网络安全原则的目的
网络安全原则的目的是就组织如何保护其系统和数据免受网络威胁提供战略指导。这些网络安全原则分为四个关键活动:治理、保护、检测和响应。
-
治理:识别和管理安全风险。
-
保护:实施控制措施以降低安全风险。
-
检测:检测和了解网络安全事件以识别网络安全事件。
-
响应:响应网络安全事件并从中恢复。
治理原则
治理原则是:
-
G1:首席信息安全官负责领导和监督网络安全。
-
G2:确定并记录系统、应用程序和数据的身份和价值。
-
G3:确定并记录系统、应用程序和数据的机密性、完整性和可用性要求。
-
G4:安全风险管理流程嵌入到组织风险管理框架中。
-
G5:在系统和应用程序被授权使用之前,安全风险被识别、记录、管理和接受,并在其整个运行生命周期内持续存在。
保护原则
保护原则是:
-
P1:系统和应用程序根据其价值及其机密性、完整性和可用性要求进行设计、部署、维护和停用。
-
P2:系统和应用程序由值得信赖的供应商交付和支持。
-
P3:系统和应用程序配置为减少其攻击面。
-
P4:系统和应用程序以安全和负责任的方式进行管理。
-
P5:及时识别和缓解系统和应用程序中的安全漏洞。
-
P6:只有受信任和支持的操作系统、应用程序和计算机代码才能在系统上执行。
-
P7:数据在不同系统之间静态和传输过程中进行加密。
-
P8:不同系统之间通信的数据是受控和可检查的。
-
P9:数据、应用程序和配置设置以安全且经过验证的方式定期备份。
-
P10:只有受信任和经过审查的人员才能访问系统、应用程序和数据存储库。
-
P11:人员被授予对其职责所需的系统、应用程序和数据存储库的最低访问权限。
-
P12:多种方法用于识别和验证系统、应用程序和数据存储库的人员。
-
P13:为人员提供持续的网络安全意识培训。
-
P14:对系统、支持基础设施和设施的物理访问仅限于授权人员。
检测原理
检测原理是:
-
D1:及时收集和分析事件日志,以检测网络安全事件。
-
D2:及时分析网络安全事件,以识别网络安全事件。
响应原则
响应原则是:
-
R1:网络安全事件及时向相关机构报告内部和外部。
-
R2:网络安全事件得到及时遏制、消除和恢复。
-
R3:在需要时制定业务连续性和灾难恢复计划。
成熟度建模
在实施网络安全原则时,组织可以使用以下成熟度模型来评估单个原则、原则组或整个网络安全原则的实施情况。成熟度模型中的五个级别是:
-
不完全的:网络安全原则部分实施或未实施。
-
初始级:网络安全原则得以实施,但以糟糕或临时的方式实施。
-
充分发展:网络安全原则得到充分实施,但以项目为基础。
-
量化管理:网络安全原则被确立为标准业务实践,并在整个组织中得到有力实施。
-
持续优化:在整个组织中实施网络安全原则时,有意识地关注优化和持续改进。
-
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
信息安全服务与信息系统生命周期的对应关系 -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图
原文始发于微信公众号(河南等级保护测评):澳大利亚:网络安全原则
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论