随着等保2.0的发布实施,合规建设进行的如火如荼。然而新标准中提出的新要求如果执行不到位,也为成为重大失分项,直接导致测评不过关,需要格外引起注意。
等保2.0合规建设
新标准,难度大
等保2.0更强化“一个中心、三重防护”的安全保护体系,注重全方位主动防御、动态防御、整体防控和精准防护,突出强调事前预防、事中响应、事后审计;新增“安全管理中心”,并且引入集中管控新要求,建立统一安全运维管理;安全管理体系从要求制度体系建立到加强管理过程与执行落地;等保测评从60分合格变为70分合格,存在高风险项即不合格,合规难度更大。
轻管理,易失分
相比于技术要求的重大调整,管理部分在安全域方面,依然由安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五部分组成。同时针对保护对象建设和运维过程的重要活动提出了控制和管理要求。
但不可忽视的是安全管理体系在等保2.0中占115测评项,总分50分,且由于管理体系测评时存在较大人为因素,随着监管力度的加强将更加严格执行等保测评要求,为了规避对于管理的不重视,除了制度的检查,在测评要点中还详细罗列要求对于制度落地性的检查,因此忽视管理体系建设,将导致大量丢分,难以通过测评。
管理难、有风险
且没有完整可行的安全管理体系,也会造成管理上的困扰。如管理组织分工不明确,工作内容与标准不明确,管理要求难实现,制度难落地,人为因素风险大。管理与执行过程缺乏有效记录和存档,容易造成运行管理执行不合规,留下潜在合规风险。
解决方案
安全管理制度
建立安全策略、管理制度的管理,建立制定和发布流程,评审和修订机制;
安全管理机构
机构岗位设置、人员配备,并建立授权和审计、沟通和合作、审和检查等流程机制;
安全管理人员
建立人员录用、人员离岗、安全意识教育和培训、外部人员访问管理人员管理等;
安全运维管理
建立系统建设的整体项目管理,依据建设管理流程建立主要管理节点,包括:定级和备案、方案设计、产品采购和使用、自行软件开发、外包软件开发、 工程实施、测试验收、系统交付、等级测评、服务供应商选择;
安全运维管理体系
建立安全运维管理体系,包括:环境管理、资产管理、介质管理、设备维护管理、 漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管 理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
【版权与免责声明】本文转自互联网,如发现内容存在版权问题,烦请提供相关信息发邮件至 zhangss@kkidc.com ,我们将及时沟通与处理,谢谢!
上一篇: 等保2.0相关问答
下一篇: 常见等保问题业内人士解答