甲方安全管理的理解
对甲方安全管理的理解,包括以下几个方面
- 0,首先要明确在甲方企业,信息安全是非创收部门,但是也有其存在的价值。
-
1,人员培训与安全意识,推进网络安全文化的建设
-
2,安全架构、安全治理
- 资产的梳理与风险评估,进行等保合规,管理过程ISO27001合规
-
3,安全运营SOC
- 内部网络攻防
- 安全监控
- 漏洞管理与防护
- 安全事件处置
- 基础平台建设、安全数据的分析与管理、安全设备平台的管理
- 4,作为甲方安全,需要协调多部门人员的协调配合
等保项目概述
等保前期工作准备
资产梳理
构建网络拓扑+网络区域划分表(内外网、各子系统、网络区域划分)
进一步划分出子系统
有条件的话参考过往的等保材料
服务器台账、业务系统测试台账等
等保周期及流程
一个完整的等保周期大约为2-5个月(包含了业务庞大、新系统上线、整改复测、沟通等因素)
- 系统定级:信息系统运营单位按照《网络安全等级保护定级指南》,自行定级三级以上系统定级结论需进行专家评审,是等保的首要环节。
- 系统备案:信息系统定级申报获得通过后,30日内到公安机关办理备案手续,是等保工作的必要流程。
- 建设整改:根据等保有关规定和标准,对信息系统进行安全建设整改,是等保工作落实的关键。
- 等级测评:信息系统运营单位选择公安部认可的第三方等级测评机构进行测评,提供跨地市的情况下由本地(本省)测评机构交付的等保测评服务。等级测试是评价安全保护状况的方法。
- 监督检查:当地网监定期进行监督检查,是等保工作的外在动力。
其实概括来讲分四大步
- 前期准备工作:定级、备案
- 测评(基线检查、漏扫、渗透、其他安全检查)
- 整改(这部分需要协调各个部门进行整改,是最耗时的部分)
- 复测,结束
注意事项
- 整改过程中,需要改动的部分一定要和领导进行沟通确认,不分析直接上安全设备或者随意乱动配置的做法切记不可取
等保2.0和ISO27001
性质不同
ISO27001信息安全管理体系是一个信息安全的国际标准,企业自愿选择是否实施,不具有强制性。
等保2.0全称网络安全等级保护2.0制度,是根据《网络安全法》要求相关组织实施的信息安全的政策,具有法律的强制性
管理对象不同
ISO27001针对的是企业的管理过程,检验、完善企业管理体与标准
等保2.0针对的对象是企业的信息系统,根据不同的等级提出不同的保护要求,共分为5级。
管理要求不同
ISO27001作为一项国际标准,只是指出了企业管理过程的规范化要求,对于具体的实施方法没有做出具体的要求
等保是对于不同等级的信息系统提出了非常具体、明确性的要求。
参考资料
华为云的ISO27001遵从性指南
https://res-static.hc-cdn.cn/cloudbu-site/china/zh-cn/TrustCenter/WithePaper/HUAWEI_CLOUD_Compliance_with_ISO_27001_chn_cn(1).pdfISO27001材料
https://blog.csdn.net/weixin_43443872/article/details/106053514
https://www.hnglzx.com/zlxz等保
https://nic.usc.edu.cn/__local/2/A3/19/0DB22FB24984704BFFA2F53E1F0_6A47B9BA_792D2F.pdf
https://www.cnblogs.com/victorfrost/p/12068244.html
