关键信息基础设施安全保护应在网络安全等级保护制度基础上,实行重点保护,应遵循以下基本原则:
——以关键业务为核心的整体防控。关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系。
——以风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,形成动态的安全防护机制,及时有效地防范应对安全风险。
——以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。
思维导图清晰版原图,关注公众号,分享、加微信获取!
电信行业关键信息基础设施安全保护 安全管理总体要求,给出了安全保护措施将涉及识别、防护、检测评估、监测预警、响应处置五方面,具体涵盖以下内容:
识别:从风险管理角度出发,基于关键信息基础设施所承载的关键业务,识别构成关键信息基础设施必不可少的网络资产,分析风险影响因素,明确重点保护对象、确定重点保护范围。识别作为防护、检测评估、监测预警、响应处置等其他方面的基础,为其他方面确立资产保护范围及风险管理目标。
防护:用于防范日常安全风险,与行业关键信息基础设施日常运行及维护相关的安全措施,为行业关键信息基础设施提供基本的安全保障。
检测评估:用于检验防护有效性的安全措施,确保行业关键信息基础设施具备相应级别的风险应对能力。
监测预警:用于持续监测,及时发现异常和事件,实施预警的安全措施,确保行业关键信息基础设施具备及时发现安全风险、采取应对措施的能力。
响应处置:用于处置各种网络安全事件,控制网络安全事件所造成的损害,恢复关键信息基础设施功能或服务的措施。
管理脆弱性(示例)
|
脆弱性项 |
脆弱性描述 |
|
安全管理制度 |
管理制度内容不完善,与现有其他管理制度对接不到位,版本修订频率低于每年一次等 |
|
安全管理机构 |
未设置专有安全管理机构,人员岗位设置不合理(如未设置安全专员,人员整体配置过少,职责不清),授权和审批程序不合理等 |
|
安全管理人员 |
第三方人员访问权限控制不到位,关键岗位人员任职未进行背景调查,人员离岗未办理安全相关手续,人员安全培训不足每年2次等 |
|
安全管理建设 |
建设实施与方案设计严重偏离,软件开发过程未按要求开展安全管理(如面向开发人员长期开放不必要的访问端口),工程实施未进行安全验收(如未开展代码安全审查)等 |
|
安全管理运维 |
物理环境管理措施简单,存储介质使用不受限,设备没有定期维护,厂家支持力度不够,运维监控不到位(如系统性能关键指标监视不全面,主动巡检少于每日1次),系统配置和重要数据备份机制不完善,应急保障恢复措施不到位等 |
|
安全管理供应链 |
未严格落实国家、行业网络安全审查相关要求,未采购安全可信的网络产品和服务 |
|
安全管理备份 |
未建立灾难备份制度、总体目标、体系建设、备份机制、启动方案、恢复流程等内容 |
原文始发于微信公众号(河南等级保护测评):电信行业关键信息基础设施安全保护 安全管理总体要求(思维导图)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论