總體概述
上一期的文章中,安言諮詢為大家介紹了網絡安全等級保護與信息系統等級保護五個技術領域的變化內容,本期將為大家介紹五個管理領域的變化內容
安全管理制度變化內容
安全管理制度變化內容1:應制定網絡安全工作的總體方針和安全策略,闡明機構安全工作的總體目標、範圍、原則和安全框架等
對應級別:三級
說明:此條款明確了組織在建立信息安全管理體系時必須建立信息安全的總體方針和策略,例如“依法合規、管控風險、深化落地、持續改進“此類的方針策略,內容不限,但要結合組織實際;另外還要明確管理體系的範圍、目標、原則等,此要求與多數ISO標準相同,若公司已通過ISO27001的安全認證,可等同採用ISO27001文件集中的相關內容。
安全管理制度變化內容2: 應形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度體系。
對應級別:三級
說明:對信息安全管理體系的架構做出了要求。要求企業的信息安全管理體系/制度從策略、制度、規程和記錄的四層文檔進行建設。
安全管理制度變化內容3:應定期對安全管理制度的合理性和適用性進行論證和審定,對存在不足或需要改進的安全管理制度進行修訂。
對應級別:三級
說明:要求定期對信息安全制度進行評審,以確保信息安全管理制度的適宜性。PS:因等保測評工作每年開展一次,為保證在測評時每一個控制項都能得到有效的驗證,所以定期原則上不能超過每一個測評週期(即每年至少開展一次制度評審工作)
安全管理機構變化內容
安全管理機構變化內容1:應成立指導和管理網絡安全工作的委員會或領導小組,其最高領導由單位主管領導擔任或授權。
對應級別: 三級
說明:1、成立網絡安全工作的組織(需明確組織的架構和職責,同時對於組織中的角色須與公司人員對應,以推動組織可以良好的運行);
2組織的最高領導需得到授權(要獲取授權發文的記錄或由公司高級領導層簽訂的授權書)。
安全管理機構變化內容2:應針對系統變更、重要操作、物理訪問和系統接入等事項執行審批過程,對重要活動建立逐級審批制度。
對應級別:三級
說明:從測評角度,對所有的重要活動要建立審批機制,並且保留審批記錄。
安全管理機構變化內容3:應定期進行全面安全檢查,檢查內容包括現有安全技術措施的有效性、安全配置與安全策略的一致性、安全管理制度的執行情況等。
對應級別:三級
說明:類似於ISO標準的內部審核或各類監管機構要求企業進行的自評估活動,以判斷企業內部在管理和技術上的問題,並制定整改計劃推動整改。
安全管理機構變化內容4:應制定安全檢查表格實施安全檢查,彙總安全檢查數據,形成安全檢查報告,並對安全檢查結果進行通報。
對應級別:三級
說明:此條和上一條的要求有點類似,但此條更注重於檢查的策劃、檢查表的製作,檢查報告和檢查通報。
安全管理人員變化內容
安全管理人員變化內容1:應定期對不同崗位的人員進行技能考核
對應級別:三級
說明:首次提出針對技能進行考核,也就是針對不同崗位(運維、安全、開發、測試等),進行相關技能培訓與考核,同時在制度和培訓考核計劃中也要有體現。
安全建設管理變化內容
安全建設管理變化內容1:應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定。
對應級別:三級
說明:強調系統定級的結果要得到相關技術專家的論證和審定。
安全建設管理變化內容2:應組織相關部門和有關安全專家對安全整體規劃及其配套文件的合理性和正確性進行論證和審定,經過批准後才能正式實施。
對應級別:三級
說明:原信息系統等級保護提倡自主定級,但在網絡安全等級保護則改為專家定級,意味著後續的測評前需由主管部門、測評機構等專家機構進行定級決策。
安全建設管理變化內容3:應根據保護對象的安全保護等級及與其他級別保護對象的關係進行安全整體規劃和安全方案設計,設計內容應包含密碼技術相關內容,並形成配套文件。
對應級別:三級
說明:本項要求其實是對三同步的要求,即同步規劃(在業務規劃的階段,應當同步納入安全要求,引入安全措施)、同步建設(在項目建設階段,通過合同條款落實設備供應商、廠商和其他合作方的責任,保證相關安全技術措施的順利準時建設)、同步使用(安全驗收後的日常運營維護中,應當保持系統處於持續安全防護水平,且運營者每年對關鍵信息基礎設施需要進行一次安全檢測評估)。
安全建設管理變化內容4:應制定代碼編寫安全規範,要求開發人員參照規範編寫代碼。
對應級別:三級
說明:首先明確編碼的語言,再根據編碼語言編制代碼編寫安全規範知道自研項目/完全外包開發項目的編碼工作。
安全建設管理變化內容5:應在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測。
對應級別:三級
說明:針對自研軟件/完全外包開發的編碼階段和測試階段提出安全性需求。
安全建設管理變化內容6:應在軟件交付前檢測其中可能存在的惡意代碼。
對應級別:三級
說明:在軟件交付前應進行惡意代碼檢測,確保無惡意代碼後完成軟件交付工作。
安全建設管理變化內容7:應保證開發單位提供軟件源代碼,並審查軟件中可能存在的後門和隱蔽信道。
對應級別:三級
說明:首次提出要外包開發商提供上線前安全測試報告、代碼審計報告以及源代碼。
安全建設管理變化內容8:應通過第三方工程監理控制項目的實施過程
對應級別:三級
說明:外包項目需要聘請第三方監理,對整個項目過程質量進行把控和監督,並實時彙報和協調。
安全運維管理變化內容
安全運維管理變化內容1:應編制並保存與保護對象相關的資產清單,包括資產責任部門、重要程度和所處位置等內容。
對應級別: 三級
說明:與ISO27001中提到的資產清單類似,不過對於等級保護,更側重於系統的相關信息資產。
安全運維管理變化內容2:應根據資產的重要程度對資產進行標識管理,根據資產的價值選擇相應的管理措施。
對應級別:三級
說明:側重對資產進行分級管理和標識,對於不同級別的資產要有不同的標識和管控措施。
安全運維管理變化內容3:應對信息分類與標識方法做出規定,並對信息的使用、傳輸和存儲等進行規範化管理。
對應級別:三級
說明:這裡是對數據治理提出要求,在管理制度中明確對於信息資產的分類和標識依據和規範。
安全運維管理變化內容4:應採取必要的措施識別安全漏洞和隱患,對發現的安全漏洞和隱患及時進行修補或評估可能的影響後進行修補。
對應級別:三級
說明:定期開展漏洞掃描等一些安全檢測,對於發現的問題進行評估和修補。
安全運維管理變化內容5:應嚴格控制遠程運維的開通,經過審批後才可開通遠程運維接口或通道,操作過程中應保留不可更改的審計日誌,操作結束後立即關閉接口或通道。
對應級別:三級
說明:原則上不開通遠程運維接口。通常運維人員一般都應該在機房或辦公環境內操作,除非特殊情況,會進行遠程運維操作,按照要求以後此類操作要事先審批,通過後開通臨時接口,操作完成後關閉接口,同時需保留遠程操作的日誌便於審計。
安全運維管理變化內容6:對造成系統中斷和造成信息洩露的重大安全事件應採用不同的處理程序和報告程序。
對應級別:三級
說明:1、首先要進行安全事件的分級;2、對於重大的安全事件的處理和彙報程序應與普通的程序加以區分,同時酌情增設應急預案,例如“信息洩露應急預案“。
安全運維管理變化內容7:應定期對系統相關的人員進行應急預案培訓,並進行應急預案的演練。
對應級別:三級
說明:針對應急預案每年進行培訓,測評時會查看培訓的計劃、培訓材料等相關材料。
總結
隨著網絡安全等級保護的正式實施,國家對於網絡安全等級保護的工作落實也愈發重視,所以安言諮詢為大家準備了兩期的“小攻略”,希望企業可以順利的通過測評。同時安言諮詢也會提供優質的網絡安全等級保護諮詢服務,協助客戶完成測評工作。
閱讀更多 安言諮詢 的文章
