Image
全國(guó)統(tǒng)一服務(wù)熱線
0351-4073466

如何實(shí)現(xiàn)等級(jí)保護(hù)管理工作的體系化、標(biāo)準(zhǔn)化和規(guī)范化


編輯:2022-07-22 11:40:28

網(wǎng)絡(luò)安全等級(jí)保護(hù)(簡(jiǎn)稱(chēng)等保)是我國(guó)網(wǎng)絡(luò)安全保障工作的基本制度、基本策略和基本方法,已在全國(guó)范圍內(nèi)全面開(kāi)展實(shí)施?!毒W(wǎng)絡(luò)安全法》明確規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,從法律上為等級(jí)保護(hù)制度的落實(shí)提供了法理依據(jù)。


等級(jí)保護(hù)工作內(nèi)容包括定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、監(jiān)督檢查等環(huán)節(jié),工作內(nèi)容眾多且復(fù)雜,企業(yè)組織應(yīng)嚴(yán)格按照等保要求通過(guò)等級(jí)測(cè)評(píng)并在測(cè)評(píng)后實(shí)行安全運(yùn)維管理,有效落實(shí)等級(jí)保護(hù)制度要求,做好安全保障工作,全面提升安全防護(hù)水平。


標(biāo)簽

01

等保管理、合規(guī)管理、安全運(yùn)維、持續(xù)運(yùn)營(yíng)


用戶痛點(diǎn)

02

在等保2.0時(shí)代背景下,網(wǎng)絡(luò)安全呈現(xiàn)復(fù)雜化趨勢(shì),對(duì)安全理念、技術(shù)、管理等均提出了更高要求,呈現(xiàn)標(biāo)準(zhǔn)化、體系化、常態(tài)化等特點(diǎn),如何進(jìn)行等保建設(shè)和通過(guò)等級(jí)測(cè)評(píng),并在通過(guò)測(cè)評(píng)后按照等保要求進(jìn)行有效運(yùn)維管理與持續(xù)性改進(jìn)成為用戶單位不得不面對(duì)的問(wèn)題。當(dāng)前大部分的用戶單位開(kāi)展等級(jí)保護(hù)工作主要依賴(lài)第三方安全服務(wù)機(jī)構(gòu)提供的等級(jí)保護(hù)相關(guān)服務(wù),但存在如下困擾:


無(wú)法全面了解等級(jí)保護(hù)體系:用戶單位雖然明白等級(jí)保護(hù)的意義,但是往往是知其然而不知其所以然??傮w上,對(duì)于等級(jí)保護(hù)標(biāo)準(zhǔn)體系的總體目標(biāo)、內(nèi)容構(gòu)成、工作方法及運(yùn)作過(guò)程等知之甚少,難以真正領(lǐng)略等級(jí)保護(hù)標(biāo)準(zhǔn)體系的精髓,并真正運(yùn)用到信息系統(tǒng)的建設(shè)及運(yùn)維管理過(guò)程中。


難以識(shí)別并管理系統(tǒng)基本構(gòu)成:等保對(duì)象相關(guān)的資產(chǎn)構(gòu)成的邊界不清晰,同時(shí)內(nèi)部資產(chǎn)缺乏有效的梳理,導(dǎo)致在運(yùn)行和管理過(guò)程中難以根據(jù)等保對(duì)象的構(gòu)成部分進(jìn)行精細(xì)化的運(yùn)維管控;


無(wú)法建立并跟蹤系統(tǒng)合規(guī)狀態(tài):通過(guò)第三方服務(wù)報(bào)告及技術(shù)文檔,無(wú)法簡(jiǎn)單明了地了解等保對(duì)象的指標(biāo)差距、總體情況和具體項(xiàng)目,更不能通過(guò)這些文檔來(lái)跟蹤相關(guān)指標(biāo)差距項(xiàng)目的實(shí)時(shí)狀態(tài);


無(wú)法掌握系統(tǒng)的安全狀態(tài):用戶單位無(wú)法通過(guò)第三方服務(wù)文檔明確地掌握等保對(duì)象相關(guān)資產(chǎn)的脆弱性和高風(fēng)險(xiǎn)項(xiàng),對(duì)于總體安全狀態(tài),對(duì)整體的安全狀態(tài)沒(méi)有清晰,完整的認(rèn)識(shí);


無(wú)法即時(shí)管控工作進(jìn)度:等保建設(shè)工作屬于體系化、標(biāo)準(zhǔn)化、規(guī)范化等要求較高的工作,用戶單位在對(duì)等級(jí)保護(hù)工作內(nèi)容還未達(dá)到透徹了解的情況下,難以做到對(duì)等級(jí)保護(hù)工作進(jìn)行合理、有力、規(guī)范的控制和管理。因此,在等級(jí)保護(hù)工作開(kāi)展的過(guò)程中,用戶單位往往不能做到即時(shí)動(dòng)態(tài)地管控等級(jí)保護(hù)工作內(nèi)容和工作進(jìn)度的情況;


無(wú)法實(shí)施等保標(biāo)準(zhǔn)化管理:用戶單位在等級(jí)保護(hù)建設(shè)及運(yùn)維工作中經(jīng)常存在以下問(wèn)題:各種管理制度或多或少地缺失,未進(jìn)行體系化的梳理與落實(shí);雖通過(guò)第三方服務(wù)方式進(jìn)行增補(bǔ)與修訂,但難以根據(jù)本單位的實(shí)際情況將制度系統(tǒng)地、規(guī)范地應(yīng)用到信息系統(tǒng)的日常管理之中,并規(guī)范有序地實(shí)施等級(jí)保護(hù)的標(biāo)準(zhǔn)化管理。


解決方案

03

基于網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求,結(jié)合行業(yè)用戶的業(yè)務(wù)目標(biāo)、技術(shù)和應(yīng)用場(chǎng)景等因素,中信網(wǎng)安面向用戶單位建立一套覆蓋基本信息、定級(jí)備案、建設(shè)整改、等級(jí)測(cè)評(píng)、安全自查、安全管理等全過(guò)程的綜合管理系統(tǒng),幫助用戶有序開(kāi)展等級(jí)保護(hù)工作,落實(shí)各項(xiàng)安全保護(hù)管理制度和安全技術(shù)保護(hù)措施,建立體系化、標(biāo)準(zhǔn)化、規(guī)范化的管理體系,有效提升系統(tǒng)全生命周期的安全管理能力,達(dá)到如下目標(biāo):


  • 全面、系統(tǒng)地了解等級(jí)保護(hù)標(biāo)準(zhǔn)體系;

  • 識(shí)別并管理等級(jí)保護(hù)信息系統(tǒng)基本構(gòu)成;

  • 建立并跟蹤等級(jí)信息系統(tǒng)合規(guī)狀態(tài);

  • 直觀準(zhǔn)確地掌握信息系統(tǒng)安全狀態(tài);

  • 即時(shí)動(dòng)態(tài)地管理等級(jí)保護(hù)工作進(jìn)度;

  • 規(guī)范有序?qū)嵤┑燃?jí)保護(hù)標(biāo)準(zhǔn)化管理。


01

基本信息識(shí)別

華安星等級(jí)保護(hù)綜合管理系統(tǒng)(以下簡(jiǎn)稱(chēng)“系統(tǒng)”)自帶資產(chǎn)發(fā)現(xiàn)與識(shí)別能力,對(duì)用戶單位內(nèi)部的資產(chǎn)進(jìn)行主動(dòng)探測(cè),全面識(shí)別包含網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、應(yīng)用資產(chǎn)、數(shù)據(jù)資產(chǎn)等在內(nèi)的各類(lèi)資產(chǎn),同時(shí)輔以人工操作,明確以等保對(duì)象為中心的業(yè)務(wù)邊界,并對(duì)各類(lèi)資產(chǎn)進(jìn)行動(dòng)態(tài)刻畫(huà)和標(biāo)識(shí),在線動(dòng)態(tài)構(gòu)建網(wǎng)絡(luò)拓?fù)浜瓦壿嬐負(fù)洌?duì)各類(lèi)資產(chǎn)進(jìn)行在線監(jiān)控,形成詳細(xì)的資產(chǎn)清單,為等保測(cè)評(píng)和日常運(yùn)維提供基礎(chǔ)支撐。


02

合規(guī)管理

系統(tǒng)以等級(jí)保護(hù)為依據(jù),從定級(jí)、備案、建設(shè)整改、等級(jí)測(cè)評(píng)、安全自查等全過(guò)程進(jìn)行有效管理,并在關(guān)鍵節(jié)點(diǎn)提供等保行業(yè)實(shí)踐模板和過(guò)程數(shù)據(jù)的歸集與管理,有效地引導(dǎo)并指導(dǎo)用戶單位掌控等保的全過(guò)程,幫助用戶單位掌握等保工作的進(jìn)度、項(xiàng)目狀態(tài)和等保對(duì)象的合規(guī)與安全狀態(tài)。


03

制度管理

許多安全事件的發(fā)生都是由于管理制度的缺失或管理不到位所導(dǎo)致的,在具體落實(shí)管理制度的過(guò)程中,由于缺乏統(tǒng)一標(biāo)準(zhǔn)、分工不明確、人為操作不規(guī)范、管理與執(zhí)行過(guò)程缺乏記錄等問(wèn)題,造成管理不合規(guī)并引發(fā)安全事件風(fēng)險(xiǎn)。根據(jù)系統(tǒng)內(nèi)置各類(lèi)安全管理制度實(shí)踐模板,用戶可結(jié)合自身業(yè)務(wù)情況建立符合自身安全需求的各類(lèi)管理制度,并將管理制度落實(shí)電子化、標(biāo)準(zhǔn)化、流程化,在提高工作效率的同時(shí),保障管理制度的有效落地,提高安全管理水平。


04

持續(xù)運(yùn)營(yíng)

隨著業(yè)務(wù)、環(huán)境等因素的變化,等保指標(biāo)也會(huì)隨之動(dòng)態(tài)變化,等保合規(guī)并不意味著安全建設(shè)的結(jié)束,而往往是新的安全建設(shè)的開(kāi)始,需結(jié)合自身業(yè)務(wù)進(jìn)行安全管理和運(yùn)營(yíng)。系統(tǒng)提供了內(nèi)建的符合等級(jí)保護(hù)安全管理基本要求的管理體系和安全運(yùn)維管理的最佳實(shí)踐模板,用戶可結(jié)合自身情況,圍繞安全管理制度建立歸一化流程、記錄一體化運(yùn)行管理。


此外系統(tǒng)提供豐富的接口,支持對(duì)各類(lèi)設(shè)備的日志實(shí)時(shí)采集,對(duì)各類(lèi)資產(chǎn)進(jìn)行運(yùn)行監(jiān)控、脆弱性與合規(guī)性監(jiān)測(cè),并進(jìn)行關(guān)聯(lián)分析,匹配安全自查、監(jiān)督檢查、通報(bào)預(yù)警機(jī)制,當(dāng)出現(xiàn)安全異常安全事件時(shí),能夠快速評(píng)估并進(jìn)行響應(yīng)處置。


用戶反饋

04

通過(guò)應(yīng)用華安星等級(jí)保護(hù)綜合管理系統(tǒng),對(duì)本單位9個(gè)等保對(duì)象相關(guān)的資產(chǎn)進(jìn)行全面發(fā)現(xiàn),并輔以人工識(shí)別確定業(yè)務(wù)邊界,完成資產(chǎn)全面梳理,并以此為基礎(chǔ),對(duì)等保工作過(guò)程進(jìn)行全流程管理,建立等保臺(tái)賬和標(biāo)準(zhǔn)化運(yùn)營(yíng)管理體系,實(shí)現(xiàn)各參與角色的標(biāo)準(zhǔn)化持續(xù)性運(yùn)維,降低了合規(guī)測(cè)評(píng)與日常運(yùn)維過(guò)程中可能出現(xiàn)的人為等因素的安全風(fēng)險(xiǎn)。

——某三甲醫(yī)院


華安星等級(jí)保護(hù)綜合管理系統(tǒng)對(duì)本單位的30余個(gè)等保對(duì)象進(jìn)行全過(guò)程管理,通過(guò)系統(tǒng)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作參與的各角色進(jìn)行統(tǒng)一的管理,建立了統(tǒng)一的管理體系。同時(shí)通過(guò)內(nèi)置的標(biāo)準(zhǔn)化接口實(shí)現(xiàn)與漏洞工具的對(duì)接,匹配安全通報(bào)模塊,出現(xiàn)異常安全事件時(shí),能進(jìn)行及時(shí)通報(bào)預(yù)警、整改、處置與響應(yīng),實(shí)現(xiàn)了安全事件的閉環(huán)管理。

——某高校


文章來(lái)源:天億網(wǎng)絡(luò)安全


Image
Image
版權(quán)所有:山西科信源信息科技有限公司??
咨詢(xún)熱線:0351-4073466?
地址:(北區(qū))山西省太原市迎澤區(qū)新建南路文源巷24號(hào)文源公務(wù)中心5層
? ? ? ? ? ?(南區(qū))太原市小店區(qū)南中環(huán)街529 號(hào)清控創(chuàng)新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號(hào) 技術(shù)支持 - 資海科技集團(tuán)