2.2.3工作流程管理

　　信息安全管理流程包括信息安全培训工作流程、信息安全运行维护工作流程、信息安全风险控制流程、信息安全应急处置流程、信息安全监督检查与改进流程等各项管理工作流程。应根据工作实际情况，建立健全、持续改进、推广应用先进的信息安全管理工作流程，使铁路信息安全管理和运行维护工作专业化、标准化、规范化。

　　2.3建立信息安全运行维护管理体系

　　2.3.1安全风险管理

　　铁路信息系统安全管理中心采用风险评估的方法，分析和评估系统的风险源和安全威胁源，并根据各类信息资产的重要程度和价值，选择适当的控制措施减缓风险。铁路局要组织建立安全风险管理体系，进行信息资产风险评估和风险处理。从理论上，风险只能降低或减少而不能完全消除。选择控制措施的原则是既能使铁路信息系统受到与其价值和保密等级相符的保护，将其所受的风险降低到可接受的水准，又能使所需要的费用在预算范围之内，使铁路行业能够保持良好的竞争力和成功运作的状态。另外，系统的风险是动态的，风险评估活动应定期进行，特别是在系统的核心功能及技术发生重大变化和内外环境发生重大变化时，风险评估应重新进行。

　　2.3.2安全运行维护

　　铁路信息系统安全运行维护管理依托安全管理中心实现系统的安全运行维护。铁路总公司信息系统安全管理中心运行维护平台可实现对系统中的网络、主机、安全系统、数据库、中间件、存储备份设备和应用系统的可视、可控、可管理，协助运行维护人员监控系统和及时发现问题。各铁路局安全管理部门运行维护人员应通过使用运行维护平台，积极开展运行维护管理工作，实现铁路局安全监管监察部门与铁路总公司安全运行维护工作的有效连接。对各地区安全管理部门能够处理的事件，按照路局区域内管理流程执行，并定时向铁路总公司安全管理中心上报故障情况并提交运行维护处理单。

　　2.3.3安全应急响应

　　铁路信息系统安全应急响应体系的建立应做好以下5个阶段工作。

　　（1）保护阶段：制定应急反应工作流程计划、确定预警和报警的方法、建立备份的体系和流程、建立安全的系统、进行应急反应事件处理的预演。

　　（2）预警与报警：识别和发现各种安全的紧急事件。在紧急情况发生前，产生安全的预警报告，在紧急情况发生时，产生安全警报给应急反应中心。应急反应中心将根据事件的级别，采取相应措施。

　　（3）牵制与反馈：在确认紧急事件发生的情况下，应急反应中心将根据预先制定的反应计划，进入应急反应流程。同时，应急反应系统本身将根据预先制定的规则，采取相应的措施，把紧急事件的影响降到最小。

　　（4）消除阶段：对于系统内部病毒，应该采用最新的病毒专杀工具清除。对于系统的外部入侵和非法授权访问等，应该通过专用的漏洞扫描工具发现系统存在哪些漏洞，然后采用相应的手段消除漏洞安全隐患。对于入侵攻击或超量访问要采用有效的拦截和限量访问措施，使系统资源处于可控范围。

　　（5）恢复阶段：在数据或者系统被破坏，无法修复的情况下，应进行系统的恢复，且恢复要依据预先制定的恢复流程严格进行。

　　2.3.4安全策略优化

　　制定有效的安全策略，当原有安全策略无法满足现有系统的安全需求时，要结合实际情况对系统安全管理策略进行调整优化，以适应新的安全管理制度。制定出符合铁路信息系统的安全管理策略，以确保系统的信息安全保密性为主，采用多层次保护、最小授权、综合保护和严格管理等措施。

　　2.3.5安全检查审计

　　安全检查审计依托安全管理平台，通过对铁路信息系统中相关信息的收集、分析和报告，判定现有系统安全控制手段的有效性，检查系统的误用和滥用行为，统计系统的安全事件，并按照安全事件的影响和危害程度进行等级划分，从而验证当前安全策略的合规性，为以后的归纳总结，安全系统的进一步改善提供依据。安全管理平台根据从专项的日志审计产品、终端审计产品、数据库审计产品和应用审计产品中收集上来的信息进行关联分析，进行审计规则匹配，发现违规行为并进行告警和响应。通过安全审计与安全管理平台的融合，使得安全审计体系的建设与安全管理平台的建设目标达成了一致，有助于铁路信息系统整体安全体系的形成和完善，并通过对安全事件的分析，把握系统安全威胁的发展趋势，形成日报告或周报告进行定期安全信息通报，为系统的安全策略优化提供决策性指导。