本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始就要按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
从本节开始直接将安全通用要求的后面五个跟规章制度相关的内容进行讲解。相对而言管理层面的整改相对技术层面的整改要简单,主要涉及各种规章制度,记录表等,整改成本也较低,因此对管理层面的差距评估及整改是等保中的拿分项。
安全管理机构
安全通用要求的安全管理机构部分针对整个管理组织架构提出安全控制要求。涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查五个方面,各等级控制点分布如下图所示。
8.1.7.1 岗位设置
如果该条不满足可以考虑:
1、技术手段增强层面间:网络安全、主机安全与安全管理机构单位内对网络设备、主机设备均设定了不同权限的登录管理账户,有助于部分补充缺乏如系统管理职责要求的安全管理不足。
2、管理手段增强层面间:系统运维管理与安全管理机构
单位在实际工作中能有专人负责网络、系统、安全等方面的管理,有助于部分弥补缺乏信息安全管理工作职能部门的不足。
说明:如果没有按照系统管理员、网络管理员、安全管理员划分职能,比如按专员、科员等,但在日常工作中明确了系统管理、网络维护、安全审查等方面的工作职责可判定为符合。
8.1.7.2 人员配备
说明:人员数量,具体根据系统规模判断。人员可以是外包公司的,但至少配备一名专职的安全管理员。
安全管理员可兼任非安全管理岗位。
8.1.7.3 授权和审批
b)说明:对关键活动是否建立双重审批制度,需配合审批流程或相关业务流程。
8.1.7.4 沟通和合作
a)说明:定期或不定期召开的协调会议可以不是信息安全专题会议,但是议题中要有和信息安全相关的内容。