所谓的安全通用项,就是等保测评过程中必须测评的项,说得再直白一点就是等保1.0中的测评项,随着社会的进步和科学技术的飞速发展,一些新技术和新应用逐渐进入到人们的生活、工作和生产之中,例如:云计算、移动互联、物联网、工业控制及大数据等,等保1.0中的测评项已经无法跟上科技进步的步伐,无法覆盖到新技术所涉及的安全方面的要求,等保2.0的推出,可以说是紧跟科技进步的步伐,为我们的生活、工作和生产保驾护航,然而等保1.0中的基础和经验不能随便丢弃,这不它就化身为等保2.0中的安全通用项,继续为我们的网络安全事业夯实基础。
安全管理机构
下面我们就讲解等保2.0安全通用项中关于安全管理机构方面有哪些测评项。
一、岗位设置a) 应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权;
这一项其实就是政策从上而下的延伸,中央由国家领导人负责的网络安全和信息化委员会以及对应的办公室,那么各个单位就必须有负责自己单位网络安全的委员会和领导小组,国家是由最高领导人担任组长,各单位也应该由最高领导担任组长,最起码也是最高领导授权了的,毕竟有了“尚方宝剑”才能够有震慑力。
b) 应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
接着上一项说,有了网络安全和信息化委员会,就要有相应的职能部门,这里叫做网络安全和信息化委员会办公室,相应的各单位也需要类似的职能部门,来负责各单位的网络安全和信息化职能,当然了这里只负责网络安全部分,可以根据每个单位的具体情况设立相应规模的职能部门及岗位设置,做到有职有责。
岗位设置
c) 应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。
这一项规定了各单位负责安全的最低职位设置,也就是系统管理员、审计管理员和安全管理员,其实这种设置是非常常见的,但是对应到实际当中,显得就不那么严谨,按道理说这三个职位应该由三个不同的人担任,以起到相互制约的作用,然而现实大多数情况却是你中有我,我中有你的状态,最常见的就是只有一个超级管理员,负责三个岗位的所有职责,因此不要只看各单位的职责分工表,要确认到具体人上。
二、人员配备a) 应配备一定数量的系统管理员、审计管理员和安全管理员等;
接着上边的一项说,设置了相应的岗位,就应该有对应的人员来担任,这里说的一定数量是一个很模糊的概念,正常思路应该根据每个单位的具体情况,例如人员数量、设备数量、安全等级等因素设置对应人数的管理员,当然也看每个管理员的个人能力,能不能胜任单位的岗位要求,一般情况下最少也要指定三名人员来担任不同的岗位,那些一人兼任两个甚至三个岗位的做法肯定不妥当。
人员配备
b) 应配备专职安全管理员,不可兼任。
上边刚说到一人兼任多个职位的做法不妥当,这里就把安全管理员的岗位单独拿出来说,毕竟等保测评测的是安全性,安全管理员就只能配备专职的人员,不能和系统管理员、审计管理员是同一个人,这里没说系统管理员和审计管理员不能是同一个人,也就是说安全管理员只能是专门一个人,系统管理员和审计管理员可以是同一个人,那么最低的标准就是两个人担任这三个职位,且安全管理员不能和其他两个职位兼任。
三、授权和审批a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
这一项就不用多说了,常见的审批项下边会提到,可以根据单位实际情况增加些审批项,至于审批部门和审批人就更需要根据每个单位的具体情况来定了,重点是有事项可申请,有部门和人员可申请。
b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
这一项就列了几项事项要建立审批程序,可以根据自己情况增加事项,最好不要缺少此项里提到的几个事项,查看之前的审批文件,看看是不是按照建立的审批程序进行审批的,至于重要活动一般都是具体负责领导逐级到最高领导都要审批。
授权和审批
c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息。
审查审批事项就是查看审批事项是不是按照审批程序进行的审批,我们需要查看审查记录,当审批事项、审批部门和审批人更改时要及时更新,可以查看更新记录。
四、沟通和合作a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作与沟通,定期召开协调会议,共同协作处理网络安全问题;
这一项查看召开会议的会议记录就可以了,注意一定要是关于网络安全问题方面的会议,并查看类似的会议召开的频率。
b) 应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通;
这一项就不多说了,一般情况下没有什么依据可查,一般会和访谈人口头形式交谈来做出判断,重视网络安全的单位一般都会和相关单位或者人员频繁合作和交流,看被访谈人能否从容应答吧。
沟通和合作
c) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。
发生网络安全问题,是谁都不想看到的,然而这些不是我们能够左右的,我们能做的就是做好前期的防御和后期的补救工作,这些工作仅仅靠自己单位是远远不够的,需要专业的团队给与技术支持,我们每个单位都要建立这种长期有效的外联机制。
五、审核和检查a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
定期的安全检查,能够让我们及时发现网络和系统存在的问题,此项列出了三个检查内容,系统的日常运行,需要查看系统的运行日志,这个找审计管理员查看;系统漏洞情况,我们可以查看该单位为系统做的漏洞检测报告,这个是安全管理员的职责;数据备份情况,可以查看系统的备份策略,这个找系统管理员查看。
b) 应定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
全面的安全检查就是比较专业的安全检查了,需要安全管理员配合完成,安全技术措施的有效性,应该保证我们采取的安全技术措施,能够有效地对我们的系统进行保护,安全策略要与实际的安全配置所一致,这个没有必要全部查看,抽查几项就可以了,至于安全管理制度的执行,我们要查看安全管理制度所要求的相关事项的执行记录等,例如:安全区域的进出记录、数据备份记录、安全培训记录等。
审核和检查
c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
这一项需要被检测方提供安全检查表格,以及检查过后形成的数据报告,对于有问题的事项是否对相关责任部门进行了通报,并核查是否整改,这些都需要书面的材料作为佐证。
以上就是一项一项教你测等保2.0安全通用项——安全管理机构的所有内容,希望对大家有所帮助,之后会更新其余安全通用的测评项,欢迎关注@科技兴了解更多科技尤其是网络安全方面的资讯与知识。
,
