010《信息技術　服務管理　第2部分：實踐規則》以及COBIT 5等標準提供指導。