5.7  投产运维阶段研发风险管控工作流程

5.7 投产运维阶段研发风险管控工作流程

投产阶段主要完成安全回馈工作，工作流程如图5-8所示。

图5-8 投产阶段研发风险管控工作流程

（1）活动目标 编制信息系统安全操作手册，清晰告知系统操作人员如何正确进行安全配置和异常监控，及时反馈系统缺陷和脆弱点，推动安全功能的持续优化改进。

（2）参与角色 系统操作人员、项目经理、信息安全经理、信息安全督导员。

（3）活动输入 待投产的信息系统。

（4）活动描述 本活动主要包括以下子活动内容：

1）安全投产。由项目经理牵头组织制定投产方案和应急预案，做好投产相关准备工作。投产实施后应验证和复核信息系统安全配置，并形成信息系统的安全配置基线。

2）安全运维。由信息安全经理牵头，制定信息系统安全操作手册，清晰告知系统操作人员如何正确进行安全配置和异常监控，并制定应急响应计划。系统操作人员应严格按照安全操作手册进行系统运维工作。

3）安全改进。在运维过程中，系统操作人员应及时反馈系统缺陷和脆弱点，由信息安全经理组织对安全功能进行持续优化改进。

（5）活动输出 已投产的信息系统、安全回馈信息。