安全社区

黑盾云安全社区,与你一起分享安全领域的知识与智慧

网络安全法

《网络安全法实施指南、二》

网络安全法2018-08-07 11:28:58 1115次围观

一、信息安全体系完善

 

按照《网络安全法》实施网络安全控制措施,是当前国内各类组织在信息安全方面的重要实践,但我们也要清醒地看到,落实法律的合规要求只是组织信息安全的最基本要求,法规不可能面面俱到。因此,就算组织逐条落实了法规的要求,也只是达到了合规的基本要求,也不能保证组织的信息安全体系达到一个完善的水平。

 

因此,在合规的基础上,我们建议组织根据《网络安全法》的要求,通过等级保护的方法来进一步完善信息安全保障体系,通过人员安全培训与意识教育来提升组织的人员安全能力,通过持续安全评估与IT审计来推进安全体系持续完善。

 

1. 等级保护相关规范标准

 

信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。

 

组织可以基于合规差距分析结果并参照网络安全等级保护和其他法规对信息安全的要求,建立健全组织信息安全保障体系,部署并完善安全管理策略和安全技术措施,持续稳定地提升信息安全水平。

 

到目前为止,国家制定与颁布了与等级保护相关的多个国家标准,一些重点行业也制定了本行业的信息安全等级保护标准,等级保护的方法近年来在国内得到广泛的应用。

 

已经发布的等级保护相关标准:

· 计算机信息系统安全等级保护划分准则(GB 17859-1999)(基础类标准)

· 信息系统安全等级保护基本要求(GB/T 22239-2008)(应用类建设标准)

· 信息系统安全保护等级定级指南(GB/T 22240-2008)(应用类定级标准)

· 信息系统安全等级保护实施指南(GB/T 25058-2010)(基础类标准)

· 信息系统等级保护安全设计技术要求(GB/T 25070-2010)(应用类建设标准)

· 信息系统安全等级保护测评要求(GB/T 28448-2012)(应用类测评标准)

· 信息系统安全等级保护测评过程指南(GB/T 28449-2012)(应用类测评标准)

· 信息系统通用安全技术要求(GB/T 20271-2006)(应用类建设标准)

· 信息系统安全管理要求(GB/T 20269-2006)(应用类管理标准)

· 信息系统安全工程管理要求(GB/T 20282-2006)(应用类管理标准)

 

正在征求意见的等级保护标准修订稿

 

为配合国家落实《网络安全法》,等级保护标准的名称将由原来的GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》改为“信息安全技术 网络安全等级保护基本要求”,标准由原来的一个标准变更为多个部分组成的标准,分别为:

· GB/T 22239.1 信息安全技术 网络安全等级保护基本要求-第1部分 安全通用要求

· GB/T 22239.2 信息安全技术 网络安全等级保护基本要求-第2部分 云计算安全扩展要求

· GB/T 22239.3 信息安全技术 网络安全等级保护基本要求-第3部分 移动互联安全扩展要求

· GB/T 22239.4 信息安全技术 网络安全等级保护基本要求-第4部分 物联网安全扩展要求

· GB/T 22239.5 信息安全技术 网络安全等级保护基本要求-第5部分 工业控制安全扩展要求

· GB/T 22239.6 信息安全技术 网络安全等级保护基本要求-第6部分 大数据安全扩展要求

 

等级保护对象由原来的信息系统,调整为:安全等级保护的对象包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等。

 

等级保护相关的定级指南、测评指南、设计技术要求、测评要求、测评过程指南等相关标准也发布了相应的修订版(征求意见稿)。

 

2. 等级保护体系的设计

 

等级保护的设计分为安全策略设计、安全管理设计及安全技术设计三个方面的内容,形成信息安全保障体系的组织体系、策略体系、技术体系及运行体系。

图片10_副本.jpg

2.1 总体安全策略设计

 

总体策略设计的目标是形成组织纲领性的安全策略文件,包括确定安全方针和安全策略两方面的内容。安全方针是阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;安全策略是说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、等级保护对象互连策略、信息流控制策略等。

 

通过方针与策略的设计,以便组织可以结合等级保护基本要求系列标准、行业基本要求和安全保护特殊要求,构建机构等级保护对象的安全技术体系结构和安全管理体系结构。对于新建的等级保护对象,应在立项时明确其安全保护等级,并按照相应的保护等级要求进行总体安全策略设计。

 

2.2 安全管理体系设计

 

根据等级保护基本要求系列标准、行业基本要求、安全需求分析报告等,设计等级保护对象安全管理体系框架。主要是从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面进行设计。

 

安全管理体系设计成果可分为四层。第一层为总体方针、安全策略,通过信息安全总体方针、安全策略明确机构信息安全工作的总体目标、范围、原则等。第二层为信息安全管理制度,通过对信息安全活动中的各类内容建立管理制度,约束信息安全相关行为。第三层为安全技术标准、操作规程,通过对管理人员或操作人员执行的日常管理行为建立操作规程,规范信息安全管理制度的具体技术实现细节。第四层为记录、表单,用于在信息安全管理制度、操作规程实施时需填写的表单和需保留的操作记录。

 

图片11_副本.jpg

2.3 安全技术体系设计

 

根据组织总体安全策略文件、GB/T 22239、行业基本要求和安全需求,设计等级保护对象的安全技术体系架构。等级保护对象的安全技术防护体系由从外到内的“纵深防御”体系构成,首先通过“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏,然后通过“通信网络安全防护”保护暴露于外部的通信线路和通信设备,通过“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时遵循“就高保护”原则,对于内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”,通过“安全管理中心”对整个等级保护对象实施统一的安全技术管理。

 

等级保护对象的安全技术体系架构见下图所示:

图片12_副本.jpg

3. 信息安全教育与培训

 

《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当履行对从业人员进行网络安全教育、技术培训和技能考核的义务。

 

信息安全教育与培训是实施有效信息管理的重要基础,组织要周期性地进行信息安全教育与培训规划,要在员工中形成一个行之有效、常抓不懈的氛围,教育的形式既要生动有趣,又要紧凑有效。组织可以考虑采用以下NIST基于角色与职责的、框架式的安全教育模型:

图片13_副本.jpg

组织可根据各岗位人员信息安全能力建设需求,设计未来3到5年信息安全培训规划,并针对各岗位的工作特征,制定各岗位信息安全能力需求表,以及由知识组合成的课程。根据组织的实际情况可采用以下基于角色与职责的、框架式的课程设计。以下是基于岗位与信息安全知识体对应的培训方案示例:

 

图片14_副本.jpg

此外,《网络安全法》第十九条规定,“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。“因此,网络运营者在进行人员能力建设的同时,还应加强包括管理层在内全员网络安全意识培养和重要性宣传的工作。

 

普通员工是各项业务的执行者,员工信息安全意识的薄弱是组织信息安全最大的风险。内部员工无意的疏忽,往往会引发敏感信息泄露等安全事件的发生。内部员工的信息安全意识水平提升有助于减少信息安全风险,提升组织的总体信息安全水平。

 

组织应设计与提供贯穿员工整个职业生命周期的、多种层次、多种方式的信息安全意识宣贯,提高组织全体员工的信息安全意识水平。以下是各类信息安全意识教育形式示例:

图片15.png

4. 安全体系的持续改进

 

组织在经过合规差距分析并建成组织、管理和技术体系之后,要推进体系的运行。如果条件许可,组织还可以建立信息安全监控运行中心(SOC),对安全运行状态进行检测与管理。组织要持续地收集体系运行数据,对体系运行状态进行测量,并根据测量结果建立信息安全绩效考核机制,这样才能把信息安全要求落实到业务流程和员工岗位之中。

图片16_副本.jpg

组织要建立信息安全保障体系的PDCA循环模式,以推进体系建设的持续完善,全面提升组织的风险识别、安全防御、安全检测、安全响应与安全恢复能力,最终实现风险可视化、防御主动化、运行自动化、管理流程化的安全目标,积极、主动、快速地应对网络安全风险,保障业务与数据安全。