安全文档的开发和维护
网络安全策略
制定、实施和维护网络安全策略。
安全文件批准
如果安全文档未经过相关主管部门的审查和批准,系统所有者就有可能无法履行职责,确保已为系统及其操作环境确定并实施了适当的控制措施。为此,重要的是,系统的安全架构(如系统安全计划中所述,并由网络安全事件响应计划和持续监控计划支持)在系统开发之前由系统授权人员批准。
组织级安全文件由首席信息安全官批准,而系统特定的安全文件由系统的授权官员批准。
系统的安全架构在系统开发之前获得批准。
安全文档的维护
威胁环境是动态的。如果安全文档没有及时更新以反映当前的威胁环境,政策、流程和程序可能会失效。在这种情况下,资源可能会用于效率降低或不再相关的网络安全计划或投资。
安全文件至少每年审查一次,并包括“截至 [日期] 的最新信息”或同等声明。
安全文件的传达
安全文档一旦获得批准,就必须发布并传达给所有利益相关者,这一点很重要。如果安全文档没有传达给利益相关者,他们将不知道系统实施了哪些政策和程序。
安全文档(包括后续更改的通知)已传达给所有利益相关者。
有关系统特定安全文档的需要各专项信息,例如系统安全计划、网络安全事件响应计划、持续监控计划、安全评估报告以及行动和里程碑计划,可在本指南的以下部分找到。
包括但不限于以下内容:业务连续性和灾难恢复计划、网络安全沟通策略、网络安全事件管理政策、网络安全事件登记册、供应商关系管理政策、批准供应商名单、托管服务注册、外包云服务登记册、授权射频和红外设备登记册、系统使用政策、电缆登记册、平面图、电缆标签流程和程序、电话系统使用政策、视频会议和互联网协议电话服务的拒绝服务响应计划、传真机和多功能设备使用政策、移动设备管理政策、移动设备使用政策、移动设备紧急消毒流程和程序、信息技术(IT)设备管理政策、 IT 设备登记册、 IT 设备消毒流程和程序、IT 设备销毁流程和程序、IT 设备处置流程和程序、媒体管理政策、可移动媒体使用政策、可移动媒体寄存器、媒体清理流程和程序、媒体销毁流程和程序、媒体处置流程和程序、系统管理流程和程序、补丁管理流程和程序、软件寄存器、关数字保存政策、数据备份流程和程序、数据恢复过程和程序、事件日志策略、漏洞披露政策、漏洞披露流程和程序、数据库注册表、电子邮件使用政策、加密密钥、网络使用政策、数据传输流程和程序。
系统特定的安全文档
系统特定的安全文档
系统特定的安全文档,例如系统安全计划、网络安全事件响应计划、持续监控计划、安全评估报告以及行动和里程碑计划,支持准确一致地应用系统的政策、流程和程序。因此,重要的是,这些文档应由对业务需求、所用技术和网络安全问题有充分了解的人员制定。
系统特定的安全文档可能以多种格式呈现,包括 wiki 或其他形式的文档存储库。此外,根据所使用的文档框架,多个系统共有的详细信息可以合并到更高级别的安全文档中。
系统安全计划
系统安全计划提供了系统概述(涵盖系统的目的、系统边界和系统的管理方式)以及描述已为系统确定和实施的控制的附件。
制定和维护系统安全计划可能涉及许多利益相关者。这可能包括来自以下方面的代表:
网络安全团队
提供能力的项目团队(包括承包商)
负责运营和支持能力的支持团队
系统处理、存储或传达的数据的数据所有者
正在为其开发该功能的用户。
系统有一个系统安全计划,其中包括系统概述(涵盖系统的目的、系统边界和系统管理方式)以及涵盖本文件中适用控制措施以及已确定和实施的任何其他控制措施的附件。
网络安全事件响应计划
制定网络安全事件响应计划可确保在发生网络安全事件时,有计划对情况做出适当响应。在大多数情况下,响应的目的是防止网络安全事件升级,恢复任何受影响的系统或数据,并保留任何证据。
系统有一个网络安全事件响应计划,涵盖以下内容:
关于网络安全事件的指导方针
可能遇到的网络安全事件类型以及对每种类型的预期响应
如何向组织内部和相关部门报告网络安全事件
发生网络安全事件时需要通知的其他各方
负责调查和应对网络安全事件的机构
执法机构、澳大利亚信号局或其他相关机构要求调查网络安全事件的标准
确保网络安全事件相关证据完整性的必要步骤
系统应急措施或此类详细信息的引用(如果它们位于单独的文档中)。
持续监测计划
持续监控计划可以帮助组织主动识别、优先处理和应对漏洞。监控和管理系统漏洞的措施还可以为组织提供有关其面临的网络威胁的大量宝贵信息,并帮助他们确定与其系统运行相关的安全风险。开展持续监控活动非常重要,因为网络威胁和控制措施的有效性会随着时间的推移而发生变化。
三种持续监控活动是漏洞扫描、漏洞评估和渗透测试。漏洞扫描涉及使用软件工具对已知漏洞进行自动检查,而漏洞评估通常包括对系统架构的审查或深入的实际评估。在每种情况下,目标都是识别尽可能多的漏洞。然而,渗透测试旨在演练真实场景,以试图实现特定目标,例如破坏关键系统组件或数据。无论选择哪种持续监控活动,都应由独立于被评估系统的具有适当技能的人员进行。这些人员可以是组织内部人员,也可以是第三方人员。这确保不存在利益冲突(无论是感知到的还是其他的),并且活动以客观的方式进行。
系统有一个持续监控计划,其中包括:
每两周至少进行一次系统漏洞扫描
在部署之前(包括部署重大变更之前)以及此后至少每年进行一次系统漏洞评估和渗透测试
分析已发现的漏洞以确定其潜在影响
根据风险、有效性和成本实施缓解措施。
安全评估报告
在系统安全评估结束时,评估人员应生成安全评估报告。这将帮助系统所有者执行任何初步补救措施,并指导系统行动计划和里程碑的制定。
在对系统进行安全评估后,评估员会生成一份安全评估报告,内容包括:
安全评估范围
该系统的优势和劣势
与系统运行相关的安全风险
控制措施实施的有效性
任何建议的补救措施。
行动计划和里程碑
在系统安全评估结束时,以及评估员生成安全评估报告后,系统所有者应制定行动计划和里程碑。这将有助于跟踪安全评估期间发现的任何系统弱点和建议的补救措施。
在完成系统安全评估后,系统所有者会制定行动计划和里程碑。
网络安全等级保护:等级保护工作、分级保护工作、密码管理工作三者之间的关系
>>>数据安全系列<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<