《网络安全法实施指南》发布(5)
时间:2018-04-14 07:29 来源:网络整理 作者:墨客科技 点击:次
等级保护的设计分为安全策略设计、安全管理设计及安全技术设计三个方面的内容,形成信息安全保障体系的组织体系、策略体系、技术体系及运行体系。
2.1 总体安全策略设计 总体策略设计的目标是形成组织纲领性的安全策略文件,包括确定安全方针和安全策略两方面的内容。安全方针是阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;安全策略是说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、等级保护对象互连策略、信息流控制策略等。 通过方针与策略的设计,以便组织可以结合等级保护基本要求系列标准、行业基本要求和安全保护特殊要求,构建机构等级保护对象的安全技术体系结构和安全管理体系结构。对于新建的等级保护对象,应在立项时明确其安全保护等级,并按照相应的保护等级要求进行总体安全策略设计。 2.2 安全管理体系设计 根据等级保护基本要求系列标准、行业基本要求、安全需求分析报告等,设计等级保护对象安全管理体系框架。主要是从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面进行设计。 安全管理体系设计成果可分为四层。第一层为总体方针、安全策略,通过信息安全总体方针、安全策略明确机构信息安全工作的总体目标、范围、原则等。第二层为信息安全管理制度,通过对信息安全活动中的各类内容建立管理制度,约束信息安全相关行为。第三层为安全技术标准、操作规程,通过对管理人员或操作人员执行的日常管理行为建立操作规程,规范信息安全管理制度的具体技术实现细节。第四层为记录、表单,用于在信息安全管理制度、操作规程实施时需填写的表单和需保留的操作记录。
2.3 安全技术体系设计 根据组织总体安全策略文件、GB/T 22239、行业基本要求和安全需求,设计等级保护对象的安全技术体系架构。等级保护对象的安全技术防护体系由从外到内的“纵深防御”体系构成,首先通过“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏,然后通过“通信网络安全防护”保护暴露于外部的通信线路和通信设备,通过“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时遵循“就高保护”原则,对于内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”,通过“安全管理中心”对整个等级保护对象实施统一的安全技术管理。 等级保护对象的安全技术体系架构见下图所示:
根据安全技术架构的设计,组织可以寻找相应的技术与产品来实施安全控制措施。安全技术与产品的选择,请参考安全调查分析机构安全牛推出的 “网络安全行业全景图”()。
网络安全全景图目前共分为17大安全领域,59个细分领域,包含约200家安全企业和相关机构,比较全面地对主流的安全技术与产品进行了介绍,可以供用户在选择技术与产品解决方案时加以参考。 3. 信息安全教育与培训 《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当履行对从业人员进行网络安全教育、技术培训和技能考核的义务。 信息安全教育与培训是实施有效信息管理的重要基础,组织要周期性地进行信息安全教育与培训规划,要在员工中形成一个行之有效、常抓不懈的氛围,教育的形式既要生动有趣,又要紧凑有效。组织可以考虑采用以下NIST基于角色与职责的、框架式的安全教育模型:
|
