安全管理服务
安全管理体系主要是为安全运营中心建立一套完善的、符合等级保护第三级要求的安全管理体系,以便开展日常安全工作及其他相关工作。
1、管理组织建设
以安全组织架构设计为基础,定义业务系统监管方、云服务运维方、业务系统运维方、安全运营中心“四方”的职责如下:
(1)应按照网络安全法和国家信息系统安全等级保护的要求,对各个业务系统进行信息安全设计与建设,各方应该在系统监管方的协调下积极配合安全运营中心的建设工作。
(2)为确保各业务系统的数据和系统自身的安全,云服务运维方和安全运营中心应先通过安全审查(按照国家相关部门安全标准及规范实施),才能向客户提供云计算服务和安全运营服务。云服务运维方和安全运营中心应积极配合监管工作开展,对云服务方所提供的云计算服务进行安全监控,确保持续满足业务系统的安全需求。
(3)业务系统运维方需承担部署或迁移到云计算平台上的数据和业务的最终安全责任;业务系统运维方对业务系统的运行进行监督和管理,根据相关规定或服务级别协议开展信息安全检查。
(4)业务系统监管方作为区域的网络信息安全监管部门,负责安全建设项目和安全运营制度的审批,负责安全工作实施过程中的监督、协调与沟通。
(5)明确定义、设置上述多方日常安全职责矩阵。
2、安全制度管理
安全制度管理工作的主要内容如下。
完善信息安全工作总体方针、安全策略,说明机构安全工作的总体目标、范围、方针、原则、责任等
完善各种安全管理活动中的流程和管理制度
建立和完善日常管理操作规程、手册等,以指导安全操作
定期对安全管理制度体系进行评审,以发现不适宜内容并加以修订
设立信息安全领导小组或委员会,并由信息安全领导小组统一负责并组织相关人员制定信息安全管理制度。
定期对安全管理制度进行评审和修订
针对安全管理制度明确具体的负责人或负责部门,并用清单的方式明确对应关系。
3、安全流程管理
为监管方建立相关的流程,保证安全运营可以遵照标准流程制度执行,主要内容如下。
流程制定。建立健全流程管理制度,主要流程有:安全事件处置流程、安全风险评估流程、安全事件应急响应流程、安全事件溯源取证流程、安全设备上线交割流程等。
流程变更维护。定期维护和修订相关的管理制度。
流程发布。根据需要,定期发布变更后的全套流程到相关的组织范围,并对发布的流程进行相关培训。
4、人员安全管理
为保证安全管理方做好各阶段的工作分配,需要协助安全管理方建立合理的信息安全人员管理机制,如渗透测试工程师、应用安全开发工程师、网络安全工程师、终端安全工程师和数据安全工程师等。
5、安全建设管理
安全建设管理,即对系统建设进行安全管理,包括
系统定级
安全方案设计
安全产品采购
自主软件开发
外包软件开发
工程实施
测试验收
系统交付
系统备案
等级测评
安全服务商选择等
6、安全运维管理
安全运维管理,即对系统运维进行安全管理,包括
环境管理
资产管理
介质管理
设备管理
安全监控
网络安全管理
系统安全管理
恶意代码防范
密码管理
变更管理
备份及恢复管理
安全事件处置
应急预案管理等
7、安全培训管理
打造面向所有信息化管理人员、IT运维团队、内部工作人员的网络安全培训中心,定期举行网络安全培训,提供定制化的信息安全意识和安全实操培训服务。
安全培训管理具体包括五部分内容:
安全意识培训
安全管理与理念培训
网络及安全设备安全运维培训
操作系统及数据库安全运维培训
应用系统安全开发与运维培训
8、安全运营管理
通过对《中华人民共和国网络安全法》和等级保护第三级要求进行分析,安全管理体系的逐步建立和完善需要通过必要的工具辅助开展日常管理工作,通过安全管理系统可以积累相应的数据便于分析和管理,安全管理工作的开展需要配套开发一套安全管理系统,能够基于系统生命周期管理对参与方角色/权限管理、安全制度管理、风险管理、控制执行、绩效评价、威胁情报、工作流程等进行统一管理,以提高安全管理工作效率。
9、安全咨询管理
信息安全规划是一项较为重要的安全咨询服务,主要依据信息安全策略及行业发展动态,在对客户信息安全现状进行风险评估、差距分析的基础上,从安全技术、安全管理、安全组织三个角度帮助客户构建短期、中期与长期的信息安全规划,将信息安全的单点风险控制转变为全面的安全规划,进而实现有效的信息安全建设并建立完整的信息安全保障体系。
在开展信息安全规划服务时,首要工作是依据国际信息安全最佳实践、国家信息安全政策引领、行业发展动态、监管部门的政策规范及信息安全技术发展趋势等要求,构建信息安全能力评估模型,依据模型对客户的网络基础环境、计算环境、管理环境、组织环境进行现状检查、评估与差距分析,明确客户信息安全建设的需求与目标。
在此基础上,进行信息安全建设的蓝图规划。信息安全蓝图规划须依托企业信息化规划,对信息化的实施应起到保驾护航的作用。信息安全规划的目标应与企业信息化的目标保持一致,且比企业信息化的目标更具体明确、更贴近安全。信息安全规划的一切论述都需以上述目标为依托进行部署和开展。
网安&黑客学习资料包
基于最新的kali讲解,循序渐进地对黑客攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助,讲解通俗易懂,风趣幽默,风格清新活泼,学起来轻松自如,酣畅淋漓!
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
因篇幅有限,仅展示部分资料,需要可扫描下方卡片获取~
本文转自 https://blog.csdn.net/Python_0011/article/details/140705391?spm=1001.2014.3001.5501,如有侵权,请联系删除。
2066
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
