授权管理：

严格的多层级审批；

最小权限；

默认拒绝

日常权限变更及账户注销流程严格控制；

明确审批岗位职责；

设立二次确认监督岗位

职责分离：

基本互斥运维岗位职责分离；

业务相关技术操作职责分离；

重要岗位实行轮岗制度；

运维安全：

安全运维：

运维目标参考标准

运维服务管理（itl）

国际安全标准（ISO27001）

等级保护

金融、运营商互联网行业最佳实践

建立可优化、可扩展的业务风险管控模型

规范化运维、操作可控、业务安全融合、高效安全管理

1.总体框架

1.1 运维的总体目标

      基础&业务

      安全与业务的关系

     总体目标：控制风险

安全战略：

    风险控制与IT技术结合，使风险控制能够有效落地

   提升信息风险管理价值，与企业价值紧密相连

   建立可优化，可扩展的业务风险控制模型

2.运维安全

    面向信息系统运维人员

3.安全运维

     面向安全运维人员

4.运维体系

运维安全参考框架：

1.运维服务管理itil

2.国际安全标准，ISO27001

3.等级保护

4.金融，运营商，互联网行业最佳实践

安全保障：

1. 规范：面向标准技术合规，面向监管技术合规，与管理体系统一

2.可控:

   操作可控，授权可控，操作过程可控，风险回溯管理

3. 效率

高效安全管理

将安全融入流程

引进先进的管理实践

建立快速高效的队伍

4. 融合

业务安全融合

深入了解业务需求

数据视角关注业务

业务风险管理导向

------------------

第二章：运维安全

基础工作：

1. 操作维护

      明确职责

      规范维护

      可控操作

      健康稳定

2.综合监控

      深入底层

      全面反馈

      高效分析

      跟踪处置

3. 应急响应

      制定方案

      全面准备

      组织保障

      及时确认

     有效控制

     挖掘根源

     恢复监控

     跟踪保障

4. 备份恢复

CIA:保密性，完整性，可用性