“网络安全是三分技术,七分管理。”目前,政府部门网络安全工作普遍存在安全意识不强、缺乏整体安全体系方案及安全管理机制、安全管理缺少抓手、安全管理人员技能有待提高等系列问题。政务外网安全长期存在“重技术、轻管理”现状。
如何抓住网络安全管理的“牛鼻子”?
如何解决以上存在问题及现状,协同政府部门构建起行之有效的网络安全管理体系,同时为政务外网安全管理提供有力抓手?
远望信息认为,应从顶层架构入手,构建起自上而下的网络安全管理体系。
远望县域政务外网安全“三位一体”之安全管理体系
作为县域政务外网安全体系的重要组成部分,安全管理体系以合规合法、责任到人为中心,从安全管理机构、安全岗位职责、安全管理制度、人员安全管理、安全建设管理、安全管理流程、安全合规管理等方面构建起一体化的网络安全管理体系,为政务外网安全建设夯实管理根基。
安全管理机构
建立符合监管要求与建设目标的安全管理机构是安全管理体系建设的主要内容之一。依据等保2.0安全保护能力建设要求,安全管理机构建立应符合以下原则:具备安全领导协调机构、配备网络安全专门管理机构、设立网络安全管理专职岗位、对网络安全职责有清晰定义。
安全岗位职责
依据《网络安全等级保护基本要求》以及《党委(党组)网络安全工作责任制实施办法》,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。应设立安全主管、安全管理各方面负责人岗位,并定义各负责人的职责;设立系统管理员、网络管理员、安全管理员等岗位,并定义部门及各个工作岗位的职责;同时配备一定数量的系统管理员、网络管理员和专职的安全管理员。
安全管理制度
依据法规要求及行业规范构成全面的政务网络安全管理制度体系,包括安全策略、管理制度、操作规程等方面。制度规范体系涵盖以下内容:制定网络安全顶层管理策略,制定网络安全管理规范和技术标准,针对网络安全管控具体工作事项设计安全管理流程。
人员安全管理
人员管理是安全管理的重要组成部分,网络安全体系的建设、运营人员是否合格履行个人职责对安全成效至关重要。依据国家网络安全相关法律法规,应通过建立健全人员安全管理制度,将安全管理要素融入人员管理制度规范中,同时监督指导制定人员安全管理规定。远望县域政务外网安全管理体系人员安全管理包括人员录用、人员离岗、人员安全意识教育和培训等方面。
安全建设管理
遵从“四同步”原则,即业务规划与安全规划同步,业务体系构建与安全体系构建同步,应用技术发展和安全技术发展同步,业务能力提升和安全能力提升同步。将安全建设管理纳入业务建设方案设计、产品采购和使用、软件开发、工程实施、方案测试验收、系统交付等建设过程的全流程。
安全管理流程
根据实际业务需求,完成设备入网、业务系统上线、分险事件处置、钉办处置流程、人员变更流程、应急处置流程等流程设计。
安全合规管理
安全合规管理即依据等保要求,在实施网络安全等级保护、关键信息基础设施安全保护制度要求过程中,建立健全安全合规管理机制,确保安全合规建设内容全面、有效落地。同时依据《中华人民共和国密码法》要求,推进重要系统商用密码应用安全性评估,确保符合密码管理要求。此外还包括依据相关法律法规要求,加强数据安全风险评估、数据出境安全评估。