|
|
|
|
|
|
来源: 发布日期:2019.12.24 点击量:
总体概述
上一期的文章中,安言咨询为大家介绍了网络安全等级保护与信息系统等级保护五个技术领域的变化内容,本期将为大家介绍五个管理领域的变化内容。
安全管理制度变化内容
安全管理制度变化内容1:应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。
对应级别:三级
说明:此条款明确了组织在建立信息安全管理体系时必须建立信息安全的总体方针和策略,例如“依法合规、管控风险、深化落地、持续改进“此类的方针策略,内容不限,但要结合组织实际;另外还要明确管理体系的范围、目标、原则等,此要求与多数ISO标准相同,若公司已通过ISO27001的安全认证,可等同采用ISO27001文件集中的相关内容。
安全管理制度变化内容2:应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。
对应级别:三级
说明:对信息安全管理体系的架构做出了要求。要求企业的信息安全管理体系/制度从策略、制度、规程和记录的四层文档进行建设。
安全管理制度变化内容3:应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。
对应级别:三级
说明:要求定期对信息安全制度进行评审,以确保信息安全管理制度的适宜性。PS:因等保测评工作每年开展一次,为保证在测评时每一个控制项都能得到有效的验证,所以定期原则上不能超过每一个测评周期(即每年至少开展一次制度评审工作)。
安全管理机构变化内容
安全管理机构变化内容1:应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权。
对应级别:三级
说明:1、成立网络安全工作的组织(需明确组织的架构和职责,同时对于组织中的角色须与公司人员对应,以推动组织可以良好的运行);
2、组织的最高领导需得到授权(要获取授权发文的记录或由公司高级领导层签订的授权书)。
安全管理机构变化内容2:应针对系统变更、重要操作、物理访问和系统接入等事项执行审批过程,对重要活动建立逐级审批制度。
对应级别:三级
说明:从测评角度,对所有的重要活动要建立审批机制,并且保留审批记录。
安全管理机构变化内容3:应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。
对应级别:三级
说明:类似于ISO标准的内部审核或各类监管机构要求企业进行的自评估活动,以判断企业内部在管理和技术上的问题,并制定整改计划推动整改。
安全管理机构变化内容4:应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
对应级别:三级
说明:此条和上一条的要求有点类似,但此条更注重于检查的策划、检查表的制作,检查报告和检查通报。
安全管理人员变化内容
安全管理人员变化内容1:应定期对不同岗位的人员进行技能考核。
对应级别:三级
说明:首次提出针对技能进行考核,也就是针对不同岗位(运维、安全、开发、测试等),进行相关技能培训与考核,同时在制度和培训考核计划中也要有体现。
安全建设管理变化内容
安全建设管理变化内容1:应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定。
对应级别:三级
说明:强调系统定级的结果要得到相关技术专家的论证和审定。
安全建设管理变化内容2:应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。
对应级别:三级
说明:原信息系统等级保护提倡自主定级,但在网络安全等级保护则改为专家定级,意味着后续的测评前需由主管部门、测评机构等专家机构进行定级决策。
安全建设管理变化内容3:应根据保护对象的安全保护等级及与其他级别保护对象的关系进行安全整体规划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件。
对应级别:三级
说明:本项要求其实是对三同步的要求,即同步规划(在业务规划的阶段,应当同步纳入安全要求,引入安全措施)、同步建设(在项目建设阶段,通过合同条款落实设备供应商、厂商和其他合作方的责任,保证相关安全技术措施的顺利准时建设)、同步使用(安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平,且运营者每年对关键信息基础设施需要进行一次安全检测评估)。
安全建设管理变化内容4:应制定代码编写安全规范,要求开发人员参照规范编写代码。
对应级别:三级
说明:首先明确编码的语言,再根据编码语言编制代码编写安全规范知道自研项目/完全外包开发项目的编码工作。
安全建设管理变化内容5:应在软件开发过程中对安全性进行测试,在软件安装前对可能存在的恶意代码进行检测。
对应级别:三级
说明:针对自研软件/完全外包开发的编码阶段和测试阶段提出安全性需求。
安全建设管理变化内容6:应在软件交付前检测其中可能存在的恶意代码。
对应级别:三级
说明:在软件交付前应进行恶意代码检测,确保无恶意代码后完成软件交付工作。
安全建设管理变化内容7:应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
对应级别:三级
说明:首次提出要外包开发商提供上线前安全测试报告、代码审计报告以及源代码。
安全建设管理变化内容8:应通过第三方工程监理控制项目的实施过程。
对应级别:三级
说明:外包项目需要聘请第三方监理,对整个项目过程质量进行把控和监督,并实时汇报和协调。
安全运维管理变化内容
安全运维管理变化内容1:应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容。
对应级别:三级
说明:与ISO27001中提到的资产清单类似,不过对于等级保护,更侧重于系统的相关信息资产。
安全运维管理变化内容2:应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施。
对应级别:三级
说明:侧重对资产进行分级管理和标识,对于不同级别的资产要有不同的标识和管控措施。
安全运维管理变化内容3:应对信息分类与标识方法做出规定,并对信息的使用、传输和存储等进行规范化管理。
对应级别:三级
说明:这里是对数据治理提出要求,在管理制度中明确对于信息资产的分类和标识依据和规范。
安全运维管理变化内容4:应采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补。
对应级别:三级
说明:定期开展漏洞扫描等一些安全检测,对于发现的问题进行评估和修补。
安全运维管理变化内容5:应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。
对应级别:三级
说明:原则上不开通远程运维接口。通常运维人员一般都应该在机房或办公环境内操作,除非特殊情况,会进行远程运维操作,按照要求以后此类操作要事先审批,通过后开通临时接口,操作完成后关闭接口,同时需保留远程操作的日志便于审计。
安全运维管理变化内容6:对造成系统中断和造成信息泄露的重大安全事件应采用不同的处理程序和报告程序。
对应级别:三级
说明:1、首先要进行安全事件的分级;2、对于重大的安全事件的处理和汇报程序应与普通的程序加以区分,同时酌情增设应急预案,例如“信息泄露应急预案“。
安全运维管理变化内容7:应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。
对应级别:三级
说明:针对应急预案每年进行培训,测评时会查看培训的计划、培训材料等相关材料。
随着网络安全等级保护的正式实施,国家对于网络安全等级保护的工作落实也愈发重视,所以安言咨询为大家准备了两期的“小攻略”,希望企业可以顺利的通过测评。同时安言咨询也会提供优质的网络安全等级保护咨询服务,协助客户完成测评工作。
更多关于网络安全等级保护的相关业务与内容,请持续关注我们。
详情请咨询:
电话:021-62101209-811
邮件:mkt@aryasec.com
相关新闻:
