调教老师奶水性奴潮喷-国产无码av-欧美综合精品久久久久成人影院-A∨无码天堂AV免费播放观看在线

全部
網(wǎng)絡(luò)安全體系:七分看管理
新聞類別: 行業(yè)動態(tài) 瀏覽量:2040

隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻,各個單位對于網(wǎng)絡(luò)安全工作也逐漸重視起來,尤其是近些年通過開展網(wǎng)絡(luò)安全等級保護(hù)工作,各個網(wǎng)絡(luò)運營者也對于網(wǎng)絡(luò)安全工作有了更加體系化的認(rèn)識。網(wǎng)絡(luò)安全建設(shè)工作不僅僅是簡單的購買安全設(shè)備,部署安全措施,還需要建立覆蓋全面、層次分明的網(wǎng)絡(luò)安全管理制度體系和完備的網(wǎng)絡(luò)安全管理組織結(jié)構(gòu)作為支撐,比如物理安全、人力資源安全、業(yè)務(wù)連續(xù)性管理等都無法純粹依靠技術(shù)來實現(xiàn),更多的是要靠管理來實現(xiàn),并且在單位的信息安全管理中,除了產(chǎn)品和技術(shù)外,人員的因素也是非常重要的。安全最重要的是落實,各項安全制度如果不落實,安全就無從談起。所謂的“三分技術(shù),七分管理”,正是說明了網(wǎng)絡(luò)安全管理體系建設(shè)的重要性。


然而,在開展網(wǎng)絡(luò)安全體系建設(shè)工作中,很多單位隨著開展等級保護(hù)工作的過程中,或者通過信息安全管理建設(shè)專項工作,建立了一整套完備安全管理制度文檔,從安全策略、管理制度、規(guī)范流程一直到記錄表格都覆蓋到了滿足網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)要求的方方面面,但面對幾十個文檔,很多網(wǎng)絡(luò)安全管理人員往往覺得無從下手,不知如何實將各個制度和流程得以落實。對此,中國軟件評測中心認(rèn)為,相關(guān)企業(yè)從應(yīng)付檢查和標(biāo)準(zhǔn)要求,到建立起逐漸運轉(zhuǎn)起來安全工作體系,還需要一定的方法。


網(wǎng)絡(luò)安全管理體系落地思路


安全管理體系落地過程中,很多單位的做法是面向單位全體人員發(fā)布一整套制度要求,就沒有了后續(xù)的具體落實工作,而系統(tǒng)的使用者和管理者也不清楚自己在管理體系中的作用和職責(zé),使得制度文檔并不能起到實際作用。


開展安全管理體系建設(shè)工作,需要遵循以點帶面、分步實施、逐步增強(qiáng)的思路來逐漸落實和完善各項安全工作。每次以某一方面的具體策略、制度、流程開展專項工作,通過培訓(xùn)和考核、檢查、演練和總結(jié)的逐步增強(qiáng)方式,按部就班的確實落實每一項管理要求。


1

完善安全管理組織結(jié)構(gòu)


很多傳統(tǒng)單位的網(wǎng)絡(luò)安全工作一般會落在信息中心或信息管理處等部門作為安全工作的職能部門,出于對安全建設(shè)工作的傳統(tǒng)認(rèn)識,很多專業(yè)技術(shù)工作、安全技術(shù)手段的實現(xiàn),的確都是依托于信息中心或信息管理處這樣的部門來具體落實的,但網(wǎng)絡(luò)安全管理工作,是面向全單位的管理要求,在將安全管理要求推廣到全單位各個部門、系統(tǒng)的各個使用者時,有時候作為一個職能部門的推進(jìn)能力就比較有限了,需要從最高管理層來統(tǒng)一規(guī)劃、統(tǒng)一要求,統(tǒng)一推動全單位的安全管理工作得以落實,成立網(wǎng)絡(luò)信息安全領(lǐng)導(dǎo)小組的意義便在于此。


從領(lǐng)導(dǎo)層統(tǒng)一決策和要求各項安全工作,具體的工作還是需要通過安全職能部門來落實,需要區(qū)分各個安全管理崗位,明確各個崗位的安全管理職責(zé),確保每項安全管理工作都能有具體的負(fù)責(zé)人員。對于很多單位的安全管理隊伍還存在欠缺,可以先借助第三方專業(yè)力量完成一些具體的技術(shù)實現(xiàn)工作,由部門安全管理人員起到管理和監(jiān)督的作用。對于第三方人員,不應(yīng)把他們放在安全責(zé)任之外,反而更應(yīng)該加強(qiáng)各方面的安全管理,并且也應(yīng)納入到安全培訓(xùn)、考核、檢查以及演練的重點對象中來。此外,在落實各項安全管理要求的過程中,還需要各個業(yè)務(wù)部門的充分配合,建立完善的溝通協(xié)調(diào)機(jī)制。


2

以培訓(xùn)提高安全意識和能力


很多單位的網(wǎng)絡(luò)安全管理專業(yè)隊伍還存在欠缺,需要不斷完善網(wǎng)絡(luò)安全管理人員的配備,除了引入專業(yè)人才、借助第三方專業(yè)安全服務(wù)機(jī)構(gòu)外,也需要不斷提升現(xiàn)有網(wǎng)絡(luò)安全管理人員的安全意識和安全技術(shù)能力,通過持續(xù)的培訓(xùn)與考核,使安全管理隊伍能夠持續(xù)提高,從容應(yīng)對不斷增長的網(wǎng)絡(luò)安全管理要求。


培訓(xùn)可以采用內(nèi)部培訓(xùn)、專家講座、外部培訓(xùn)等形式,主要包括如下幾個方面:

網(wǎng)絡(luò)安全政策法規(guī)、網(wǎng)絡(luò)安全形勢培訓(xùn);

網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)和技術(shù)要求培訓(xùn);

安全管理制度體系培訓(xùn);

各系統(tǒng)安全操作、安全運維管理培訓(xùn);

各類設(shè)備、系統(tǒng)的安全技術(shù)培訓(xùn);

提升網(wǎng)絡(luò)安全管理人員能力的各類外部培訓(xùn)等。


為了能讓培訓(xùn)效果落到實處,在培訓(xùn)后對培訓(xùn)成果進(jìn)行考核,并且依據(jù)培訓(xùn)中涉及的要求,進(jìn)行專項檢查工作,依據(jù)獎懲制度公布考核和檢查的相關(guān)結(jié)果。


3

以專項檢查推進(jìn)制度落地


安全管理制度體系涉及到了各個層級人員、各方面的安全管理管理工作,如何將制度體系貫徹執(zhí)行,使其確實起到指導(dǎo)作用,在安全管理制度體系建設(shè)工作中一直是一個難點。


管理制度體系主要分為策略、規(guī)定、流程和具體操作及參數(shù)要求。對于總體策略、規(guī)定和流程,通過統(tǒng)一發(fā)布和執(zhí)行能夠得到落實,但對于安全配置要求、安全操作要求,如用戶口令復(fù)雜度、長度、定期更換要求等,往往涉及到了影響系統(tǒng)使用和管理人員的操作習(xí)慣和便利性,在在制度要求的推進(jìn)過程中需要一定方法來確保其落實到位。依據(jù)分布執(zhí)行的管理思路,依據(jù)安全要求落實的難易程度、相應(yīng)安全風(fēng)險的緊急程度分步逐項執(zhí)行。通過統(tǒng)一發(fā)布制度要求,統(tǒng)一進(jìn)行專項安全培訓(xùn),讓相關(guān)人員了解管理要求后,還需要通過專項安全檢查工作,對安全要求的實施結(jié)果進(jìn)行檢查,將其結(jié)果與單位的考核及獎懲制度相結(jié)合,并且通過檢查結(jié)果還可以發(fā)現(xiàn)普遍安全問題以及安全管理制度的合理性和適用性問題,從而及時對管理制度進(jìn)行修訂。將安全檢查工作常態(tài)化,并且通過逐項增加檢查內(nèi)容的方式,循序漸進(jìn)的分步將管理制度的各項具體要求得以落實。


4

以演練找出流程缺陷


在安全管理體系中,要求對安全事件進(jìn)行了分類、分級,建立不同級別的處置流程,并且對不同類型的安全事件都要建立專項應(yīng)急預(yù)案,為確保安全事件處置流程和各類事件的應(yīng)急預(yù)案能夠在發(fā)生安全事件時確實起到作用,能夠指導(dǎo)應(yīng)急處置工作,需要對應(yīng)急預(yù)案進(jìn)行定期演練,通過演練使系統(tǒng)相關(guān)使用、管理人員熟悉處置流程,掌握系統(tǒng)應(yīng)急操作的關(guān)鍵步驟,確保在發(fā)生事件時候能夠妥善進(jìn)行處理。


演練工作主要是模擬安全事件,因此在開展以前應(yīng)該充分考慮其可能給系統(tǒng)帶來的安全風(fēng)險,盡量在測試環(huán)境中進(jìn)行,或提前做好備份工作,對于不具備審計操作演練條件的系統(tǒng)環(huán)境,也可以沙盤推演等方式進(jìn)行模擬演練。通過演練工作,能夠及時發(fā)現(xiàn)處置流程中的問題以及應(yīng)急處置方法中的缺陷,并且能夠找出處置人員的安全認(rèn)知和技術(shù)能力的不足以及操作規(guī)程、指導(dǎo)手冊、運維文檔的缺失,找到接下來開展安全建設(shè)的重點方向。


網(wǎng)絡(luò)安全管理工作的落地,重點還是在于單位對于網(wǎng)絡(luò)安全工作的重視程度,如果只是想應(yīng)對檢查和監(jiān)管要求,存儲在安全管理員文件夾中的幾十個文檔看起來的確是一個很重的負(fù)擔(dān),但是從企業(yè)自身安全需求出發(fā),切實重視起安全工作對于企業(yè)穩(wěn)定發(fā)展的重要性,從每一個細(xì)節(jié)著手,逐步提升,不斷改進(jìn),讓安全管理制度中的每項要求落實到每位系統(tǒng)使用者和管理者的日常工作中,單位的網(wǎng)絡(luò)安全防護(hù)能力也一定能夠穩(wěn)步提升。



文章來源:中國軟件測評中心