网络安全管理制度-(一)安全策略

  • A+
所属分类:安全闲碎

网络安全管理制度

安全策略和安全管理制度

安全策略和安全管理制度的正确制定与有效实施对等级保护对象的安全管理起着非常重要的作用,不仅能促使全体员工参与到保障网络安全的行动中来,还能有效地降低由于人为操作失误所造成的安全损害。安全管理制度是对等级保护对象建设、开发、运维、升级和改造等各个阶段和环节所应当遵循的行为规范,覆盖等级保护对象生命周期中的重要活动,因此所有组织机构都应该有自己的安全管理制度体系。


安全管理制度针对整个管理制度体系提出了安全控制要求,涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。以下以三级等级保护对象为例,描述安全管理机构各个控制要求项的测评内容、方法、期望结果/证据等,各企业在等保建设初期可以作为参考, 也可以查漏补缺,逐步完善管理体系的建设。


控制点

1.

安全策略

安全策略是领导层决定的一个全面的声明,是最高的安全文件。它阐明机构网络安全工作的使命和意愿,明确安全管理的范围、定义网络安全的总体目标和安全管理框架,规定网络安全责任机构和职责,建立网络安全工作运行模式等。


安全要求:应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。

要求解读:网络安全工作的总体方针和安全策略文件作为机构网络安全工作的总纲,一般明确了网络安全工作的总体目标、原则、需遵循的总体策略等内容。可以以单一的文件形式发布,也可与其他相互关联的文件作为一套文件发布。

检查方法

1.检查是否具有总体方针和策略文件。
2.检查该文件是否明确了机构安全工作的总体目标、范围、原则和各类安全策略。(一般来讲,策略文件中可以明确网络安全管理活动的责任部门或人员,也可覆盖到等级保护对象生命周期中所有关键的安全管理活动。其中安全管理框架应包括组织机构及岗位职责、人员安全管理、环境和资产安全管理、系统安全建设管理、系统安全运行管理、事件处置和应急响应等方面,明确各个方面的职责分工、需要关注的管理活动、管理活动的控制方法等。)

测评对象

网络安全方针和策略文件。

期望结果

1.机构具有网络安全方针和策略文件。
2.文件明确了机构网络安全工作的总体目标、范围、原则和安全策略等内容。

本文始发于微信公众号(网络安全等保测评):网络安全管理制度-(一)安全策略

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: