近年来,国内外网络安全形势日益严峻。随着网络安全法、数据安全法、密码法、 等保2.0标准等一系列网络安全法律法规的颁布实施,国家持续强化网络安全立法监管。企业落实网络安全责任,不仅是加强企业自身网络安全防护的需要,更是践行国家法律法规的义务。建立科学有效的网络安全管理体系是网络安全工作体系化和标准化的前提条件,是开展网络安全管理、建设和运行等工作的抓手和依据,对于推动网络安全运营体系建立和落地运行尤为重要。
网络安全和信息化是一体之两翼,驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。企业在开展网络安全工作时,要按照“同步规划、同步建设、同步运行”的三同步原则,确保网络安全和信息化并行实施。本文依据国家网络安全法律法规要求,借鉴国际标准化组织及国际电工委员会提出的信息安全管理体系(ISMS)、美国国家标准技术研究院提出的网络安全框架(CSF)和信息技术治理协会提出的IT控制框架(COBIT)等框架和体系,提出企业网络安全管理体系建设框架,进一步优化完善网络安全管理体系,帮助企业落实网络安全工作责任,提升网络安全防护和运营能力,有力地保障公司网络稳健、安全运行。
管理体系设计
网络安全管理体系由管理制度、技术标准和专项治理三部分组成,如图1所示。其中,管理制度是开展信息系统建设、运行、运维以及安全管理工作必须遵从的管理办法、规范、细则;技术标准是安全防护体系建设所必须遵从的规范、指南和基线;专项治理是针对某种场景、某个方面或突出问题所制定的制度、规范或指南等。
图1 网络安全管理体系
管理制度
依据国家法律法规标准和上级主管机构有关网络安全工作要求,结合企业业务特点和实际情况,对管理制度的层级和分类进行规划和设计,制定符合企业网络安全的目标策略、运行实施、监控审计等方面要求的管理制度,以满足开展网络安全管理工作的需要。
1.四级制度体系
建议网络安全管理制度体系文件采取多级模式,构建层次清晰、功能相对独立的管理制度体系,一方面是满足各级开展网络安全管理工作的需要,另一方面便于所属企业参照并开展各自的制度体系建设。
网络安全管理制度体系通常可以划分为目标策略性文件、管理制度性文件、技术标准性文件和操作性文件4个层级,具体如图2所示。
图2 网络安全四级制度体系
第一级,目标策略性文件。主要用于确定企业网络安全的总体方针策略。总体方针通常包括网络安全管理目标、管控体系框架等内容;安全策略通常是对各安全管理方面的总体控制要求,是指导相关部门开展网络安全工作的依据,是建立网络安全管理体系的核心。
第二级,管理制度性文件。主要是对一级文件中的网络安全总体方针策略内容的解读和延展,为网络安全管理体系中的网络安全工作提供指导,通过具体管理制度和实施办法,明确各方职责权限、执行过程和考核检验等内容。
第三级,技术标准性文件。主要是开展具体网络安全工作任务的规范和指南等文件,以程序类和技术标准类文件为主。
第四级,操作性文件。主要是开展网络安全工作相关的记录、表单等文件。此类文件具有涉及面广、操作性强的特点,且多数操作性文件与具体产品、系统等联系紧密,仅对覆盖面、共性的操作性文件进行统一规划,其他文件由所属企业结合实际情况拟定。
2.制度分类
根据国家网络安全法律法规和标准规范要求,结合企业网络安全管理工作的实际情况,吸收和借鉴国内外较为成熟的管理制度体系模型,将网络安全管理制度划分为安全建设、安全运行、风险管控、应急管理、安全审计、安全检查和人员管理7个类别,在覆盖信息系统全生命周期安全管理的同时,实现管理制度体系的全面性、实用性和规范化。各类安全管理制度的内容、范围等具体如下。
(1)安全建设类
针对信息系统建设过程中涉及的方案设计、产品采购、软件开发(含自行和外包)、工程实施、测试验收、系统移交、供应商选择等环节,编撰和修订配套的安全管理制度,可以独立编制,也可与信息系统项目建设相关制度合并发布,以规范信息系统安全建设工作。要特别关注信息系统建设过程中的网络安全等级保护工作,方案设计中要包含网络安全设计,立项时要确定等保定级等级,做到“不定级、不立项,不测评、不上线”,确保信息系统与网络安全的同步建设。
(2)安全运行类
针对信息系统运行过程中涉及的环境管理、资产管理、介质管理、设备维护、网络和系统管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、外包运维管理等方面,编撰和修订配套的安全管理制度,为系统安全运行和维护提供管理依据。
(3)风险管控类
主要从风险检测、监测和响应三个维度,构建网络安全风险管控体系,编撰和修订配套的安全管理制度,以覆盖信息系统各阶段、各层级的风险,实现对网络安全风险的有效管理,进一步健全和完善网络安全管理制度。
(4)应急管理类
围绕构建网络安全应急管理体系,编撰和修订配套的安全管理制度,定义网络安全事件分级分类,明确应急预案和培训演练制度,以及预警、预防和响应机制,以便于指导各级组织正确预防和应对网络安全事件,避免或减少网络安全事故或事件造成的损失,保障信息系统的正常运行。
(5)安全审计类
建立网络安全审计制度体系,结合IT建设运行审计工作,进一步督促落实网络安全管理要求、技术防护措施等,规范各项网络安全审计工作。
(6)安全检查类
建立网络安全检查管理制度体系,定义网络安全检查工作中的各级职责、工作范围和内容、工作流程方法等,明确常态化自检、抽查和测评机制,规范各项网络安全检查工作。
(7)人员管理类
建立人员安全管理制度体系,加强入职、调岗、离职、培训等方面的安全管理,制定安全行为规范和准则,进一步规范管理人员和普通员工的行为。
上述与网络安全管理相关的制度,通常以“管理办法” “安全策略” “管理制度” “管理规范”等形式进行编制、审核、发布和实施。
技术标准
网络安全相关的技术标准是网络安全管理体系的重要部分,是构建网络安全技术防护体系的重要基础。技术标准由安全基线、技术指南和技术规范三个部分组成。
1. 安全基线
安全基线是消减系统自身脆弱性的底线,是保障网络安全的基础措施。构建网络安全基线标准体系有利于强化全员安全意识,建立长效安全检查制度,促进考核标准的进一步细化,能够有效支撑信息系统的整体安全防护。企业网络安全基线标准体系建设主要从技术和管理两个维度进行规划和设计,具体如下。
(1)技术基线
对照国家网络安全技术标准要求,结合信息系统实际情况,梳理最低的技术防护措施和功能指标项,编制网络安全技术基线的评分标准、测评表和作业指导书等。
(2)管理基线
对照国家网络安全管理要求,结合网络安全管理的实际情况,规范网络安全组织机构设置、人员审查、安全管控、运行维护、安全建设等内容,建立管理基线。
2.技术指南
技术指南是指与网络安全相关的某一方向、某一领域通用性的及相对宽泛的技术要求和规定,是一种指导性网络安全技术标准,可供网络安全运营部门参考使用。网络安全技术指南可以按照网络性质细分,比如工业控制系统、互联网、商业应用网等网络的专项技术标准。
3.技术规范
技术规范是指对规划、设计、建设和运维等过程中,涉及到通用技术事项的具体规定,侧重于对行为和条件等的要求。网络安全技术规范将按照功能、要求等进行细分,主要涵盖安全功能、标准接口、应用开发、规划设计、安装配置、系统集成、系统发布规范、集成实施、病毒防治等方面。
安全专项
安全专项又称为专项治理,是依据国家网络安全相关法律法规和标准规范的要求以及上级管理机构提出的安全管控需求,对某一类突出网络安全问题,在一定时期内集中人员、集中精力针对特定内容和对象开展集中治理、整改或建设,以减少某一个领域的网络安全事件或问题,为建立该项工作的长效机制创造条件。安全专项一般具有目标明确、针对性和阶段性强等特点,通常以“顶层设计” “专项方案” “专项制度”等形式进行编制、审核、发布和实施,比如工业控制系统网络安全专项方案、互联电子邮件专项制度、互联网出口监测专项方案、互联网网络安全防护专项制度等。
网络安全管理体系构建实践
实践中,网络安全管理体系包括安全管理制度、安全管理细则和记录表单,涉及信息系统的人员、建设、运维、技术防护等各个层面。常与ISO27001和网络安全等级保护管理类指标进行对标建设,下面以某企业构建的网络安全管理体系为例进行阐述,其总体框架如图3所示。
图3 企业网络安全管理体系框架示例
第一层:总体管理办法。网络安全管理办法是从整体上为企业网络安全工作提出总体的方向和要求,体现管理层对网络安全的要求和期望,内容上涵盖系统规划、建设、运行全周期和安全运营监测、预警、通报、应急、考核全流程,还包括等级保护、关键信息基础设施保护、密码应用等专项要求。该办法不针对各个环节提出具体要求和实现方法,具体要求内容会体现在第二层的办法和细则中,所以安全方针策略层只有一个纲领性文件作为总体指导。
第二层:业务管理办法和细则。安全管理办法和细则是根据网络安全管理办法的要求,将各方面的网络安全管理和技术要求进行细化、具体化的文档。这部分的文档将网络安全管理办法中的工作原则和要求在日常管理和技术落实工作中进行具体化,通常由一系列相对独立的文档构成。在具体实施过程中,相关人员针对各自的工作职责,通常只需要参考和执行某一部分的安全规范和标准。企业构建的业务管理办法和细则包括:数据安全管理办法、信息系统安全建设管理细则、信息系统运行维护管理细则、信息通报管理细则、应急响应管理细则、监督检查管理细则、水平评价管理细则、商用密码管理办法、等级保护实施办法、关键信息基础设施安全保护管理办法和工控系统网络安全管理办法等。相关内容主要符合网络安全等级保护要求,覆盖ISO27001信息安全管理体系的基本内容。
第三层:操作规范和标准。第一层和第二层的制度文件如果未有效执行,相关管理内容和要求将无法落地,形同虚设。操作规范和标准是确保网络安全管理体系有效执行的保障,该层是对企业用到的所有设备、人员和平台安全配置细节的描述。通常企业的信息系统涉及的平台种类和数量众多,所以该层一般由一系列文件组成,图3仅作部分展示。技术类以标准为主体,由安全基线、技术指南和技术规范三个部分组成,管理类以规范为主,涵盖上层需要进行细化落实的所有要求。
第四层:过程记录表单。为了满足业务流程的完整运转,企业在网络安全管理的过程中,需要制定必要的申请表、报告单等过程文档,同时做好业务活动的文件记录,以便于事后的追溯或查询。该层文档在业务运行过程中,执行人员必须及时认真填写,并做好保存。文件主要包括:离岗人员交接表、第三方人员访问申请表、网络安全培训记录、需求规格说明书、系统交接报告、系统验收报告、系统上线审批表、系统交付清单、网络安全采购清单、网络安全产品测试报告、信息资产清单、介质信息统计表、机房出入人员登记表、机房巡检记录表、网络接入申请表、备份记录表、变更申请表、设备维护记录、网络安全检查记录、网络安考核查记录、事件记录表、事件处置报告、应急预案演练记录等。第四层的文档在今后的工作中,将按照需求进行逐步补充和完善。
结语
本文结合国家相关法规标准和相关参考框架,从管理制度、技术标准、安全专项三个维度研究提出企业网络安全管理体系,并以某企业网络安全管理体系为例进行了实例构建,为建立完善网络安全工作体系和标准,指导开展网络安全设计、建设和运维等工作提供了有益参考。
来源:《网络安全和信息化》杂志
作者:
中核核信信息技术(北京)有限公司 吉梁 曹龙
中国航天科工第二研究院 706所 路斌
(本文不涉密)
声明:本文来自网络安全和信息化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。