由信息系统安全运维体系引发等保测评安全运维管理的一点点思考
信息系统安全运维体系是一个以业务安全为目的的信息系统安全运行保障体系。通过该体系,能够及时发现并处置信息资产及其运行环境存在的脆弱性、入侵行为和异常行为。
安全运维活动要素包含了目的、要求和实施指南三个方面。目的部分描述安全运维活动的意义;要求部分描述了安全运维活动的指标要求;实施指南描述达成安全运维活动目标、实现安全运维要求的方法和手段。
为了保证安全运维体系的可靠性和有效性,安全运维体系建设应遵循以下内容:
a) 基于策划、实施、检查和改进的过程进行持续完善。可以根据信息系统的安全保护等级要求,对控制实施情况进行定期评估;
b ) 安全运维体系建设应兼顾成本与安全。根据业务安全需要,制定相应的安全运维策略、建立相应的安全运维组织、制定相应的安全运维规程及建设相应的安全运维支撑系统。
安全运行维护本身是提供安全运维企业的工作,等级保护测评人员是否也要有所了解呢?答案是肯定的!
当测评师针对安全运维管理层面进行测评时,如果对安全运维有个清晰的认知,那么一方面他可以很好的获取测评证据和撰写测评记录;另一方面也可以科学的进行访谈、核查工作,更好的把握《信息安全技术 网络安全等级保护基本要求》测评的含义。
第一个方面是在完善测评记录的维度来谈,这个最终是落到测评报告上去的,也更能显示测评结果的客观、公正、科学性,也就是这个维度在于充实完善。第二个方面则是不过分放大测评内容与范围,不以自己主观的见解解读测评项,学习了解运维知识有助于精准把控测评项的范围。不少也别多,少则不足,过犹不及,河南话正“中”最好!
在测评过程中,不止一次听到配合测评师工作的运维人员抱怨测评师访谈的内容稀奇古怪,甚至访谈的内容根部不是安全从业人员能理解的。究其原因,还是对运维工作的不了解不理解,有时会问一些非专业性的问题,使专业运维的配合人员感觉莫名其妙。等级保护测评也是一项安全服务,和其他安全服务之间是相辅相成的关系,只有充分理解掌握了自己负责的部分,才能够更好的配合工作。这时,就需要“共同语言”,就是具备共同的信息安全知识。
共同的安全知识,需要共同标准。那么国家标准是最好的参考,也是大家工作中最常见的遵循。切不可,主观臆断或望文生义,自己胡乱解读一通,最终将被人质疑专业水平,客户现场价值将会变得一文不值。
今天,时间有限。本来可以就这个问题,把基本要求几个测评项进行展开的,待以后有时间再慢慢探讨。再次声明,本人粗鄙见解纯属班门弄斧,聊作引玉之砖,期待方家批评指正,共同探讨,共同解决彼此配合中存在的异议和问题。
《信息安全技术 网络安全等级保护基本要求》
《信息安全技术 信息系统安全运维管理指南》
《信息技术 安全技术 信息安全控制实践指南》
《信息技术 安全技术 信息安全风险管理》