等級(jí)保護(hù)10大管理高風(fēng)險(xiǎn)項(xiàng)
2020年12月26日
等級(jí)保護(hù)制度我們知道,是由技術(shù)和管理兩大部分組成��。很多人覺(jué)得管理沒(méi)那么重要�,只是一些條條框框的規(guī)定而已,但是如果一些制度沒(méi)有或者落實(shí)地不好�����,那么也是高風(fēng)險(xiǎn)項(xiàng)�,你的等保測(cè)評(píng)結(jié)論將是“差”。以下是整理的管理制度中10個(gè)高風(fēng)險(xiǎn)項(xiàng)�,供大家參考。
一�����、沒(méi)有安全管理制度為高風(fēng)險(xiǎn)
二級(jí)及以上系統(tǒng)未建立任何與安全管理活動(dòng)相關(guān)的安全管理制度或者制度無(wú)法滿足適用于當(dāng)前系統(tǒng)����。
二�、未建立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組為高風(fēng)險(xiǎn)
三級(jí)及以上系統(tǒng)未成立指導(dǎo)和管理網(wǎng)絡(luò)安全工作的委員會(huì)或領(lǐng)導(dǎo)小組,或其最高領(lǐng)導(dǎo)未由單位主管領(lǐng)導(dǎo)擔(dān)任或授權(quán)。
三�、未定期開(kāi)展網(wǎng)絡(luò)安全意識(shí)和安全技能培訓(xùn)為高風(fēng)險(xiǎn)
二級(jí)及以上系統(tǒng)未定期組織開(kāi)展與安全意識(shí)、安全技能相關(guān)的培訓(xùn)�����。這要求我們各家網(wǎng)絡(luò)運(yùn)營(yíng)者每年至少開(kāi)展一次相關(guān)培訓(xùn)����,并留痕。
四����、未對(duì)外部人員接入受控網(wǎng)絡(luò)進(jìn)行管理為高風(fēng)險(xiǎn)
二級(jí)及以上系統(tǒng)未建立外部人員接入受控網(wǎng)絡(luò)訪問(wèn)系統(tǒng)的相關(guān)管理制度,同時(shí)無(wú)法提供外部人員接入受控網(wǎng)絡(luò)訪問(wèn)系統(tǒng)的申請(qǐng)�����、審批等相關(guān)記錄文檔���。
五�、沒(méi)有運(yùn)維工具管控措施的為高風(fēng)險(xiǎn)
三級(jí)及以上系統(tǒng)應(yīng)嚴(yán)格控制運(yùn)維工具的使用�����,經(jīng)過(guò)審批后方可接入使用,操作過(guò)程中應(yīng)保留審計(jì)日志數(shù)據(jù)�����,操作結(jié)束后應(yīng)刪除工具中的敏感數(shù)據(jù)�。使用開(kāi)源的運(yùn)維工具,應(yīng)保證工具自身的安全�,做好病毒檢測(cè)、漏洞掃描等����。一哥在此推薦大家使用商用的運(yùn)維工具,不要隨意使用來(lái)源不明的工具����。
六、沒(méi)有設(shè)備外聯(lián)管控措施的為高風(fēng)險(xiǎn)
三級(jí)及以上系統(tǒng)管理制度上無(wú)關(guān)于外部連接的授權(quán)和審批流程���,也未定期進(jìn)行相關(guān)的巡檢同時(shí)無(wú)技術(shù)手段對(duì)違規(guī)上網(wǎng)及其他違反網(wǎng)絡(luò)安全策略的行為有效控制��、檢查�����、阻斷���。這里要求我們?cè)谌?jí)及以上系統(tǒng)中配備安全準(zhǔn)入系統(tǒng)進(jìn)行技術(shù)管控。
七�、沒(méi)有外來(lái)接入設(shè)備惡意代碼檢查措施的為高風(fēng)險(xiǎn)
二級(jí)及以上系統(tǒng)未在管理制度中明確外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備接入安全操作流程同時(shí)外來(lái)計(jì)算機(jī)且存儲(chǔ)設(shè)備接入網(wǎng)絡(luò)前未進(jìn)行惡意代碼檢查。這在實(shí)際工作中不少單位沒(méi)有落實(shí)或者落實(shí)不徹底����,這也是為什么內(nèi)網(wǎng)會(huì)中毒的一個(gè)重要原因。
八�、沒(méi)有變更管理制度的為高風(fēng)險(xiǎn)
二級(jí)及以上系統(tǒng)無(wú)變更管理制度,或變更管理制度中無(wú)變更管理流程�、變更內(nèi)容分析與論證、變更方案審批流程等相關(guān)內(nèi)容且實(shí)際變更中無(wú)任何流程��、人員�����、方案等審批環(huán)節(jié)和記錄����。不能隨意對(duì)系統(tǒng)進(jìn)行變更,有時(shí)一些安全事件就是因?yàn)檎`操作而導(dǎo)致的��。
九����、沒(méi)有重要事件的應(yīng)急預(yù)案的為高風(fēng)險(xiǎn)
二級(jí)及以上系統(tǒng)未制定重要事件的應(yīng)急預(yù)案或應(yīng)急預(yù)案內(nèi)容不完整����,未明確重要事件的應(yīng)急處理流程���、系統(tǒng)恢復(fù)流程等內(nèi)容�,一旦出現(xiàn)應(yīng)急事件����,無(wú)法合理有序的進(jìn)行應(yīng)急事件處置過(guò)程。在三級(jí)及以上系統(tǒng)中不僅要有預(yù)案����,還需要定期培訓(xùn)與演練,對(duì)未定期(至少每年一次)對(duì)相關(guān)人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)�����,未根據(jù)不同的應(yīng)急預(yù)案進(jìn)行應(yīng)急演練���,無(wú)法提供應(yīng)急預(yù)案培訓(xùn)和演練記錄的也是為高風(fēng)險(xiǎn)�。這就要求我們應(yīng)急預(yù)案不只是一個(gè)預(yù)案��,更要成為發(fā)生突發(fā)事件后實(shí)際操作的一個(gè)規(guī)范應(yīng)對(duì)流程?����?偨Y(jié)下來(lái):應(yīng)急演練大家要認(rèn)真認(rèn)真做�,不要走過(guò)場(chǎng)���。
十�、云計(jì)算平臺(tái)運(yùn)維方式不當(dāng)?shù)臑楦唢L(fēng)險(xiǎn)
二級(jí)及以上云計(jì)算平臺(tái)的運(yùn)維地點(diǎn)不在中國(guó)境內(nèi)且境外對(duì)境內(nèi)云計(jì)算平臺(tái)實(shí)施操作運(yùn)維未遵循國(guó)家相關(guān)規(guī)定����。對(duì)于云計(jì)算平臺(tái)一哥還是建議大家至少選擇物理位置及運(yùn)維地點(diǎn)在中國(guó)境內(nèi)的平臺(tái)。
(本文來(lái)自 等級(jí)保護(hù)測(cè)評(píng)公眾號(hào))
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
