网络安全运营能力建设思路（四）.docx

网络安全运营能力建设思路（四） 六、过程能力建设 过程能力建设是一个长期持续的过程，需要在组织内持续性的落实安全的相关制度和流程，并基于组织的业务变化和技术发展不断的调整和优化，安全也是一个不断螺旋上升的过程，通过持续对组织内外安全风险的监测，评估组织现有安全控制措施的有效性进行识别和判断，将技术工具与人员能力结合在组织内部的推广落地。 识别：开发组织理解管理过程，识别资产，数据和功能的网络安全风险 保护：制定并实施适当的保障措施，确保提供关键信息基础设施服务 检测：制定并实施适当的活动以确定网络安全事件的发生 响应：制定并执行适当的活动，以便就检测到的网络安全事件采取行动 恢复：制定并实施适当的活动，以维护恢复能力计划并恢复因网络安全事件而受损的任何功能或服务 6.1 识别 6.1.1 安全规划 组织IT规划是在发展战略目标的指导下，在理解组织发展战略目标与业务规划的基础上，诊断、分析、评估组织管理和 IT 现状，优化组织业务流程，结合所属行业信息化方面的实践经验和对必威体育精装版信息技术发展趋势的掌握，提出组织IT建设的远景、目标和战略。而网络安全与信息化是“一体之两翼 驱动之双轮”，网络安全规划自然与信息化规划密切相关。因此，网络安全规划是在理解组织信息化发展战略和目标的基础上，诊断分析目前组织网络安全现状，结合国家和行业组织安全的管理要求和对必威体育精装版安全技术发展趋势的掌握，提出一段时间内其网络安全建设的愿景、目标、战略，对网络安全目标和内容进行整体规划，全面系统的指导组织信息安全建设的进程，协调发展的进行信息技术应用，以促进组织信息化战略目标的实现，最终实现组织可持续发展。 网络安全规划作为组织信息化规划的一部分，其常用的规划方法如下： 在识别组织网络安全规划的过程中，需从不同的维度遵循以下原则： 时间特性维度 网络安全规划涉及组织以往网络安全成果、目前网络安全现状以及未来网络安全的发展方向。因此从时间维度看，识别网络安全规划需要站在过去、现在和未来三个时间点进行考虑。 组织内外部环境维度 网络安全规划涉及的是组织网络安全工作的发展方向，因此识别过程必须全面分析掌握组织内部发展环境，包括业务发展趋势、信息技术发展趋势，组织所面临的机遇与挑战等。对外部环境而言，网络安全的发展趋势日新月异，行业发展趋势也随之变化，行业内领先组织的最佳实践和发展方向无疑是最佳参考。 业务需求关联维度 组织网络安全最终保障的是各项业务能够顺利安全开展。因此，识别组织安全规划需在组织业务发展战略的指导下进行，紧紧围绕保障业务开展为核心目标。 6.1.2 安全策略 安全策略是一组规则,它们定义了一个组织要实现的安全目标和实现这些安全目标的途径。安全策略可以划分为两个部分,问题策略和功能策略。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题,包括制定具体的各项策略。 在识别组织安全策略的过程中，需要识别一下内容： 安全方针：安全方针指组织能够依据业务要求和相关法律、法规提供安全管理指导和支持，识别内容包括管理者承诺、安全管理方法、整体目标和范围、控制目标和控制措施的框架；重要安全策略、原则、标准和符合性要求说明；安全管理的一般和特定职责定义等。 安全组织：识别组织管理框架，包括内部组织和外部组织，内部组织包括管理承诺、安全协调、安全职责分配、设施授权过程、必威体育官网网址性协议、与政府部门的联系、与特定利益集团的联系以及独立审计等内容，外部组织包括与外部各方相关风险的识、处理外部各方协议中的安全问题等要求。 人力资源管理：识别组织在人员任用之前、任用中、任用终止或变化的要求。 资产管理：识别包括组织资产管理和信息分类相关的要求。 访问控制：识别组织访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等要求。 密码学：识别住址使用密码控制的策略、密钥管理等要求。 物理和环境安全：识别组织安全区域和设备安全等要求。 操作安全：识别组织操作规程、恶意软件防护、备份、日志和监视、运行软件的控制、技术脆弱性管理、信息系统审计等要求。 通信安全：识别组织网络安全管理、信息传递等要求。 信息系统获取、开发和维护：识别组织信息系统的安全要求、开发和支持过程中的安全、测试数据等要求。 供应商关系：识别包括组织供应商关系的信息安全、供应商服务交付管理等要求。 安全事件管理：识别组织信息安全事件和改进的管理要求。 业务连续性管理：识别组织信息安全连续性、冗余等要求。 符合性：识别组织符合法律和合同要求、信息安全评审要求。 6.1.3 资产管理 资产管理的过程就是将组织的业务工作这个抽象的概念逐步分解成定性、定量的资产安全性分析，或者说将组织的业务安全映射成资产的安全，使得我们能够