(一)网络安全管理体系内容
- 网络安全管理策略
- 第三方安全管理
- 网络系统资产分类与控制
- 人员安全
- 网络物理与环境安全
- 网络通信与运行
- 网络访问控制
- 网络应用系统开发与维护
- 网络系统可持续性运营
- 网络安全合规性管理
(二)网络安全管理体系
管理体系 | 具体说明 | |
1 | 管理目标 | 大的方面:政治安全、经济安全、文化安全、国防安全等 小的方面:网络系统的保密、可用、可控等 |
2 | 管理手段 | 安全评估 安全监管 应急响应 安全协调 安全标准和规范 保密检查 认证和访问控制 |
3 | 管理主体 | 大的方面:国家网络安全职能部门 小的方面:网络管理员、单位负责人等 |
4 | 管理依据 | 行政法规 法律 部门规章制度 技术规范 |
5 | 管理资源 | 安全设备 管理人员 安全经费 时间 |
(三)体系内容
体系内容 | 说明 | 备注 | |
1 | 网络安全管理策略 | 由管理者根据业务要求和相关法律法规制定,同时定期或不定期评审网络安全策略,以确保其持续的适宜性、充分性和有效性。 | 常见网络安全管理策略:服务器安全策略、终端安全策略、网络通信安全策略、远程访问安全策略、电子邮件安全策略、互联网络使用策略、恶意代码防护策略等 |
2 | 第三方安全管理 | 维护第三方访问的组织信息处理设施和网络资产的安全性(既控制又满足业务需要) | ①根据第三方访问的业务需求,进行风险评估,明确所涉及的安全问题和安全控制措施 ②与第三方签定安全协议,明确安全措施,规定双方责任 ③对第三方访问人员的身份进行识别和授权 |
3 | 网络系统资产分类与控制 | 基本工作:网络系统资产的清单列表和分类。 有助于明确安全管理对象,根据资产重要性和价值提供相应级别保护。 资产示例:硬件资产、软件资产、存储介质、信息资产(与信息有关)、网络服务及业务系统、支持保障系统(消防、保安、后勤、通信等) | 根据组织安全策略和资产重要程度,给资产定级 在企业网络中,一般把资产分成四个级别: ①公开:允许企业外部人员访问 ②内部:局限于企业内部人员访问 ③机密:资产受损会给企业带来不利影响 ④限制:资产受损会给企业带来严重影响 |
4 | 人员安全 | 人是网络系统中最薄弱环节 目标:降低误操作、偷窃、诈骗或滥用等人为造成的网络安全风险 措施:通过采取合适的人事管理制度、保密协议、教育培训、业务考核、人员审查、奖惩等多种防范措施,来消除人员方面安全隐患 | 人员安全工作安排遵守三个原则: ①多人负责原则:每项安全有关活动,必须有两人或多人在场。要求人员忠诚可靠,能胜任工作,并签署工作情况记录以证明安全工作已得到保障 ②任期有限原则:人员不长期担任与安全有关职务,应不定期循环任职,强制实行休假制度,并对人员轮流培训 ③职责分离原则:人员各司其职,不打听、了解或参与职责外的安全有关事宜,除非系统主管领导批准 |
5 | 网络物理与环境安全 | 防止对组织工作场所和网络资产的非法物理临近访问、破坏和干扰 | 如对人员出入机房进行登记管理 |
6 | 网络通信与运行 | 保证网络信息处理设施的操作安全无误,满足组织业务开展的安全需求 | |
7 | 网络访问控制 | 保护网络化服务,应该控制对内外网络服务的访问,确保访问者不会破坏这些网络服务的安全 | ①组织网络之间或公用网之间正确连接 ②用户和设备都具有适当身份验证机制 ③在用户访问信息服务时进行控制 |
8 | 网络应用系统开发与维护 | 防止应用系统中用户数据丢失、修改或滥用 | 网络应用系统设计必须包含适当安全控制措施、审计追踪或活动日志记录。 |
9 | 网络系统可持续性运营 | 防止网络业务活动中断,保证重要业务流程不受重大故障和灾难的影响 | ①预防与恢复控制相结合,努力将损失降到可接受水平 ②制订和实施应急计划,确保在要求时间内恢复业务流程 ③采用安全控制措施,限制破坏性事件造成的后果,确保重要操作及时恢复 |
10 | 网络安全合规性管理 | ①网络系统的设计、操作、使用和管理要依据法律法规或合同安全要求 ②不违反刑法、民法、成文法、法规或合约义务及任何安全要求 |