2020年12月26日
等級保護制度我們知道,是由技術和管理兩大部分組成。很多人覺得管理沒那么重要,只是一些條條框框的規定而已,但是如果一些制度沒有或者落實地不好,那么也是高風險項,你的等保測評結論將是“差”。以下是整理的管理制度中10個高風險項,供大家參考。
一、沒有安全管理制度為高風險
二級及以上系統未建立任何與安全管理活動相關的安全管理制度或者制度無法滿足適用于當前系統。
二、未建立網絡安全領導小組為高風險
三級及以上系統未成立指導和管理網絡安全工作的委員會或領導小組,或其最高領導未由單位主管領導擔任或授權。
三、未定期開展網絡安全意識和安全技能培訓為高風險
二級及以上系統未定期組織開展與安全意識、安全技能相關的培訓。這要求我們各家網絡運營者每年至少開展一次相關培訓,并留痕。
四、未對外部人員接入受控網絡進行管理為高風險
二級及以上系統未建立外部人員接入受控網絡訪問系統的相關管理制度,同時無法提供外部人員接入受控網絡訪問系統的申請、審批等相關記錄文檔。
五、沒有運維工具管控措施的為高風險
三級及以上系統應嚴格控制運維工具的使用,經過審批后方可接入使用,操作過程中應保留審計日志數據,操作結束后應刪除工具中的敏感數據。使用開源的運維工具,應保證工具自身的安全,做好病毒檢測、漏洞掃描等。一哥在此推薦大家使用商用的運維工具,不要隨意使用來源不明的工具。
六、沒有設備外聯管控措施的為高風險
三級及以上系統管理制度上無關于外部連接的授權和審批流程,也未定期進行相關的巡檢同時無技術手段對違規上網及其他違反網絡安全策略的行為有效控制、檢查、阻斷。這里要求我們在三級及以上系統中配備安全準入系統進行技術管控。
七、沒有外來接入設備惡意代碼檢查措施的為高風險
二級及以上系統未在管理制度中明確外來計算機或存儲設備接入安全操作流程同時外來計算機且存儲設備接入網絡前未進行惡意代碼檢查。這在實際工作中不少單位沒有落實或者落實不徹底,這也是為什么內網會中毒的一個重要原因。
八、沒有變更管理制度的為高風險
二級及以上系統無變更管理制度,或變更管理制度中無變更管理流程、變更內容分析與論證、變更方案審批流程等相關內容且實際變更中無任何流程、人員、方案等審批環節和記錄。不能隨意對系統進行變更,有時一些安全事件就是因為誤操作而導致的。
九、沒有重要事件的應急預案的為高風險
二級及以上系統未制定重要事件的應急預案或應急預案內容不完整,未明確重要事件的應急處理流程、系統恢復流程等內容,一旦出現應急事件,無法合理有序的進行應急事件處置過程。在三級及以上系統中不僅要有預案,還需要定期培訓與演練,對未定期(至少每年一次)對相關人員進行應急預案培訓,未根據不同的應急預案進行應急演練,無法提供應急預案培訓和演練記錄的也是為高風險。這就要求我們應急預案不只是一個預案,更要成為發生突發事件后實際操作的一個規范應對流程。總結下來:應急演練大家要認真認真做,不要走過場。
十、云計算平臺運維方式不當的為高風險
二級及以上云計算平臺的運維地點不在中國境內且境外對境內云計算平臺實施操作運維未遵循國家相關規定。對于云計算平臺一哥還是建議大家至少選擇物理位置及運維地點在中國境內的平臺。
(本文來自 等級保護測評公眾號)
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
