安全管理制度
我们在等级保护中做了调整和安排。熟悉等级保护管理体系的朋友,至少是知道涵盖五个方面的内容,分别是:也就是说,如果我们能够遵循ISO 27000去建设自己的网络安全管理制度体系,那么我们的管理制度体系是能够满足等级保护要求的。二者并没有违和的地方。
比如说,在ISO 27002中的“信息安全政策”这部分,与等级保护中“安全管理制度”其目的和方法论是一致的。首先ISO 27002的“信息安全政策”需要实现“依据业务要求和相关法律法规,为信息安全提供管理指导和支持”的目的,通过由管理者批准,并发布、传达给所有员工和外部相关方来控制。在最高层上,组织宜定义一个“信息安全方针”,该方针宜获得管理层批准,并建立组织管理其信息安全目的的方法。
而信息安全策略评审则宜按计划的时间间隔或当重大变化发生时进行信息安全策略评审,以确保其持续的适宜性、充分性和有效性。每个策略宜有专人负责,他对策略的制定、评审和评价具有被批准的管理责任。评审宜包括评估组织策略和信息安全管理方法的改进机会,以适应组织环境、业务状况、法律法规或技术环境发生的变化。信息安全策略评审宜考虑管理评审的结果。宜获得管理层对修订的策略的批准。回到《网络安全等级保护基本要求》中的“安全管理制度”,面对的则是“安全策略、管理制度、制定和发布、评审和修订”,就是安全管理制度的方针策略、制定具体制度和操作规程以及制定和发布的合法性,对不适应的部分进行评审和修订。安全策略是领导层决定的全面声明,是机构最高层的安全文件,阐明了机构网络安全工作的使命和意愿,明确了安全管理范围、网络安全总体目标和安全管理框架,规定了网络安全责任机构和职责,建立了网络安全工作运行模式等。具体的安全管理制度应以安全策略为指导。对等级保护对象的建设、开发、运维、升级、改造等阶段和环节应当遵循的行为规范,以管理要求的方式进行限定。应在安全策略文件的基础上,根据实际情况建立具体的安全管理制度。安全管理制度可以由若干单独的制度构成,也可以由若干分册制度构成,应覆盖但不限于机房安全管理、办公环境安全管理、网络和系统安全管理、供应商管理、变更管理、备份和恢复管理、软件开发管理等方面。在每个制度文档中,应明确该制度的使用范围、目的、需要规范的管理活动、具体的规范方式和要求等。安全管理制度是对整个组织中不同相关部门的,制度需要有其权威性和适用性,所以对安全管理制度的制定和发布流程,需要进行严格的控制,以保证制度的正式性、科学性、适用性和权威。同时,随着内外部环境的变化,制度不适应的情况时常发生,那么对制度记性评审和修订,也变得非常重要。安全管理制度体系制定并实施后,需要由网络安全领导小组或委员会定期对其适用性进行评审和修订。当发生重大安全事故、出现新的漏洞、技术基础结构发生变更时,需要对部分制度进行评审和修订,以适应外界环境和具体情况的变化。总之,管理制度在制定过程中,需要有个方针策略,以方针策略为基础制定科学合理的相关制度,并以正式权威的方式进行发布,对制度中不适应的内容及时进行评审修订。制度的制定的好坏,直接影响实际工作。在工作中,我们发现非常多的单位对制度的理解,一直停留在“套模板”的水平,其实这类制度是无法发挥其作用的,这也就让这些人认为制度是无所谓的存在。其实,我们在生活中之所以对法律敬畏,是因为一旦有人违法,就会被追究责任,其实法律则是一个高级的“管理制度”,没人会怀疑违反是需要受到处罚的,也没有人敢去随便找个模板不理解其含义就敢修订法律。所以,法律有其权威和威严,是因为和我们利益切身相关,而内部制度亦然。
参考:
网络安全等级保护基本技术系列
防火墙知识系列
网络安全等级保护:Linux 防火墙
入侵检测知识系列
网络安全等级保护:了解和实施蜜罐
密码知识系列
网络安全等级保护:量子计算和量子密码学
VPN知识系列
网络安全等级保护:VPN之网络安全协议(IPsec)网络安全等级保护:VPN的其他解决方案
操作系统知识系列
网络安全等级保护:加固修补操作系统
网络安全等级保护:了解计算机病毒攻击
网络安全等级保护:了解计算机病毒骗局
网络安全等级保护:各种病毒类型简介
网络安全等级保护:恶意软件技术简介