全部
网络安全体系:七分看管理
新闻类别: 行业动态 浏览量:1514

随着网络安全形势的日益严峻,各个单位对于网络安全工作也逐渐重视起来,尤其是近些年通过开展网络安全等级保护工作,各个网络运营者也对于网络安全工作有了更加体系化的认识。网络安全建设工作不仅仅是简单的购买安全设备,部署安全措施,还需要建立覆盖全面、层次分明的网络安全管理制度体系和完备的网络安全管理组织结构作为支撑,比如物理安全、人力资源安全、业务连续性管理等都无法纯粹依靠技术来实现,更多的是要靠管理来实现,并且在单位的信息安全管理中,除了产品和技术外,人员的因素也是非常重要的。安全最重要的是落实,各项安全制度如果不落实,安全就无从谈起。所谓的“三分技术,七分管理”,正是说明了网络安全管理体系建设的重要性。


然而,在开展网络安全体系建设工作中,很多单位随着开展等级保护工作的过程中,或者通过信息安全管理建设专项工作,建立了一整套完备安全管理制度文档,从安全策略、管理制度、规范流程一直到记录表格都覆盖到了满足网络安全相关标准要求的方方面面,但面对几十个文档,很多网络安全管理人员往往觉得无从下手,不知如何实将各个制度和流程得以落实。对此,中国软件评测中心认为,相关企业从应付检查和标准要求,到建立起逐渐运转起来安全工作体系,还需要一定的方法。


网络安全管理体系落地思路


安全管理体系落地过程中,很多单位的做法是面向单位全体人员发布一整套制度要求,就没有了后续的具体落实工作,而系统的使用者和管理者也不清楚自己在管理体系中的作用和职责,使得制度文档并不能起到实际作用。


开展安全管理体系建设工作,需要遵循以点带面、分步实施、逐步增强的思路来逐渐落实和完善各项安全工作。每次以某一方面的具体策略、制度、流程开展专项工作,通过培训和考核、检查、演练和总结的逐步增强方式,按部就班的确实落实每一项管理要求。


1

完善安全管理组织结构


很多传统单位的网络安全工作一般会落在信息中心或信息管理处等部门作为安全工作的职能部门,出于对安全建设工作的传统认识,很多专业技术工作、安全技术手段的实现,的确都是依托于信息中心或信息管理处这样的部门来具体落实的,但网络安全管理工作,是面向全单位的管理要求,在将安全管理要求推广到全单位各个部门、系统的各个使用者时,有时候作为一个职能部门的推进能力就比较有限了,需要从最高管理层来统一规划、统一要求,统一推动全单位的安全管理工作得以落实,成立网络信息安全领导小组的意义便在于此。


从领导层统一决策和要求各项安全工作,具体的工作还是需要通过安全职能部门来落实,需要区分各个安全管理岗位,明确各个岗位的安全管理职责,确保每项安全管理工作都能有具体的负责人员。对于很多单位的安全管理队伍还存在欠缺,可以先借助第三方专业力量完成一些具体的技术实现工作,由部门安全管理人员起到管理和监督的作用。对于第三方人员,不应把他们放在安全责任之外,反而更应该加强各方面的安全管理,并且也应纳入到安全培训、考核、检查以及演练的重点对象中来。此外,在落实各项安全管理要求的过程中,还需要各个业务部门的充分配合,建立完善的沟通协调机制。


2

以培训提高安全意识和能力


很多单位的网络安全管理专业队伍还存在欠缺,需要不断完善网络安全管理人员的配备,除了引入专业人才、借助第三方专业安全服务机构外,也需要不断提升现有网络安全管理人员的安全意识和安全技术能力,通过持续的培训与考核,使安全管理队伍能够持续提高,从容应对不断增长的网络安全管理要求。


培训可以采用内部培训、专家讲座、外部培训等形式,主要包括如下几个方面:

网络安全政策法规、网络安全形势培训;

网络安全相关标准和技术要求培训;

安全管理制度体系培训;

各系统安全操作、安全运维管理培训;

各类设备、系统的安全技术培训;

提升网络安全管理人员能力的各类外部培训等。


为了能让培训效果落到实处,在培训后对培训成果进行考核,并且依据培训中涉及的要求,进行专项检查工作,依据奖惩制度公布考核和检查的相关结果。


3

以专项检查推进制度落地


安全管理制度体系涉及到了各个层级人员、各方面的安全管理管理工作,如何将制度体系贯彻执行,使其确实起到指导作用,在安全管理制度体系建设工作中一直是一个难点。


管理制度体系主要分为策略、规定、流程和具体操作及参数要求。对于总体策略、规定和流程,通过统一发布和执行能够得到落实,但对于安全配置要求、安全操作要求,如用户口令复杂度、长度、定期更换要求等,往往涉及到了影响系统使用和管理人员的操作习惯和便利性,在在制度要求的推进过程中需要一定方法来确保其落实到位。依据分布执行的管理思路,依据安全要求落实的难易程度、相应安全风险的紧急程度分步逐项执行。通过统一发布制度要求,统一进行专项安全培训,让相关人员了解管理要求后,还需要通过专项安全检查工作,对安全要求的实施结果进行检查,将其结果与单位的考核及奖惩制度相结合,并且通过检查结果还可以发现普遍安全问题以及安全管理制度的合理性和适用性问题,从而及时对管理制度进行修订。将安全检查工作常态化,并且通过逐项增加检查内容的方式,循序渐进的分步将管理制度的各项具体要求得以落实。


4

以演练找出流程缺陷


在安全管理体系中,要求对安全事件进行了分类、分级,建立不同级别的处置流程,并且对不同类型的安全事件都要建立专项应急预案,为确保安全事件处置流程和各类事件的应急预案能够在发生安全事件时确实起到作用,能够指导应急处置工作,需要对应急预案进行定期演练,通过演练使系统相关使用、管理人员熟悉处置流程,掌握系统应急操作的关键步骤,确保在发生事件时候能够妥善进行处理。


演练工作主要是模拟安全事件,因此在开展以前应该充分考虑其可能给系统带来的安全风险,尽量在测试环境中进行,或提前做好备份工作,对于不具备审计操作演练条件的系统环境,也可以沙盘推演等方式进行模拟演练。通过演练工作,能够及时发现处置流程中的问题以及应急处置方法中的缺陷,并且能够找出处置人员的安全认知和技术能力的不足以及操作规程、指导手册、运维文档的缺失,找到接下来开展安全建设的重点方向。


网络安全管理工作的落地,重点还是在于单位对于网络安全工作的重视程度,如果只是想应对检查和监管要求,存储在安全管理员文件夹中的几十个文档看起来的确是一个很重的负担,但是从企业自身安全需求出发,切实重视起安全工作对于企业稳定发展的重要性,从每一个细节着手,逐步提升,不断改进,让安全管理制度中的每项要求落实到每位系统使用者和管理者的日常工作中,单位的网络安全防护能力也一定能够稳步提升。



文章来源:中国软件测评中心