文中摘自微信公众平台「祺印说安通」,创作者何威武 。转截文中请联络祺印说安通微信公众号。
网络安全原则的目地
网络安全原则的目标是为机构怎样保障其系统和信息免遭网络威胁给予发展战略具体指导。
这种网络安全原则分成四个重要主题活动:整治、维护、检验和回应。
- 整治:鉴别和管理方法安全隐患。
- 维护:实施安全管理以减少安全隐患。
- 检验:检测和掌握网络安全事情。
- 回应:响应网络安全事情并从这当中修复。
整治原则
- G1:总裁网络信息安全官承担领导干部和监管网络安全。
- G2:明确并纪录系统、应用程序和统计数据的身分和使用价值。
- G3:明确并纪录系统、应用程序和统计数据的安全保密性、一致性和可靠性规定。
- G4:安全风险管理步骤置入到机构风险管控架构中。
- G5:在系统和应用程序被受权应用以前,及其在所有运作生命期中,安全隐患都是会被鉴别、纪录、管理方法和接纳。
维护原则
- P1:系统和应用程序依据其使用价值以及安全保密性、一致性和可靠性规定完成设计方案、布署、维护保养和停止使用。
- P2:系统和应用程序由可信赖的经销商交货和适用。
- P3:系统和应用程序配备为降低其攻击面。
- P4:系统和应用程序以安全性、承担和可审核的形式开展管理方法。
- P5:立即分辨和减轻系统和应用程序中的网络安全问题。
- P6:仅有受信赖和扶持的实际操作系统、应用程序和计算机代码才可以在系统上实行。
- P7:数据信息在不一样系统中间静态数据和传送时开展数据加密。
- P8:不一样系统中间通讯的数据资料是可控的、可查验的和可审核的。
- P9:数据信息、应用程序和配备设定会按时以安全性且通过证实的形式开展备份数据。
- P10:仅有通过信赖和核查的工作人员才可以浏览系统、应用程序和数据储存库。
- P11:工作人员被授于对其岗位职责所需要的系统、应用程序和数据储存库的最少访问限制。
- P12:应用各种方式鉴别系统、应用程序和数据储存库文件的员工并对它进行身份认证。
- P13:为工作人员给予连续的网络安全观念学习培训。
- P14: 对系统、适用基础设施建设和设备的物理学浏览仅限受权工作人员。
检验原则
D1:网络安全事情和出现异常主题活动被立即检验、搜集、关系和剖析。
回应原则
- R1:网络安全事情立即辨别并立即向有关单位开展内部结构和外界汇报。
- R2:网络安全事情获得立即操纵、彻底消除和修复。
- R3:业务连续性和灾祸修复方案是在必须时制订的。
生命周期模型
在实施网络安全原则时,机构可以采用下列生命周期实体模型来评定单独原则,原则组或全部网络安全原则的实施状况。生命周期实体模型中的五个等级是:
- 不充分的:网络安全原则要不一部分实施,要不未实施。
- 原始:网络安全原则获得实施,但实施方法很差或暂时性。
- 发展趋势:网络安全原则获得了充足的实施,但要逐一新项目实施。
- 管理方法:网络安全原则被建立为规范业务流程实践活动,并在所有结构中获得强大的实施。
- 提升:在所有结构中实施网络安全原则时,有目的地关心提升和持续改善。
《信息安全指南》是加拿大我国网络安全核心公布的一个套管理体系性指南,我们在掌握世界各国相关网络安全有关管理体系两性知识的全过程,可以参考之,还可以从这当中发觉关联性,使我们在工作上可以找寻通用性的最好安全性完成。在逐步推进掌握世界各国网络安全管理体系性內容全过程中,也可以不断强化对网络安全的了解,提高大家的网络安全观念。网络安全专业知识和资询是网络安全观念的前提条件,在这个领域必须持续收获。