如何实现等级保护管理工作的体系化、标准化和规范化
日期:2022年07月20日 阅:107
网络安全等级保护(简称等保)是我国网络安全保障工作的基本制度、基本策略和基本方法,已在全国范围内全面开展实施。《网络安全法》明确规定国家实行网络安全等级保护制度,从法律上为等级保护制度的落实提供了法理依据。
等级保护工作内容包括定级、备案、建设整改、等级测评、监督检查等环节,工作内容众多且复杂,企业组织应严格按照等保要求通过等级测评并在测评后实行安全运维管理,有效落实等级保护制度要求,做好安全保障工作,全面提升安全防护水平。
标签
等保管理、合规管理、安全运维、持续运营
用户痛点
在等保2.0时代背景下,网络安全呈现复杂化趋势,对安全理念、技术、管理等均提出了更高要求,呈现标准化、体系化、常态化等特点,如何进行等保建设和通过等级测评,并在通过测评后按照等保要求进行有效运维管理与持续性改进成为用户单位不得不面对的问题。当前大部分的用户单位开展等级保护工作主要依赖第三方安全服务机构提供的等级保护相关服务,但存在如下困扰:
无法全面了解等级保护体系:用户单位虽然明白等级保护的意义,但是往往是知其然而不知其所以然。总体上,对于等级保护标准体系的总体目标、内容构成、工作方法及运作过程等知之甚少,难以真正领略等级保护标准体系的精髓,并真正运用到信息系统的建设及运维管理过程中。
难以识别并管理系统基本构成:等保对象相关的资产构成的边界不清晰,同时内部资产缺乏有效的梳理,导致在运行和管理过程中难以根据等保对象的构成部分进行精细化的运维管控;
无法建立并跟踪系统合规状态:通过第三方服务报告及技术文档,无法简单明了地了解等保对象的指标差距、总体情况和具体项目,更不能通过这些文档来跟踪相关指标差距项目的实时状态;
无法掌握系统的安全状态:用户单位无法通过第三方服务文档明确地掌握等保对象相关资产的脆弱性和高风险项,对于总体安全状态,对整体的安全状态没有清晰,完整的认识;
无法即时管控工作进度:等保建设工作属于体系化、标准化、规范化等要求较高的工作,用户单位在对等级保护工作内容还未达到透彻了解的情况下,难以做到对等级保护工作进行合理、有力、规范的控制和管理。因此,在等级保护工作开展的过程中,用户单位往往不能做到即时动态地管控等级保护工作内容和工作进度的情况;
无法实施等保标准化管理:用户单位在等级保护建设及运维工作中经常存在以下问题:各种管理制度或多或少地缺失,未进行体系化的梳理与落实;虽通过第三方服务方式进行增补与修订,但难以根据本单位的实际情况将制度系统地、规范地应用到信息系统的日常管理之中,并规范有序地实施等级保护的标准化管理。
解决方案
基于网络安全等级保护基本要求,结合行业用户的业务目标、技术和应用场景等因素,中信网安面向用户单位建立一套覆盖基本信息、定级备案、建设整改、等级测评、安全自查、安全管理等全过程的综合管理系统,帮助用户有序开展等级保护工作,落实各项安全保护管理制度和安全技术保护措施,建立体系化、标准化、规范化的管理体系,有效提升系统全生命周期的安全管理能力,达到如下目标:
等保工作状态可视化
基本信息识别
华安星等级保护综合管理系统(以下简称“系统”)自带资产发现与识别能力,对用户单位内部的资产进行主动探测,全面识别包含网络设备、安全设备、服务器设备、应用资产、数据资产等在内的各类资产,同时辅以人工操作,明确以等保对象为中心的业务边界,并对各类资产进行动态刻画和标识,在线动态构建网络拓扑和逻辑拓扑,并对各类资产进行在线监控,形成详细的资产清单,为等保测评和日常运维提供基础支撑。
合规管理
系统以等级保护为依据,从定级、备案、建设整改、等级测评、安全自查等全过程进行有效管理,并在关键节点提供等保行业实践模板和过程数据的归集与管理,有效地引导并指导用户单位掌控等保的全过程,帮助用户单位掌握等保工作的进度、项目状态和等保对象的合规与安全状态。
制度管理
许多安全事件的发生都是由于管理制度的缺失或管理不到位所导致的,在具体落实管理制度的过程中,由于缺乏统一标准、分工不明确、人为操作不规范、管理与执行过程缺乏记录等问题,造成管理不合规并引发安全事件风险。根据系统内置各类安全管理制度实践模板,用户可结合自身业务情况建立符合自身安全需求的各类管理制度,并将管理制度落实电子化、标准化、流程化,在提高工作效率的同时,保障管理制度的有效落地,提高安全管理水平。
持续运营
随着业务、环境等因素的变化,等保指标也会随之动态变化,等保合规并不意味着安全建设的结束,而往往是新的安全建设的开始,需结合自身业务进行安全管理和运营。系统提供了内建的符合等级保护安全管理基本要求的管理体系和安全运维管理的最佳实践模板,用户可结合自身情况,围绕安全管理制度建立归一化流程、记录一体化运行管理。
此外系统提供丰富的接口,支持对各类设备的日志实时采集,对各类资产进行运行监控、脆弱性与合规性监测,并进行关联分析,匹配安全自查、监督检查、通报预警机制,当出现安全异常安全事件时,能够快速评估并进行响应处置。
用户反馈
通过应用华安星等级保护综合管理系统,对本单位9个等保对象相关的资产进行全面发现,并辅以人工识别确定业务边界,完成资产全面梳理,并以此为基础,对等保工作过程进行全流程管理,建立等保台账和标准化运营管理体系,实现各参与角色的标准化持续性运维,降低了合规测评与日常运维过程中可能出现的人为等因素的安全风险。
——某三甲医院
华安星等级保护综合管理系统对本单位的30余个等保对象进行全过程管理,通过系统对网络安全等级保护工作参与的各角色进行统一的管理,建立了统一的管理体系。同时通过内置的标准化接口实现与漏洞工具的对接,匹配安全通报模块,出现异常安全事件时,能进行及时通报预警、整改、处置与响应,实现了安全事件的闭环管理。
——某高校
中信网安公司致力于下一代互联网信息安全和业务核心数据资产安全领域,是一家集研发、生产、销售和服务于一体的规模以上国家高新技术企业,围绕“云、网、端、数”多维度的动态安全监管体系,依托自有的华安星系列下一代网络安全产品及专业服务,基于传统网络安全防御等服务工具,面向广大用户提供以数据安全监管和等保管理等为基础的优秀整体解决方案以及专业化服务,主要服务于国家关键基础设施、重要信息系统和公众服务等客户。