三分技術(shù) 七分管理——牽住網(wǎng)絡(luò )安全的“牛鼻子”

發(fā)布日期：2022/04/12

“網(wǎng)絡(luò )安全是三分技術(shù)，七分管理?！蹦壳?，政府部門(mén)網(wǎng)絡(luò )安全工作普遍存在安全意識不強、缺乏整體安全體系方案及安全管理機制、安全管理缺少抓手、安全管理人員技能有待提高等系列問(wèn)題。政務(wù)外網(wǎng)安全長(cháng)期存在“重技術(shù)、輕管理”現狀。

如何抓住網(wǎng)絡(luò )安全管理的“牛鼻子”？

如何解決以上存在問(wèn)題及現狀，協(xié)同政府部門(mén)構建起行之有效的網(wǎng)絡(luò )安全管理體系，同時(shí)為政務(wù)外網(wǎng)安全管理提供有力抓手？

遠望信息認為，應從頂層架構入手，構建起自上而下的網(wǎng)絡(luò )安全管理體系。

遠望縣域政務(wù)外網(wǎng)安全“三位一體”之安全管理體系

作為縣域政務(wù)外網(wǎng)安全體系的重要組成部分，安全管理體系以合規合法、責任到人為中心，從安全管理機構、安全崗位職責、安全管理制度、人員安全管理、安全建設管理、安全管理流程、安全合規管理等方面構建起一體化的網(wǎng)絡(luò )安全管理體系，為政務(wù)外網(wǎng)安全建設夯實(shí)管理根基。

安全管理機構

建立符合監管要求與建設目標的安全管理機構是安全管理體系建設的主要內容之一。依據等保2.0安全保護能力建設要求，安全管理機構建立應符合以下原則：具備安全領(lǐng)導協(xié)調機構、配備網(wǎng)絡(luò )安全專(zhuān)門(mén)管理機構、設立網(wǎng)絡(luò )安全管理專(zhuān)職崗位、對網(wǎng)絡(luò )安全職責有清晰定義。

安全崗位職責

依據《網(wǎng)絡(luò )安全等級保護基本要求》以及《黨委（黨組）網(wǎng)絡(luò )安全工作責任制實(shí)施辦法》，各級黨委（黨組）對本地區本部門(mén)網(wǎng)絡(luò )安全工作負主體責任，領(lǐng)導班子主要負責人是第一責任人，主管網(wǎng)絡(luò )安全的領(lǐng)導班子成員是直接責任人。應設立安全主管、安全管理各方面負責人崗位，并定義各負責人的職責；設立系統管理員、網(wǎng)絡(luò )管理員、安全管理員等崗位，并定義部門(mén)及各個(gè)工作崗位的職責；同時(shí)配備一定數量的系統管理員、網(wǎng)絡(luò )管理員和專(zhuān)職的安全管理員。

安全管理制度

依據法規要求及行業(yè)規范構成全面的政務(wù)網(wǎng)絡(luò )安全管理制度體系，包括安全策略、管理制度、操作規程等方面。制度規范體系涵蓋以下內容：制定網(wǎng)絡(luò )安全頂層管理策略，制定網(wǎng)絡(luò )安全管理規范和技術(shù)標準，針對網(wǎng)絡(luò )安全管控具體工作事項設計安全管理流程。

人員安全管理

人員管理是安全管理的重要組成部分，網(wǎng)絡(luò )安全體系的建設、運營(yíng)人員是否合格履行個(gè)人職責對安全成效至關(guān)重要。依據國家網(wǎng)絡(luò )安全相關(guān)法律法規，應通過(guò)建立健全人員安全管理制度，將安全管理要素融入人員管理制度規范中，同時(shí)監督指導制定人員安全管理規定。遠望縣域政務(wù)外網(wǎng)安全管理體系人員安全管理包括人員錄用、人員離崗、人員安全意識教育和培訓等方面。

安全建設管理

遵從“四同步”原則，即業(yè)務(wù)規劃與安全規劃同步，業(yè)務(wù)體系構建與安全體系構建同步，應用技術(shù)發(fā)展和安全技術(shù)發(fā)展同步，業(yè)務(wù)能力提升和安全能力提升同步。將安全建設管理納入業(yè)務(wù)建設方案設計、產(chǎn)品采購和使用、軟件開(kāi)發(fā)、工程實(shí)施、方案測試驗收、系統交付等建設過(guò)程的全流程。

安全管理流程

根據實(shí)際業(yè)務(wù)需求，完成設備入網(wǎng)、業(yè)務(wù)系統上線(xiàn)、分險事件處置、釘辦處置流程、人員變更流程、應急處置流程等流程設計。

安全合規管理

安全合規管理即依據等保要求，在實(shí)施網(wǎng)絡(luò )安全等級保護、關(guān)鍵信息基礎設施安全保護制度要求過(guò)程中，建立健全安全合規管理機制，確保安全合規建設內容全面、有效落地。同時(shí)依據《中華人民共和國密碼法》要求，推進(jìn)重要系統商用密碼應用安全性評估，確保符合密碼管理要求。此外還包括依據相關(guān)法律法規要求，加強數據安全風(fēng)險評估、數據出境安全評估。