2020 年,有孚网络与上海某高校合作,通过 “实地调研&方案规划——体系建立——第三方验证——实现安全运维” 的一条龙服务运作,以 “网络安全等级保护”、“信息安全管理体系” 为分解目标,实现了 “安全运维” 的总目标。
去年,教育部印发《2020 年教育信息化和网络安全工作要点》,在信息化 2.0 行动计划基础上明确教育信息化应提升网络安全人才支撑和保障能力,加强网络安全防护和保障能力。
现学校常设信息化管理部,以支撑整个学校信息化建设及运维保障工作,建设安全管理中心,关注网络安全、保护信息系统、降低风险发生可能性和影响的范围程度,从而保障网络通畅、数据中心可靠运行,其承载的信息系统可用性和完整性。
“如何更好地保障网络信息安全” 是包括高校在内所有行业信息化过程中需要面对的共同课题。
有孚网络,依据公司多年标准化管理与数据中心管理运营经验,基于 GB/T22239-2019《信息安全技术网络安全等级保护基本要求》及国家政策指导,可与学校信息化管理部共同协作,在学校信息化中心安全管理现状基础上采用国际标准 GB/T22080-2016/ISO/IEC 27001:2013《信息安全管理体系要求》构建科学、可行的运行管理体系,以保障校园网络运营以及数据中心安全运维。
实地调研 & 方案规划
通过现场实地访谈调研,在了解学校现有日常工作及管理方式后,有孚网络与高校老师携手推出了有效、可实施的《关于信息安全管理体系及安全数据中心运营差距分析及建议书》,并共同推进信息安全管理体系的建立。
信息安全管理体系建立
Plan
1、与领导层、业务相关方访谈:
(1)建立工作小组,确认主导部门及认证主体;
(2)把握关键目标以及方针:无重大信息安全事件发生,实现信息资产无破坏零损失,确保业务系统持续可靠运行;
(3)以过程进行梳理现有安全措施,明确边界;
(4)对资产进行风险识别、分析、评价,选择适合的处置方式和控制措施,如定期备份、访问权按需分配、网络隔离等。
2、提供 ISO27001 培训服务,进行全员安全意识培训:
明确标准要求,熟悉标准条款,结合实际运营,制定适宜措施。
3、根据访谈内容,编写体系文件:
(1)确认相关部门工作职责、明确责任部门
(2)融入实际管理情况,对后续管理提出指导意见,覆盖体系要求
Do
按体系文件要求运行,将制度回到日常管理工作中去,保留相关记录文件,发现体系运行中的问题。
Check
通过实施反馈完善体系管理文件的适宜性,并指导相关人员开展内审管评工作。体系有效运行后将接受第三方审核。
Act
对于发现的不符合项再次整改,持续改进,螺旋上升。
第三方验证
网络安全——整理定级、备案材料递交网安进行备案;协助并指导客户进行测评及整改,顺利通过网络等级保护 2.0 三级测评。
信息安全——建立体系,整理相关材料并提交,协助并指导客户进行不符合整改,顺利拿到 ISO27001 证书。
第三方验证,以更专业、更权威的视角肯定了学校信息化建设的技术能力和管理能力,能持续为学校建设高水平大学提供强有力的技术支撑与保障。
实现安全运维
从行政管理手段、技术管理手段两方面入手,完善管理体系,有效支持校园网的日常运行及运维工作。同时,实现有效性有形资产与无形资产的安全风控,最终做到(重要)信息资产管控及相关风险评估、物理环境管理、人员安全意识培养,及反射至业务安全规程,达成“高效、安全、可靠”的数据中心运维,从多维度真正意义上实现了“安全运维”的总目标。
为何而管?保护信息免受各种威胁的损害,以保证业务连续性。
在哪里管?明确物理范围。
谁来管?信息化中心主任为最高管理者,网络管理部主任为管理者代表,主导实施。
怎么管?形成一套完整的体系文件作为指导文件,主要覆盖网络管理及数据中心管理的日常工作。
管理效果如何?通过内审管评,以访谈和查阅记录的方式,并对信息安全目标进行测量,验证其可行性。
如何验证管理成效?通过第三方机构现场审核,获得相应证明。
通过以上标准化的实施及完善,有孚网络帮助高校信息化完成了信息安全管理体系的 14 个控制域、114 条控制项,完成了网络安全等级保护的 10 个控制域、231 项控制点,满足了法律法规要求,有效履行国家标准以及行业需求;满足了组织期望,从下至上,从内到外提升的自信心;实现了风险管控,保护重要资产,确保核心业务持续运行。后续也将持续贯彻标准精神,以 PDCA 的方法不断改进、螺旋上升。
224
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
