本文聚焦等保2.0中的安全管理中心,虽非技术重点,但涉及安全策略、管理制度、制定发布及评审修订等方面。安全管理制度整改主要涉及规章制度,整改成本低,是拿分项。内容涵盖安全策略的制定、管理制度的连贯性、制度制定的负责人及制度的评审修订流程。
本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
前面几篇讲解了技术类差距评估,还有一块是安全管理中心,这部分是等保2.0中新加的内容,但是如果有堡垒机和审计系统基本上没什么问题,这里就不专门进行讲解,从本节开始直接将安全通用要求的后面五个跟规章制度相关的内容进行讲解。相对而言管理层面的整改相对技术层面的整改要简单,主要涉及各种规章制度,记录表等,整改成本也较低,因此对管理层面的差距评估及整改是等保中的拿分项。
安全管理制度
安全通用要求的安全管理制度部分针对整个管理制度体系提出安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布、评审和修订四个方面。各等级控制点分布如下图所示,内容还算不多。
8.1.6.1 安全策略
8.1.6.2 管理制度
对于c)要注意:
1)访谈安全主管,询问是否制定信息安全工作的总体方针和安全策略,制定安全管理制度,具有操作规程,形成信息安全管理制度体系。
2)检查现有安全策略、管理制度、操作规程之间存在连贯性。
8.1.6.3 制定和发布
说明:需在制度内明确具体的负责人。
说明:管理制度的格式及标识内容可以在文件管理程序或专门管理制度发文的管理要求内体现。
8.1.6.4 评审和修订
说明:在系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织结构等发生变更时是否对安全管理制度进行审定,对需要改进的制度进行修订。
扫一扫
762
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
