到信息安全为止,所有的事情都需要全力以赴。 安全防护不应该只防范外部攻击,更多的防护工作应该从内部出发,制定完善的安全管理制度,循序渐进地推进安全防护工作。 企业的信息安全建设工作可以从多个方面进行建设和完善,天磊咨询咨询致力于网络安全水平的保护,本文将介绍信息安全水平的保护水平2、3的标准。
等级保护包括哪些方面的工作呢
根据GB/T22239-2008 《信息安全技术 信息系统安全等级保护基本要求》、GBT 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》、GB/T 28448-2012 《信息安全技术 信息系统安全等级保护测评要求》等相关标准,等级保护分为“技术”和“管理”两大模块。
其中技术部分包含:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复共五个方面;
如下图所示,包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理五个方面。
三级等保认证到底有多严格呢?展开来看:
1.在物理安全层面上,平台的机房除了有最基本的安全控制之外,还应具备防火、防潮甚至电磁防护能力等,同时具备灾后数据恢复能力,想要具备这些条件,平台需要付出的人力及资金成本是很大的,有些体量比较小的平台完全没有实力达成这些要求。
2.三级等保认证最严的地方还是在技术层面,主要体现在系统安全管理和恶意代码防范上,简单可以理解为当有黑客对平台进行攻击时,平台应该具备一定的防范能力。
本文具体介绍了信息安全等级保护的三级要求中安全管理机构在评估过程中的经验分享安全管理机构有五个评价指标:
1、岗位设置、
2、人员配置、
3、授权与批准、
4、沟通与合作、
5、考核与检查。
我站在评价者的立场上看安全问题,接下来开始工作。
天磊咨询安全管理机构的具体评价
1、安全岗位的设置
a )必须设立信息安全管理工作的职能部门,设立安全负责人、安全管理各方面的负责人部门,定义各负责人的职责。
评估经验:该评估项目主要负责核查客户是否为具体负责信息安全工作而设立了安全管理部门。 一般来说,政府机构设立信息中心负责,设立信息中心主任。
一般默认为安全负责人。 在评估过程中发现,企业在这方面的工作不充分,许多企业只是兼职部门在做这项工作,没有合适的安全和安保主管。
我们在对此进行评价时,要询问并记录安全管理责任部门、负责人、安全主管的具体名称,确认具体的岗位职责文件(有可能在任命文件中提及)。
b )应设立系统管理员、网络管理员、安全管理员等部门,定义各部门的职责。
评估经验:这很容易评估。 需要采访客户,确认是否设立了安全管理员、网络管理员、系统管理员、数据库管理员、机房管理员等职务,并提供特别的职务文件。 一般来说,标准侧重于安全、系统和网络三个管理员,因此我们也必须重点关注。
值得注意的是,
一是安全管理员必须是专职的,不能由其他管理员兼任;
二是系统管理员和数据库管理员不能是同一自然人。 请特别注意这两点。
但是,在许多现实环境中,客户端往往没有合适的管理者,特别是安全管理者,没有任何文件明确各管理者的责任。 在本人遇到过的一个公司里,整个安全部门会有两个人。 在这种情况下,需要修改。
c :设立指导和管理信息安全工作的委员会或指导小组,其最高领导由公司主管任命或授权。
评估经验:在本评估项目中,客户将询问是否成立了信息安全委员会或领导小组。 不能说顾客成立了。
你应该看看领导小组成立的正式文件。 要看这个文件的领导和小组成员,文件需要每个人的联系方式和工作责任。
值得注意的是,领导小组的领导必须由企业高层负责。 标准上并不是必须的,但在我国国情下,国家信息安全保障领导小组的领导需要自己脑补。
可以分享实际的案例。 我们当地的大学门户被入侵,在首页上发表了影响很大的发言,产生了影响。 在这种情况下,高层首当其冲。 因此,在我们的评估过程中,客户要求高层负责安全的工作。
d :必须制定明确安全管理机构各部门和岗位职责、分工和技能要求的文件。
评价经验:本条应检查部门、岗位职责文件,了解部门职责是否涵盖物理、网络、系统安全等各个方面。
职务文件也可以实际看到招聘要求。 的时候,一般说明这个岗位的职责和必要的技能要求。
一般来说,客户的改善方案建议制定部门职责的文件。 其中全面描述了部门职责、人员划分和职责情况。
2、人员配置
答:要配置一定数量的系统管理员、网络管理员、安全管理员等。
评估经验:通过询问客户的系统管理员、网络管理员和安全管理员的部署数量,评估方法必须至少有一个或多个。
但是,很多客户不能满足这个要求。 我的提案整改将被兼职取代,但是兼职的注意事项必须参考b来实施。
b :配备专职安全管理人员,不得兼任。
评估经验:这要求客户的安全管理员必须是专职的,不能由其他职务人员兼任。 如何验证是专业职业的专业,要看岗位人员情况表。
尽管如此,许多公司没有安全管理员…
c :重要的办公岗位必须安排多人共同管理。
评价经验:本项目评价的难点在于重要事务部门的认定,很多客户没有想象有重要事务部门的条件,我一般向客户说明可以认定为重要事务部门的东西。 一般是安全管理员、系统管理员、网络管理员、数据库管理员、机房管理员等。
另外,还可以包括处理金钱的职位(和分为出纳和财务是同样的理由)、前台敏感操作权限的职位等。 重要的工作岗位必须在2人以上,或者要求相互成为AB角。
三、授权和批准
答:必须根据各部门和岗位的职责,明确批准事项、批准部门和批准者等。
评价经验:本评价项目的评价方法是采访安全负责人,询问批准哪些信息系统活动、批准的部门是哪个部门、批准者是谁。
客户通常有这些东西,但不全面。 此时,建议您批准重要活动,包括但不限于物理访问、远程控制、授权和更改、系统访问和需求更改。
b )对系统变更、重要操作、物理访问、系统访问等事项建立审批流程,按照审批流程执行审批流程,并对重要活动建立阶段性审批制度。
评价经验:这一点比较明显,在评价中至少要确认4张批准书。
系统更改(包括权限更改、结构更改等)、关键操作)数据删除、权限更改、数据备份等)、物理访问、物理机房访问、办公室环境中的敏感区域访问等)、系统要确认此批准流程是否包括申请人、审核人和批准人,批准日期已经过了,但批准帐户可能还存在,因此有些批准单也需要确认批准的有效期。
需要特别注意。
c :必须定期审查批准事项,及时更新需要批准和核准的项目、批准部门、批准者等信息。
评价经验:该评价方式检查批准事项的记录,是否审查批准事项、批准部门、批准者的变更; 是否让安全负责人定期审查、更新批准项目,审查周期是多久? 为什么会有这个评价,是因为实际环境,特别是大企业,部门多,人员复杂,业务流程复杂,审批流程人员多。
如果某人在离开工作岗位后使用以前的批准程序,会导致越权操作,因此必须定期审查批准事项。
d:必须记录批准流程并保存批准文档。
评估经验:这当然是随机抽取一些批准文件,看看是否与当时和现在的情况一致。
四、交流与合作
a )应当加强各类管理人员之间、组织内部机构之间以及信息安全功能部门内的合作与沟通,定期或不定期召开协调会议,共同处理信息安全问题。
评估经验:这个评估比较简单,看是否在内部一起召开过会议,是否一起处理过安全问题。 这只需要客户提供会议记录和处理安全问题的流程表,在时间上不需要特别的要求。
b :必须加强与兄弟公司、公安机关、电信公司的合作和沟通。评价经验:这就不用多说了。 默认情况下是正确的。 原因不好说,自己理解吧。
c :需要加强与供应商、行业专家、专业安全公司和安全组织的合作和交流。
评价经验:这个评价项目实际上什么也没说。
怎样才能合适呢? 如果客户能提供与安全服务商的合作合同就好了。
这个默认值是正确的,因为我们要和客户签订关于等保评估的合同,就像我们自己是评估机构一样。
d :需要制作包含外部联系人姓名、合作内容、联系人、联系人等信息的外部联系人列表。
评价经验:这要看客户是否能提供对外联系人的联系列表。
为什么要求这个内容呢? 个人的理解是在甲方人员变动的时候,让下一个交接员能够更快地交接工作。
e )应聘信息安全专家担任多年安全顾问,指导信息安全建设,参加安全规划和安全审查等。
评价经验:这取决于合同的内容,但一般来说,如果与安全公司签订安全服务合同,可以进行任何安全运输、应急、评价、计划的内容等。 这个主要评价是理解“多年”这个词,确认合同的期限。 一般来说,连续3年以上的情况属于这一类。
五、审查和检查
答:安全管理员负责定期进行安全检查。 检查内容包括系统日常运行、系统漏洞、数据备份等。
评价经验:主要看“定期”和“检查内容”两个词,确认客户是否有安全检查的报告。 看看报告的时间,就知道是否定期了。
看看检查项目,就知道检查了哪些地方。 这个评估实际上是系统管理员的工作。
但是很多系统管理员对漏洞不太了解,所以系统管理员和安全管理员一起做这个工作就好了。 一般来说,客户不实施的细则大多会向监视系统追加Zabbix等适当的系统或设备,但由于系统脆弱性这一内容在很多监视系统中无法实现,因此该项目大多得不到满分,会给予3分高的东西。
b )内部人员或上级应定期进行全面安全检查。 检测内容包括现有安全技术措施的有效性、安全配置与安全对策的一致性、安全管理制度的执行情况等;
评价经验:几乎没有该项目的满分。 首先要了解全面的安全检查。
光是这样,很多客户就变得头大了。 因为不知道要检查什么。 我去客户现场的一般做法是,首先拿出客户的各种授权单进行比较。 一般就那样扣分。 然后再看安全管理制度的执行情况,差不多确认0分。 这其实是很多客户在做相应的工作。
只是,由于没有形成完善的工艺体系,失分很多。
我建议客户记录下今后的安全工作,强调工作量,也给领导看。
(c )应当编制安全检查表实施安全检查,汇总安全检查数据,编制安全检查报告,通报安全检查结果。
评价经验:这个评价要求看起来字不多,但要看的资料其实相当多。
一是先有安全检查表,
二是开展安全检查工作,
三是汇总安全检查数据,
四是核查是否有安全检查报告,
五是进行结果通报。
很多公司实际上直接超度在第一点上,但这太多了。 同样,基本上是零分。 一般来说,给客户的建议是,定期进行安全检查,如果不能,请第三方进行。
d :制定安全审查和安检制度规范的安全审查和安检工作,定期按程序进行安全审查和安检活动。
评价经验:这个评价项目是一个具体的制度。 一般没有客人。 这个评价根据是否有这个制度进行评价。 有则得4分,内容也扎实的话就得5分。
(一般内容不完整,但4点是合理的)。 一般来说,建议客户在命名制度时直接附加“安全审查和安全检查制度”。
该制度主要是为了规范和支持安全审查和安全检查工作而带来的,一般内容规定但不限于检查内容、检查程序、检查周期、检查员资格、检查对象、检查方式、检查工具、检查结果处理等。
如何才能通过三级等保认证?
根据《网络安全法》第二十一条:“国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”
企业获得三级等保的具体程序包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查共五个阶段。
在取得三级等保认证后,平台需要按照《网络信息中介机构业务活动管理办法》中的规定,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度。同时,已取得认证的企业还需要每年进行年检,并接受相关部门的不定期抽查。