对信息安全等级保护工作的一些意见
说明:本文是针对某信息安全等级保护工作总结的一些个人意见,本意见仅代表个人,如有缺失与不足,请各位指正
1、对信息安全等级保护现场测评流程和测评方法(1)等保测评可以看做信息安全风险评估中基线评估的一种类型,现有基线是基于整体水平安全基线,不能全面的反应出行业特色;
(2)在等保测评中定义为合格与不合格,任意检查项不符合都会影响到整个测评项的符合性,判定较为主观;在ISMS体现中,将测评定义为符合与不符合,其中不符合又分为严重不符合、轻微不符合与观察项;建议能将不符合程度进行分级对待,客观反应信息系统的实际风险;
(3)测评过程对业务分析不够细致,从客体访问主体过程中的安全风险考虑不足;安全追求的是应用与安全的平衡,而非理想化的安全
(4)过于强调技术保障,对安全管理和安全运维以及人员保障的基线不足;
(5)测评过程分离了各子系统的关联风险,单一考虑子系统的个体风险;
(6)缺乏虚拟应用、云计算、移动安全、安全运维管理的测评基线;
2、等级保护整改工作和等级保护工作机制建立的思路、困难及体会
(1)困难
l等级保护整改工作主要体现在产品的堆积,在整体安全保障环节考虑不周;
l整改建议过于死板,尤其是对网关保护的需求未能充分考虑对应用的影响程度和必要性;
l如何将等级保护、ISMS与Cobit相结合,需要标准间的融合,势必会影响等保的基线的保证;
l由于基础建设与信息化及信息安全需求的发展不能同步,应用和数据之间难以分离,使得对于数据库的保护会影响到低级别业务的运行;
lCA建设与业务相关,如何选择适合的CA并嵌入业务系统需要自上而下的推进;
l从行业来讲,缺乏一个统一的整改指导意见
(2)思路:
l保障应用为先导,根据风险程度逐步实施整改
l将技术消减与管理消减相结合,通过与第三方机构合作建立安全保障与运维体系;同时可以加快整改进度;
(3)体会
l通过等级保护测评可以较为全面的了解信息系统安全现状与保护基线之间的差距,提供安全保障依据;
通过等级保护整改可以为今后信息系统的建设和保障提供必要的保证要求;
3、对下一步全面推开等级保护测评和工作的意见和建议
(1)建立系统自有的测评基线与要求
(2)在国家队的基础上培养自身的测评团队,展开由内到外的测评与整改工作,将内部测评与外部测评相结合、整改与审计相结合、国家标准与行业标准相结合;切实从应用保障出发建立信息安全等级保护体系;
(3)将测评中产生的现状与基线差距分析扩展为行业差距分析、国内行业信息安全保障和国外行业信息安全保障差距分析;
(4)重点关注业务风险分析与业务相关性(BIA)分析,充分体现业务与科技的结合,业务与安全的结合;
(5)自上而下的建立信息安全等级保护宣贯与培训,使系统工作人员充分认识信息安全与信息安全等级保护的必要性;缩小地区认识差异,更好地贯彻落实等级保护工作的推进;
很有用的东西, 现在多数应该还是停留在为了过测评而做等保的层面上
不过,下一步应该是基于应用了
但是如此的话,对测评人员的要求就很高了
等级保护,现在我们国家这才 刚刚摸石头过河,上面的压力很大 ,下面都是为了过等保而等保,需要长远的时间磨合 等级保护,现在我们国家这才 刚刚摸石头过河,上面的压力很大 ,下面都是为了过等保而等保,需要长远的时间磨合 多谢楼主的无私分享!
页:
[1]