信息系統(tǒng)安全運維體系是一個以業(yè)務安全為目的的信息系統(tǒng)安全運行保障體系,。通過該體系,,能夠及時發(fā)現(xiàn)并處置信息資產及其運行環(huán)境存在的脆弱性、入侵行為和異常行為,。
安全運維活動分類
安全運維體系涉及安全運維策略確定,、安全運維組織管理、安全運維規(guī)程制定和安全運維支撐系統(tǒng)建設等四類活動,。
安全運維策略明確了安全運維的目的和方法,, 主要包括策略制定和策略評審兩個活動;安全運維組織明確了安全運維團隊的管理,,包括運維的角色和責任,、聘用前審查、工作履行職責,、聘用終止和變更,;安全運維規(guī)程明確了安全運維的實施活動,包括資產管理,、日志管理,、訪問控制、密碼管理,、漏洞管理,、備份、安全事件管理,、安全事件應急響應等,;安全運維支撐系統(tǒng)給出了主要的安全運維輔助性系統(tǒng)的工具。
安全運維活動要素
安全運維活動要素包含了目的,、要求和實施指南三個方面,。目的部分描述安全運維活動的意義,;要求部分描述了安全運維活動的指標要求;實施指南描述達成安全運維活動目標,、實現(xiàn)安全運維要求的方法和手段,。
安全運維管理原則
為了保證安全運維體系的可靠性和有效性,安全運維體系建設應遵循以下內容:
a) 基于策劃,、實施,、檢查和改進的過程進行持續(xù)完善??梢愿鶕畔⑾到y(tǒng)的安全保護等級要求,,對控制實施情況進行定期評估;
b ) 安全運維體系建設應兼顧成本與安全,。根據業(yè)務安全需要,,制定相應的安全運維策略、建立相應的安全運維組織,、制定相應的安全運維規(guī)程及建設相應的安全運維支撐系統(tǒng),。
安全運行維護本身是提供安全運維企業(yè)的工作,等級保護測評人員是否也要有所了解呢,?答案是肯定的,!
當測評師針對安全運維管理層面進行測評時,如果對安全運維有個清晰的認知,,那么一方面他可以很好的獲取測評證據和撰寫測評記錄,;另一方面也可以科學的進行訪談、核查工作,,更好的把握《信息安全技術 網絡安全等級保護基本要求》測評的含義,。
第一個方面是在完善測評記錄的維度來談,這個最終是落到測評報告上去的,,也更能顯示測評結果的客觀,、公正、科學性,,也就是這個維度在于充實完善,。第二個方面則是不過分放大測評內容與范圍,不以自己主觀的見解解讀測評項,,學習了解運維知識有助于精準把控測評項的范圍,。不少也別多,少則不足,,過猶不及,,河南話正“中”最好!
在測評過程中,,不止一次聽到配合測評師工作的運維人員抱怨測評師訪談的內容稀奇古怪,,甚至訪談的內容根本不是安全從業(yè)人員能理解的,。究其原因,還是對運維工作的不了解不理解,,有時會問一些非專業(yè)性的問題,,使專業(yè)運維的配合人員感覺莫名其妙。等級保護測評也是一項安全服務,,和其他安全服務之間是相輔相成的關系,,只有充分理解掌握了自己負責的部分,才能夠更好的配合工作,。這時,,就需要“共同語言”,就是具備共同的信息安全知識,。
共同的安全知識,,需要共同標準。那么國家標準是最好的參考,,也是大家工作中最常見的遵循,。切不可,主觀臆斷或望文生義,,自己胡亂解讀一通,最終將被人質疑專業(yè)水平,,客戶現(xiàn)場價值將會變得一文不值,。
今天,時間有限,。本來可以就這個問題,,把基本要求幾個測評項進行展開的,待以后有時間再慢慢探討,。再次聲明,,本人粗鄙見解純屬班門弄斧,聊作引玉之磚,,期待方家批評指正,,共同探討,共同解決彼此配合中存在的異議和問題,。