随笔分类 - 等级保护
摘要:安全建设管理 控制点 7.测试验收 测试验收管理主要是指对机房建设、系统集成、网络改造中的外包工程项目的测试验收进行管理,需明确测试验收的操作步骤、人员要求等。 a) 安全要求(一般):应制定测试验收方案,并根据测试验收方案实施测试验收,形成测试验收报告。 要求解读:此项的测试验收,既包括外包单位项
阅读全文
摘要:安全建设管理 控制点 6.工程实施 工程实施安全管理是指对机房建设、系统集成或网络改造建设等工程项目实施过程的安全管理。针对系统中的各类工程(机房建设、网络建设等),应明确工程实施人员的责任、实施方如何对工程过程进行控制(阶段性或季度性项目检查)等。 a) 安全要求(一般):应指定或授权专门的部门或
阅读全文
摘要:安全建设管理 控制点 5.外包软件开发 外包软件开发指一个机构将软件项目中的全部或部分工作发包给提供外包服务的第三方来完成。在将软件外包给第三方开发时应签订协议,以明确知识产权的归属、有关软件的配套技术培训和服务的承诺、软件质量保证及其他安全方面的具体要求等。 a) 安全要求(重要):应在软件交付前
阅读全文
摘要:安全建设管理 控制点 4.自行软件开发 为保证软件开发过程的安全性和规范性,应制定软件开发方面的管理制度,以规定开发过程的控制方法、明确人员行为准则。对整个开发过程,以及软件测试、开发文档的保管、使用及后续程序资源库的访问、维护,都应严格管理并加以限制。 a) 安全要求(重要):应将开发环境与实际运
阅读全文
摘要:安全建设管理 控制点 3.产品采购和使用 产品采购管理是指对等级保护对象软硬件产品采购过程的管理,包括安全产品、网络产品、服务器、应用和系统软件、密码产品等。 a) 安全要求(关键):应确保网络安全产品采购和使用符合国家的有关规定。 要求解读:我国对网络安全产品的管理,在不同发展阶段可能存在不同的管
阅读全文
摘要:安全建设管理 控制点 2.安全方案设计 合理的安全方案是保障等级保护对象安全建设和运行的基础。安全方案的设计应根据网络等级保护对象的定级情况、等级保护对象承载业务情况进行,通过分析明确等级保护对象的安全需求,设计出既满足自身需求又满足等级保护要求的合理的安全方案,包括总体安全方案和详细设计方案。 a
阅读全文
摘要:安全建设管理 等级保护对象建设过包括系统定级和备案、安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付等阶段,每个阶段都涉及多项活动。只有对这些活动实施科学、完善的管理,才能保证系统建设的进度、质量和安全。 安全建设管理对安全建设过程提出了安全控制要求,涉及的安全控制点包括定级和备
阅读全文
摘要:安全管理人员 控制点 4.外部人员访问管理 外部人员包括向单位提供服务的外来人员,例如软硬件维护和支持人员、贸易伙伴或合作伙伴、清洁人员、送餐人员、保安、外包支持人员、学生、短期临时工作人员和安全顾问等。若安全管理不到位,则外部人员的访问将给等级保护对象带来安全风险。因此,应当根据可能的安全风险对外
阅读全文
摘要:安全管理人员 控制点 3.安全意识教育和培训 安全意识教育和培训是提高员工安全技术和管理水平、增加员工安全知识、增强员工安全责任和安全意识的基础。 a) 安全要求(重要):应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施。 要求解读:安全意识教育和培训是提高人员的安全意识、
阅读全文
摘要:安全管理人员 控制点 2.人员离岗 对离岗或调离人员,特别是因不符合安全管理要求而离岗的人员,必须严格办理离岗手续,与其进行离岗谈话,重申其调离后的保密义务,要求其交回所有钥匙及证件,退还全部技术手册、软件及有关资料,同时更换系统口令和机要锁等。 a) 安全要求(重要):应及时终止离岗人员的所有访问
阅读全文
摘要:安全管理人员 人是安全管理中最关键的因素。等级保护对象的整个生命周期都需要人的参与,包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果参与人员的安全意识和业务能力没有保障,那么等级保护对象不可能实现真正的安全。只有对等级保护对象相关人员实施科学、完善的管理,才有可能降低人为操作失误所带来的
阅读全文
摘要:安全管理机构 安全管理的重要实施条件就是有一个统一指挥、协调有序、组织有力的安全管理机构,这是网络安全管理得以实施、推广的基础。通过构建从单位最高管理层到执行层以及具体业务运营层的组织体系,可以明确各个岗位的安全职责,为安全管理提供组织上的保证。 安全管理机构针对整个管理组织构架提出了安全控制要求,
阅读全文
摘要:安全管理机构 控制点 3. 授权和审批 等级保护对象生命周期的每个阶段都涉及了许多重要的环节与活动。为保证这些环节与活动顺利实施且受控,应对这些环节与活动的实施进行授权和审批。这不仅是质量方面的要求,也能够避免因管理上的漏洞或工作失误而埋下安全隐患。 为保证安全问题可追溯,应以文件的形式明确授权与审
阅读全文
摘要:安全管理机构 控制点 2. 人员配备 为保证各项管理工作顺利实施,应配备一定数量的安全管理人员,例如系统管理员、安全管理员、审计管理员等。 a) 安全要求(重要):应配备一定数量的系统管理员、审计管理员和安全管理员等。 要求解读:由于部分岗位人员拥有关键的操作权限,为避免人员失误或渎职现象的发生,应
阅读全文
摘要:安全管理机构 控制点 5. 审核和检查 为保证网络安全方针、制度贯彻执行,及时发现现有安全措施的漏洞和系统脆弱性问题,机构应制定安全审核和检查制度,并定期组织实施。安全审核和检查的方面包括现有安全措施的有效性、安全配置与安全策略的一致性、安全管理制度的落实情况、用户账号情况、系统漏洞情况等方面。检查
阅读全文
摘要:安全管理机构 控制点 4. 沟通和合作 整个等级保护对象安全工作的顺利完成,需要各业务部门的共同参与和密切配合,以及与外联单位通畅的沟通与合作(以便及时获取网络安全的最新发展动态,避免网络安全事件的发生或在安全事件发生时能尽快得到支持与帮助,从而在第一时间采取有效措施,将损失降到最低)。其中,外联单
阅读全文
摘要:安全运维管理 安全运维管理对云计算环境安全运维过程提出了安全控制要求,涉及的控制点包括云计算环境管理。 控制点 1. 云计算环境管理 a) 安全要求:云计算平台的运维地点应位于中国境内,境外对境内云计算平台实施运维操作应遵循国家相关规定。 要求解读:云计算平台的运维地点原则上应位于中国境内。若因业务
阅读全文
摘要:安全建设管理 安全建设管理对云计算环境安全建设过程提出了安全控制扩展要求,涉及的安全控制点包括云服务商选择和供应链管理。 控制点 1. 云服务商选择 a) 安全要求:应选择安全合规的云服务商,其所提供的云计算平台应为其所承载的业务应用系统提供相应等级的安全保护能力。 要求解读:为确保云服务商提供的服
阅读全文
摘要:安全管理中心 安全管理中心针对云计算环境提出了安全管理方面的技术控制扩展要求,通过技术手段实现云平合集中管理,涉及的安全控制点包括集中管控。 控制点 1. 集中管控 在企业的网络安全建设过程中,为了建设相对全面的防御体系,势必涉及不同类型、不同厂商的安全设备的部署。为了解决不同厂商的安全设备在配置方
阅读全文
摘要:安全计算环境 安全计算环境针对云平台提出了安全控制扩展要求,主要对象为云平台内部的所有对象,包括网络设备、安全设备、服务器设备(物理机、虚拟机)、虚拟机镜像、虚拟机监视器、应用系统、数据对象和其他设备等,涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、镜像和快照保护、数据完整性、数据保密
阅读全文