Image
全國統一服務熱線
0351-4073466

如何實現等級保護管理工作的體系化、標準化和規范化

編輯:2022-07-22 11:40:28

網絡安全等級保護(簡稱等保)是我國網絡安全保障工作的基本制度、基本策略和基本方法,已在全國范圍內全面開展實施。《網絡安全法》明確規定國家實行網絡安全等級保護制度,從法律上為等級保護制度的落實提供了法理依據。


等級保護工作內容包括定級、備案、建設整改、等級測評、監督檢查等環節,工作內容眾多且復雜,企業組織應嚴格按照等保要求通過等級測評并在測評后實行安全運維管理,有效落實等級保護制度要求,做好安全保障工作,全面提升安全防護水平。


標簽

01

等保管理、合規管理、安全運維、持續運營


用戶痛點

02

在等保2.0時代背景下,網絡安全呈現復雜化趨勢,對安全理念、技術、管理等均提出了更高要求,呈現標準化、體系化、常態化等特點,如何進行等保建設和通過等級測評,并在通過測評后按照等保要求進行有效運維管理與持續性改進成為用戶單位不得不面對的問題。當前大部分的用戶單位開展等級保護工作主要依賴第三方安全服務機構提供的等級保護相關服務,但存在如下困擾:


無法全面了解等級保護體系:用戶單位雖然明白等級保護的意義,但是往往是知其然而不知其所以然。總體上,對于等級保護標準體系的總體目標、內容構成、工作方法及運作過程等知之甚少,難以真正領略等級保護標準體系的精髓,并真正運用到信息系統的建設及運維管理過程中。


難以識別并管理系統基本構成:等保對象相關的資產構成的邊界不清晰,同時內部資產缺乏有效的梳理,導致在運行和管理過程中難以根據等保對象的構成部分進行精細化的運維管控;


無法建立并跟蹤系統合規狀態:通過第三方服務報告及技術文檔,無法簡單明了地了解等保對象的指標差距、總體情況和具體項目,更不能通過這些文檔來跟蹤相關指標差距項目的實時狀態;


無法掌握系統的安全狀態:用戶單位無法通過第三方服務文檔明確地掌握等保對象相關資產的脆弱性和高風險項,對于總體安全狀態,對整體的安全狀態沒有清晰,完整的認識;


無法即時管控工作進度:等保建設工作屬于體系化、標準化、規范化等要求較高的工作,用戶單位在對等級保護工作內容還未達到透徹了解的情況下,難以做到對等級保護工作進行合理、有力、規范的控制和管理。因此,在等級保護工作開展的過程中,用戶單位往往不能做到即時動態地管控等級保護工作內容和工作進度的情況;


無法實施等保標準化管理:用戶單位在等級保護建設及運維工作中經常存在以下問題:各種管理制度或多或少地缺失,未進行體系化的梳理與落實;雖通過第三方服務方式進行增補與修訂,但難以根據本單位的實際情況將制度系統地、規范地應用到信息系統的日常管理之中,并規范有序地實施等級保護的標準化管理。


解決方案

03

基于網絡安全等級保護基本要求,結合行業用戶的業務目標、技術和應用場景等因素,中信網安面向用戶單位建立一套覆蓋基本信息、定級備案、建設整改、等級測評、安全自查、安全管理等全過程的綜合管理系統,幫助用戶有序開展等級保護工作,落實各項安全保護管理制度和安全技術保護措施,建立體系化、標準化、規范化的管理體系,有效提升系統全生命周期的安全管理能力,達到如下目標:


  • 全面、系統地了解等級保護標準體系;

  • 識別并管理等級保護信息系統基本構成;

  • 建立并跟蹤等級信息系統合規狀態;

  • 直觀準確地掌握信息系統安全狀態;

  • 即時動態地管理等級保護工作進度;

  • 規范有序實施等級保護標準化管理。


01

基本信息識別

華安星等級保護綜合管理系統(以下簡稱“系統”)自帶資產發現與識別能力,對用戶單位內部的資產進行主動探測,全面識別包含網絡設備、安全設備、服務器設備、應用資產、數據資產等在內的各類資產,同時輔以人工操作,明確以等保對象為中心的業務邊界,并對各類資產進行動態刻畫和標識,在線動態構建網絡拓撲和邏輯拓撲,并對各類資產進行在線監控,形成詳細的資產清單,為等保測評和日常運維提供基礎支撐。


02

合規管理

系統以等級保護為依據,從定級、備案、建設整改、等級測評、安全自查等全過程進行有效管理,并在關鍵節點提供等保行業實踐模板和過程數據的歸集與管理,有效地引導并指導用戶單位掌控等保的全過程,幫助用戶單位掌握等保工作的進度、項目狀態和等保對象的合規與安全狀態。


03

制度管理

許多安全事件的發生都是由于管理制度的缺失或管理不到位所導致的,在具體落實管理制度的過程中,由于缺乏統一標準、分工不明確、人為操作不規范、管理與執行過程缺乏記錄等問題,造成管理不合規并引發安全事件風險。根據系統內置各類安全管理制度實踐模板,用戶可結合自身業務情況建立符合自身安全需求的各類管理制度,并將管理制度落實電子化、標準化、流程化,在提高工作效率的同時,保障管理制度的有效落地,提高安全管理水平。


04

持續運營

隨著業務、環境等因素的變化,等保指標也會隨之動態變化,等保合規并不意味著安全建設的結束,而往往是新的安全建設的開始,需結合自身業務進行安全管理和運營。系統提供了內建的符合等級保護安全管理基本要求的管理體系和安全運維管理的最佳實踐模板,用戶可結合自身情況,圍繞安全管理制度建立歸一化流程、記錄一體化運行管理。


此外系統提供豐富的接口,支持對各類設備的日志實時采集,對各類資產進行運行監控、脆弱性與合規性監測,并進行關聯分析,匹配安全自查、監督檢查、通報預警機制,當出現安全異常安全事件時,能夠快速評估并進行響應處置。


用戶反饋

04

通過應用華安星等級保護綜合管理系統,對本單位9個等保對象相關的資產進行全面發現,并輔以人工識別確定業務邊界,完成資產全面梳理,并以此為基礎,對等保工作過程進行全流程管理,建立等保臺賬和標準化運營管理體系,實現各參與角色的標準化持續性運維,降低了合規測評與日常運維過程中可能出現的人為等因素的安全風險。

——某三甲醫院


華安星等級保護綜合管理系統對本單位的30余個等保對象進行全過程管理,通過系統對網絡安全等級保護工作參與的各角色進行統一的管理,建立了統一的管理體系。同時通過內置的標準化接口實現與漏洞工具的對接,匹配安全通報模塊,出現異常安全事件時,能進行及時通報預警、整改、處置與響應,實現了安全事件的閉環管理。

——某高校


文章來源:天億網絡安全


Image
Image
版權所有:山西科信源信息科技有限公司??
咨詢熱線:0351-4073466?
地址:(北區)山西省太原市迎澤區新建南路文源巷24號文源公務中心5層
? ? ? ? ? ?(南區)太原市小店區南中環街529 號清控創新基地A座4層
Image
?2021 山西科信源信息科技有限公司 晉ICP備15000945號 技術支持 - 資海科技集團