《网络安全法实施指南》发布(下)

作者:香港葵芳BGP机房      发布时间:2017/8/14 12:30:12

  二、《网络安全法》实施

  

  为有效地推进《网络安全法》的实施,总体可分为相关法规识别、合规差距分析、合规对应实施和体系持续完善四个步骤。本部分详细描述前三个步骤,第三部分“信息安全体系完善”描述第四个步骤。

  

  


  

  1. 相关法规识别

  

  《网络安全法》第八条规定:“国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。”因此,各网络运营者在实施《网络安全法》时,不仅要深入了解《网络安全法》的要求,还需要参考其他配套的法规及标准,以确保《网络安全法》的安全控制措施能有效落实。

  

  近年来,主管部门及安全标准化机构发布了多个与《网络安全法》实施相关的法规与标准,有的还处在征求意见当中。为方便各类机构在实施《网络安全法》时加以参考,把最重要的相关法规与标准列表如下:

  

  


  

  国内近期发布《网络安全法》相关法规标准

  

  国外相关法律与规范识别

  

  组织在实施《网络安全法》时,可以根据自身的需要对其他国家和地区的相关法规和标准进行识别,其目的一方面使国内机构借鉴国外的一些网络安全最佳实践,同时可以为国外组织在国内实施网络安全合规要求时,建立一个可以对比的参照系。

  

  


  

  国外网络安全相关法规

  

  2. 合规差距分析

  

  以《网络安全法》为基础,网络运营者应从网络安全管理、网络安全技术和个人信息保护三方面综合考虑各项法律、法规的监管要求,通过对组织现状的了解,对组织当前合规情况进行差距分析。

  

  


  

  《网络安全法》合规差距分析

  

  3. 合规对应实施

  

  《网络安全法》具体合规实施时,可以从网络运营安全、网络信息安全及关键信息基础设施保护三个方面,描述对应的保护要求和对应条款,分别从“相关责任方”、“管理措施”及“技术措施”三个维度分析其具体实施要点。以下举例说明。

  

  3.1 网络运营安全控制措施

  

  


  

  3.2 网络信息安全控制措施

  

  


  

  3.3 关键信息基础设施安全控制措施

  

  


  

  三、信息安全体系完善

  

  按照《网络安全法》实施网络安全控制措施,是当前国内各类组织在信息安全方面的重要实践,但我们也要清醒地看到,落实法律的合规要求只是组织信息安全的最基本要求,法规不可能面面俱到。因此,就算组织逐条落实了法规的要求,也只是达到了合规的基本要求,也不能保证组织的信息安全体系达到一个完善的水平。

  

  因此,在合规的基础上,我们建议组织根据《网络安全法》的要求,通过等级保护的方法来进一步完善信息安全保障体系,通过人员安全培训与意识教育来提升组织的人员安全能力,通过持续安全评估与IT审计来推进安全体系持续完善。

  

  1. 等级保护相关规范标准

  

  信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。

  

  组织可以基于合规差距分析结果并参照网络安全等级保护和其他法规对信息安全的要求,建立健全组织信息安全保障体系,部署并完善安全管理策略和安全技术措施,持续稳定地提升信息安全水平。

  

  到目前为止,国家制定与颁布了与等级保护相关的多个国家标准,一些重点行业也制定了本行业的信息安全等级保护标准,等级保护的方法近年来在国内得到广泛的应用。

  

  已经发布的等级保护相关标准:

  

  


  

  正在征求意见的等级保护标准修订稿

  

  为配合国家落实《网络安全法》,等级保护标准的名称将由原来的GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》改为“信息安全技术网络安全等级保护基本要求”,标准由原来的一个标准变更为多个部分组成的标准,分别为:

  

  


  

  等级保护对象由原来的信息系统,调整为:安全等级保护的对象包括网络基础设施、信息系统、大数据、云计算平台、物联网、工控系统等。

  

  等级保护相关的定级指南、测评指南、设计技术要求、测评要求、测评过程指南等相关标准也发布了相应的修订版(征求意见稿)。

  

  2. 等级保护体系的设计

  

  等级保护的设计分为安全策略设计、安全管理设计及安全技术设计三个方面的内容,形成信息安全保障体系的组织体系、策略体系、技术体系及运行体系。

  

  


  

  2.1 总体安全策略设计

  

  总体策略设计的目标是形成组织纲领性的安全策略文件,包括确定安全方针和安全策略两方面的内容。安全方针是阐明安全工作的使命和意愿,定义信息安全的总体目标,规定信息安全责任机构和职责,建立安全工作运行模式等;安全策略是说明安全工作的主要策略,包括安全组织机构划分策略、业务系统分级策略、数据信息分级策略、等级保护对象互连策略、信息流控制策略等。

  

  通过方针与策略的设计,以便组织可以结合等级保护基本要求系列标准、行业基本要求和安全保护特殊要求,构建机构等级保护对象的安全技术体系结构和安全管理体系结构。对于新建的等级保护对象,应在立项时明确其安全保护等级,并按照相应的保护等级要求进行总体安全策略设计。

  

  2.2 安全管理体系设计

  

  根据等级保护基本要求系列标准、行业基本要求、安全需求分析报告等,设计等级保护对象安全管理体系框架。主要是从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面进行设计。

  

  安全管理体系设计成果可分为四层。第一层为总体方针、安全策略,通过信息安全总体方针、安全策略明确机构信息安全工作的总体目标、范围、原则等。第二层为信息安全管理制度,通过对信息安全活动中的各类内容建立管理制度,约束信息安全相关行为。第三层为安全技术标准、操作规程,通过对管理人员或操作人员执行的日常管理行为建立操作规程,规范信息安全管理制度的具体技术实现细节。第四层为记录、表单,用于在信息安全管理制度、操作规程实施时需填写的表单和需保留的操作记录。

  

  


  

  2.3 安全技术体系设计

  

  根据组织总体安全策略文件、GB/T 22239、行业基本要求和安全需求,设计等级保护对象的安全技术体系架构。等级保护对象的安全技术防护体系由从外到内的“纵深防御”体系构成,首先通过“物理环境安全防护”保护服务器、网络设备以及其他设备设施免遭地震、火灾、水灾、盗窃等事故导致的破坏,然后通过“通信网络安全防护”保护暴露于外部的通信线路和通信设备,通过“网络边界安全防护”对等级保护对象实施边界安全防护,内部不同级别定级对象尽量分别部署在相应保护等级的内部安全区域,低级别定级对象部署在高等级安全区域时遵循“就高保护”原则,对于内部安全区域将实施“主机设备安全防护”和“应用和数据安全防护”,通过“安全管理中心”对整个等级保护对象实施统一的安全技术管理。

  

  等级保护对象的安全技术体系架构见下图所示:

  

  


  

  根据安全技术架构的设计,组织可以寻找相应的技术与产品来实施安全控制措施。安全技术与产品的选择,请参考安全调查分析机构安全牛推出的“网络安全行业全景图”。

  

  


  

  网络安全全景图目前共分为17大安全领域,59个细分领域,包含约200家安全企业和相关机构,比较全面地对主流的安全技术与产品进行了介绍,可以供用户在选择技术与产品解决方案时加以参考。

  

  3. 信息安全教育与培训

  

  《网络安全法》第三十四条规定,关键信息基础设施的运营者还应当履行对从业人员进行网络安全教育、技术培训和技能考核的义务。

  

  信息安全教育与培训是实施有效信息管理的重要基础,组织要周期性地进行信息安全教育与培训规划,要在员工中形成一个行之有效、常抓不懈的氛围,教育的形式既要生动有趣,又要紧凑有效。组织可以考虑采用以下NIST基于角色与职责的、框架式的安全教育模型:

  

  


  

  组织可根据各岗位人员信息安全能力建设需求,设计未来3到5年信息安全培训规划,并针对各岗位的工作特征,制定各岗位信息安全能力需求表,以及由知识组合成的课程。根据组织的实际情况可采用以下基于角色与职责的、框架式的课程设计。以下是基于岗位与信息安全知识体对应的培训方案示例:

  

  

  

  此外,《网络安全法》第十九条规定,“各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。“因此,网络运营者在进行人员能力建设的同时,还应加强包括管理层在内全员网络安全意识培养和重要性宣传的工作。

  

  普通员工是各项业务的执行者,员工信息安全意识的薄弱是组织信息安全最大的风险。内部员工无意的疏忽,往往会引发敏感信息泄露等安全事件的发生。内部员工的信息安全意识水平提升有助于减少信息安全风险,提升组织的总体信息安全水平。

  

  组织应设计与提供贯穿员工整个职业生命周期的、多种层次、多种方式的信息安全意识宣贯,提高组织全体员工的信息安全意识水平。以下是各类信息安全意识教育形式示例:

  

  


  

  4. 安全体系的持续改进

  

  组织在经过合规差距分析并建成组织、管理和技术体系之后,要推进体系的运行。如果条件许可,组织还可以建立信息安全监控运行中心(SOC),对安全运行状态进行检测与管理。组织要持续地收集体系运行数据,对体系运行状态进行测量,并根据测量结果建立信息安全绩效考核机制,这样才能把信息安全要求落实到业务流程和员工岗位之中。

  

  


  

  组织要建立信息安全保障体系的PDCA循环模式,以推进体系建设的持续完善,全面提升组织的风险识别、安全防御、安全检测、安全响应与安全恢复能力,最终实现风险可视化、防御主动化、运行自动化、管理流程化的安全目标,积极、主动、快速地应对网络安全风险,保障业务与数据安全。

  

  


Copyright by 葵芳有限公司 All Right Rescrvod 粤ICP备14096959号-2