文章目录
本次从头梳理一下等保2.0涉及到的主要步骤:
等保概述、定级备案、差距评估、规划设计、安全整改以及测评验收等。
定级备案后就开始正式测评工作,我们忽略掉签合同、开项目启动会等非技术性环节,本节开始按等保测评的安全通用要求十个方面逐个按测评指导书结合等保要求来进行详细的分析。
从本节开始直接将安全通用要求的后面五个跟规章制度相关的内容进行讲解。相对而言管理层面的整改相对技术层面的整改要简单,主要涉及各种规章制度,记录表等,整改成本也较低,因此对管理层面的差距评估及整改是等保中的拿分项。最后这两块:安全建设管理和安全运维管理是管理层面中控制点最多的两块。
安全运维管理
安全通用要求的安全运维管理部分针对安全运维过程提出安全控制要求,涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理十四个方面,各等级控制点分布如下图所示。
8.1.10.1 环境管理
该控制点的物理环境侧重于制度的管理,而非机房的物理环境要求。
8.1.10.2 资产管理
8.1.10.3 介质管理
本控制点的介质包含但不限于以下类型:存储设备、磁带、硬盘、移动硬盘、U盘、光盘。
8.1.10.4 设备维护管理
8.1.10.5 漏洞和风险管理
略
8.1.10.6 网络和系统安全管理
g)h)i)略
8.1.10.7 恶意代码防范管理
8.1.10.8 配置管理
略
8.1.10.9 密码管理
对于密码相关行标可以参考:http://www.gmbz.org.cn/main/index.html
8.1.10.10 变更管理
8.1.10.11 备份与恢复管理
8.1.10.12 安全事件处置
a)c)若未出现过安全事件,可以查看相关文档或空白记录。
8.1.10.13 应急预案管理
8.1.10.14 外包运维管理
略。
自主研发软件本控制点不适用。