《网络安全法实施指南》发布(4)
|
3.3 关键信息基础设施安全控制措施
三、信息安全体系完善 按照《网络安全法》实施网络安全控制措施,是当前国内各类组织在信息安全方面的重要实践,但我们也要清醒地看到,落实法律的合规要求只是组织信息安全的最基本要求,法规不可能面面俱到。因此,就算组织逐条落实了法规的要求,也只是达到了合规的基本要求,也不能保证组织的信息安全体系达到一个完善的水平。 因此,在合规的基础上,我们建议组织根据《网络安全法》的要求,通过等级保护的方法来进一步完善信息安全保障体系,通过人员安全培训与意识教育来提升组织的人员安全能力,通过持续安全评估与IT审计来推进安全体系持续完善。 1. 等级保护相关规范标准 信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。 组织可以基于合规差距分析结果并参照网络安全等级保护和其他法规对信息安全的要求,建立健全组织信息安全保障体系,部署并完善安全管理策略和安全技术措施,持续稳定地提升信息安全水平。 到目前为止,国家制定与颁布了与等级保护相关的多个国家标准,一些重点行业也制定了本行业的信息安全等级保护标准,等级保护的方法近年来在国内得到广泛的应用。 已经发布的等级保护相关标准:
正在征求意见的等级保护标准修订稿 为配合国家落实《网络安全法》,等级保护标准的名称将由原来的GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》改为“信息安全技术 网络安全等级保护基本要求”,标准由原来的一个标准变更为多个部分组成的标准,分别为:
等级保护对象由原来的信息系统,调整为:安全等级保护的对象包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等。 等级保护相关的定级指南、测评指南、设计技术要求、测评要求、测评过程指南等相关标准也发布了相应的修订版(征求意见稿)。 2. 等级保护体系的设计 等级保护的设计分为安全策略设计、安全管理设计及安全技术设计三个方面的内容,形成信息安全保障体系的组织体系、策略体系、技术体系及运行体系。
2.1 总体安全策略设计 总体策略设计的目标是形成组织纲领性的安全策略文件,包括确定安全方针和安全策略两方面的内容。安全方针是阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;安全策略是说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、等级保护对象互连策略、信息流控制策略等。 通过方针与策略的设计,以便组织可以结合等级保护基本要求系列标准、行业基本要求和安全保护特殊要求,构建机构等级保护对象的安全技术体系结构和安全管理体系结构。对于新建的等级保护对象,应在立项时明确其安全保护等级,并按照相应的保护等级要求进行总体安全策略设计。 2.2 安全管理体系设计 根据等级保护基本要求系列标准、行业基本要求、安全需求分析报告等,设计等级保护对象安全管理体系框架。主要是从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面进行设计。 安全管理体系设计成果可分为四层。第一层为总体方针、安全策略,通过信息安全总体方针、安全策略明确机构信息安全工作的总体目标、范围、原则等。第二层为信息安全管理制度,通过对信息安全活动中的各类内容建立管理制度,约束信息安全相关行为。第三层为安全技术标准、操作规程,通过对管理人员或操作人员执行的日常管理行为建立操作规程,规范信息安全管理制度的具体技术实现细节。第四层为记录、表单,用于在信息安全管理制度、操作规程实施时需填写的表单和需保留的操作记录。
2.3 安全技术体系设计 (编辑:ASP站长网) |
Redis未授权检测漏洞G
严峻Web对抗环境下的W
遭黑客盗走AMD GPU 部
企业级信息防泄漏大方