(一)工作流程
(1)确定网络信息安全管理对象
(2)评估网络信息安全管理对象的价值
(3)识别网络信息安全管理对象的威胁
(4)识别网络信息安全管理对象的脆弱性
(5)确定网络信息安全管理对象的风险级别
(6)制定网络信息安全防范体系及防范措施
(7)实施和落实网络信息安全防范措施
(8)运行/维护网络信息安全设备、配置
网络信息安全管理工作流程是不断重复循环的过程,也是安全需求不断提炼的过程。网络信息安全管理重在过程,应该贯穿于网络信息系统的整个生命周期。
(二)网络信息安全管理系统的生命周期管理
阶段 | 生命周期阶段名称 | 网络安全管理活动 | |
1 | 阶段1 | 网络信息系统规划 | ①网络信息安全风险评估 ②标识网络信息安全目标 ③标识网络信息安全需求 |
2 | 阶段2 | 网络信息系统设计 | ①标识信息安全风险控制方法 ②权衡网络信息安全解决方案 ③设计网络信息安全体系结构 |
3 | 阶段3 | 网络信息系统集成实现 | ①购买和部署安全设备或产品 ②网络信息系统的安全特性应被配置、激活 ③网络安全系统实现效果的评价 ④验证是否能满足安全需求 ⑤检查系统所运行环境是否符合设计 |
4 | 阶段4 | 网络信息系统运行和维护 | ①建立网络信息安全管理组织 ②制定网络信息安全规章制度 ③定期重新评估网络信息管理对象 ④适时调整安全配置或设备 ⑤发现并修补网络信息系统漏洞 ⑥威胁监测与应急处理 |
5 | 阶段5 | 网络信息系统废弃 | ①对要替换或废弃的网络系统组件进行风险评估 ②废弃网络信息系统组件安全处理 ③网络信息系统组件安全更新 |