1.6 网络信息安全管理内容与方法
注重网络信息安全的管理。
内容:概念、方法、依据、要素、流程、工具、评估等。
1.6.1 概念
网络信息安全管理是指对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控制性和抗抵赖性等,不致因网络中断、信息泄漏或破坏。
网络信息安全管理对象主要包括:网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软、硬件总和。
网络信息安全设计内容有:物理安全、网络通信安全、操作系统安全、网络服务安全、网络操作安全以及人员安全。
与网络信息安全管理有关的技术主要有:风险分析、密码算法、身份认证、访问控制、安全审计、漏洞扫描、防火墙、入侵检测和应急响应等。
网络信息安全管理的目标就是通过适当的安全防范措施,保障网络的运行安全和信息安全,满足网上业务开展的安全要求。
1.6.1 方法
网络信息安全管理是一个复杂的活动,涉及法律法规、技术、协议、产品、标准规范、文化、隐私保护等,同时涉及多个网络安全风险相关责任提。
网络安全管理方法主要有:风险管理、等级保护、纵深防御、层次化保护、应急响应以及PDCA(Plan-Do-Check-Act)方法等。
实际工作中PDCA是一个不错的方法,风险管理在很多检查比如PCI DSS中会涉及,等级保护-网安有等级保护要求。
1.6.2 依据
网络信息安全管理依据主要包括网络安全法律法规、网络安全相关政策文件、网络安全技术规范、网络安全管理标准规范等。
国际上网络安全管理等参考依据主要是ISO/IEC27001、欧盟通用数据保护条例(GDPR,General Data Protection Regulation)、信息安全技术安全性评估通用准则(Common Criteria,CC)。
国内网络安全管理的参考依据主要是《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全法》(2021年6月10日)以及GB17859、GB/T22080、网络安全等级保护相关条例与标准规范。
1.6.4 要素
网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
网络安全管理实际上就是风险控制,其基本过程是通过对网络管理对象的威胁和脆弱性进行分析,从而确定网络管理对象的风险等级,然后据此选取合适的安全保护措施ÿ