高清无码男男同同性,久久久久日韩AV无码一区,自拍 另类 综合 欧美小说,尤物网址在线观看

0371-63319761
您的當(dāng)前位置:主頁 > 安全研究 > 安全研究 >

網(wǎng)絡(luò)安全體系:七分看管理

時(shí)間:2019-07-06


       隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻,各個(gè)單位對于網(wǎng)絡(luò)安全工作也逐漸重視起來,尤其是近些年通過開展網(wǎng)絡(luò)安全等級保護(hù)工作,各個(gè)網(wǎng)絡(luò)運(yùn)營者也對于網(wǎng)絡(luò)安全工作有了更加體系化的認(rèn)識(shí)。中國軟件評測中心認(rèn)為,網(wǎng)絡(luò)安全建設(shè)工作不僅僅是簡單的購買安全設(shè)備,部署安全措施,還需要建立覆蓋全面、層次分明的網(wǎng)絡(luò)安全管理制度體系和完備的網(wǎng)絡(luò)安全管理組織結(jié)構(gòu)作為支撐,比如物理安全、人力資源安全、業(yè)務(wù)連續(xù)性管理等都無法純粹依靠技術(shù)來實(shí)現(xiàn),更多的是要靠管理來實(shí)現(xiàn),并且在單位的信息安全管理中,除了產(chǎn)品和技術(shù)外,人員的因素也是非常重要的。安全最重要的是落實(shí),各項(xiàng)安全制度如果不落實(shí),安全就無從談起。所謂的“三分技術(shù),七分管理”,正是說明了網(wǎng)絡(luò)安全管理體系建設(shè)的重要性。

       然而,在開展網(wǎng)絡(luò)安全體系建設(shè)工作中,很多單位隨著開展等級保護(hù)工作的過程中,或者通過信息安全管理建設(shè)專項(xiàng)工作,建立了一整套完備安全管理制度文檔,從安全策略、管理制度、規(guī)范流程一直到記錄表格都覆蓋到了滿足網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)要求的方方面面,但面對幾十個(gè)文檔,很多網(wǎng)絡(luò)安全管理人員往往覺得無從下手,不知如何切實(shí)將各個(gè)制度和流程得以落實(shí)。對此,中國軟件評測中心認(rèn)為,相關(guān)企業(yè)從應(yīng)付檢查和標(biāo)準(zhǔn)要求,到建立起逐漸運(yùn)轉(zhuǎn)起來安全工作體系,還需要一定的方法。

管理體系

網(wǎng)絡(luò)安全管理體系落地思路

       安全管理體系落地過程中,很多單位的做法是面向單位全體人員發(fā)布一整套制度要求,就沒有了后續(xù)的具體落實(shí)工作,而系統(tǒng)的使用者和管理者也不清楚自己在管理體系中的作用和職責(zé),使得制度文檔并不能起到實(shí)際作用。

       開展安全管理體系建設(shè)工作,需要遵循以點(diǎn)帶面、分步實(shí)施、逐步增強(qiáng)的思路來逐漸落實(shí)和完善各項(xiàng)安全工作。每次以某一方面的具體策略、制度、流程開展專項(xiàng)工作,通過培訓(xùn)和考核、檢查、演練和總結(jié)的逐步增強(qiáng)方式,按部就班的確實(shí)落實(shí)每一項(xiàng)管理要求。

1、完善安全管理組織結(jié)構(gòu)

       很多傳統(tǒng)單位的網(wǎng)絡(luò)安全工作一般會(huì)落在信息中心或信息管理處等部門作為安全工作的職能部門,出于對安全建設(shè)工作的傳統(tǒng)認(rèn)識(shí),很多專業(yè)技術(shù)工作、安全技術(shù)手段的實(shí)現(xiàn),的確都是依托于信息中心或信息管理處這樣的部門來具體落實(shí)的,但網(wǎng)絡(luò)安全管理工作,是面向全單位的管理要求,在將安全管理要求推廣到全單位各個(gè)部門、系統(tǒng)的各個(gè)使用者時(shí),有時(shí)候作為一個(gè)職能部門的推進(jìn)能力就比較有限了,需要從最高管理層來統(tǒng)一規(guī)劃、統(tǒng)一要求,統(tǒng)一推動(dòng)全單位的安全管理工作得以落實(shí),成立網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組的意義便在于此。

       從領(lǐng)導(dǎo)層統(tǒng)一決策和要求各項(xiàng)安全工作,具體的工作還是需要通過安全職能部門來落實(shí),需要區(qū)分各個(gè)安全管理崗位,明確各個(gè)崗位的安全管理職責(zé),確保每項(xiàng)安全管理工作都能有具體的負(fù)責(zé)人員。對于很多單位的安全管理隊(duì)伍還存在欠缺,可以先借助第三方專業(yè)力量完成一些具體的技術(shù)實(shí)現(xiàn)工作,由部門安全管理人員起到管理和監(jiān)督的作用。對于第三方人員,不應(yīng)把他們放在安全責(zé)任之外,反而更應(yīng)該加強(qiáng)各方面的安全管理,并且也應(yīng)納入到安全培訓(xùn)、考核、檢查以及演練的重點(diǎn)對象中來。此外,在落實(shí)各項(xiàng)安全管理要求的過程中,還需要各個(gè)業(yè)務(wù)部門的充分配合,建立完善的溝通協(xié)調(diào)機(jī)制。

2、以培訓(xùn)提高安全意識(shí)和能力

       很多單位的網(wǎng)絡(luò)安全管理專業(yè)隊(duì)伍還存在欠缺,需要不斷完善網(wǎng)絡(luò)安全管理人員的配備,除了引入專業(yè)人才、借助第三方專業(yè)安全服務(wù)機(jī)構(gòu)外,也需要不斷提升現(xiàn)有網(wǎng)絡(luò)安全管理人員的安全意識(shí)和安全技術(shù)能力,通過持續(xù)的培訓(xùn)與考核,使安全管理隊(duì)伍能夠持續(xù)提高,從容應(yīng)對不斷增長的網(wǎng)絡(luò)安全管理要求。

       培訓(xùn)可以采用內(nèi)部培訓(xùn)、專家講座、外部培訓(xùn)等形式,主要包括如下幾個(gè)方面:

       1、網(wǎng)絡(luò)安全政策法規(guī)、網(wǎng)絡(luò)安全形勢培訓(xùn);
       2、網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)和技術(shù)要求培訓(xùn);
       3、安全管理制度體系培訓(xùn);
       4、各系統(tǒng)安全操作、安全運(yùn)維管理培訓(xùn);
       5、各類設(shè)備、系統(tǒng)的安全技術(shù)培訓(xùn);
       6、提升網(wǎng)絡(luò)安全管理人員能力的各類外部培訓(xùn)等。

       為了能讓培訓(xùn)效果落到實(shí)處,在培訓(xùn)后對培訓(xùn)成果進(jìn)行考核,并且依據(jù)培訓(xùn)中涉及的要求,進(jìn)行專項(xiàng)檢查工作,依據(jù)獎(jiǎng)懲制度公布考核和檢查的相關(guān)結(jié)果。

3、以專項(xiàng)檢查推進(jìn)制度落地

       安全管理制度體系涉及到了各個(gè)層級人員、各方面的安全管理管理工作,如何將制度體系貫徹執(zhí)行,使其確實(shí)起到指導(dǎo)作用,在安全管理制度體系建設(shè)工作中一直是一個(gè)難點(diǎn)。

       管理制度體系主要分為策略、規(guī)定、流程和具體操作及參數(shù)要求。對于總體策略、規(guī)定和流程,通過統(tǒng)一發(fā)布和執(zhí)行能夠得到落實(shí),但對于安全配置要求、安全操作要求,如用戶口令復(fù)雜度、長度、定期更換要求等,往往涉及到了影響系統(tǒng)使用和管理人員的操作習(xí)慣和便利性,在在制度要求的推進(jìn)過程中需要一定方法來確保其落實(shí)到位。依據(jù)分布執(zhí)行的管理思路,依據(jù)安全要求落實(shí)的難易程度、相應(yīng)安全風(fēng)險(xiǎn)的緊急程度分步逐項(xiàng)執(zhí)行。通過統(tǒng)一發(fā)布制度要求,統(tǒng)一進(jìn)行專項(xiàng)安全培訓(xùn),讓相關(guān)人員了解管理要求后,還需要通過專項(xiàng)安全檢查工作,對安全要求的實(shí)施結(jié)果進(jìn)行檢查,將其結(jié)果與單位的考核及獎(jiǎng)懲制度相結(jié)合,并且通過檢查結(jié)果還可以發(fā)現(xiàn)普遍安全問題以及安全管理制度的合理性和適用性問題,從而及時(shí)對管理制度進(jìn)行修訂。將安全檢查工作常態(tài)化,并且通過逐項(xiàng)增加檢查內(nèi)容的方式,循序漸進(jìn)的分步將管理制度的各項(xiàng)具體要求得以落實(shí)。

4、以演練找出流程缺陷

       在安全管理體系中,要求對安全事件進(jìn)行了分類、分級,建立不同級別的處置流程,并且對不同類型的安全事件都要建立專項(xiàng)應(yīng)急預(yù)案,為確保安全事件處置流程和各類事件的應(yīng)急預(yù)案能夠在發(fā)生安全事件時(shí)確實(shí)起到作用,能夠指導(dǎo)應(yīng)急處置工作,需要對應(yīng)急預(yù)案進(jìn)行定期演練,通過演練使系統(tǒng)相關(guān)使用、管理人員熟悉處置流程,掌握系統(tǒng)應(yīng)急操作的關(guān)鍵步驟,確保在發(fā)生事件時(shí)候能夠妥善進(jìn)行處理。

       演練工作主要是模擬安全事件,因此在開展以前應(yīng)該充分考慮其可能給系統(tǒng)帶來的安全風(fēng)險(xiǎn),盡量在測試環(huán)境中進(jìn)行,或提前做好備份工作,對于不具備審計(jì)操作演練條件的系統(tǒng)環(huán)境,也可以沙盤推演等方式進(jìn)行模擬演練。通過演練工作,能夠及時(shí)發(fā)現(xiàn)處置流程中的問題以及應(yīng)急處置方法中的缺陷,并且能夠找出處置人員的安全認(rèn)知和技術(shù)能力的不足以及操作規(guī)程、指導(dǎo)手冊、運(yùn)維文檔的缺失,找到接下來開展安全建設(shè)的重點(diǎn)方向。

       中國軟件評測中心認(rèn)為:網(wǎng)絡(luò)安全管理工作的落地,重點(diǎn)還是在于單位對于網(wǎng)絡(luò)安全工作的重視程度,如果只是想應(yīng)對檢查和監(jiān)管要求,存儲(chǔ)在安全管理員文件夾中的幾十個(gè)文檔看起來的確是一個(gè)很重的負(fù)擔(dān),但是從企業(yè)自身安全需求出發(fā),切實(shí)重視起安全工作對于企業(yè)穩(wěn)定發(fā)展的重要性,從每一個(gè)細(xì)節(jié)著手,逐步提升,不斷改進(jìn),讓安全管理制度中的每項(xiàng)要求落實(shí)到每位系統(tǒng)使用者和管理者的日常工作中,單位的網(wǎng)絡(luò)安全防護(hù)能力也一定能夠穩(wěn)步提升。

        來源:中國軟件測評中心

Copyright © 2017-2024 河南中瀚安全技術(shù)有限公司 版權(quán)所有 豫ICP備18011434號(hào)-1 豫公網(wǎng)安備 41019702002746號(hào)