等級保護(hù)10大管理高風(fēng)險項
2020年12月26日
等級保護(hù)制度我們知道�,是由技術(shù)和管理兩大部分組成。很多人覺得管理沒那么重要�,只是一些條條框框的規(guī)定而已,但是如果一些制度沒有或者落實地不好,那么也是高風(fēng)險項�,你的等保測評結(jié)論將是“差”。以下是整理的管理制度中10個高風(fēng)險項�����,供大家參考���。
一�、沒有安全管理制度為高風(fēng)險
二級及以上系統(tǒng)未建立任何與安全管理活動相關(guān)的安全管理制度或者制度無法滿足適用于當(dāng)前系統(tǒng)��。
二���、未建立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組為高風(fēng)險
三級及以上系統(tǒng)未成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會或領(lǐng)導(dǎo)小組���,或其最高領(lǐng)導(dǎo)未由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)。
三��、未定期開展網(wǎng)絡(luò)安全意識和安全技能培訓(xùn)為高風(fēng)險
二級及以上系統(tǒng)未定期組織開展與安全意識���、安全技能相關(guān)的培訓(xùn)����。這要求我們各家網(wǎng)絡(luò)運(yùn)營者每年至少開展一次相關(guān)培訓(xùn),并留痕�。
四、未對外部人員接入受控網(wǎng)絡(luò)進(jìn)行管理為高風(fēng)險
二級及以上系統(tǒng)未建立外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)的相關(guān)管理制度���,同時無法提供外部人員接入受控網(wǎng)絡(luò)訪問系統(tǒng)的申請����、審批等相關(guān)記錄文檔�����。
五����、沒有運(yùn)維工具管控措施的為高風(fēng)險
三級及以上系統(tǒng)應(yīng)嚴(yán)格控制運(yùn)維工具的使用���,經(jīng)過審批后方可接入使用��,操作過程中應(yīng)保留審計日志數(shù)據(jù)��,操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù)����。使用開源的運(yùn)維工具,應(yīng)保證工具自身的安全���,做好病毒檢測����、漏洞掃描等����。一哥在此推薦大家使用商用的運(yùn)維工具,不要隨意使用來源不明的工具��。
六���、沒有設(shè)備外聯(lián)管控措施的為高風(fēng)險
三級及以上系統(tǒng)管理制度上無關(guān)于外部連接的授權(quán)和審批流程�,也未定期進(jìn)行相關(guān)的巡檢同時無技術(shù)手段對違規(guī)上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為有效控制��、檢查���、阻斷��。這里要求我們在三級及以上系統(tǒng)中配備安全準(zhǔn)入系統(tǒng)進(jìn)行技術(shù)管控�。
七��、沒有外來接入設(shè)備惡意代碼檢查措施的為高風(fēng)險
二級及以上系統(tǒng)未在管理制度中明確外來計算機(jī)或存儲設(shè)備接入安全操作流程同時外來計算機(jī)且存儲設(shè)備接入網(wǎng)絡(luò)前未進(jìn)行惡意代碼檢查。這在實際工作中不少單位沒有落實或者落實不徹底���,這也是為什么內(nèi)網(wǎng)會中毒的一個重要原因��。
八���、沒有變更管理制度的為高風(fēng)險
二級及以上系統(tǒng)無變更管理制度,或變更管理制度中無變更管理流程��、變更內(nèi)容分析與論證�、變更方案審批流程等相關(guān)內(nèi)容且實際變更中無任何流程�����、人員�、方案等審批環(huán)節(jié)和記錄。不能隨意對系統(tǒng)進(jìn)行變更�����,有時一些安全事件就是因為誤操作而導(dǎo)致的��。
九�、沒有重要事件的應(yīng)急預(yù)案的為高風(fēng)險
二級及以上系統(tǒng)未制定重要事件的應(yīng)急預(yù)案或應(yīng)急預(yù)案內(nèi)容不完整����,未明確重要事件的應(yīng)急處理流程��、系統(tǒng)恢復(fù)流程等內(nèi)容���,一旦出現(xiàn)應(yīng)急事件�,無法合理有序的進(jìn)行應(yīng)急事件處置過程����。在三級及以上系統(tǒng)中不僅要有預(yù)案,還需要定期培訓(xùn)與演練�,對未定期(至少每年一次)對相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn),未根據(jù)不同的應(yīng)急預(yù)案進(jìn)行應(yīng)急演練����,無法提供應(yīng)急預(yù)案培訓(xùn)和演練記錄的也是為高風(fēng)險。這就要求我們應(yīng)急預(yù)案不只是一個預(yù)案�,更要成為發(fā)生突發(fā)事件后實際操作的一個規(guī)范應(yīng)對流程?�?偨Y(jié)下來:應(yīng)急演練大家要認(rèn)真認(rèn)真做���,不要走過場����。
十、云計算平臺運(yùn)維方式不當(dāng)?shù)臑楦唢L(fēng)險
二級及以上云計算平臺的運(yùn)維地點(diǎn)不在中國境內(nèi)且境外對境內(nèi)云計算平臺實施操作運(yùn)維未遵循國家相關(guān)規(guī)定��。對于云計算平臺一哥還是建議大家至少選擇物理位置及運(yùn)維地點(diǎn)在中國境內(nèi)的平臺�。
(本文來自 等級保護(hù)測評公眾號)
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
