《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 由信息系統(tǒng)安全運(yùn)維體系引發(fā)等保測評(píng)安全運(yùn)維管理的一點(diǎn)點(diǎn)思考

由信息系統(tǒng)安全運(yùn)維體系引發(fā)等保測評(píng)安全運(yùn)維管理的一點(diǎn)點(diǎn)思考

2021-11-14
來源:河南等級(jí)保護(hù)測評(píng)
關(guān)鍵詞: 信息系統(tǒng)

  信息系統(tǒng)安全運(yùn)維體系是一個(gè)以業(yè)務(wù)安全為目的的信息系統(tǒng)安全運(yùn)行保障體系,。通過該體系,,能夠及時(shí)發(fā)現(xiàn)并處置信息資產(chǎn)及其運(yùn)行環(huán)境存在的脆弱性、入侵行為和異常行為。

  安全運(yùn)維活動(dòng)分類

  安全運(yùn)維體系涉及安全運(yùn)維策略確定,、安全運(yùn)維組織管理,、安全運(yùn)維規(guī)程制定和安全運(yùn)維支撐系統(tǒng)建設(shè)等四類活動(dòng),。

  安全運(yùn)維策略明確了安全運(yùn)維的目的和方法,, 主要包括策略制定和策略評(píng)審兩個(gè)活動(dòng);安全運(yùn)維組織明確了安全運(yùn)維團(tuán)隊(duì)的管理,,包括運(yùn)維的角色和責(zé)任,、聘用前審查、工作履行職責(zé),、聘用終止和變更,;安全運(yùn)維規(guī)程明確了安全運(yùn)維的實(shí)施活動(dòng),包括資產(chǎn)管理,、日志管理,、訪問控制、密碼管理,、漏洞管理,、備份、安全事件管理,、安全事件應(yīng)急響應(yīng)等,;安全運(yùn)維支撐系統(tǒng)給出了主要的安全運(yùn)維輔助性系統(tǒng)的工具,。

  安全運(yùn)維活動(dòng)要素

  安全運(yùn)維活動(dòng)要素包含了目的、要求和實(shí)施指南三個(gè)方面,。目的部分描述安全運(yùn)維活動(dòng)的意義;要求部分描述了安全運(yùn)維活動(dòng)的指標(biāo)要求,;實(shí)施指南描述達(dá)成安全運(yùn)維活動(dòng)目標(biāo),、實(shí)現(xiàn)安全運(yùn)維要求的方法和手段。

  安全運(yùn)維管理原則

  為了保證安全運(yùn)維體系的可靠性和有效性,,安全運(yùn)維體系建設(shè)應(yīng)遵循以下內(nèi)容:

  a) 基于策劃,、實(shí)施、檢查和改進(jìn)的過程進(jìn)行持續(xù)完善,??梢愿鶕?jù)信息系統(tǒng)的安全保護(hù)等級(jí)要求,對(duì)控制實(shí)施情況進(jìn)行定期評(píng)估,;

  b ) 安全運(yùn)維體系建設(shè)應(yīng)兼顧成本與安全,。根據(jù)業(yè)務(wù)安全需要,制定相應(yīng)的安全運(yùn)維策略,、建立相應(yīng)的安全運(yùn)維組織,、制定相應(yīng)的安全運(yùn)維規(guī)程及建設(shè)相應(yīng)的安全運(yùn)維支撐系統(tǒng)。

  安全運(yùn)行維護(hù)本身是提供安全運(yùn)維企業(yè)的工作,,等級(jí)保護(hù)測評(píng)人員是否也要有所了解呢,?答案是肯定的!

  當(dāng)測評(píng)師針對(duì)安全運(yùn)維管理層面進(jìn)行測評(píng)時(shí),,如果對(duì)安全運(yùn)維有個(gè)清晰的認(rèn)知,,那么一方面他可以很好的獲取測評(píng)證據(jù)和撰寫測評(píng)記錄;另一方面也可以科學(xué)的進(jìn)行訪談,、核查工作,,更好的把握《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》測評(píng)的含義。

  第一個(gè)方面是在完善測評(píng)記錄的維度來談,,這個(gè)最終是落到測評(píng)報(bào)告上去的,,也更能顯示測評(píng)結(jié)果的客觀、公正,、科學(xué)性,,也就是這個(gè)維度在于充實(shí)完善。第二個(gè)方面則是不過分放大測評(píng)內(nèi)容與范圍,,不以自己主觀的見解解讀測評(píng)項(xiàng),,學(xué)習(xí)了解運(yùn)維知識(shí)有助于精準(zhǔn)把控測評(píng)項(xiàng)的范圍。不少也別多,,少則不足,,過猶不及,,河南話正“中”最好!

  在測評(píng)過程中,,不止一次聽到配合測評(píng)師工作的運(yùn)維人員抱怨測評(píng)師訪談的內(nèi)容稀奇古怪,,甚至訪談的內(nèi)容根本不是安全從業(yè)人員能理解的。究其原因,,還是對(duì)運(yùn)維工作的不了解不理解,,有時(shí)會(huì)問一些非專業(yè)性的問題,使專業(yè)運(yùn)維的配合人員感覺莫名其妙,。等級(jí)保護(hù)測評(píng)也是一項(xiàng)安全服務(wù),,和其他安全服務(wù)之間是相輔相成的關(guān)系,只有充分理解掌握了自己負(fù)責(zé)的部分,,才能夠更好的配合工作,。這時(shí),就需要“共同語言”,,就是具備共同的信息安全知識(shí),。

  共同的安全知識(shí),需要共同標(biāo)準(zhǔn),。那么國家標(biāo)準(zhǔn)是最好的參考,,也是大家工作中最常見的遵循。切不可,,主觀臆斷或望文生義,,自己胡亂解讀一通,最終將被人質(zhì)疑專業(yè)水平,,客戶現(xiàn)場價(jià)值將會(huì)變得一文不值,。

  今天,時(shí)間有限,。本來可以就這個(gè)問題,,把基本要求幾個(gè)測評(píng)項(xiàng)進(jìn)行展開的,待以后有時(shí)間再慢慢探討,。再次聲明,,本人粗鄙見解純屬班門弄斧,聊作引玉之磚,,期待方家批評(píng)指正,,共同探討,共同解決彼此配合中存在的異議和問題,。




本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:aet@chinaaet.com。