一、安全项目建设的依据来源
主要从三个方面说明
1、法律合规。主要包含《网络安全法》《数据安全法》《个人信息保护法》、等级保护2.0、主管监管单位及行业协会下发的安全实施细则等
2、第三方审计。如ISO27001认证;内部安全审计等
3、安全风险评估。如季度安全扫描,暴露面安全风险,主机/pc周期运行风险,行业或公司安全事件等
二、落地实施原则
从可用性、供应链安全、人员安全、网络安全方面进行
1、可用性安全。具体体现在,新增项目避免物理串联在网络架构中、端/虚拟机/容器/云主机安全端防护,尽可能轻量化,业务时间段安全策略采取安全打开原则。
2、供应链安全。从产品选型与供应商做好风险管理。实时安全策略更新单向从供应商获取,避免将安全设备的端口或服务开放给供应商。关注供应商安全风险,及时跟进漏洞及风险处置。
3、人员安全。安全管理人员安全,背景、培训和制度保障安全设备被安全管理;供应商实施人员安全,资质、经验和签订保密协议保障安全项目实施安全。
4、网络安全。由于大部分安全设备属于集权类系统,所以在系统的安全控制上应遵循最小特权、需知原则。在其他系统交互加强网络策略管理,高危端口强管控。
390
09-01
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
