<output id="cbeuj"><legend id="cbeuj"><address id="cbeuj"></address></legend></output>
      <output id="cbeuj"></output>
      <output id="cbeuj"><video id="cbeuj"></video></output><acronym id="cbeuj"><pre id="cbeuj"><dd id="cbeuj"></dd></pre></acronym>
    1. <label id="cbeuj"><button id="cbeuj"><address id="cbeuj"></address></button></label>
    2. <code id="cbeuj"><object id="cbeuj"></object></code>

          <listing id="cbeuj"></listing>
          1. <meter id="cbeuj"><delect id="cbeuj"></delect></meter>

            <listing id="cbeuj"><object id="cbeuj"></object></listing>

          2. <meter id="cbeuj"></meter>
              <tt id="cbeuj"><wbr id="cbeuj"><big id="cbeuj"></big></wbr></tt>

              <output id="cbeuj"><pre id="cbeuj"></pre></output>
            1. <small id="cbeuj"><delect id="cbeuj"></delect></small>
                1. <listing id="cbeuj"></listing>
                2. <output id="cbeuj"><pre id="cbeuj"></pre></output>

                3. <tt id="cbeuj"><button id="cbeuj"><dd id="cbeuj"></dd></button></tt>
                  1. <cite id="cbeuj"></cite>
                    1. <code id="cbeuj"><u id="cbeuj"></u></code>
                    2. <listing id="cbeuj"><object id="cbeuj"></object></listing><dd id="cbeuj"></dd>
                          1. <meter id="cbeuj"><sub id="cbeuj"></sub></meter>

                            <listing id="cbeuj"></listing>

                              cn en
                              研究報告

                              信息安全體系完善

                              發布時間:2017-10-20 來源: 瀏覽次數:1969

                              按照《網絡安全法》實施網絡安全控制措施,是當前國內各類組織在信息安全方面的重要實踐,但我們也要清醒地看到,落實法律的合規要求只是組織信息安全的最基本要求,法規不可能面面俱到。因此,就算組織逐條落實了法規的要求,也只是達到了合規的基本要求,也不能保證組織的信息安全體系達到一個完善的水平。因此,在合規的基礎上,我們建議組織根據《網絡安全法》的要求,通過等級保護的方法來進一步完善信息安全保障體系,通過人員安全培訓與意識教育來提升組織的人員安全能力,通過持續安全評估與IT審計來推進安全體系持續完善。


                              1、等級保護相關規范標準

                              信息安全等級保護制度是國家信息安全保障工作的基本制度、基本策略和基本方法,是促進信息化健康發展,維護國家安全、社會秩序和公共利益的根本保障。

                              組織可以基于合規差距分析結果并參照網絡安全等級保護和其他法規對信息安全的要求,建立健全組織信息安全保障體系,部署并完善安全管理策略和安全技術措施,持續穩定地提升信息安全水平。

                              到目前為止,國家制定與頒布了與等級保護相關的多個國家標準,一些重點行業也制定了本行業的信息安全等級保護標準,等級保護的方法近年來在國內得到廣泛的應用。

                              2 已經發布的等級保護相關標準

                              ü  計算機信息系統安全等級保護劃分準則 (GB 17859-1999) (基礎類標準)

                              ü  信息系統安全等級保護基本要求 (GB/T 22239-2008) (應用類建設標準)

                              ü  信息系統安全保護等級定級指南 (GB/T 22240-2008) (應用類定級標準)

                              ü  信息系統安全等級保護實施指南 (GB/T 25058-2010) (基礎類標準)

                              ü  信息系統等級保護安全設計技術要求 (GB/T 25070-2010) (應用類建設標準)

                              ü  信息系統安全等級保護測評要求 (GB/T 28448-2012)(應用類測評標準)

                              ü  信息系統安全等級保護測評過程指南 (GB/T 28449-2012)(應用類測評標準)

                              ü  信息系統通用安全技術要求 (GB/T 20271-2006) (應用類建設標準)

                              ü  信息系統安全管理要求 (GB/T 20269-2006) (應用類管理標準)

                              ü  信息系統安全工程管理要求 (GB/T 20282-2006) (應用類管理標準)

                              2 正在征求意見的等級保護標準修訂稿

                              為配合國家落實《網絡安全法》,等級保護標準的名稱將由原來的GB/T22239-2008《信息安全技術 信息系統安全等級保護基本要求》改為“信息安全技術 網絡安全等級保護基本要求”,標準由原來的一個標準變更為多個部分組成的標準,分別為:

                              ü  GB/T 22239.1 信息安全技術 網絡安全等級保護基本要求-第1部分 安全通用要求;

                              ü  GB/T 22239.2 信息安全技術 網絡安全等級保護基本要求-第2部分 云計算安全擴展要求;

                              ü  GB/T 22239.3 信息安全技術 網絡安全等級保護基本要求-第3部分 移動互聯安全擴展要求;

                              ü  GB/T 22239.4 信息安全技術 網絡安全等級保護基本要求-第4部分 物聯網安全擴展要求;

                              ü  GB/T 22239.5 信息安全技術 網絡安全等級保護基本要求-第5部分 工業控制安全擴展要求。

                              ü  GB/T 22239.6 信息安全技術 網絡安全等級保護基本要求-第6部分 大數據安全擴展要求。

                              等級保護對象由原來的信息系統,調整為:安全等級保護的對象包括網絡基礎設施、信息系統、大數據、云計算平臺、物聯網、工控系統等。

                              等級保護相關的定級指南、測評指南、設計技術要求、測評要求、測評過程指南等相關標準也發布了相應的修訂版(征求意見稿)。


                              2、等級保護體系的設計

                              等級保護的設計分為安全策略設計、安全管理設計及安全技術設計三個方面的內容,形成信息安全保障體系的組織體系、策略體系、技術體系及運行體系。

                              image.png

                              2.1 總體安全策略設計

                              總體策略設計的目標是形成組織綱領性的安全策略文件,包括確定安全方針和安全策略兩方面的內容。安全方針是闡明安全工作的使命和意愿,定義信息安全的總體目標,規定信息安全責任機構和職責,建立安全工作運行模式等;安全策略是說明安全工作的主要策略,包括安全組織機構劃分策略、業務系統分級策略、數據信息分級策略、等級保護對象互連策略、信息流控制策略等。

                              通過方針與策略的設計,以便組織可以結合等級保護基本要求系列標準、行業基本要求和安全保護特殊要求,構建機構等級保護對象的安全技術體系結構和安全管理體系結構。對于新建的等級保護對象,應在立項時明確其安全保護等級,并按照相應的保護等級要求進行總體安全策略設計。

                              2.2 安全管理體系設計

                              根據等級保護基本要求系列標準、行業基本要求、安全需求分析報告等,設計等級保護對象安全管理體系框架。主要是從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五個方面進行設計。

                              安全管理體系設計成果可分為四層。第一層為總體方針、安全策略,通過信息安全總體方針、安全策略明確機構信息安全工作的總體目標、范圍、原則等。第二層為信息安全管理制度,通過對信息安全活動中的各類內容建立管理制度,約束信息安全相關行為。第三層為安全技術標準、操作規程,通過對管理人員或操作人員執行的日常管理行為建立操作規程,規范信息安全管理制度的具體技術實現細節。第四層為記錄、表單,用于在信息安全管理制度、操作規程實施時需填寫的表單和需保留的操作記錄。

                              image.png

                              2.3 安全技術體系設計

                              根據組織總體安全策略文件、GB/T 22239、行業基本要求和安全需求,設計等級保護對象的安全技術體系架構。等級保護對象的安全技術防護體系由從外到內的“縱深防御”體系構成,首先通過“物理環境安全防護”保護服務器、網絡設備以及其他設備設施免遭地震、火災、水災、盜竊等事故導致的破壞,然后通過“通信網絡安全防護”保護暴露于外部的通信線路和通信設備,通過“網絡邊界安全防護”對等級保護對象實施邊界安全防護,內部不同級別定級對象盡量分別部署在相應保護等級的內部安全區域,低級別定級對象部署在高等級安全區域時遵循“就高保護”原則,對于內部安全區域將實施“主機設備安全防護”和“應用和數據安全防護”,通過“安全管理中心”對整個等級保護對象實施統一的安全技術管理。

                              等級保護對象的安全技術體系架構見下圖所示。

                              image.png

                              根據安全技術架構的設計,組織可以尋找相應的技術與產品來實施安全控制措施。安全技術與產品的選擇,請參考安全自媒體《安全牛》推出的 “網絡安全全景圖”(http://all.aqniu.com/)。

                              網絡安全全景圖共分為17大安全領域,59個細分領域,包含約200家安全企業和相關機構,比較全面對主流的安全技術與產品進行了介紹,可以供用戶在選擇技術與產品解決方案時加以參考。

                              image.png


                              3、信息安全教育與培訓

                              《網絡安全法》第三十四條規定,關鍵信息基礎設施的運營者還應當履行對從業人員進行網絡安全教育、技術培訓和技能考核的義務。

                              信息安全教育與培訓是實施有效信息管理的重要基礎,組織要周期性地進行信息安全教育與培訓規劃,要在員工中形成一個行之有效、常抓不懈的氛圍,教育的形式既要生動有趣,又要緊湊有效。組織可以考慮采用以下NIST基于角色與職責的、框架式的安全教育模型:

                              image.png

                              組織可根據各崗位人員信息安全能力建設需求,設計未來3到5年信息安全培訓規劃,并針對各崗位的工作特征,制定各崗位信息安全能力需求表,以及由知識組合成的課程。根據組織的實際情況可采用以下基于角色與職責的、框架式的課程設計。以下是基于崗位與信息安全知識體對應的培訓方案示例:

                              image.png

                              此外,《網絡安全法》第十九條規定,“各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育,并指導、督促有關單位做好網絡安全宣傳教育工作。“因此,網絡運營者在進行人員能力建設的同時,還應加強包括管理層在內全員網絡安全意識培養和重要性宣傳的工作。

                              普通員工是各項業務的執行者,員工信息安全意識的薄弱是組織信息安全最大的風險。內部員工無意的疏忽,往往會引發敏感信息泄露等安全事件的發生。內部員工的信息安全意識水平提升有助于減少信息安全風險,提升組織的總體信息安全水平。

                              組織應設計與提供貫穿員工整個職業生命周期的、多種層次、多種方式的信息安全意識宣貫,提高組織全體員工的信息安全意識水平。以下是各類信息安全意識教育形式示例:

                              image.png


                              4、安全體系的持續改進

                              組織在經過合規差距分析并建成組織、管理和技術體系之后,要推進體系的運行。如果條件許可,組織還可以建立信息安全監控運行中心(SOC),對安全運行狀態進行檢測與管理。組織要持續地收集體系運行數據,對體系運行狀態進行測量,并根據測量結果建立信息安全績效考核機制,這樣才能把信息安全要求落實到業務流程和員工崗位之中。

                              image.png

                              組織要建立信息安全保障體系的PDCA循環模式,以推進體系建設的持續完善,全面提升組織的風險識別、安全防御、安全檢測、安全響應與安全恢復能力,最終實現風險可視化、防御主動化、運行自動化、管理流程化的安全目標,積極、主動、快速地應對網絡安全風險,保障業務與數據安全。

                              二維碼

                              谷安咨詢

                              IT治理信息安全IT風險數字風險

                              谷安審計

                              IT審計服務 IT審計體系IT審計師聯盟

                              谷安學院

                              關于學院學院動態安全易視學術體系合作交流校友社區

                              谷安研究

                              關于研究院研究框架研究報告顧問服務

                              創新中心

                              IT-GRC 安全值 極質軟件 云安全

                              媒體社區

                              安全牛 牛聘 任務平臺

                              關于我們

                              谷安簡介新聞動態榮譽資質加入谷安聯系我們

                              京ICP備13013886號-9

                              北京: 010-51626887 深圳: 0755-82986930 上海: 021-22310533
                              重庆幸运农场开奖历史
                                <output id="cbeuj"><legend id="cbeuj"><address id="cbeuj"></address></legend></output>
                                  <output id="cbeuj"></output>
                                  <output id="cbeuj"><video id="cbeuj"></video></output><acronym id="cbeuj"><pre id="cbeuj"><dd id="cbeuj"></dd></pre></acronym>
                                1. <label id="cbeuj"><button id="cbeuj"><address id="cbeuj"></address></button></label>
                                2. <code id="cbeuj"><object id="cbeuj"></object></code>

                                      <listing id="cbeuj"></listing>
                                      1. <meter id="cbeuj"><delect id="cbeuj"></delect></meter>

                                        <listing id="cbeuj"><object id="cbeuj"></object></listing>

                                      2. <meter id="cbeuj"></meter>
                                          <tt id="cbeuj"><wbr id="cbeuj"><big id="cbeuj"></big></wbr></tt>

                                          <output id="cbeuj"><pre id="cbeuj"></pre></output>
                                        1. <small id="cbeuj"><delect id="cbeuj"></delect></small>
                                            1. <listing id="cbeuj"></listing>
                                            2. <output id="cbeuj"><pre id="cbeuj"></pre></output>

                                            3. <tt id="cbeuj"><button id="cbeuj"><dd id="cbeuj"></dd></button></tt>
                                              1. <cite id="cbeuj"></cite>
                                                1. <code id="cbeuj"><u id="cbeuj"></u></code>
                                                2. <listing id="cbeuj"><object id="cbeuj"></object></listing><dd id="cbeuj"></dd>
                                                      1. <meter id="cbeuj"><sub id="cbeuj"></sub></meter>

                                                        <listing id="cbeuj"></listing>

                                                            <output id="cbeuj"><legend id="cbeuj"><address id="cbeuj"></address></legend></output>
                                                              <output id="cbeuj"></output>
                                                              <output id="cbeuj"><video id="cbeuj"></video></output><acronym id="cbeuj"><pre id="cbeuj"><dd id="cbeuj"></dd></pre></acronym>
                                                            1. <label id="cbeuj"><button id="cbeuj"><address id="cbeuj"></address></button></label>
                                                            2. <code id="cbeuj"><object id="cbeuj"></object></code>

                                                                  <listing id="cbeuj"></listing>
                                                                  1. <meter id="cbeuj"><delect id="cbeuj"></delect></meter>

                                                                    <listing id="cbeuj"><object id="cbeuj"></object></listing>

                                                                  2. <meter id="cbeuj"></meter>
                                                                      <tt id="cbeuj"><wbr id="cbeuj"><big id="cbeuj"></big></wbr></tt>

                                                                      <output id="cbeuj"><pre id="cbeuj"></pre></output>
                                                                    1. <small id="cbeuj"><delect id="cbeuj"></delect></small>
                                                                        1. <listing id="cbeuj"></listing>
                                                                        2. <output id="cbeuj"><pre id="cbeuj"></pre></output>

                                                                        3. <tt id="cbeuj"><button id="cbeuj"><dd id="cbeuj"></dd></button></tt>
                                                                          1. <cite id="cbeuj"></cite>
                                                                            1. <code id="cbeuj"><u id="cbeuj"></u></code>
                                                                            2. <listing id="cbeuj"><object id="cbeuj"></object></listing><dd id="cbeuj"></dd>
                                                                                  1. <meter id="cbeuj"><sub id="cbeuj"></sub></meter>

                                                                                    <listing id="cbeuj"></listing>

                                                                                      抢庄牛牛技巧规律 十一选五任八稳赚 欢乐生肖开奖历史号码 重庆时时怎么算了 北赛车pk10官网 11选5怎么玩任三最安全 如何选择大小单双 北京11选五计划软件下载 玩时时彩怎样稳赚不赔 老重庆时时开彩结果 快乐十分龙虎玩法 网球比分网即时比分90 北京pk赛车改成20分钟 双色球拖胆投注 最新打鱼棋牌游戏 微笑心法赢了几十万