| 網(wǎng)絡(luò )安全體系:七分看管理 |
| 新聞類(lèi)別: 行業(yè)動(dòng)態(tài) 瀏覽量:1620 |
隨著(zhù)網(wǎng)絡(luò )安全形勢的日益嚴峻,各個(gè)單位對于網(wǎng)絡(luò )安全工作也逐漸重視起來(lái),尤其是近些年通過(guò)開(kāi)展網(wǎng)絡(luò )安全等級保護工作,各個(gè)網(wǎng)絡(luò )運營(yíng)者也對于網(wǎng)絡(luò )安全工作有了更加體系化的認識。網(wǎng)絡(luò )安全建設工作不僅僅是簡(jiǎn)單的購買(mǎi)安全設備,部署安全措施,還需要建立覆蓋全面、層次分明的網(wǎng)絡(luò )安全管理制度體系和完備的網(wǎng)絡(luò )安全管理組織結構作為支撐,比如物理安全、人力資源安全、業(yè)務(wù)連續性管理等都無(wú)法純粹依靠技術(shù)來(lái)實(shí)現,更多的是要靠管理來(lái)實(shí)現,并且在單位的信息安全管理中,除了產(chǎn)品和技術(shù)外,人員的因素也是非常重要的。安全最重要的是落實(shí),各項安全制度如果不落實(shí),安全就無(wú)從談起。所謂的“三分技術(shù),七分管理”,正是說(shuō)明了網(wǎng)絡(luò )安全管理體系建設的重要性。
然而,在開(kāi)展網(wǎng)絡(luò )安全體系建設工作中,很多單位隨著(zhù)開(kāi)展等級保護工作的過(guò)程中,或者通過(guò)信息安全管理建設專(zhuān)項工作,建立了一整套完備安全管理制度文檔,從安全策略、管理制度、規范流程一直到記錄表格都覆蓋到了滿(mǎn)足網(wǎng)絡(luò )安全相關(guān)標準要求的方方面面,但面對幾十個(gè)文檔,很多網(wǎng)絡(luò )安全管理人員往往覺(jué)得無(wú)從下手,不知如何實(shí)將各個(gè)制度和流程得以落實(shí)。對此,中國軟件評測中心認為,相關(guān)企業(yè)從應付檢查和標準要求,到建立起逐漸運轉起來(lái)安全工作體系,還需要一定的方法。
網(wǎng)絡(luò )安全管理體系落地思路
安全管理體系落地過(guò)程中,很多單位的做法是面向單位全體人員發(fā)布一整套制度要求,就沒(méi)有了后續的具體落實(shí)工作,而系統的使用者和管理者也不清楚自己在管理體系中的作用和職責,使得制度文檔并不能起到實(shí)際作用。
開(kāi)展安全管理體系建設工作,需要遵循以點(diǎn)帶面、分步實(shí)施、逐步增強的思路來(lái)逐漸落實(shí)和完善各項安全工作。每次以某一方面的具體策略、制度、流程開(kāi)展專(zhuān)項工作,通過(guò)培訓和考核、檢查、演練和總結的逐步增強方式,按部就班的確實(shí)落實(shí)每一項管理要求。
1 完善安全管理組織結構
很多傳統單位的網(wǎng)絡(luò )安全工作一般會(huì )落在信息中心或信息管理處等部門(mén)作為安全工作的職能部門(mén),出于對安全建設工作的傳統認識,很多專(zhuān)業(yè)技術(shù)工作、安全技術(shù)手段的實(shí)現,的確都是依托于信息中心或信息管理處這樣的部門(mén)來(lái)具體落實(shí)的,但網(wǎng)絡(luò )安全管理工作,是面向全單位的管理要求,在將安全管理要求推廣到全單位各個(gè)部門(mén)、系統的各個(gè)使用者時(shí),有時(shí)候作為一個(gè)職能部門(mén)的推進(jìn)能力就比較有限了,需要從最高管理層來(lái)統一規劃、統一要求,統一推動(dòng)全單位的安全管理工作得以落實(shí),成立網(wǎng)絡(luò )信息安全領(lǐng)導小組的意義便在于此。
從領(lǐng)導層統一決策和要求各項安全工作,具體的工作還是需要通過(guò)安全職能部門(mén)來(lái)落實(shí),需要區分各個(gè)安全管理崗位,明確各個(gè)崗位的安全管理職責,確保每項安全管理工作都能有具體的負責人員。對于很多單位的安全管理隊伍還存在欠缺,可以先借助第三方專(zhuān)業(yè)力量完成一些具體的技術(shù)實(shí)現工作,由部門(mén)安全管理人員起到管理和監督的作用。對于第三方人員,不應把他們放在安全責任之外,反而更應該加強各方面的安全管理,并且也應納入到安全培訓、考核、檢查以及演練的重點(diǎn)對象中來(lái)。此外,在落實(shí)各項安全管理要求的過(guò)程中,還需要各個(gè)業(yè)務(wù)部門(mén)的充分配合,建立完善的溝通協(xié)調機制。
2 以培訓提高安全意識和能力
很多單位的網(wǎng)絡(luò )安全管理專(zhuān)業(yè)隊伍還存在欠缺,需要不斷完善網(wǎng)絡(luò )安全管理人員的配備,除了引入專(zhuān)業(yè)人才、借助第三方專(zhuān)業(yè)安全服務(wù)機構外,也需要不斷提升現有網(wǎng)絡(luò )安全管理人員的安全意識和安全技術(shù)能力,通過(guò)持續的培訓與考核,使安全管理隊伍能夠持續提高,從容應對不斷增長(cháng)的網(wǎng)絡(luò )安全管理要求。
培訓可以采用內部培訓、專(zhuān)家講座、外部培訓等形式,主要包括如下幾個(gè)方面: 網(wǎng)絡(luò )安全政策法規、網(wǎng)絡(luò )安全形勢培訓; 網(wǎng)絡(luò )安全相關(guān)標準和技術(shù)要求培訓; 安全管理制度體系培訓; 各系統安全操作、安全運維管理培訓; 各類(lèi)設備、系統的安全技術(shù)培訓; 提升網(wǎng)絡(luò )安全管理人員能力的各類(lèi)外部培訓等。
為了能讓培訓效果落到實(shí)處,在培訓后對培訓成果進(jìn)行考核,并且依據培訓中涉及的要求,進(jìn)行專(zhuān)項檢查工作,依據獎懲制度公布考核和檢查的相關(guān)結果。
3 以專(zhuān)項檢查推進(jìn)制度落地
安全管理制度體系涉及到了各個(gè)層級人員、各方面的安全管理管理工作,如何將制度體系貫徹執行,使其確實(shí)起到指導作用,在安全管理制度體系建設工作中一直是一個(gè)難點(diǎn)。
管理制度體系主要分為策略、規定、流程和具體操作及參數要求。對于總體策略、規定和流程,通過(guò)統一發(fā)布和執行能夠得到落實(shí),但對于安全配置要求、安全操作要求,如用戶(hù)口令復雜度、長(cháng)度、定期更換要求等,往往涉及到了影響系統使用和管理人員的操作習慣和便利性,在在制度要求的推進(jìn)過(guò)程中需要一定方法來(lái)確保其落實(shí)到位。依據分布執行的管理思路,依據安全要求落實(shí)的難易程度、相應安全風(fēng)險的緊急程度分步逐項執行。通過(guò)統一發(fā)布制度要求,統一進(jìn)行專(zhuān)項安全培訓,讓相關(guān)人員了解管理要求后,還需要通過(guò)專(zhuān)項安全檢查工作,對安全要求的實(shí)施結果進(jìn)行檢查,將其結果與單位的考核及獎懲制度相結合,并且通過(guò)檢查結果還可以發(fā)現普遍安全問(wèn)題以及安全管理制度的合理性和適用性問(wèn)題,從而及時(shí)對管理制度進(jìn)行修訂。將安全檢查工作常態(tài)化,并且通過(guò)逐項增加檢查內容的方式,循序漸進(jìn)的分步將管理制度的各項具體要求得以落實(shí)。
4 以演練找出流程缺陷
在安全管理體系中,要求對安全事件進(jìn)行了分類(lèi)、分級,建立不同級別的處置流程,并且對不同類(lèi)型的安全事件都要建立專(zhuān)項應急預案,為確保安全事件處置流程和各類(lèi)事件的應急預案能夠在發(fā)生安全事件時(shí)確實(shí)起到作用,能夠指導應急處置工作,需要對應急預案進(jìn)行定期演練,通過(guò)演練使系統相關(guān)使用、管理人員熟悉處置流程,掌握系統應急操作的關(guān)鍵步驟,確保在發(fā)生事件時(shí)候能夠妥善進(jìn)行處理。
演練工作主要是模擬安全事件,因此在開(kāi)展以前應該充分考慮其可能給系統帶來(lái)的安全風(fēng)險,盡量在測試環(huán)境中進(jìn)行,或提前做好備份工作,對于不具備審計操作演練條件的系統環(huán)境,也可以沙盤(pán)推演等方式進(jìn)行模擬演練。通過(guò)演練工作,能夠及時(shí)發(fā)現處置流程中的問(wèn)題以及應急處置方法中的缺陷,并且能夠找出處置人員的安全認知和技術(shù)能力的不足以及操作規程、指導手冊、運維文檔的缺失,找到接下來(lái)開(kāi)展安全建設的重點(diǎn)方向。
網(wǎng)絡(luò )安全管理工作的落地,重點(diǎn)還是在于單位對于網(wǎng)絡(luò )安全工作的重視程度,如果只是想應對檢查和監管要求,存儲在安全管理員文件夾中的幾十個(gè)文檔看起來(lái)的確是一個(gè)很重的負擔,但是從企業(yè)自身安全需求出發(fā),切實(shí)重視起安全工作對于企業(yè)穩定發(fā)展的重要性,從每一個(gè)細節著(zhù)手,逐步提升,不斷改進(jìn),讓安全管理制度中的每項要求落實(shí)到每位系統使用者和管理者的日常工作中,單位的網(wǎng)絡(luò )安全防護能力也一定能夠穩步提升。
文章來(lái)源:中國軟件測評中心 |
