《网络安全法实施指南》发布
|
根据组织总体安全策略文件、GB/T 22239、行业基本要求和安全需求,设计等级保护对象的安全技术体系架构。等级保护对象的安全技术防护体系由从外到内的“纵深防御”体系构成,首先通过“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏,然后通过“通信网络安全防护”保护暴露于外部的通信线路和通信设备,通过“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时遵循“就高保护”原则,对于内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”,通过“安全管理中心”对整个等级保护对象实施统一的安全技术管理。 等级保护对象的安全技术体系架构见下图所示:
根据安全技术架构的设计,组织可以寻找相应的技术与产品来实施安全控制措施。安全技术与产品的选择,请参考安全调查分析机构安全牛推出的 “网络安全行业全景图”(http://all.aqniu.com/)。
网络安全全景图目前共分为17大安全领域,59个细分领域,包含约200家安全企业和相关机构,比较全面地对主流的安全技术与产品进行了介绍,可以供用户在选择技术与产品解决方案时加以参考。 3. 信息安全教育与培训 《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当履行对从业人员进行网络安全教育、技术培训和技能考核的义务。 信息安全教育与培训是实施有效信息管理的重要基础,组织要周期性地进行信息安全教育与培训规划,要在员工中形成一个行之有效、常抓不懈的氛围,教育的形式既要生动有趣,又要紧凑有效。组织可以考虑采用以下NIST基于角色与职责的、框架式的安全教育模型:
组织可根据各岗位人员信息安全能力建设需求,设计未来3到5年信息安全培训规划,并针对各岗位的工作特征,制定各岗位信息安全能力需求表,以及由知识组合成的课程。根据组织的实际情况可采用以下基于角色与职责的、框架式的课程设计。以下是基于岗位与信息安全知识体对应的培训方案示例:
此外,《网络安全法》第十九条规定,“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。“因此,网络运营者在进行人员能力建设的同时,还应加强包括管理层在内全员网络安全意识培养和重要性宣传的工作。 普通员工是各项业务的执行者,员工信息安全意识的薄弱是组织信息安全最大的风险。内部员工无意的疏忽,往往会引发敏感信息泄露等安全事件的发生。内部员工的信息安全意识水平提升有助于减少信息安全风险,提升组织的总体信息安全水平。 组织应设计与提供贯穿员工整个职业生命周期的、多种层次、多种方式的信息安全意识宣贯,提高组织全体员工的信息安全意识水平。以下是各类信息安全意识教育形式示例:
组织在经过合规差距分析并建成组织、管理和技术体系之后,要推进体系的运行。如果条件许可,组织还可以建立信息安全监控运行中心(SOC),对安全运行状态进行检测与管理。组织要持续地收集体系运行数据,对体系运行状态进行测量,并根据测量结果建立信息安全绩效考核机制,这样才能把信息安全要求落实到业务流程和员工岗位之中。
组织要建立信息安全保障体系的PDCA循环模式,以推进体系建设的持续完善,全面提升组织的风险识别、安全防御、安全检测、安全响应与安全恢复能力,最终实现风险可视化、防御主动化、运行自动化、管理流程化的安全目标,积极、主动、快速地应对网络安全风险,保障业务与数据安全。 (编辑:辽源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
4. 安全体系的持续改进